Fernando Garcia

Si estás interesado en montarte tu propia nube privada en casa, e incluso tu propio Netflix haciendo uso de Plex Media Server, estás de enhorabuena con este ofertón que tenemos disponible en Amazon. Synology es una de las marcas más populares en servidores NAS, y una de las más recomendadas, no obstante, generalmente sus modelos son algo más caros que los de la competencia, pero su sistema operativo es estable como una roca. Hoy tenemos una oferta realmente interesante tanto en el NAS como también en los discos duros incorporados. ¿Quieres conocer por cuánto puedes comprar el Synology DS920+ con 48TB?

Principales características

Este servidor NAS incorpora un potente procesador Intel Celeron J4125, es un Quad-Core a 2.0GHz de velocidad y con motor de cifrado por hardware incorporado, además, también incluye transcodificación por hardware, para que servicios como Plex Media Server te funcionen perfectamente. Este NAS viene con un total de 4GB de RAM DDR4, pero se puede expandir hasta 8GB de memoria RAM DDR4 por si vas a virtualizar sistemas operativos o usar de manera intensiva Docker.

Este servidor NAS incorpora un total de cuatro bahías para alojar discos duros de 3,5», además, tenemos la posibilidad de instalar una unidad de expansión de Synology para tener aún más almacenamiento. Otras características muy importantes relacionadas con el almacenamiento, es que tenemos 2 ranuras M.2 2280 NVMe integradas, con el objetivo de usar estas unidades como caché SSD y acelerar el rendimiento en lectura y escritura del servidor NAS.

Respecto a la conectividad, tenemos 2 puertos Gigabit Ethernet para la LAN con soporte para Link Aggregation, también tenemos 2 puertos USB 3.0 y, finalmente, un puerto eSATA.

El sistema operativo de Synology es uno de los puntos fuertes del fabricante, un sistema operativo que es muy rápido, intuitivo y que nos permite instalar una gran cantidad de software adicional, tanto de Synology como también cualquier otro servicio de terceros. Podemos utilizar la virtualización de sistemas operativos e incluso tenemos la posibilidad de instalar Docker para disfrutar de cientos de servicios funcionando en este equipo.

Este servidor NAS es uno de los más recomendables para entornos domésticos y de pequeña oficina, generalmente el precio de este servidor NAS ronda los 600€-700€ aproximadamente (sin discos), luego tenemos que añadirle el coste de los discos.

La oferta de Amazon es insuperable

En Amazon tenemos un ofertón para este servidor NAS Synology DS920+ con cuatro discos duros Synology HAT5300 de 12TB de capacidad cada uno, por lo que tendremos el servidor como también un total de 48TB de almacenamiento. El precio en oferta de este equipo es de menos de 1.200€, tal y como podéis ver aquí:

Synology DS920+ con 48TB

1.173,44 €1.428,18 €

Ver Oferta

El precio habitual de este servidor NAS es de unos 600€-700€, más luego unos 500€ cada disco duro de 12TB, por lo tatno, el precio real de este equipo es de unos 2.600€ aproximadamente, y lo tenemos por menos de la mitad, por lo que es un chollazo que no podrás evitar comprar. Un aspecto muy importante es que es gestionado y enviado directamente por Amazon, no es un producto de terceros sino que es directamente de Amazon.

Sin lugar a dudas, con esta oferta echaremos muy poco de menos a servicios como Netflix, ya que podremos disfrutar de Plex en local y ver todo el contenido multimedia que queramos.

El artículo Ofertón en este NAS Synology DS920+ con 48TB en discos se publicó en RedesZone.

Si estás pensando en instalar una VPN o ya usas NordVPN, desde ahora una de sus funciones más interesantes es gratuita para todos. Se trata del túnel privado Meshnet. Es una característica que está disponible para Windows, Linux y macOS. Vamos a explicarte en qué consiste y por qué es muy útil. Es una de las VPN más utilizadas, por lo que esta novedad puede venir muy bien para muchos usuarios en Internet.

NordVPN permite usar su túnel Meshnet gratuitamente

Hay que mencionar que la función Meshnet no es una novedad, ya que la lanzaron hace casi un año. Sin embargo, hasta ahora solo estaba disponible como función de pago. A partir de ahora va a ser gratis para todos, incluso para aquellos que no tienen ninguna suscripción. Un cambio importante.

Pero, ¿qué es esto de túnel Meshnet? Se trata de una función que permite a los usuarios crear túneles privados y cifrados entre dispositivos de confianza y crear su propio servidor VPN. Un ejemplo claro es que vas a poder usar tu móvil, mientras estás de vacaciones, y enrutar el tráfico a través del ordenador que tienes en casa. Esto permite que estés navegando por Internet como si estuvieras en casa.

¿Qué ventajas tiene esto? Lo primero es que vas a poder navegar a través de un túnel cifrado, por lo que es ideal cuando te conectes a redes públicas. Pero también tiene la ventaja de poder evitar bloqueos geográficos o problemas que puedan aparecer. Por ejemplo, podrías estar de vacaciones en otro país y al entrar en tu cuenta bancaria te salta un aviso de que no puedes acceder por la ubicación. Si te conectas a través del túnel Meshnet de NordVPN, no tendrás problemas.

Además, ese túnel Meshnet lo puede usar otra persona desde su móvil u ordenador. Simplemente tiene que tenerlo configurado correctamente y tener los permisos necesarios. Podrá entrar en plataformas que estén restringidas geográficamente, acceder a páginas con seguridad en redes Wi-Fi públicas, etc.

Acceder de forma remota con seguridad

Si necesitas acceder a tu equipo de forma remota con total seguridad, esta función de NordVPN también es útil. Aunque siempre tienes la opción del escritorio remoto de Windows, es algo que tiene sus riesgos y hemos visto ataques que lo explotan. Con Meshnet vas a poder entrar de forma remota en tu ordenador, por ejemplo, como si estuvieras en casa o en la oficina.

Lo que tienes que hacer es instalar la aplicación en el ordenador remoto y en el que vas a tener en casa, conectarte al a dirección IP asignada al servidor RDP y tener acceso igual que si estuvieras dentro de la red doméstica o en el trabajo. También lo puedes usar para jugar online de forma remota con amigos, por ejemplo.

Además de todo esto, otra novedad es que los usuarios de NordVPN van a poder compartir archivos de forma ilimitada. Muy útil si necesitas enviar documentos pesados o cualquier carpeta a través de Internet.

Por tanto, como ves desde NordVPN han decidido facilitar el uso de su túnel Meshnet para todos. Vas a poder utilizarlo de forma gratuita y es muy útil para acceder a tu equipo cuando estés de vacaciones, por ejemplo. Siempre tienes la opción de exportar una VPN en Windows.

El artículo Esta novedad de NordVPN ya es gratis para todos y te va a gustar se publicó en RedesZone.

Hace dos semanas, la Policía Nacional española anunciaba la desarticulación de una red de estafas online que operaba en todo el territorio español y que había logrado estafar más de 350.000 euros a clientes de banca en Internet. Detuvieron a 25 personas, todos ellos jóvenes, aunque destaca entre ellas el líder de la trama: un menor de 17 años de Cádiz.

El cerebro

Un menor que desarrollaba sus propias herramientas online para la realización de estafas (como falsas webs de entidades bancarias, listas para difundir como parte de campañas de phishing, o software que permitía monitorizar en tiempo real los pasos de sus víctimas)...

...y que no sólo las utilizaba él mismo, sino que también las vendía a otras organizaciones criminales para que hicieran uso de ellas en sus propias tramas de estafa. En resumen: un 'emprendedor malvado' que había creado su propia start-up de lo que se ha venido en llamar 'crime as a service', la posibilidad de subcontratar las facetas tecnológicas de la actividad criminal. Una industria en crecimiento.

Pablo Muñoz, de ABC, proporcionaba hace unos días un perfil de este presunto cerebro criminal: de familia desestructurada, desertor del sistema educativo, ya detenido en otra operación similar en la que -como ahora- estaba implicado su hermano mayor, se escapó del centro de menores e inició su propia organización, mientras cambiaba cada mes o mes y medio de alojamiento.

En Genbeta

'Crime-as-a-Service': por qué ya todos podemos ser cibercriminales recurriendo a la subcontratación

"Hay que decir que él primero transformaba las ganancias en criptomonedas, pero luego se las arreglaba para convertirlas en dinero, que se pulía a manos llenas sin ningún problema. [...] Vivía a todo trapo. Su vestuario estaba repleto de prendas de Versace, Gucci...".

"La Policía no duda de que la madre de los hermanos estaba al corriente de sus actividades. [...] Y hay otros padres que colaboraban con sus hijos, hasta el punto de hacerles la vigilancia cuando iban a sacar el dinero a los cajeros".

La trama

La investigación policial se inició cuando la labor de la Unidad Central de Ciberdelincuencia permitieron detectar un patrón común en diferentes hechos denunciados en toda España. Los subsiguientes análisis y medidas de vigilancia permitieron comprobar la existencia de una organización criminal que estaba detrás de estos hechos.

La trama obtenía datos de sus víctimas recurriendo a técnicas de ingeniería social (phishing, smishing, vishing...) a las que 'avisaban' mediante envíos masivos de SMS de una supuesta intromisión ilegítima en su banca online y a las que en ocasiones llamaban ofreciéndose a ayudarles para solventar esa supuesta brecha de seguridad.

"El grado de especialización de esta organización es muy, muy alto, porque suplantaron la imagen de 18 entidades bancarias diferentes y se les ha intervenido listados con los datos privados (nombres, apellidos, DNI, claves de acceso...) de más de 100.000 clientes bancarios agrupados por entidades y preparados para ser utilizados".

Cuando obtenían los datos de la cuenta de alguna de sus víctimas, podían hacer varias cosas con su dinero, según el caso:

"[A veces] extraían directamente el efectivo en cajeros automáticos, o bien contrataban créditos personales instantáneos, ordenaban nuevas transferencias a otras cuentas que tenían bajo su control, o bien compraban criptovalores".

Vía | Policía Nacional

Imagen | Ralph Nas & Job for Felons Hub

En Genbeta | Cómo (y ante quién) denunciar los fraudes en Internet y estafas por SMS como la de WhatsApp, FedEx o Correos

-
La noticia Así es el 'emprendedor criminal' de 17 años que la Policía detuvo en Cádiz por liderar una trama de estafas online subcontratables fue publicada originalmente en Genbeta por Marcos Merino .

Sin duda actualmente las arquitecturas híbridas, que combinan el clásico entorno “on premise” con la llamada nube, están al orden del día. En este caso es imprescindible contar con herramientas que nos permitan controlar...

La entrada De lo terrenal y lo divino con Checkmk se publicó primero en ochobitshacenunbyte.

Te traemos una lista con las mejores 17 aplicaciones de verificación en dos pasos, para que puedas tener más privacidad en tus cuentas online. La verificación en dos pasos o (2FA) es un sistema con el que cuando inicias sesión en  una cuenta desde un nuevo dispositivo, tendrás que introducir una segunda clave para poder verificar que eres tú. Así, además de tu contraseña segura, tendrás una segunda contraseña que cambiará cada vez que la uses.

Existen varios tipos de verificación en dos pasos, y uno de ellos es mediante una aplicación que vinculas a tus cuentas para generarte contraseñas de verificación. Nosotros te vamos a decir las mejores apps dedicadas a ellas, tanto esas que solo son para la verificación como algunos gestores de contraseñas que los incluyen, ya sean gratuitas o de pago.

Y como decimos siempre en Xataka Basics,  nosotros vamos a proponer las que consideramos como las mejores aplicaciones de este tipo. Pero si tú conoces otra que consideras que debería estar en la lista, te invitamos a compartirla con todos en la sección de comentarios para que el resto de lectores también pueda beneficiarse de tu conocimiento.

1Password

Vamos a hacer algo peculiar, y empezar con una aplicación que no es estrictamente solo de verificación. Se trata de un gestor de contraseñas de pago, y que tiene entre sus alicientes el incluir implementado un sistema de verificación en dos pasos. Tienes versiones para Android, iOS, Windows, macOS, GNU/Linux y navegadores descargables desde su web de descargas.

Este servicio te será útil cuando también necesites ordenar tus contraseñas, aunque en esta lista tendrás dos alternativas gratis. Esto quiere decir que en tu lista de contraseñas, en las de una web compatible puedes vincular el token de la web para que se te ofrezca también una clave de verificación en dos pasos.

• Enlaces: 1password.com, Google Play y App Store

2FAS

Este es un servicio simple y funciona, y completamente gratuito. Tiene aplicación móvil, y destaca por tener una interfaz sencilla de entender, y funcionar en casi todas las webs. Lo único negativo es que no tiene demasiadas opciones avanzadas, pero a cambio es gratis, con cifrado de extremo a extremo, y soporte offline.

Vas a poder vincular los tokens de verificación a mano o mediante QR, y sincronizarlos por Google Drive. Los tokens los puedes guardar en copias de seguridad para no perderlos al restablecer tu móvil. Tiene soporte para añadir un código PIN o desbloqueo por biometría, no tiene anuncios, y también proporciona una extensión para usarlo en tu navegador.

• Enlaces: 2fas.com, Google Play y App Store

Aegis Authenticator

Se trata de una aplicación exclusiva para el sistema operativo Android, lo que ya es una desventaja, pero que quizá te puede interesar si usas mucho este sistema. Otra de las malas noticias es que las opciones  más potentes requieren root, algo que a muchos usuarios casuales no les interesa demasiado.

A cambio, tienes una aplicación potente y con cifrado de seguridad para que tus tokens estén seguros, además de compatibilidad con biometría. Es una app gratuita y de código abierto, y soporta copias de seguridad nativas en Android, además de tener soporte para casi todos los formatos de 2FA.

• Enlaces: getaegis.app, Google Play y F-Droid

andOTP

Se trata de una aplicación 2FA gratis, de código abierto pero exclusiva para Android, y que pese a ser bastante sólida ya no recibe actualizaciones ni nuevas funciones. Aun así, su código es abierto e incluye varias opciones de backup incluyendo las cifradas. No tiene muchas opciones avanzadas, pero es sencilla de usar y con una interfaz limpia.

• Enlaces: Google Play

Authenticator App

Apple también tiene en Authenticator App una muy buena aplicación de verificación exclusiva para su ecosistema. De hecho, es un verificador que no solo puedes tener en tu iPhone, Mac, iPad o Apple Watch, sino que también tiene extensiones para casi todos los navegadores, desde Safari a Tor Browser, pasando por Brave, Chrome, Vivaldi y más.

La mala noticia es que es una app de pago. Tiene una versión gratis bastante limitada, a la que le faltan opciones como copia de seguridad o sincronización, aunque la versión de pago no es excesivamente cara. A cambio, tienes una buena alternativa con cifrado, opciones de compartir en familia y bloqueo con FaceID.

• Enlaces: authenticator.2stable.com, App Store, Mac App Store

En Xataka

Cómo escoger una contraseña segura (y mantenerla): lo que dicen los expertos

Authy

Authy de Twilio es uno de los pesos pesados en el mundo de los servicios de verificación en dos pasos. Tiene cuentas individuales gratuitas, una buena lista de opciones, y un gran soporte multiplataforma, funcionando en Android, iOS, Windows, macOS y GNU/Linux.

Tiene copias de seguridad y sincronización entre dispositivos de cualquier sistema operativo, soporte para casi todas las webs y protocolos, y funciona también sin conexión. Es bastante fácil de usar, y todas las copias de seguridad son cifradas, usando los mismos algoritmos que usa la NSA para proteger su información.

• Enlaces: authy.com, Google Play y App Store

Bitwarden

Bitwarden es uno de los mejores, si no el mejor, gestor de contraseñas. Es de código abierto y gratuito para usuarios únicos, y la versión de pago cuesta solo unos 10 euros al año. Pues bien, esta versión de pago incluye un sistema de verificación en dos pasos que está incluido también de forma directa en su gestor de contraseñas.

Esto quiere decir que las claves de verificación en segundo paso están generadas directamente en el gestor, y que se autocompletan en las webs y apps cuando te las piden en un dispositivo donde uses Bitwarden. Tiene versiones para escritorio, para móvil, y para casi todos los navegadores.

• Enlaces: bitwarden.com, Google Play y App Store

Duo Mobile

Duo Mobile pertenece a Cisco, y es un sistema muy popular a nivel  empresarial para las verificaciones en dos pasos. Soporta prácticamente todos los estándares y puede usarse casi en cualquier web, teniendo opciones de copia de seguridad para almacenar tus tokens en Google Drive o iCloud. No necesitas tener cuenta para usarlo.

Entre sus puntos a favor está la posibilidad de ocultar los códigos, una interfaz sencilla y el soporte para Apple Watch de la versión de iOS. Sin embargo, no se pueden exportar tokens, aunque sí sincronizarlos, y las copias de seguridad y sincronización de iOS y Android son incompatibles entre sí.

• Enlaces: Gooogle Play y App Store

FreeOTP

Se trata de una aplicación de código abierto que fue creada como respuesta cuando Google cerró el código del suyo. Tiene una interfaz sencilla aunque no demasiado moderna, y quizá peca de ser demasiado simple, ya que le faltan algunas opciones importantes como la sincronización en la nube o importar archivos.

A favor tiene que no necesitas crear una cuenta, que oculta los códigos, y que en iOS tiene soporte para FaceID y TouchID. Pero claro, en iOS no puedes importar tokens por código numérico y solo lo haces con QR, mientras que en Android están los dos, y no tiene protecciones de acceso.

• Enlaces: freeotp.github.io, Google Play y App Store

Google Authenticator

Si no quieres crearte una cuenta en otro servicio solo para la verificación en dos pasos, entonces puede que la opción de Google te sirva, ya que con tener cuenta de Google ya puedes acceder a ella. Es poco completa pero muy sencilla de usar, con buenas opciones de exportar e importar, y totalmente gratuita.

La parte negativa es que no tiene opción de copias de seguridad, lo que puede ser una pesadilla cuando cambias de dispositivo, y los QR no siempre funcionan del todo bien. Por lo tanto, es bastante poco completa, aunque es una solución fácil para quienes no se quieran complicar la vida mejorando su privacidad.

• Enlaces: Google Play y App Store

En Xataka

9 generadores de contraseñas online para crear claves aleatorias, fuertes y seguras

LastPass Authenticator

LastPass era uno de los más famosos gestores de contraseñas del mundo, aunque su reputación cayó bastante después de que fueran hackeados en 2022... dos veces. Pero en el caso de que consideres darles una segunda oportunidad, debes saber que además de su gestor de contraseñas también tienen una app independiente para verificación en dos pasos  que quizá te interese. Es muy completa, con respaldo en la nube y compatible con relojes inteligentes.

• Enlaces: lastpass.com, Google Play y App Store

Microsoft Authenticator

Esta aplicación es otro gestor de contraseñas con opción de 2FA, por lo que podemos considerarlo como un todo en uno. Si solo buscas un gestor de verificación en dos pasos, tienes opciones mejores, pero si también buscas un gestor de contraseñas es muy buena alternativa, donde también puedes guardar información de ID, direcciones o métodos de pago para autocompletar.

Tiene soporte nativo para cuentas de Microsoft, y para el navegador Edge, y apps para usarlo en el móvil. Sus copias de seguridad no siempre funcionan bien, y a veces falla escaneando códigos QR, pero por lo demás es buena opción, completamente gratuita, y que permite bloquear la app con biometría para mayor seguridad.

• Enlaces: microsoft.com, Google Play y App Store

OTP Auth

OTP auth es otra aplicación exclusiva para el ecosistema de Apple, con una app gratis para iOS y macOS. Es una app que aprovecha al máximo el ecosistema de Apple, con copias de seguridad en iCloud y compatible con Apple Watch.

Puedes añadir los tokens de verificación en dos pasos por clave o QR, puedes exportarlos todos a un archivo, y tiene un sistema de carpetas para ordenar tus pases. El acceso está protegido con TouchID o FaceID, aunque como contrapunto está el que algunas opciones son solo para la versión de pago.

• Enlaces: App Store y Mac App Store

Protectimus Smart OTP

Un poco menos conocido, pero esta es una completa aplicación de verificación en dos pasos. Tiene aplicaciones tanto para Android como para iOS, y en el caso de Android es compatible con los relojes inteligentes de Android. Todo ello en una app que puedes proteger con un PIN y soporta múltiples protocolos de verificación.

• Enlaces: protectimus.com/protectimus-smart, Google Play y App Store

Step Two

Se trata de otro sistema de verificación en dos pasos centrado en el ecosistema de Apple. y que te permite añadir los tokens de hasta 10 cuentas de forma gratuita. Para más, tendrás que comprar la app con un pago único. Por lo demás, es una aplicación muy completa a la que no le faltan estándares, y que puede utilizar tu Apple Watch para mostrar tu contraseña de verificación en él.

• Enlaces: App Store y Mac App Store

En Xataka

Identificación en dos pasos: todos los métodos disponibles y sus ventajas e inconvenientes

TOTP Authenticator

TOTP Authenticator de BinaryBoost es otra interesante opción, con aplicaciones móviles y extensiones para Chrome y Firefox. Su interfaz es limpia, y tiene opciones de organización que te permiten guardar muchos tokens 2FA de forma ordenada. También tiene gran soporte para casi todos los protocolos.

Por lo tanto, es sencilla de usar y la puedes utilizar con casi todas las webs. Sin embargo, la mala noticia es que las cuentas gratuitas son un poco limitadas, y que algunas opciones como la copia de seguridad o las propias extensiones para navegador son solo para cuentas de pago.

• Enlaces: binaryboot.com/totp-authenticator, Google Play y App Store

WinAuth

Y terminamos con WinAuth, una aplicación exclusiva para Windows, y que es la más sencilla y básica de la lista. Pero tiene un superpoder, y es que es compatible con tokens de autenticación poco comunes como los de Steam o Battle.net, además de otros similares. Por lo tanto, es una alternativa a los sistemas de verificación en dos pasos nativos de estas plataformas.

Además de esto, también tiene soporte para los tokens estándar de otros videojuegos y de los principales servicios y redes sociales de Internet, oculta los códigos, puedes proteger cada acceso con una contraseña, y puedes escanear códigos QR de archivos locales o de Internet. Eso sí, es solo para Windows.

• Enlaces: winauth.github.io/winauth

-
La noticia Las 17 mejores aplicaciones de verificación en dos pasos fue publicada originalmente en Xataka por Yúbal Fernández .

A la hora de producir nuestra propia electricidad en casa las placas o paneles solares fotovoltaicos se han puesto de moda en los últimos años, siendo capaces de aprovechar la luz del sol para alimentar nuestros equipos y electrodomésticos, aunque con un coste inicial relativamente elevado si queremos gran potencia.

Entre los muchos factores que conviene tener en cuenta a la hora de poder tener esta tecnología en casa tenemos el de la instalación, ya que necesitamos un espacio apropiado en tejados, azoteas, patios o jardines para ubicar los pesados paneles.

Y es justo en este punto donde una empresa de origen vasco llamada Landatu Solar quiere ayudarnos a hacer las cosas más fáciles gracias a Landblock, un curioso producto que permite simplificar el proceso de instalación de las placas solares en superficies planas.

En Xataka Smart Home

Aerogeneradores domésticos para tener electricidad gratis: qué son, tipos, ventajas, inconvenientes y modelos desde 180 euros

Instalando las placas con lastre de agua

En una entrevista publicada en El Español,  los responsables del invento lo definen como "un soporte para paneles solares lastrado por agua u otros materiales como arena, grava u hormigón que se puede utilizar  en cubiertas o superficies planas".

La intención tras este producto es abaratar la  instalación y según afirman reducir hasta en un 40% el tiempo que se necesita para  llevarla a cabo, ya que los soportes Landblock son ligeros, cómodos de transportar y fáciles de instalar.

El invento resuelve el tradicional problema de necesitar soportes de gran peso fabricados en hormigón o acero para anclar las placas solares en superficies planas, además de los inconvenientes de realizar perforaciones en lugares como azoteas, que con el paso del tiempo pueden dar lugar a filtraciones de agua.

Además, según sus creadores Landblock permite abaratar las labores de transporte y montaje, ya que los soportes se pueden apilar de forma sencilla y gracias al material con el que están fabricados, HDPE (polietileno de alta densidad), cada uno pesa solo tres kilos sin lastre.

Una vez colocado en su ubicación definitiva, por ejemplo en una azotea, es hora de introducir el lastre en su interior, que puede ser por ejemplo agua, ofreciendo en ese caso un peso de 56 kilos que puede incrementarse hasta los 100 kilos si se opta por otros materiales como la arena.

De esta forma y según comentan sus creadores, no son necesarias grúas o plumas para la  subida a cubiertas, y "un operario las puede manipular, subir a cubierta  en un ascensor, escaleras o montacargas de bajo peso, con el ahorro en  el coste de su manipulación",

Además, afirman que el tiempo de montaje también se reduce considerablemente entre un 25 y un 40%,  y el invento es compatible con la mayoría de placas solares del  mercado con tamaños de entre 1040 mm y 1170 mm.

-
La noticia Instalar placas solares en casa de forma más sencilla, rápida y barata: así es el curioso invento español llamado Landblock fue publicada originalmente en Xataka Smart Home por Paco Rodriguez .

Enlarge

Organizations around the world are once again learning the risks of not installing security updates as multiple threat actors race to exploit two recently patched vulnerabilities that allow them to infect some of the most critical parts of a protected network.

The vulnerabilities both carry severity ratings of 9.8 out of a possible 10 and reside in two unrelated products crucial in securing large networks. The first, tracked as CVE-2022-47966, is a pre-authentication remote code execution vulnerability in 24 separate products from software-maker Zoho that use the company’s ManageEngine. It was patched in waves from last October through November. The second vulnerability, CVE-2022-39952, affects a product called FortiNAC, made by cybersecurity company Fortinet, and was patched last week.

Both ManageEngine and FortiNAC are billed as zero-trust products, meaning they operate under the assumption a network has been breached and constantly monitor devices to ensure they’re not infected or acting maliciously. Zero-trust products don’t trust any network devices or nodes on a network and instead actively work to verify they’re safe.

Read 15 remaining paragraphs | Comments

Zeek: Herramienta de seguridad de red de código abierto

Continuando con nuestra serie de artículos sobre las existentes y útiles aplicaciones y sistemas (herramientas de software) del ámbito de la seguridad informática, que además suelen ser libres, abiertas y gratuitas, hoy abordaremos una conocida como «Zeek». La cual, es conocida por ser una excelente herramienta de monitoreo de seguridad de red de código abierto.

Posiblemente, algunos la hayan podido conocer y usar años atrás (hasta el 2018), bajo su anterior nombre, es decir, Bro. Sobre todo, por qué dicho software cuenta con una larga historia de uso (1990/2023) en el mundo del código abierto y la seguridad digital. Por lo que hoy, vamos a explorarla para contribuir con su difusión y empleo, por parte de los Linuxeros y demás profesionales TI.

Lynis: Software de auditoría de seguridad en Linux, macOS y UNIX

Pero, antes de empezar este interesante post sobre la herramienta de seguridad de red de código abierto «Zeek», les recomendamos la anterior publicación relacionada, para su posterior lectura:

Zeek: Una herramienta de monitoreo de seguridad de red

¿Qué es Zeek?

Explorando y analizando su sitio web oficial, podemos extraer los siguientes puntos importantes sobre dicha herramienta de software:

• Es una plataforma de software de código abierto que proporciona registros de transacciones compactos y de alta fidelidad, contenido de archivos y resultados totalmente personalizados para los analistas, desde la oficina doméstica más pequeña hasta las redes comerciales y de investigación más grandes y rápidas.
• Ayuda a las organizaciones a comprender cómo se utiliza su red, respaldando las misiones de seguridad, rendimiento, auditoría y capacidad. Gracias a su lenguaje de programación optimizado para la red, su vibrante comunidad de código abierto y su huella global, Zeek proporciona los datos y los conocimientos necesarios para enfrentar los desafíos de red más difíciles de la actualidad, en los entornos informáticos empresariales, en la nube e industriales.
• Posee un licenciamiento bajo la licencia permisiva BSD. Siendo, la sede del proyecto Zeek el Instituto Internacional de Ciencias de la Computación (ICSI) en Berkeley, CA. El cual, es una organización sin fines de lucro.
• No es un dispositivo de seguridad activo, como un firewall o un sistema de prevención de intrusiones. Más bien, puede entenderse como un “sensor” sobre una plataforma de hardware, software, virtual o en la nube, que observa silenciosa y discretamente el tráfico de la red. Para así, interpretar lo que ve y crear registros de transacciones dentro de archivos con resultados personalizables; cuyos contenidos que sean gestionables fácilmente de forma manual o automatizada.

Zeek es un poderoso Framework deanálisis de tráfico de red y el monitoreo de seguridad que es muy diferente del típico IDS que quizás conozca. Además, es desarrollado en GitHub por su comunidad. En la actualidad, como resultado de innumerables contribuciones, Zeek es utilizado operativamente en todo el mundo por importantes empresas e instituciones educativas y científicas por igual para proteger su infraestructura cibernética. Zeek en GitHub

Características

Entre sus principales características se pueden mencionar las siguientes:

• Realiza análisis en profundidad: Gracias a que incluye analizadores para muchos protocolos, lo que permite un análisis semántico de alto nivel en la capa de aplicación.
• Es adaptable y flexible: Debido al uso de su lenguaje de secuencias de comandos específicos del dominio de Zeek, el cual le permite diseñar y ejecutar políticas de monitoreo específicas para un determinado sitio, y lo hace no estar restringido a ningún enfoque de detección en particular.
• Es muy eficiente: Por lo que, sin mayores problemas, puede ser usado sobre redes de alto rendimiento y en una variedad de sitios grandes.
• Es muy robusto: Ya que, mantiene un extenso estado de capa de aplicación sobre la red que supervisa y proporciona un archivo de alto nivel de la actividad de una red.
• Se mantiene moderno, bien actualizado y fácil de instalar: Por ello, su última versión estable es la versión 5.20, la cual ha sido liberada el día 02 de febrero de 2023, e incluye útiles cambios y nuevas funcionalidades. Y es fácilmente instalable utilizando las siguientes instrucciones de instalación.

Zeek es un analizador de tráfico de red pasivo y de código abierto, usado por muchos como monitor de seguridad de la red (NSM) para respaldar las investigaciones de actividades sospechosas o maliciosas. Además, es extremadamente útil, ya que admite una amplia gama de tareas de análisis de tráfico más allá del dominio de la seguridad, incluidas la medición del rendimiento y la resolución de problemas. Documentación oficial

Resumen

En resumen, esperamos que esta publicación relacionada con el flexible, abierto y gratuito software de seguridad de red de código abierto para Linux/Unix llamado «Zeek», les permita a muchos, el poder realizar los necesarios análisis del tráfico de red de sus plataformas, aprovechando el enfoque particular en el monitoreo de seguridad semántica a escala que ofrece dicho software.

Por último, si conoces o has usado dicha herramienta de software, no dejes de aportar tu opinión sobre el tema de hoy, vía comentarios. Y, si te ha gustado esta publicación, no dejes de compartirla con otros. Además, recuerda visitar nuestra página de inicio en «DesdeLinux» para explorar más noticias, y unirte a nuestro canal oficial de Telegram de DesdeLinux, o este grupo para más información sobre el tema de hoy.

ActivityWatch: Una app para rastrear la actividad de un ordenador

Por lo general, todo usuario frecuente de un ordenador, busca ser más productivo en el mismo cuando lo usa. Sin embargo, no siempre es una tarea fácil, ya que, suele ser una tarea que hay que llevar de forma personal y manual. Es decir, programarnos cuanto tiempo deberemos emplear sobre cada tipo de aplicación para rendir más a la hora de trabajar, estudiar, divertirnos (jugar) o descansar. Sin embargo, para ello siempre es útil el poder saber con precisión el tiempo previo que invertimos en cada aplicación y actividad.

Y precisamente para ello, existen herramientas de software para el seguimiento de las actividades que se realizan sobre un ordenador. Siendo un buen ejemplo de estas, «ActivityWatch». La cual exploraremos hoy, para el conocimiento y disfrute de todos.

Super Productivity: Una aplicación de lista de tareas y registro de tiempo

Pero, antes de empezar este interesante post sobre la herramienta de seguimiento de actividades «ActivityWatch», les recomendamos la anterior publicación relacionada, para su posterior lectura:

ActivityWatch: App para el seguimiento de la productividad

¿Qué es ActivityWatch?

En palabras sencillas, podemos decir que, «ActivityWatch» es una aplicación gratuita y de código abierto que nos ayuda fácilmente a registrar lo que hacemos o hacen otros sobre un ordenador, para que luego podamos saber en qué hemos o han invertido su tiempo sobre el mismo. Y por supuesto, todo de una forma automatizada y segura, dándonos el poder de controlar nuestros datos sin intervención de terceros.

Por lo cual, ActivityWatch es una genial aplicación multiplataforma que nos permite ejecutar un seguimiento automático de cómo se invierte el tiempo sobre un ordenador, priorizando la privacidad del usuario. Evitando así, la utilización de aplicaciones y servicios privativos y comerciales similares, tales como: RescueTime, ManicTime y WakaTime.

En consecuencia, ActivityWatch es ideal para supervisar nuestra productividad o la de terceros, realizar un seguimiento de cuánto tiempo se le dedica a diferentes proyectos, obtener una descripción general del tiempo dedicado a aplicaciones, juegos, videos y música, conocer nuestros malos hábitos frente a la pantalla, medir el balance vida-trabajo que actualmente presentamos, entre muchos otros beneficios más.

Características

Según su sitio web oficial, sus actuales características o funcionalidades son:

• Ejecuta el seguimiento de una aplicación activa y el título de la ventana desde el primer momento.
• Ofrece una amplia y detallada visión general del uso efectuado, dividido en categorías.
• En cuanto a los Navegadores webs, rastrea la pestaña activa usando las extensiones para Chrome y Firefox.
• Permite hacer un seguimiento de cómo pasamos el tiempo escribiendo código, mediante el respectivo empleo de los respectivos observadores (watchers) dentro del editor utilizado.
• Con respecto a la privacidad, gestiona los datos almacenándolos localmente. Por lo que, los mismos no salen del dispositivo empleado.
• Es multiplataforma, por lo se encuentra disponible para los sistemas operativos Windows, macOS, Linux y Android.
• A futuro, los desarrolladores están buscando lograr la sincronización en línea, para lograr sincronizar toda nuestra actividad entre todos los dispositivos empleados.
• Es fácil de descargar, instalar, configurar y manejar. Y para ello, están disponibles su sitio de GitHub y su Documentación en línea.
• Actualmente, se encuentra disponible su última versión liberada en su versión 0.12.2b1 de fecha 11 de enero de 2023.

Resumen

En resumen, esta genial y gratuita herramienta de productividad de código abierto para Linux, llamada «ActivityWatch», muy seguramente le será de mucha utilidad a aquellos que desean conocer como invierten realmente su tiempo sobre el ordenador, o un tercero, como un hijo u otro familiar. De forma tal, de poder tomar las medidas necesarias para mejorar su uso, en pro de aumentar la productividad y eficiencia, ya sea al trabajar, estudiar o divertirse.

Por último, si conoces o has usado dicha herramienta de software, no dejes de aportar tu opinión sobre el tema de hoy, vía comentarios. Y, si te ha gustado esta publicación, no dejes de compartirla con otros. Además, recuerda visitar nuestra página de inicio en «DesdeLinux» para explorar más noticias, y unirte a nuestro canal oficial de Telegram de DesdeLinux, o este grupo para más información sobre el tema de hoy.

HopToDesk: App multiplataforma y gratuita de escritorio remoto

Unos meses atrás, dimos a conocer la interesante y novedosa app gratuita y abierta de escritorio remoto llamada RustDesk. Y en dicha oportunidad, expresamos que era una excelente y moderna alternativa a la app gratuita y cerrada de TeamViewer. Y como es normal y cotidiano en el ámbito del software libre, código abierto y GNU/Linux, hoy daremos a conocer un interesando fork de esta, llamado «HopToDesk».

Sin embargo, y tal como en aquella oportunidad anterior, reiteramos que existen muchísimas otras soluciones libres y abiertas para la gestión de escritorios remotos. Entre las que destacan: Remmina, NoMachine, Vinagre. Qué cubren, muy bien, las necesidades y requerimientos básicos para este ámbito de la tecnología. Siendo idóneas alternativas a TeamViewer o AnyDesk, que aunque son apps gratuitas disponibles para Linux, también son privativas y cerradas.

RustDesk: Una útil app multiplataforma de escritorio remoto

Pero, antes de empezar este interesante post sobre herramienta gratuita de escritorio remoto llamada «HopToDesk», les recomendamos la anterior publicación relacionada, para su posterior lectura:

HopToDesk: Aplicación gratuita de escritorio remoto

¿Qué es HopToDesk?

Al ser un fork de RustDesk no hay mucho que explicar sobre qué es, sin embargo, en su sitio web oficial, dicho proyecto de software es descrito brevemente de la siguiente forma:

HopToDesk es una herramienta gratuita de escritorio remoto que permite a los usuarios compartir su pantalla y permitir el acceso de control remoto a sus computadoras y dispositivos. A diferencia de otras herramientas similares, como TeamViewer o AnyDesk, HopToDesk es gratuito tanto para uso personal como comercial, proporciona un verdadero cifrado de extremo a extremo para todas las comunicaciones entre pares y es de código abierto.

Y entre sus características más destacadas podemos mencionar las 3 siguientes:

• Totalmente multiplataforma: Ofrece instaladores para Windows, macOS, Linux, Android, iOS y Raspberry Pi.
• Ofrece un buen nivel de seguridad: Gracias a que, aseguran que todo el tráfico estará protegido mediante un cifrado de extremo a extremo. Incluyendo el uso compartido de pantalla, los chats y la transferencia de archivos gestionados.
• Busca la expansión y el hacer comunidad: Ya que, al mantenerse abierto y gratis para utilización de forma personal y comercial, y sin límites, mantienen la filosofía del proyecto base, mientras que, invitan a terceros a contribuir con el añadido de nuevas características y funcionalidades al proyecto actual.

Descarga e Instalación

Para probarlo, como de costumbre, probaremos HopToDesk sobre nuestro habitual Respin de MX llamado MilagrOS, basado en MX-21 (Debian-11), tal como se puede ver en las siguientes imágenes.

Pero, a diferencia de RustDesk que fue instalado con su paquete de instalación en formato “.deb”, HopToDesk lo instalaremos con su archivo en formato “.AppImage”, tal como se ve en las siguientes imágenes luego de descargar el mismo directamente desde el siguiente enlace:

Por último, para mayor información sobre HopToDesk se puede visitar su sección oficial en GitLab, mientras que para conocer información sobre la relación entre el mismo y RustDesk se puede acceder al siguiente enlace.

“RustDesk es una Infraestructura de escritorio virtual y remoto de código abierto para todo el mundo. Lo que incluye también, un software de escritorio remoto, que se constituye como una genial alternativa de código abierto para TeamViewer”. ¿Qué es RustDesk?

Resumen

En resumen, «HopToDesk» es otra de muchas apps abiertas, gratuitas, multiplataforma de gestión de escritorio remoto, que vale la pena conocer, probar y usar en el momento apropiado. Además, como fork de «RustDesk» hace empleo del genial y moderno lenguaje de programación Rust, y ofrece al igual que su antecesor una magnífica capacidad para gestionar los ordenadores de forma remota, desde casi cualquier sistema operativo a otro. Esperemos que, poco a poco, este nuevo fork vaya diferenciándose del mismo con novedades e innovaciones propias.

Por último, si conoces o has utilizado dicha herramienta de software, no dejes de aportar tu opinión sobre el tema de hoy, vía comentarios. Y, si te ha gustado esta publicación, no dejes de compartirla con otros. Además, recuerda visitar nuestra página de inicio en «DesdeLinux» para explorar más noticias, y unirte a nuestro canal oficial de Telegram de DesdeLinux, o este grupo para más información sobre el tema de hoy.

Hoy os explico mi experiencia con Flame, un proyecto que nos ofrece tener una página de inicio auto hospedada en nuestro servidor. Una vez comprendes un par de conceptos Flame es bastante fácil de...

La entrada Mi experiencia probando Flame como página de inicio se publicó primero en ochobitshacenunbyte.

En este post veremos dos opciones de tener un seguimiento de nuestra infraestructura de Crowdsec, tendremos dos opciones, una sencillita, un contenedor de Docker con todo listo. O, porqué no, disfrutar de la vida e integrarlo en Prometheus y visualizarlo con Grafana! Si queremos conocer el estado de nuestras máquinas con Crowdsec, lo mejor es […]

Te imaginas en tu CPD, o, paseando por la empresa, ¿escaneando códigos QR? en unas pegatinas en tus dispositivos monitorizados y, ¿que puedas ver en tiempo real sus datos, estado o rendimiento? Una app gratuita, es software libre, que se integra con tu Centreon! ¡Qué más!   Antes de comenzar os dejo con un video […]

Herramientas de Hacking 2023: Ideales para usar sobre GNU/Linux

Ya casi acaba el primer mes del año 2023, y nos ha parecido oportuno abordar por una vez más el ámbito relacionado con la seguridad informática, más específicamente con el Hacking. Por ello, hoy daremos a conocer 2 aplicaciones más, que pertenecen al conjunto de las actuales «Herramientas de Hacking 2023».

Y luego, como de costumbre, recomendaremos algunos listados actualizados con muchas más herramientas que consideramos son importante conocer, entre las mejores y más conocidas que han sido creadas para el ámbito de trabajo de los profesionales y apasionados del «Hacking & Pentesting».

Hacking Tools: Útiles herramientas de Hacking para usar sobre GNU/Linux

Y, antes de empezar este interesante post sobre algunas vigentes e idóneas «Herramientas de Hacking 2023», les recomendamos las anteriores publicaciones relacionadas, para que las exploren al finalizarlo:

2 geniales Herramientas de Hacking para el 2023

En una anterior oportunidad abordamos la Herramienta de Hacking de uso para terminal (CLI) llamada FSociety, mientras que las 2 que mostraremos a continuación son muy similares, pero con muchas más apps disponibles y actualizadas, con el fin de lograr una mejor y más actualizada experiencia de aprendizaje sobre el Hacking (ético) en línea.

Hacking Tool de Z4nzu

Esta genial Herramienta de Hacking para GNU/Linux, llamada Hacking Tool, también se encuentra disponible en GitHub y es un excelente sustituto a FSociety. Ya que, está muchísimo más actualizada y cuenta con muchas más herramientas. Las cuales, también se organizan por categorías (tipos) o función de uso, entre las que se incluyen las siguientes:

1. Herramientas de ocultación anónima (Anonymously hiding tools).
2. Herramientas de recopilación de información (Information gathering tools).
3. Generadores de listas de palabras (Wordlists Generators).
4. Herramientas de ataque inalámbrico (Wireless attack tools).
5. Herramientas de inyección SQL (SQL Injection tools).
6. Herramientas de ataque phishing (Phishing attack tools).
7. Herramientas de ataque web (Web attack tools).
8. Herramientas de post-explotación (Post exploitation tools).
9. Herramientas forenses (Forensic tools).
10. Herramientas de creación de payload (Payload creation tools).
11. Marco de explotación (Exploit framework).
12. Herramientas de ingeniería inversa (Reverse engineering tools).
13. Herramientas de ataque DDOS (DDOS attack tools).
14. Herramientas de administrador remoto (Remote administrator tools).
15. Herramientas de ataque XSS (XSS attack tools).
16. Herramientas de estenografía (Steganograhy tools).
17. Otras categorías de herramientas más, tales como: Fuerza bruta para SocialMedia, Hacking para Android, Ataques homógrafos IDN, Verificación de correos electrónicos, Ruptura de Hashes, Desautenticadores de WiFi, Buscadores para SocialMedia, Inyectores de payloads, Rastreo web (), y muchas más agrupadas bajo el nombre de Herramientas mixtas.

Su forma de instalación (en forma de root o superusuario) es la siguiente:

git clone https://github.com/Z4nzu/hackingtool.git
chmod -R 755 hackingtool  
cd hackingtool
sudo pip3 install -r requirement.txt
bash install.sh
sudo hackingtool

Y si contamos con una Distro GNU/Linux apta y compatible, muy seguramente no tendremos ningún problema al instalar la misma. Por ejemplo, en mi caso práctico, como de costumbre, la he instalado sobre el Respin MilagrOS basado en MX-21 (Debian-11) sin ningún problema. Tal como muestro a continuación en los siguientes pantallazos:

Una vez instalada, solo nos queda seleccionar algunas de las categorías de herramientas y proceder a seleccionar las necesarias o deseadas apps para empezar, aprender y enseñar Hacking Ético.

Hacking Tool de Mishakorzik

Y para aquellos que les gusta el Hacking Ético desde un móvil Android con Termux, existe Hacking Tool de Mishakorzik disponible en GitHub, la cual es muy parecida a la anterior mostrada. Y está específicamente diseñada para automatizar el proceso de descarga e instalación de diversas herramientas para pruebas de penetración en un sistema operativo GNU/Linux contenido en un dispositivo móvil Android. Tal como se muestra en la siguiente captura:

Otras Herramientas de Hacking más recomendadas para el 2023

Y para finalizar, les recomendamos explorar esta pequeña lista actualizada al año 2023 con sitios webs especializados en «Herramientas de Hacking» y otras similares de Seguridad Informática, disponibles tanto para Linux como Windows y Android:

1. Concise
2. Hackerone
3. Intellipat
4. Kali Linux Hacking Tools
5. Kitploit
6. Laprovittera
7. Parrot Linux Hacking Tools

Resumen

En resumen, esperamos que esté útil post sobre algunas de las muchas vigentes e idóneas «Herramientas de Hacking 2023» favorezca que muchos más usuarios de GNU/Linux y apasionados por la Informática y la Computación en general, se motiven a conocer sobre el uso y las bondades de las Herramientas de Hacking, en pro de mejorar y ayudar a otros en los ámbitos de la Seguridad Informática, la privacidad y el anonimato sobre Internet, es decir, en línea.

Por último, no dejes de aportar tu opinión sobre el tema de hoy, vía comentarios. Y, si te ha gustado esta publicación, no dejes de compartirla con otros. Además, recuerda visitar nuestra página de inicio en «DesdeLinux» para explorar más noticias, y unirte a nuestro canal oficial de Telegram de DesdeLinux, o este grupo para más información sobre el tema de hoy.

Esta estupenda «Chuleta» sobre ChatGPT [PDF] es una recopilación de Neural Magic con más de 30 funciones de ChatGPT a las que se accede haciendo las preguntas de la forma correcta. Incluye diversas categorías (textos, programación, tareas…) y cómo activarlas con los prompts, que vienen a ser los planteamientos, ideas o preguntas adecuadas que se hacen a la IA de ChatGPT.

A continuación, una lista más rápida todavía de algunos de esos prompts explicados en castellano, idioma en el que también funciona. Recordar simplemente que acceder a ChatGPT es –todavía– gratis y que simplemente requiere registrarse con una cuenta de Google.

Generación de textos

Escribe un párrafo de introducción a una novela de misterio.

Preguntas de dominio abierto

¿Cuándo aterrizó el Apolo 11 en la luna?

Parafrasear

Reescribe este texto: «El Apolo 11 aterrizó en la luna el 20 de julio de 1969.»

Análisis de sentimiento

Análisis de sentimiento: “Me gusta la pizza” → positivo

De texto a tabla

Crea una tabla de 2 columnas donde la primera columna contenga el símbolo bursátil de Apple, Google, Amazon, Meta, y la otra columna contenga los nombres de las empresas.

Clasificación de tokens

Clasifica las entidades mencionadas en este texto: ”George Washington y sus tropas cruzaron el río Delaware el 25 de diciembre de 1776 durante la Guerra de Independencia de los Estados Unidos”.

Traducción automática

Traduce este texto al portugués: “welcome to the Matrix” → Bem-vindo à Matrix.

Generación de código

Enséñame cómo hacer una petición HTTP en Python.

Explicación de código

Explica este código python: from deepsparse import Pipeline

Conversión de lenguajes de programación

Convierte este código de Python a Javascript: print("hola mundo")

HTML a texto (web scraping)

Convierte este HTML a texto: <h1 class="heading1">Documentación de la Plataforma Neural Magic</h1>

Crear listas

Dame una lista de 5 cítricos

Encabezados y subencabezados

Convierte este texto en títulos y subtítulos: …

Tablas

Crea una tabla a partir de esta lista: Naranjas, Limones, Limas, Pomelos, Mandarinas.

Estilo formal / informal

Escribe un párrafo sobre el tema de los autómatas celulares en un estilo formal [o informal].

Estilo personal

Escribe un párrafo sobre el tema de los autómatas celulares con el estilo de un influencer de redes sociales.

Estilo redes sociales

Escribe un párrafo sobre la historia de la calculadora e incluye emojis al final de cada frase.

Escribir contenidos en las redes sociales

Escribe un tuit sobre futurismo.

Escribir para blogs

Escribe un artículo para un blog de cocina francesa.

Escribir correos electrónicos

Escribe un email para venderle un software a los ejecutivos de una empresa.

Escribir poemas

Escribe un poema sobre el alma. Explica la rima y métrica del poema.

Escribir canciones

Escribe una balada sobre la puesta de sol y muestra los acordes de guitarra.

Escribir currículos o cartas de presentación

Escribe un currículum de ingeniero de software.

Preguntar a ChatGPT sobre sus propias capacidades

¿De qué formas puedes estructurar tus respuestas de texto?

Preguntar a ChatGPT sobre condiciones simultáneas

Escribe un párrafo sobre aprendizaje automático, en primera persona, con emojis, títulos y subtítulos.

_____
Traducción cortesía de DeepL.

# Enlace Permanente

Sin duda una de las labores de ser padre es proteger a tus hijos de los peligros del día, ya sea cuando están en la calle jugando con sus amigos o bien por los...

La entrada Navegación segura con Squid-cache y Docker se publicó primero en ochobitshacenunbyte.

GPOA es una función para obtener, reinterpretar y aplicar GPO de dominios de Windows Active Directory en entornos UNIX.

Hace poco se dio a conocer la noticia de la liberación de la nueva versión de la herramienta gpupdate, la cual funciona para aplicar políticas de grupo en distribuciones Alt, en las máquinas cliente, tanto a nivel del sistema como para usuarios individuales.

La herramienta gpupdate es parte de una solución alternativa de Basalt SPO para implementar una infraestructura de dominio de Active Directory bajo Linux. La aplicación admite el trabajo en la infraestructura de dominio MS AD o Samba DC.

 gpupdate se basa en la implementación de políticas de grupo en Linux, en las que las políticas se almacenan en el directorio SysVol en los controladores de dominio.

GPOA, un submódulo de gpupdate, accede al SysVol del controlador de dominio y carga desde él todas las plantillas GPT GPO para el sistema y los usuarios (directorios de máquinas y usuarios) y toda la información de los directorios. La herramienta gpupdate analiza los archivos con la extensión .pol por sí misma y compila la base de datos. Desde este registro, el GPOA toma sus datos, los ordena, los procesa y comienza a ejecutar los módulos de «aplicadores» uno por uno.

Cada uno de estos módulos es responsable de su parte de aplicar la configuración. Por ejemplo, hay módulos relacionados con la configuración del kernel del sistema, la configuración del escritorio, los periféricos, la configuración del navegador y la configuración de la impresora.

Y cada uno de los módulos toma esa parte de la base que le corresponde, por ejemplo, el aplicador firefox buscará en la base de datos una línea con firefox y procesará solo esta parte de la base de datos, es decir, para formar un archivo json a partir de esta información en el directorio /etc/firefox/policies (como se forma en Linux).

Por la parte de las principales novedades de la nueva versión de gpupdate se destaca lo siguiente:

• Se admiten todas las políticas de navegador web Firefox y Chromium.
• Se agregaron mecanismos para aplicar políticas de secuencias de comandos: inicio/cierre de sesión/inicio/apagado.
• Mecanismos de aplicación de parámetros de configuración del sistema (preferencias): operaciones con archivos (Files), directorios (Folders), archivos de configuración (Ini-files).
• Se agregó una nueva acción para actualizar el estado de los servicios en gpupdate-setup: la clave de actualización inicia todos los servicios necesarios al actualizar el gpupdate afectado.
• Mejora de la aplicación de políticas personalizadas en cuanto a su correcto funcionamiento y seguridad.
• Systemd introdujo el temporizador del sistema gpupdate.timer y el temporizador de usuario gpupdate-user.timer para monitorear y controlar el tiempo de ejecución del servicio gpupdate.
• La frecuencia con la que se ejecuta gpupdate se puede configurar a través de un temporizador.
• Modo de procesamiento de la política de loopback optimizado: configuración del modo de procesamiento de loopback de la política de grupo personalizada.
• Se agregó un mecanismo para aplicar las políticas de grupo del navegador Yandex para una computadora.
• Mecanismos para aplicar parámetros de configuración del sistema (preferencias): configuración de recursos compartidos de red para el usuario (recursos compartidos de red).
• Se agregó la enumeración de controladores de dominio (DC) con un directorio SysVol configurado si el controlador de dominio seleccionado automáticamente resultó ser un SysVol que no tiene políticas de grupo.
• De forma predeterminada, la enumeración de controladores de dominio está deshabilitada.
• Se agregó la capacidad de generar reglas para todas las acciones de polkit a través de políticas de grupo; para cada acción de polkit, puede preparar una plantilla de configuración admx que se mostrará en el árbol de la consola de la herramienta gráfica para editar las configuraciones del usuario y del sistema GPUI.
• Se corrigió la visualización de la política de montaje en disco para el usuario y se agregó soporte para el montaje en la computadora.
• Se agregó soporte para opciones de etiquetas de disco.
• Se corrigió la colisión de los nombres de las letras de las unidades; las letras de unidad se asignan como en Windows.
• Se cambiaron los puntos de montaje para mostrar los recursos compartidos.

Finalmente para los interesados, deben saber que el código gpupdate está escrito en Python y se distribuye bajo la licencia GPLv3+, la herramienta que puede instalar desde la rama estable p10 de los repositorios ALT.

LosslessCut es una interfaz gráfica de usuario, en particular utilizable en MacOS, Windows y Linux, para el marco multimedia FFmpeg

LosslessCut es un editor de vídeo diseñado para cortar vídeos gratuito, de código abierto y multiplataforma, que cuenta con una interfaz de usuario (GUI) bastante simple e intuitiva, ideal para el procesamiento aproximado de grandes archivos de vídeo tomados sin pérdida de datos, LosslessCut está construido en electrón y hace uso de ffmpeg.

LosslessCut le permite al usuario deshacerse rápidamente de las partes inútiles. No hace ninguna decodificación o codificación y, por lo tanto, es muy rápido y no tiene pérdida de calidad, ademas de que también permite tomar instantáneas JPEG del video en el momento seleccionado.

Esta aplicación también admite la edición de audio en ella, con lo que también puedes realizar el ajuste de tus archivos de audio cortando las partes que necesites.

Es posible combinar fragmentos de diferentes archivos, pero los archivos deben codificarse utilizando un códec y parámetros idénticos (por ejemplo, tomados con la misma cámara sin cambiar la configuración). Es posible editar partes individuales con una grabación selectiva de solo los datos modificados, pero dejando el resto de la información en el video original que no se vio afectada durante la edición. Durante la edición, los cambios se revierten (deshacer/rehacer) y muestran el registro de comandos de FFmpeg (puede repetir operaciones típicas desde la línea de comandos sin usar LosslessCut).

Principales novedades de LosslessCut 3.49.0

En esta nueva versión que se presenta, se destaca que se proporciona detección de silencio en archivos de sonido, ademas de que se proporcionó la capacidad de configurar parámetros para determinar la ausencia de una imagen en el video.

Tambien se agregó la capacidad de dividir el video en segmentos separados en relación con los cambios de escena o los fotogramas clave, asi como tambien la capacidad de combinar segmentos superpuestos.

Otro de los cambios que se destaca es que se implementó un modo de escalado experimental para la escala de montaje, tambien se agregaron modos para capturar periódicamente una imagen cada pocos segundos o cuadros, así como grabar imágenes cuando se detectan diferencias significativas entre cuadros.

Ademas de ello, tambien se destaca la función de instantánea mejorada, asi como también que la página de configuración fue reorganizada y que las opciones para extraer fotogramas en forma de imágenes fueron ampliadas.

De los demás cambios que se destacan de la nueva versión:

• Zoom de la línea de tiempo sea exponencial
• Se proporciona la capacidad de interrumpir cualquier operación.
• Permitir combinar segmentos superpuestos
• Mejorar el cuadro de diálogo «corte terminado»
• Mejorar la captura de instantáneas
• Permitir cambiar la calidad
• Reorganizar la página de configuración
• Agregar configuración para deshabilitar hevc
• Agregar configuración para deshabilitar las actualizaciones automáticas
• Utilice siempre la configuración de formato de código de tiempo, también al exportar archivos
• Permitir extraer fotogramas con nombres de archivos de marca de tiempo o números de archivo
• Hacer segmentos copiables
• Mostrar advertencia cuando ffmpeg vtag problema
• Mejor respetar «ocultar todas las notificaciones»
• Mejorar la exportación de comentarios fallidos #
• Agregue más caracteres no válidos a la verificación de nombre de archivo
• Mostrar siempre el error de nombre de segmento en la página de exportación
• Mejorar la detección de mp4/mov
• Usar anuncios para aac (ipod era incorrecto)
• Establecer la ruta de diálogo de guardado de exportación predeterminada
• Capacidad de abortar cualquier operación

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

¿Cómo instalar LosslessCut en Linux?

Si quieres instalar este editor de vídeos en tu sistema debes de realizar lo siguiente a continuación.

El editor no cuenta con un archivo en específico para cada distribución por lo que debemos de hacer para poder ejecutarlo en nuestro sistema es descargar el binario en el siguiente enlace, aquí vamos a descargar la versión más actual, el enlace es este.

Hecha la descarga simplemente vamos a descomprimir el archivo recién obtenido y dentro de la carpeta vamos a ejecutar el binario de LosslessCut con doble clic.

Y listo con ello ya podremos comenzar a utilizar LosslessCut en nuestro sistema para recortar aquellas partes de nuestros videos o de audio deseadas.

Otro de los métodos que se ofrece es desde AppImage y para obtener la última versión basta con abrir una terminal y en ella vamos a ejecutar:

wget https://github.com/mifi/lossless-cut/releases/download/v3.49.0/LosslessCut-linux-x86_64.AppImage

Damos permisos de ejecución con:

sudo chmod +a LosslessCut-linux-x86_64.AppImage

Y ejecutamos con:

./LosslessCut-linux-x86_64.AppImage

Firefox es un popular navegador web

La nueva versión de Firefox 109 está disponible para su descarga en general y en esta nueva version uno de los cambios más notables es la activación predeterminada de Manifest V3 para desarrolladores de extensiones, asi como tambien el botón «Extensiones unificadas» en la barra de herramientas, entre otras cosas mas.

Firefox 109 es la primera versión del navegador de este año pero, como era de esperar, los cambios que se ofrecen son relativamente menores en general, lo que no es necesariamente algo malo.

Con la integración del nuevo manifiesto, los desarrolladores aún pueden usar Manifest V2 (hasta junio de 2023). Mozilla optó por Manifest V3 para que los desarrolladores no tuvieran que hacer cada extensión dos veces. Sin embargo, en el enfoque de Firefox, Manifest V3 será más libre; por ejemplo, aún encontrará el bloqueo de solicitudes web allí, que falta en el enfoque de Manifest V3 en Chrome.

Otro de los cambios que se destaca es el botón de «extensiones unificadas» que agiliza el área de la barra de herramientas cuando se instalan varias extensiones, así como las extensiones de superficie que se ejecutan en segundo plano para que pueda ver si afectan la página actual, así como administrar, anclar, informar o bórralo.

Para administrar los permisos de extensión, todo lo que necesita hacer es:

• Hacer clic en el botón de extensiones en la barra de herramientas.
• Ubicar la extensión con un punto verde en el panel que se abre.
• Hacer clic en el botón de menú (la rueda dentada) para administrar sus permisos.
• Seleccionar los permisos que desea otorgar a la extensión.

Otra de las novedades que presenta la nueva versión de Firefox es la función Arbitrary Code Guard, función de protección contra exploits desarrollada por Microsoft, se ha habilitado en los procesos de la utilidad del reproductor multimedia, lo que mejora la seguridad para los usuarios de Windows.

De los demás cambios que se destacan:

• En el sistema de autoclick para banners que solicitan permisos para usar Cookies en sitios
• (cookiebanners.bannerClicking.enabled y cookiebanners.service.mode en about:config), se implementa la posibilidad de agregar sitios a la lista de excepciones para las que no se aplica autoclick. .
• La configuración network.ssl_tokens_cache_use_only_once está habilitada de forma predeterminada para evitar la reutilización de tickets de sesión en TLS.
• La configuración network.cache.shutdown_purge_in_background_task está habilitada, lo que resuelve el problema con la finalización correcta de la E / S del archivo al apagar.
• Elemento agregado («Anclar a la barra de herramientas») al menú contextual de complementos para anclar el botón del complemento a la barra de herramientas.
• Proporcionó la capacidad de usar Firefox como un visor de documentos, seleccionado en el sistema a través del menú contextual «Abrir con».
• Se agregó información sobre la frecuencia de actualización de la pantalla a la página about:support .
• Se agregaron configuraciones para ui.font.menu, ui.font.icon, ui.font.caption, ui.font.status-bar, ui.font.message-box, etc. para anular las fuentes del sistema.
• Habilitado de forma predeterminada es la compatibilidad con el evento scrollend que se activa cuando el usuario termina de desplazarse (cuando la posición deja de cambiar) en los objetos Elemento y Documento.
• La partición del acceso a través de la API de almacenamiento se proporciona cuando se procesa contenido de terceros, independientemente de la API de acceso al almacenamiento.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

¿Como instalar la nueva versión de Firefox 109 en Linux?

Usuarios de Ubuntu, Linux Mint o algún otro derivado de Ubuntu, pueden instalar o actualizar a esta nueva versión con ayuda del PPA del navegador.

Este lo pueden añadir al sistema abriendo una terminal y ejecutando en ella el siguiente comando:

sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y
sudo apt-get update

Hecho esto ahora solo tienen que instalar con:

sudo apt install firefox

Para el caso de los usuarios de Arch Linux y derivados, basta con ejecutar en una terminal:

sudo pacman -S firefox

Ahora para quienes sean usuarios de Fedora o cualquier otra distribución derivada de esta:

sudo dnf install firefox

Para el resto de las distribuciones de Linux, pueden descargar los paquetes binarios desde el siguiente enlace.  

En España es bastante común recibir llamadas de teleoperadoras en el momento más inoportuno. En la mayoría de ocasiones son llamadas para ofrecernos sus productos y servicios, aunque suele ser una práctica mal vista por los consumidores debido a la exposición contante al spam telefónico o publicidad no deseada.

La Agencia Española de Protección de Datos (AEPD) atiende al año a más de 14.000 reclamaciones relacionadas con estas prácticas, derivando a multas millonarias hacia las empresas de telecomunicaciones que lo permiten. Ni siquiera la Lista Robinson muestra eficacia en muchas familias, y la situación acaba siendo desesperante. Sin embargo, parece que la AEPD podría haber puesto solución a través de un acuerdo en conjunto con las principales operadoras. Y es que según el acuerdo, las empresas se habrían comprometido a autocontrolarse frente a sus malas prácticas.

Un sistema de autorregulación para quitarle carga de trabajo a la AEPD

La agencia ha aprobado la creación de un 'Código de conducta de autocontrol para el tratamiento de datos en la actividad publicitaria'. La idea es que el sistema permita que las operadoras puedan atender a estas reclamaciones sin que la AEPD tenga que ser la única responsable de intentar solucionar estos problemas.

En Xataka

Llamadas de spam en tu móvil: cómo bloquearlas en Android e iOS

Recibir publicidad no deseada suele ser una de las quejas más habituales de casa. Muchas veces, la llamada se recibe a deshoras, lo que provoca un mayor enfado en las familias. Es por ello que bajo este acuerdo se pondrá en marcha un sistema de "autorregulación". La adhesión a este sistema es voluntaria, pero vinculante. Y la buena noticia es que la mayoría de las teleoperadoras se han sumado a esta iniciativa, incluyendo a: Movistar, Tuenti, O2, Orange, Jazztel, Amena, Simyo, Vodafone, Lowi, Ono, Másmóvil, Yoigo, Lebara, Llamaya, Happy Móvil y Pepephone.

Cuándo y cómo reclamar ante una mala práctica

Este código de conducta entrará en vigor el próximo 28 de enero, y ayudará a los clientes a ser atendido de forma mucho más eficaz a la hora de querer reclamar algún caso de spam telefónico o cualquier otra mala práctica por parte de la empresa.

Si quieres reclamar ante el sistema de autocontrol tendrás que acudir a la web diseñada para ello y rellenar el formulario donde te harán preguntas acerca de la reclamación que deseas dejar por escrito. El coste es gratuito y nos prometen intentar llegar a un acuerdo antes de 30 días. La resolución a la que llegue el organismo deberá de ser cumplimentada por la operadora, o será derivado a la AEPD, con la posibilidad de incurrir a multas.

Este sistema de autocontrol servirá además para que los usuarios que estén inscritos a la Lista Robinson y sigan recibiendo publicidad, puedan reclamarlo. Además, se atajan también temas como la suplantación de identidad, la inscripción en listas de morosos o la emisión de facturas tras la baja de algún servicio, entre otras cuestiones.

El acuerdo con la AEPD sirve también para que las operadoras puedan intentar librarse de las multas, las cuales cada vez son más frecuentes en nuestro país. Solamente en 2021 se obtuvieron 6,5 millones de euros en multas de las telecos, ascendiendo a 35 millones si se incluyen empresas de publicidad y entidades financieras.

Imagen de portada | Annie Spratt

-
La noticia Si la Lista Robinson no te funciona con las llamadas publicitarias, aún hay esperanza: la AEPD y las operadoras forman una alianza fue publicada originalmente en Xataka Smart Home por Antonio Vallejo .

Hace unos días conocimos la macroinspección a las Big Four en busca de irregularidades en jornadas laborales y horas extra no retribuidas a las plantillas de Deloitte, PwC, KPMG e EY. Detrás, el Ministerio de Trabajo y herramientas como el Algoritmo MAX. ¿Cómo funciona y para qué sirve el software Algoritmo MAX?

Qué es el Algoritmo MAX

Bajo el diminutivo de "Algoritmo MAX" se esconde su objetivo: Más algoritmos para menos horas extras y, aunque haya saltado a la palestra en los últimos días a raíz de la gran redada a las Big Four, no es nuevo.

A finales de 2021 se hacía público que a partir de 2022 la Seguridad Social comenzaría a usar un software para automatizar las inspecciones de trabajo mediante inteligencia artificial y el análisis masivo de datos, precisamente este Algoritmo MAX, entre otras herramientas. Como ejemplo, el Ministerio planteaba el caso de los "robots inspectores" usados en la DGT para medir velocidad y enviar automáticamente sanciones. Aunque este software entró en funcionamiento a principios de 2022, se esperaba que tardara varios meses en estar plenamente operativo, algo que, a juzgar por los hechos acaecidos en los últimos días, ya ha sucedido.

En España se realizan 27 millones de horas extras al mes, la mitad no compensadas. No son cifras tolerables.

Desde la Inspección vamos a activar ya un algoritmo que fiscalizará las horas no retribuidas para seguir así avanzando en la reordenación del tiempo de trabajo. pic.twitter.com/XRFJXOnZAF

— Yolanda Díaz (@Yolanda_Diaz_) May 27, 2022

Esta herramienta puede abrir actas sancionadoras a las empresas después de analizar la información sin necesidad de que intervenga ningún inspector y sirve para detectar irregularidades comunes (y fácilmente rastreables): fallos en el alta o la baja de empleados, registros de contratos o el cumplimiento de los límites de horas de trabajo. De este modo, es posible acelerar el ritmo de las inspecciones.

Aquellas empresas que reciban un acta sancionadora gracias al Algoritmo MAX podrán alegar en caso de que consideren que el software se ha equivocado. Si es así, será un inspector de trabajo quien revise el proceso.

En Genbeta

Empleados virtuales que pueden hacer nuestro trabajo por 14.000 euros al año: así es la tendencia que arrasa en China

Cómo funciona

El Algoritmo MAX forma parte del conjunto de herramientas para la inspección del Ministerio de Trabajo velando así por el cumplimiento de las horas extra y también el impago a empleados.

Este sistema se vale de un algoritmo que obtiene indicios basándose en una serie de variables como la cifra y el volumen de negocio o el tamaño de la plantilla con sus respectivas altas y bajas que puedan determinar si existen horas extra sin declarar. Un ejemplo sospechoso puede ser que con el mismo personal una empresa facture mucho más que el año anterior.

Esta es la base, si bien es posible que pueda complementarse con otros datos que refuercen las sospechas, como por ejemplo consumos eléctricos, ratio de pagos con tarjeta y en efectivo, comparativa frente a otros negocios similares.

Con estos datos, se preparan actas automatizadas en el momento en el que la empresa sobrepase el límite de horas extra en función de su número de empleados. Estas actas han de ser evaluadas posteriormente por personal de las ITSS para que posteriormente sea la Inspección de Trabajo proceda enviando una carta a dichas empresas indicando las evidencias de un posible fraude.

Y es que este nuevo sistema sirve para que salte la liebre más allá de las denuncias, pero requiere de la investigación y actuación de inspectores. Como explica la inspectora de trabajo y presidenta del Sindicato de Inspectores de Trabajo y Seguridad Social Ana Ercoreca, "el sistema sí puede saber que hay descuadres pero no determinar con exactitud cuántas horas extra han sido realizadas y no remuneradas y declaradas."

De ahí que el siguiente paso sea que el personal de la ITSS acuda a las oficinas para verificar el registro de la jornada laboral, horarios de conexión y recepción de emails, precisamente lo que sucedió con las Big Four.

-
La noticia Algoritmo MAX: qué es y cómo funciona la herramienta del Ministerio de Trabajo para sus inspecciones fue publicada originalmente en Genbeta por Eva Rodriguez .

Seguir leyendo →

Figura 1: Hacking de tarjetas NFC: MIFARE Classic 1k (Parte 1 de 4)

Imagen Dall-e 2 "happy hacker with long hair in cyber punk digital art"

Figura 2: Show me the (e-)money. Hacking a sistemas de pagos digitales por Salvador Mendoza (Netxing)

MIFARE Classic 1k

Como decíamos, existen muchos tipos de tarjetas compatibles con esta tecnología. Nosotros vamos a centrarnos en la MIFARE Classic 1k. Estas tarjetas, como su propio nombre indica, tienen una memoria EEPROM (Electrically Erasable Programmable Read-Only Memory) de 1KB que permite almacenar 768 bytes y está dividida en 16 sectores, divididos a su vez en 4 bloques de 16 bytes cada uno:

Figura 3: Estructura de tarjetas MIFARE Classic 1k

El primer bloque del sector 0 está reservado para datos del fabricante y el ID de la tarjeta. “Se supone” que estos datos son de sólo lectura, y digo “se supone” porque habitualmente así es y así debe ser, pero existen algunas tarjetas (sobre todo de vendedores chinos) en las que se puede escribir en este bloque solo una vez. Esto es especialmente útil si queremos clonar una tarjeta completamente, ID incluido.

Después tenemos 2 bloques de datos, y finalmente el último bloque (recordad que estamos hablando de cualquier sector) sirve para establecer las claves y los bytes de acceso del sector en el que estamos. Es lo que se denomina “trailer”. Estas claves, junto con los bytes de acceso, permitirán la lectura y escritura de datos de su sector.

En la mayoría de sitios de Internet donde dicen (o explican, en el mejor de los casos) "cómo hackear una tarjeta MIFARE Classic 1k", simplemente exponen las herramientas adecuadas para ello, los comandos correspondientes y poco más. O incluso dicen que necesitamos conocer todas las claves, muestran un ejemplo extrayéndolas y ya. Pero también existen artículos técnicos y académicos muy buenos que explican toda la lógica detrás de las MIFARE. 

Quedémonos con un único sector, ¿ok? Por ejemplo el sector 1. Cuando yo soy un proveedor de un servicio (por ejemplo, tengo una máquina de vending) y quiero que mis clientes puedan comprar con la tarjeta, puedo pensar que la tarjeta sirve como monedero (después veremos porqué esto es un error). Por lo tanto, si la tarjeta almacena, digamos, el importe que queda en el monedero, ese dato en concreto deberá estar en algún lugar de los bloques de datos. Imaginemos que está en el sector 1 como decíamos.

Figura 3: Sector 1 de tarjetas MIFARE Classic 1k

Siguiendo con el ejemplo, dicho importe podrá estar en los bytes 0 a 5, o 10 a 15 de los bloques 0, 1 o 2 del sector 1. Los bytes 6 a 9 como hemos dicho son bytes de acceso. El bloque 3 por tanto es el trailer y almacena las claves A (bytes 0 a 5) y B (bytes 10 a 15). Si conocemos estas claves, los bytes de acceso dirán qué podemos hacer (leer o escribir básicamente) en los bloques 0, 1 y 2 del sector 1 ¿Hasta aquí todo claro?

Bien, lo habitual es que las claves A y B sean cadenas por defecto (por cierto, están en hexadecimal y pueden tomar valores de 0 a F). Por lo tanto, una forma de “adivinar” estas claves es tirando de diccionario con valores típicos (000000000000, FFFFFFFFFFFF...) fácil, rápido y para toda la familia. 

Figura 4: Paper en el que se explica cómo hacer Reverse-Engineering

a una Cryptographic RFID Tag y una MIFARE 

Este es un paper excelente en el que los autores explican cómo han hecho ingeniería inversa a una tarjeta MIFARE, eliminando las capas físicas del chip mediante diferentes técnicas de atacado químico y analizando todos los componentes, semiconductores, etcétera. Según cómo estén dispuestas las capas de sustrato, van deduciendo qué zonas forman la entrada de datos, el generador de números pseudo-aleatorios, puertas lógicas, etcétera. Estamos hablando de unas dimensiones del orden de micrómetros. Recomiendo su lectura porque es realmente impresionante. 

Figura 5: Bytes de acceso en MIFARE Classic 1k

Con esta nomenclatura, C1, C2 y C3 representan los bits en sí, y los subíndices representan el bloque al que se refieren (dentro de su sector), por lo que C11 sería el primer bit para el bloque 1, C21 el segundo bit para el bloque 1, y C31 el tercer bit para el bloque 1.

Aunque parezca un poco lioso, no lo es tanto. Para empezar, solo se utilizan los bytes 6, 7 y 8 (el 9 no). El primer bit de cada uno de ellos se utiliza para definir el acceso al bloque 3 (el propio trailer) del sector en el que se encuentre, el segundo bit de cada uno para el bloque 2, el tercero para el bloque 1 y el cuarto para el bloque 0. En esta tabla podemos verlo de una forma un poco más esquemática:

Figura 6: Bits de acceso

C11, C21 y C31 serán los bits que definan el acceso al bloque 1; C12, C22 y C32 para el bloque 2, y así sucesivamente. Y la forma de almacenar estos bits está reflejado en la tabla anterior que vimos, donde se almacenan tanto los valores originales como los invertidos. 

Figura 7: Valores que pueden tomar los bits C1, C2 y C3 para el trailer

Finalmente, los valores que pueden tomar los bits C1, C2 y C3 para el trailer (bloque 3, es decir, C13, C23 y C33) y las condiciones de acceso que establecen son los que vemos en la figura anterior. Y para los bloques de datos (0, 1 y 2):

Figura 8: Bloques de datos

Entonces, si leemos el trailer de un sector cualquiera de una tarjeta, podemos ver algo como esto:

A0A1A2A3A4A51E11EE5AB0B1B2B3B4B5

Figura 9: MIFARE Classic 1K Access Bits Calculator

De repente al jefe se le ocurre que quiere crear un grupo de WhatsApp para tener a todos los trabajadores informados de cualquier detalle o proyecto. Sin que nadie nos haya pedido permiso, nos incluyen en este grupo junto a nuestros compañeros de trabajo. Y por supuesto, con nuestro número móvil personal.

Lo que para algunos puede ser habitual, para otros puede representar una invasión de su espacio. Lamentablemente para estos últimos, la nueva resolución de la Agencia Española de Protección de Datos (AEPD) indica que esta práctica cumple con las reglas.

La AEPD se pronuncia sobre los grupos de WhatsApp para fines laborales. Es un tema polémico, ya que hablamos de una vía de comunicación que pertenece a una empresa internacional como es Meta, pero no parece haber preocupado a la AEPD lo suficiente. En una reciente resolución de principios de enero de 2023, la agencia española de protección de datos ha considerado que la creación de grupos de WhatsApp está amparado en el contrato de trabajo y en los convenios colectivos, aunque no se cuente con el consentimiento explícito del propio trabajador.

La posición de la AEPD surge de un caso de una empresa de logística, donde se creó un grupo de WhatsApp para informar de la ubicación de las furgonetas y a quién le tocaba cada ruta. Según argumentaba la empresa, en ese grupo se publicaba toda la información para desarrollar su relación laboral, por lo que los trabajadores no podían salirse.

El tratamiento de datos es mínimo. Es el principal argumento de la AEPD. Meterte en un grupo de WhatsApp sin permiso para fines laborables no supone un tratamiento de datos excesivo, sino que encaja con los principios del Reglamento General de Protección de Datos. Al tratarse de un fin determinado y concreto, el laboral, la AEPD entiende que meterte en una aplicación de mensajería como WhatsApp no está fuera de lugar.

En Xataka

El uso de WhatsApp en el entorno corporativo es enorme. También es un error en muchos sentidos

¿Para qué está el móvil del trabajo? Uno de los argumentos de la empresa que han ayudado a que la resolución sea favorable es que "el uso de este medio de comunicación es imprescindible para su trabajo". Sin embargo, no se especifica en ningún momento que se hayan dado móviles de empresa a los trabajadores. Estamos además ante una pequeña empresa, por lo que se entiende que los recursos son limitados.

Esta falta de concreción es preocupante para una resolución como la de la AEPD. Ángel Benito, abogado y delegado de Protección de Datos de Secuoya Group, se sorprende que la organización despache este asunto en tres o cuatro párrafos, cuando tiene mucho jugo y apunta que esta resolución entra en conflicto con posiciones que la misma AEPD ha mantenido en el pasado.

Muchas dudas. La resolución ha generado sorpresa entre los abogados expertos en protección de datos. Gonzalo Oliver, asesor jurídico y socio de la Asociación Española de Delegados de Protección de Datos, expresa que "un poco de unificación de criterio no estaría mal". Hace unos días, otro caso con una trabajadora de limpieza ha derivado en una resolución diferente.

Hay que apuntar que las resoluciones de la AEPD no son ley, ya que eso queda en manos de los jueces. Pero sí suelen ser la referencia para este tipo de asuntos de privacidad y gestión de datos que no siempre acaban llegando ante la justicia.

Jorge García Herrero, abogado de Secuoya Group, contrapone esta resolución con el informe de la protección de datos de Irlanda, que dedica 200 páginas a desmontar el uso de la base de "ejecución de contrato" por Instagram.

El uso de WhatsApp y las aplicaciones de grandes compañías tecnológicas siempre se ha tenido muy vigilado, precisamente por organizaciones como la AEPD. Sin embargo, resoluciones como la de esta empresa y sus trabajadores muestran que la creación de grupos de WhatsApp para el trabajo está muy aceptado.

Imagen | Asterfolio

-
La noticia Si en el trabajo te meten en un grupo de WhatsApp sin permiso, hay que aguantarse: la AEPD lo permite fue publicada originalmente en Xataka por Enrique Pérez .

Bueno, supongo que a todos vosotros os han ido saliendo como setas los contenedores de Docker, ¿no? Si hasta un dinosaurio como yo tiene una plaga de ellos… Bueno, y, a parte de disfrutarlos, si usamos Centreon como sistema de monitorización para nuestra organización, ya sabemos, ¡a monitorizarlos!   Comencemos de nuevo alabando al script […]

Incluir a alguien sin su permiso expreso en un grupo de WhatsApp se considera una violación de sus datos personales (empezando por su número de teléfono, que queda así expuesto a los demás miembros del grupo). Da igual que se trate de un comercio incluyendo a sus clientes, o incluso de un ayuntamiento incluyendo a sus vecinos en un grupo de información municipal.

Tampoco sería válido, por ejemplo, que una empresa metiera a sus empleados en un grupo de este tipo... o, al menos, eso pensábamos hasta ahora. Porque una resolución (PDF) del pasado 9 de enero de la Agencia Española de Protección de Datos hace que nos replanteemos ese dato.

A ver si nos aclaramos...

Ahora, sin embargo, la AEPD nos ha sorprendido con un aparente cambio de criterio: en una de sus últimas resoluciones, el regulador español de protección de datos establece que meramente el contrato de trabajo (o incluso el cumplimiento de los convenios colectivos) daría amparo jurídico a la inclusión de trabajadores en un grupo de WhatsApp creado para fines laborales, incluso sin necesidad de consentimiento previo.

La conclusión de dicha resolución (que solventa la justificación de su postura con cuatro simples párrafos) habla concretamente de

"grupos de WhatsApp creados con la finalidad de utilizar esta vía de comunicación en asuntos relacionados con el contrato de trabajo, condiciones laborales, organización y desarrollo de tareas de trabajo y reparto y manteniendo la confidencialidad sobre ellos".

En Genbeta

Sancionan a un ayuntamiento por añadir a gente a un grupo de WhatsApp pese a contar con permiso: esta es la forma de evitarlo

La resolución se elabora a instancias de una queja interpuesta por un empleado de una pequeña empresa de mensajería, Ariathor Logistics S.L., en la que se plantea que la empresa incluyó al empleado, sin recabar su permiso previo, en dos grupos de WhatsApp (denominados "ARIATHOR LOGISTICS S.L." y "UBICACION DE FURGOS") en los que "se publican datos relativos a las rutas de reparto, las personas que la realizan, las horas, la ubicación de las furgonetas al terminar la jornada laboral y diversa información laboral".

¿Pero este nuevo criterio no va en contra de unas nuevas sentencias sobre proteccion de datos sobre aportar el número de telefono de forma obligatoria al inicio de la relacion laboral?

Me quiere sonar que hay varios TSJ que asi lo entienden

— Daniel (@JuristaDanar) January 12, 2023

¿Por qué la DPC irlandesa dedica 200 pgs para desmontar el uso de la base "ejecución de contrato" por Instagram cuando puedes hacer como la AEPD, que en tres párrafos acepta la inclusión de currelas en chats de WhatsApp para gestionar el trabajo sin su consentimiento?
Preguntas https://t.co/LlrfB3e6zA pic.twitter.com/TNu3y7B8Eg

— @jgarciaherrero@mastodon.ai (@jgarciaherrero) January 12, 2023

Ariathor Logistics alegó que el uso de WhastApp como medio de comunicación interno entre empresa y trabajadores resultaba "imprescindible" para la realización del trabajo, al realizarse éste "fuera de la sede laboral". Dándole la razón, la AEPD ha procedido a archivar las actuaciones.

Sin embargo, en esta otra resolución (PDF), publicada tan sólo un día más tarde, el 10 de enero, la AEPD ha considerado que ni el contrato de trabajo ni el cumplimiento de los convenios acreditaban la base de legitimación para la inclusión de una empleada de limpieza en un grupo de WhatsApp destinado a realizar un seguimiento de sus tareas realizadas en la comunidad de vecinos donde prestaba servicio. Qué confuso todo.

Imagen | Gibrán Aquino

-
La noticia Tu jefe ya te puede meter en un grupo de WhatsApp del trabajo sin tu consentimiento: la AEPD cambia de criterio en cuatro párrafos fue publicada originalmente en Genbeta por Marcos Merino .

Cuatro de las mayores operadoras de Internet de Europa (Telefónica, Orange, Vodafone y Deutsche Telekom) han solicitado autorización a la Unión Europea para formar una 'joint venture' destinada a lanzar TrustPid, la 'supercookie de las telecos', capaz de rastrear por donde navegas (y así facilitar la personalización de la publicidad online) sin revelar tu identidad real.

TrustPid, una creación de Vodafone, en España lleva desde el pasado verano siendo probado también por Movistar y Orange, pero sólo ahora comenzará a ser explotado masivamente a nivel comunitario (siempre y cuando la UE conceda el pertinente permiso).

Este nuevo sistema se basa en el uso de tokens: cada token actúa como equivalente pseudonimizador de un único usuario. Por supuesto, que no se proporcione el nombre del usuario no significa que la acumulación de datos sobre sus gustos no pueda permitir deducir su identidad: dicho conjunto de datos no llegaría a manos de los anunciantes... pero sí de las propias operadoras.

Hasta ahora, la web española de TrustPid permite deshabilitar el servicio... pero sólo durante 90 días, tras los cuales será necesario volver a desactivarlo. En realidad, no es posible bloquearlo mediante un adblock ni recurrir al enmascaramiento de direcciones IP, porque TrustPid se implementa a nivel de proveedor de servicio.

Como describía el pasado verano Patrick Breyer, del Partido Pirata Alemán:

"La creación de perfiles de personalidad, que incluso cubren opiniones políticas, orientación sexual o condiciones médicas, son un riesgo para la privacidad pero también para la seguridad nacional, donde los funcionarios pueden ser chantajeados, y también para la democracia, donde las elecciones y los referéndums pueden ser manipulados".

"Una identificación única permitiría monitorear toda nuestra vida digital. Estos esquemas son totalmente inaceptables, y los juicios deben detenerse".

En Genbeta

Google sigue buscando matar las cookies… pero su alternativa ya no es 'FLoC' sino los Topics, que recopilaría nuestro navegador

Ahora, la solicitud presentada a la UE por Deutsche Telekom, Telefónica, Orange y Vodafone presenta así su proyecto:

"La joint ventura podrá ofrecer una solución de identificación digital basada en la privacidad para respaldar el marketing digital y actividades publicitarias de marcas y editores. Sujeto al consentimiento explícito del usuario proporcionado a una marca o editor (solo con la opción de participar), generará un seguro, pseudonimizado token derivado de una identidad interna seudónima cifrada/hash vinculado a la identidad de un usuario cuya suscripción de red será proporcionada por los operadores de red participantes".

Cuate, aquí hay... negocio

Hoy en día, el negocio de la publicidad online está en manos de las grandes tecnológicas, como Google y, en menor medida, de Meta y Apple... mientras las operadoras que mantienen la infraestructura de acceso a la red ven cómo en los últimos años han ido reduciéndose progresivamente sus márgenes de beneficio.

Eso, unido al vacío que queda en el ámbito de la 'publicidad orientada a intereses' gracias a la desaparición inminente de las cookies de terceros (gracias al rechazo de los principales navegadores), ha animado a las operadoras a intentar hacerse ahora con su parte del pastel.

¿Bloqueables o no?

Hemos comentado que la 'prueba piloto' realizada estos últimos meses en España permitía sólo pausar las supercookies durante 90 días. Ahora, el documento presentado por las operadoras a la UE habla de "un portal de privacidad de fácil uso" en el que los usuarios "podrán revisar a qué marcas y editores han dado su consentimiento y retirarlo". Entonces, ¿por qué nos estamos preguntando si TrustPid será o no bloqueable?

La cuestión es que, con lo que sabemos por ahora, el usuario quedará en manos de las operadoras, y deberá fiarse de que los permisos de tipo temporal (ahora) y según anunciante (en un futuro cercano) se cumplan tal y como estas empresas prometen... pero lo relevante es que no hay ningún mecanismo que permita al usaurio (en caso de que desconfie) asegurarse de que dichas cookies quedan efectivamente bloqueadas, porque su implementación se realiza a nivel de infraestructura de conexión, no de navegador/PC.

Vía | BandaAncha.eu

Imagen | Ryan McGuire en Pixabay

-
La noticia La ‘supercookie’ de Telefónica, Orange y Vodafone va en serio: piden permiso a la UE para usarla. Esto sabemos de su privacidad fue publicada originalmente en Genbeta por Marcos Merino .

Dustin Brett es un ingeniero de software que lleva poco más de un año trabajando en Microsoft. Antes de eso pasó todo 2021 creando una web personal que imita la apariencia y funcionamiento de Windows 10 de la forma más cercana posible, pero dentro de un navegador.

El resultado es fantástico, la web funciona excelente, puedes tener un navegador dentro de tu navegador, leer PDFs, editar texto, y hasta jugar Doom. Además, todo el código del sitio es open source y está publicado en GitHub.

daedalOS

La web es completamente responsiva y se adapta a cualquier tamaño de ventana, además puedes redimensionar las ventanas dentro de tu ventana como si fuese Windows

Brett explicó en Reddit que había lanzado primera versión del proyecto un año antes y recibió muy buenos comentarios. Después de eso decidió rehacer todo y empezar completamente desde cero. Y dedicó sus últimas 52 semanas antes de publicar a ello. El resultado final es algo que llamó "daedalOS".

Su objetivo era "simple": convertir su página web personal en un entorno de escritorio web completamente interactivo con la interfaz de Windows 10. La idea es replicar un poco la experiencia de echar un vistazo a su PC.

Dustin dice que se pasó todo el año haciendo esto, y ahora que cuando finalmente se sintió lo suficientemente feliz con él, decidió publicarlo y reemplazar su antigua web personal con la webapp.

Si bien no puedes hacer cosas como "instalar apps" en ese sistema, puedes arrastrar nuevos archivos a la página y usarlos en algunas de las aplicaciones que hay dentro. Es bastante genial en ese aspecto, y sin duda una web personal bastante llamativa.

El desarrollador dice que aunque no lo hizo como un portafolio, de cierta forma lo es y ofrece una demostración de lo que puede hacer. Sin embargo, también dice que en este momento no está buscando cambiar de trabajo (empezó a trabajar en Microsoft en diciembre), así que en ese sentido no le importa que su web llame la atención.

En Genbeta

Windows 96 es una web parodia de Windows que busca ser más útil y potente que cualquier emulador "serio"

Brett se dice que invirtió aproximadamente 500-600 horas en el proyecto, y también hizo streaming durante unas 2 o 3 horas cada sábado durante 52 semanas seguidas mientras escribía el código para esto en vivo.

-
La noticia Pasó un año modificando su web para que funcionara como Windows 10, publicó el código y ahora trabaja en Microsoft fue publicada originalmente en Genbeta por Gabriela González .

2023 promete ser un año de muchos cambios en nuestro país. Se celebrarán comicios autonómicos y municipales el próximo mes de mayo, y es posible que para finales de año se celebren las elecciones generales. Hasta entonces, el Gobierno de coalición continúa aprobando diversas medidas, la última de ellas relacionada con la forma en la que serán tramitadas las bajas y altas médicas de los trabajadores.

¿Qué se ha aprobado? El pasado 27 de diciembre de 2022, el Gobierno aprobó en el último Consejo de Ministros la eliminación de la obligación, por parte de los trabajadores, de comunicar y trasladar a su empresa los partes de baja y alta médica, desapareciendo, de esta forma, la segunda copia de dichos partes que se entregaba a los asalariados.

Mejorar la eficacia. Además, la comunicación se establecerá entre las empresas y la Seguridad Social de forma telemática, sorteando diligencias que pueden ser molestas “para personas que están en situación de incapacidad temporal”, aprovechando, además, “las posibilidades de mejorar la eficacia y la eficiencia que brindan los avances en digitalización y tecnologías de la información”.

En Xataka

Como saber si estoy dado de alta en la seguridad social y cuál es mi situación laboral

Cambios en el Real Decreto. Se trata de una medida perteneciente a una serie de cambios en el Real Decreto 625/2014 que regula los trámites por incapacidad temporal que, según La Revista de la Seguridad Social, supondrán “un importante beneficio para empresas, trabajadores y para los propios facultativos de los Servicios Públicos de Salud”.

Acortar tiempos. El objetivo, según el Ministerio de Inclusión, Seguridad Social y Migraciones, es “agilizar trámites y eliminar obligaciones burocráticas” que prolongan de forma innecesaria este tipo de procesos. La norma, que entrará en vigor en cuanto se publique el próximo BOE, cambia el artículo 7.1 del Real Decreto de 2014 que obligaba al trabajador a entregar a su empleador los partes de baja y alta médica.

Incremento de bajas entre 2020 y 2021. En relación a las bajas médicas, la Asociación de Mutuas de Accidentes de Trabajo, en su informe ‘El absentismo laboral derivado de la incapacidad temporal por contingencias comunes (ITCC)’, publicado en junio del año pasado, señaló que el número de procesos de baja médica se incrementó casi un 14% entre 2020 y 2021, sin llegar a los niveles de 2019 (23,9%).

Más bajas entre los asalariados que entre los autónomos. Adicionalmente, en 2021 y el primer cuatrimestre de 2022, por cada 1.000 empleados protegidos, se han realizado 25 procesos de baja médica entre los asalariados y 8,7 entre los autónomos. Ello supone un incremento del 20% en el caso de los trabajadores por cuenta ajena y de más del 3% en el caso de los trabajadores por cuenta propia: en total, un aumento de casi el 19%.

Aumento general. En 2021, la incidencia media aumentó un 19,47% respecto al ejercicio anterior, en el caso de los procesos de baja médica asociados a los Trabajadores por Cuenta Ajena. Por su parte, en los vinculados a los Trabajadores por Cuenta Propia, el aumento ha sido del 3,57% para el mismo periodo de referencia. Del mismo modo, para el total de la población protegida ha habido un aumento del 18,75%.

El informe señala, además, que el gasto en prestaciones económicas ha aumentado un 1,38% entre el 2020 y el 2021, un incremento de más del 15% en comparación con datos del 2019.

Recomendación de Bruselas. La Comisión Europea, en su página web, señala que la reducción de “las cargas burocráticas y administrativas” ayudan a mejorar los servicios públicos. Esta medida aprobada recientemente por el Gobierno parece pretender ir en esa dirección.

Imagen: Pixabay

-
La noticia Se acabó enseñar la baja médica a tu jefe: cómo funcionará la nueva reforma para justificar ausencias fue publicada originalmente en Xataka por Javier Fernández .

1. Zphisher - Automated Phishing Tool





2. CiLocks - Android LockScreen Bypass





3. Arkhota - A Web Brute Forcer For Android





4. GodGenesis - A Python3 Based C2 Server To Make Life Of Red Teamer A Bit Easier. The Payload Is Capable To Bypass All The Known Antiviruses And Endpoints





5. AdvPhishing - This Is Advance Phishing Tool! OTP PHISHING





6. Modded-Ubuntu - Run Ubuntu GUI On Your Termux With Much Features





7. Android-PIN-Bruteforce - Unlock An Android Phone (Or Device) By Bruteforcing The Lockscreen PIN





8. Android_Hid - Use Android As Rubber Ducky Against Another Android Device





9. Cracken - A Fast Password Wordlist Generator, Smartlist Creation And Password Hybrid-Mask Analysis Tool





10. HackingTool - ALL IN ONE Hacking Tool For Hackers





11. Arbitrium-RAT - A Cross-Platform, Fully Undetectable Remote Access Trojan, To Control Android, Windows And Linux





12. Weakpass - Rule-Based Online Generator To Create A Wordlist Based On A Set Of Words





13. Geowifi - Search WiFi Geolocation Data By BSSID And SSID On Different Public Databases





14. BITB - Browser In The Browser (BITB) Templates





15. Blackbird - An OSINT Tool To Search For Accounts By Username In 101 Social Networks





16. Espoofer - An Email Spoofing Testing Tool That Aims To Bypass SPF/DKIM/DMARC And Forge DKIM Signatures





17. Pycrypt - Python Based Crypter That Can Bypass Any Kinds Of Antivirus Products





18. Grafiki - Threat Hunting Tool About Sysmon And Graphs





19. VLANPWN - VLAN Attacks Toolkit





20. linWinPwn - A Bash Script That Automates A Number Of Active Directory Enumeration And Vulnerability Checks