Parece que Facebook está en el centro de otro problema relacionado con la privacidad.
Según se informa, varios usuarios de iPhone se han presentado en las redes sociales quejándose de que la aplicación de Facebook activa en secreto la cámara de su teléfono inteligente en segundo plano mientras se desplazan por sus feeds de Facebook o miran las fotos en la red social.

Como se muestra en los videos de Twitter a continuación, cuando los usuarios hacen clic en una imagen o video en las redes sociales a pantalla completa y luego la vuelven a la normalidad, un problema con la aplicación de Facebook para iOS desplaza ligeramente la aplicación hacia la derecha.

Abre un espacio a la izquierda desde donde los usuarios pueden ver la cámara del iPhone activada en segundo plano.

Sin embargo, en este momento, no está claro si es solo un error de interfaz de usuario en el que la aplicación de Facebook incorrectamente solo accede a la interfaz de la cámara, o si también graba o carga algo que, si se demuestra que es correcto, sería el momento más desastroso en la historia de Facebook .



El problema llamó inmediatamente la atención de otros usuarios de Facebook, muchos de ellos intentaron reproducir el problema pero fallaron, lo que probablemente sugiere que la actualización de software defectuosa no se ha implementado en todo el mundo y podría afectar solo a una fracción de los usuarios de Facebook.
The Hacker News tampoco pudo reproducir el error de forma independiente y, por lo tanto, no puede verificar la autenticidad, el alcance y la gravedad del problema.
Joshua Maddux, uno de los usuarios que descubrió este error, afirmó que lo probó y pudo replicarlo en al menos 5 iPhones diferentes con iOS 13.2.2, que es la última versión de iOS.
"Notaré que los iPhones con iOS 12 no muestran la cámara, pero no digo que no se esté usando", dijo Maddux.



lgunos usuarios también probaron el problema después de revocar los permisos de cámara de Facebook, y descubrieron que el espacio de fondo era solo una pantalla negra en ese caso.

Dado que ninguno de los usuarios de Android ha notado o se ha quejado de una falla similar en Facebook, parece que el error solo afecta a algunos usuarios de Facebook para iOS.
La noticia llegó menos de una semana después de que Facebook admitiera que aproximadamente 100 desarrolladores de aplicaciones podrían haber accedido incorrectamente a los datos de sus usuarios en ciertos grupos de Facebook, incluidos sus nombres e imágenes de perfil.

Nos comunicamos con Facebook para obtener más información y, si recibimos noticias suyas, actualizaremos esta publicación.


Actualización: ¡es un error, confirmó Facebook!

Un portavoz de Facebook confirmó a The Hacker News que de hecho es un error y dijo:
"Recientemente descubrimos que la versión 244 de la aplicación para iOS de Facebook se lanzaría incorrectamente en modo horizontal. Al solucionar ese problema la semana pasada en v246 (lanzado el 8 de noviembre), inadvertidamente introdujimos un error que hizo que la aplicación navegue parcialmente a la pantalla de la cámara adyacente a News Feed cuando los usuarios hicieron tapping en las fotos. No hemos visto evidencia de que se hayan subido fotos o videos debido a este error. Enviaremos hoy la solución a Apple ".

"La activación de este error activó la vista previa de la cámara, y una vez activada, la vista previa permaneció activa hasta que tocaste en otra parte de la aplicación. En ningún momento el contenido de la vista previa fue almacenado por la aplicación o subido a nuestros servidores", Guy Rosen, vicepresidente de Integrity en Facebook dijo.

"Hemos confirmado que no subimos nada a FB debido a este error y que la cámara no capturó nada ya que estaba en modo de vista previa. Hemos enviado una versión fija a la App Store que ya se está implementando ".


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mark Zuckerberg no quita el dedo del renglón en cuanto al manejo de dinero de los usuarios de sus diversas plataformas. Después de que Libra cayera en una especie de nevera tras las dudas y escepticismo por parte de reguladores y gobiernos, más la salida de siete de los principales impulsores de la criptomoneda, lo siguiente en los planes de Zuckerberg es algo más tradicional: pagos móviles a través de una nueva plataforma que llevará por nombre 'Facebook Pay'.

De acuerdo a la información, Facebook Pay será un sistema de pagos que se podrá usar en Messenger, Instagram, WhatsApp y por supuesto Facebook. Permitirá, por ejemplo, enviar dinero a nuestros contactos, comprar productos y hacer donaciones, y estará "construido sobre la infraestructura financiera y las asociaciones existentes", según explican en el comunicado.

Zuckerberg no quiere que salgamos de sus aplicaciones

Libra es un proyecto sumamente ambicioso, con el que buscan cambiar gran parte del sistema económico al plantear un moneda global y compatible con una gran variedad de plataformas y con un valor único. Por esta razón, Facebook quiere dejar claro que Facebook Pay no tiene ninguna relación con Libra, ya que estos pagos sí estarían respaldados por las actuales instituciones financieras, según afirma la compañía.

De hecho, Facebook menciona que PayPal y Stripe son quienes están detrás de Facebook Pay, ya que ellos proporcionarán su enorme infraestructura, y experiencia, de pagos móviles para procesar los pagos de Facebook Pay. Curiosamente, tanto PayPal como Stripe ya retiraron su apoyo a Libra.

Por otro lado, este nuevo sistema de pagos será compatible con la "mayoría" de las actuales tarjetas de crédito y débito. En un inicio estará disponible sólo para pagos de persona a persona, compras in-app y dentro del Marketplace de Facebook, así como para comprar entradas a algunos eventos y recaudación de fondos.



Según la compañía, Facebook Pay es consciente de los posibles problemas de seguridad y privacidad, por lo que cada pago deberá ser autenticado ya sea por huella o rostro del usuario desde su dispositivo móvil, aunque también se podrá configurar un NIP. Facebook asegura que todas las transacciones estarán cifradas y monitorizadas para evitar fraudes.

También afirman que el historial de compras y pagos en Facebook Pay no será compartido con terceros, así como los números de nuestra tarjeta de crédito o número de cuenta. Sin embargo, sí mencionaron que este historial podrá ser usado para mostrarnos anuncios.

Facebook Pay se lanzará la siguiente semana en Estados Unidos a través de Facebook y Messenger, pero ya adelantaron que más adelante llegará a más países y se ampliará su uso a Instagram y WhatsApp. Cabe señalar que desde Facebook adelantan que podremos personalizar el uso de Facebook Pay ya sea para cada aplicación o de forma general para las cuatro, lo que permitirá unificar la experiencia y los pagos de acuerdo a nuestras necesidades.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Que Navi ha sido un acierto por parte de AMD, no lo discute nadie a día de hoy, lo cual al parecer se está traduciendo en unas ventas bastante altas para los de Lisa Su. Por ello, la gran mayoría de fabricantes de refrigeración líquida están lanzando sus respectivos bloques para estas tarjetas y su PCB de referencia. Hoy le toca el turno a EKWB, la cual acaba de presentar su Quantum Vector Radeon RX 5700 + XT D-RGB.

Lo interesante de estos bloques llega desde el apartado del sistema LED, por lo que al igual que ya pasó en su momento con la gama de bloques Pascal, EK ha vuelto a actualizar los modelos mediante, no solo nuevos bloques, sino kits de upgrade para los que ya poseían la versión anterior.

Por lo tanto, estamos ante unos bloques que son la evolución de los ya existentes EK-Vector Radeon RX 5700 + XT RGB, donde éstos presentan un sistema RGB de 12 voltios común.

EK Quantum Vector Radeon RX 5700 + XT D-RGB



Nos encontramos ante un bloque de la gama más alta del fabricante, el cual se encarga de refrigerar tanto la tarjeta gráfica (GPU) como los VRM y por supuesto las memorias VRAM GDDR6. El líquido se canaliza a través de un sistema de dos secciones transversales que se incluyen y conectan mediante un frontplate de aluminio.

El bloque en sí mismo está construido en base a cobre de alta calidad donde tendremos dos variantes: la versión en cobre puro y la versión de cobre electrolítico niquelado.



En cambio, el cover (como ya viene siendo habitual) estará fabricado en otros dos materiales dependiendo de la versión que escojamos: acrílico de alta calidad o acetal POM negro.

En cuanto al sellado, este se produce mediante unas juntas tóricas de EPDM de alta calidad unidos a tornillos de metal en color negro. El sistema LED que incluyen ha sido actualizado a D-RGB, también conocido como A-RGB, y soporta las tecnologías y software de las principales marcas de placas base, por lo que tendremos una conexión de 3 pines y 5 voltios.

Compatibilidad del bloque, backplates y kit de actualización



Como era esperable, estos bloques son compatibles con las Radeon RX 5700 y RX 5700 XT, siempre que la GPU tenga diseño de referencia en su PCB, por lo que el bloque es ampliamente compatible con un gran número de GPUs, puesto que todos los fabricantes han optado por comercializar dichos PCBs bajo su marca.

En cuanto a los backplates, hablamos de un sistema que ayudará a aportar mayor rigidez a la tarjeta, mejorará la temperatura de la misma en ciertos puntos y añade un toque estético al conjunto.



Están realizados mediante mecanizado CNC en aluminio anodizado negro o níquel y son full cover.

En cuanto al kit de actualización para la gama Vector a Quantum Vector, EK proporciona una actualización basada en D-RGB gracias a una pieza de color blanco o negro que incluye la tira de LED con dicha tecnología de 3 pines y 5 voltios, así como una cubierta del terminal port para la actualización completa del bloque.




Tanto estos bloques como los backplates y los kits de actualización estarán disponibles para reserva en la web de EK y se comenzarán a enviar a los distribuidores y usuarios en breve, sin fecha específica, aunque ya están listados en su web.




Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google se ha asociado con algunas compañías de seguridad móvil para formar App Defense Alliance, un programa que promete detener el malware en Android antes de que tengan la oportunidad de instalarse en los móviles inteligentes.

Play Store, la tienda oficial de aplicaciones Android, alberga millones de piezas de software, pero no está a salvo de malware y adware nocivo. Google lleva tiempo intentando limpiar la tienta e incluso usarla para impulsar actualizaciones de seguridad en Android 10 y posteriores. El gigante de Internet ha puesto en el punto de mira a los desarrolladores de aplicaciones poco confiables y ha excluido a los que usan técnicas de fraude publicitario.

Dado el volumen de aplicaciones que maneja la Play Store, Google ha recurrido al uso de la automatización y el aprendizaje automático para realizar controles de seguridad en las aplicaciones bajo el servicio de seguridad Play Protect. El aprendizaje automático, sin embargo, no es mágico y necesita datos para trabajar. Montones y montones de datos.

Como parte de la cruzada de Google contra aplicaciones peligrosas, la compañía ha establecido una asociación con las empresas de seguridad ESET, Lookout y Zimperium bajo esta App Defense Alliance. Estas compañías han demostrado ser bastante talentosas para descubrir malware malicioso que se esconde dentro de las aplicaciones y las bibliotecas de Android. Después de todo, son los que a menudo dan noticias sobre el nuevo malware que logra superar la seguridad de Google.



Esta alianza implica básicamente que el sistema Play Protect de Google se integrará con las herramientas antimalware de estas compañías. Estas herramientas se convertirán en fuentes de datos adicionales para el sistema de aprendizaje automático de Google para aprender sobre nuevas cepas de malware o técnicas que logran escapar de las medidas de seguridad internas.

Las compañías asociadas también analizarán los datos sobre las amenazas de la aplicación para poder recoger más aplicaciones maliciosas antes de que se publiquen. Google dice que los sistemas utilizarán una combinación de aprendizaje automático y análisis estático y dinámico para detectar aplicaciones sospechosas.

Son buenas noticias. Esta App Defense Alliance se necesita ahora más que nunca para abordar el problema del malware de Android y proteger una base instalada enorme que supera los 2.000 millones de dispositivos y solo en smartphones. Un informe reciente del investigador de malware Lukas Stefanko encontró 172 aplicaciones dañinas en Play Store con más de 335 millones de instalaciones combinadas, incluidas aplicaciones que contienen adware oculto, stalkware, estafas de suscripción y troyanos bancarios.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Durante la edición 2019 de la conferencia Ignite, Microsoft dio a conocer que está trabajando para proporcionar soporte de Linux en la plataforma Microsoft Defender ATP (Advanced Threat Protection), que está diseñada para proteger proactivamente, rastrear vulnerabilidades no corregidas y detectar y eliminar actividades maliciosas en el sistema.

La plataforma combina un paquete antivirus, un sistema para detectar intrusiones en la red, un mecanismo para proteger contra la explotación de vulnerabilidades (incluidas las zero-day), herramientas para aislamiento avanzado, herramientas adicionales para administrar aplicaciones y un sistema para detectar actividades potencialmente maliciosas.

Este movimiento se produce después de que Microsoft anunció en marzo de este año, el cambio en la marca del antivirus. Anteriormente era conocido como Windows Defender, pero, Microsoft lo renombró a Microsoft Defender. La compañía también ofreció el software para computadoras Mac empresariales para protección contra malware a través de la consola Microsoft Defender. Con lo que ahora tiene sentido el movimiento por qué las pruebas de Microsoft Defender ATP para macOS ya comenzaron hace unos días.

"Planeamos ofrecer Microsoft Defender ATP para servidores Linux para proporcionar protección adicional para las redes heterogéneas de nuestros clientes", escribió un ejecutivo de la compañía que agrega que la solución llegará a Linux en 2020.

Windows Defender ATP es una solución con seguridad habilitada que permite a las organizaciones detectar y responder a amenazas informáticas en las redes. La Protección avanzada contra amenazas (ATP) es una característica de Windows Defender que se usa en tres ejes: prevención, investigación, detección posterior.

Windows Defender ha dado sus primeros pasos como spyware en Windows XP. Posteriormente, Microsoft ha dedicado la misma función en Windows Vista y Windows 7. Desde Windows 8, el software actúa como una solución antivirus completa.

La funcionalidad para plataformas que no son de Windows todavía está limitada por el componente EDR ( Endpoint Detection and Response), que es responsable de monitorear el comportamiento y analizar la actividad utilizando métodos de aprendizaje automático para identificar posibles ataques, y también incluye utilidades para estudiar los efectos de los ataques y responder a posibles amenazas.

Por su parte Microsoft argumenta que la herramienta llega en buen momento, pues Linux se convirtió en víctima de amenazas de hackeos en serie, violación de datos y fallas en el servidor. Aun que para muchos pareciera "demasiada benevolencia", Microsoft no hace los movimientos por que si, ya que muchos de los que ha realizado en cuanto a Linux se refiere, van orientados principalmente para impulsar a su plataforma Azure.

Ademas de Microsoft Defender ATP es lanzado en forma de suscripción mensual para empresas, el cual es el "Microsoft Defender ATP E5".

En este sentido, no es de extrañar si nos tomamos el tiempo para hacer una retrospectiva. Hasta el último trimestre de 2018, Linux y Windows Server estaban en desacuerdo con Microsoft Azure.

Los dos sistemas operativos compartían por igual las máquinas virtuales que se ejecutan en la plataforma en la nube de Microsoft, pero a veces Linux se hizo cargo y este fue el evento más común. Este estado de cosas se puede ver como el resultado de lo que comenzó al proporcionar a Azure soporte de Linux, para permitir que con el tiempo se admitan varias distribuciones de Linux La plataforma en la nube.

Hoy, los socios de Microsoft están proporcionando imágenes de Linux en Azure Marketplace y la compañía continúa trabajando con diferentes comunidades de Linux para expandir la lista de distribuciones compatibles con su plataforma en la nube. Mientras tanto, si una distribución no está disponible en Azure Marketplace, puede integrarse siguiendo las instrucciones proporcionadas por Microsoft para crear y descargar un disco duro virtual que contenga el sistema operativo Linux.

El lanzamiento de Microsoft Defender ATP para Linux está programado para el próximo año y se mostró una versión preliminar la semana pasada en la conferencia Ignite 2019. El producto final estará disponible al público para 2020.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Entre nuestra comunidad, es bien sabido que el terminal de Linux nos permite realizar todo tipo de tareas. También es bien sabido que todo es más sencillo si usamos una herramienta con GUI (interfaz de usuario), y el programa de conversión de vídeo protagonista de este artículo es un buen ejemplo de ello. Se trata de HandBrake 1.3.0, una nueva versión del famoso conversor multimedia gratuito y de código abierto que podemos usar para no depender del terminal y FFMPEG.

Llegado a este punto tengo que confesar un par de cosas: la primera es que a mi HandBrake nunca me terminó de gustar porque me parecía que su interfaz no era muy ordenada (ni siquiera estoy seguro de cuándo la han mejorado tanto). La segunda es que, después de probarlo para este artículo, he cambiado de opinión. Y es que una de las novedades que han incluido son cambios en la interfaz que hará que todo esté más claro, alguno que también hace que el programa se parezca a otros más famosos y no gratuitos como Kigo Video Converter.

Novedades destacadas de HandBrake 1.3.0

- UI de cola rediseñada.
- Nuevo preajuste envolvente Playstation 2160p60 4K.
- Nuevos Preajustes de Discord y Discord Nitro.
- Preajuste mejorado de Gmail.
- Lectura de discos Blu-ray Ultra HD (sin protección contra copia).
- AV1, soporte de codificación de contenedor WebM.
- Subtítulos externos importantes de SSA/ASS.
- Codificación NVIDIA NVENC mejorada.
- Soporte de codificación AMD VCE en Linux (a través de Vulkan).
- Soporte de codificación Intel QSV de baja potencia (baja potencia = 1).
- Se agregó soporte Intel QSV a Flatpak


HandBrake es un programa de código abierto multiplataforma, lo que también significa que está disponible en Windows, macOS, Linux y otros sistemas operativos. Los usuarios de Linux podemos instalarlo de diferentes maneras: instalando la versión Flatpak. La versión Snap aún está sin actualizar (qué novedad...). O añadiendo el repositorio de Ubuntu e instalando el software con estos comandos:

1| sudo add-apt-repository ppa:stebbins/handbrake-releases
2| sudo apt-get update

Una vez añadido el repositorio instalaremos la versión GTK (apt install handbrake-gtk) o la CLI (apt install handbrake-cli) dependiendo de nuestras necesidades.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En los últimos días ha salido a la luz un incidente que tuvo lugar durante una transmisión en directo en una tienda de Hangzhou, en China, durante el cual una placa base MSI B450M MORTAR salió ardiendo. A raíz de esto, diversos rumores se han sucedido en Internet y la calidad de las placas base de MSI ha sido puesta, una vez más, en entredicho. Lo raro de todo esto es que la compañía asegura que ha realizado pruebas con la placa base, y que estaba en perfecto estado.

Por supuesto, MSI se ha encargado de eliminar todos los vídeos publicados de la transmisión en directo que mostraban cómo su placa base se incendiaba, pero ya sabéis lo que pasa en Internet y es que había gente viéndolo, por lo que las historias y los rumores al respecto se han ido sucediendo unos detrás de otros, hasta el punto de que la propia compañía realizó una convocatoria de medios para defender su postura e informar lo que, para ellos, es la situación real del incidente.



La postura de MSI respecto a la B450M MORTAR en llamas

La compañía ha dicho que el incidente ha sido aislado, pues tuvo lugar durante una demostración con streaming en directo que iban a llevar a cabo en una tienda de electrónica en China. Según se pudo ver en el vídeo, nada más encender el equipo comenzaron a salir llamas por las rejillas de ventilación del mismo, acompañadas de una gran cantidad de humo.

Lógicamente, los clientes comenzaron a preocuparse y a reclamar a MSI explicaciones, por lo que la compañía ha tenido que salir a la palestra para defender su postura. Según ellos, se llevaron la placa base afectada y la analizaron en su laboratorio, determinando que todo el sistema eléctrico de la misma estaba en perfectas condiciones de funcionamiento, solo con algunas marcas por el fuego «externo» provocado, y que era imposible que fuera la causante del incendio.



Claro está, MSI no ha presentado ninguna prueba ni ha determinado la causa del incendio, simplemente afirmaron que el problema fue causado por «una mala manipulación de los equipos» y «una gran cantidad de razones inexplicables que se sucedieron repentinamente en el equipo con la B450M MORTAR». Se desconoce el resto de piezas del sistema que emplearon, pero si el fuego no fue causado por la placa base, lo más seguro es que fuera la fuente de alimentación, algo complicado debido a los múltiples sistemas de protección que éstas tienen y de que las placas base carecen.

Cunde el pánico por un posible problema masivo

Después de que directivos de la empresa salieran a la palestra a relatar estos hechos, se han quejado de que ha cundido mucho el pánico a causa de usuarios que comenzaron a quejarse en las redes por miedo a que le sucediera lo mismo a sus placas base, a lo que otros muchos respondieron con las muchas malas experiencias que han tenido con la marca y, especialmente, con su servicio post-venta que, como ya sabéis, es el peor calificado de todos los fabricantes.

Según MSI, esta situación es injustificada, pero el hecho de que las quejas de los usuarios obliguen a directivos de la compañía a realizar un comunicado oficial dice mucho del número de quejas que han tenido que recibir al respecto. Y, seamos honestos, incluso aunque el problema no haya sido de la placa base es algo que da que pensar, y ante la falta de una evidencia que demuestre la causa, es lógico que los usuarios sospechen y que duden de la calidad de los productos de la marca.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un equipo de especialistas en seguridad de aplicaciones web de la Universidad Ruhr en Bochum, Alemania, ha descubierto una vulnerabilidad en algunos modelos nuevos de controladores lógicos programables (PLC) fabricados por Siemens. Según los expertos, la falla está relacionada con la presencia de una función de acceso oculto y podría explotarse tanto para realizar ataques cibernéticos como herramienta de seguridad.

El problema de seguridad está relacionado con la función de acceso de hardware del PLC Siemens S7-1200 (esta función procesa las actualizaciones de software y verifica la integridad del firmware del PLC al iniciar el dispositivo). Al parecer, este acceso muestra comportamiento similar al de un backdoor.

Acorde a los expertos en seguridad de aplicaciones web, un actor de amenazas puede abusar de esta función para omitir el paso de verificación de integridad del firmware durante alrededor de medio segundo, ventana de tiempo en la que el atacante podría descargar código malicioso y posteriormente obtener control total sobre los procesos del dispositivo.

En su reporte, los expertos dicen ignorar por qué Siemens habrá instalado tal acceso en estos dispositivos: "Esta es a todas luces una mala práctica de seguridad; el acceso brinda a cualquiera con los conocimientos suficientes acceso al contenido de la memoria, además de la capacidad de sobrescribir datos y extraer información", mencionan los expertos.

Durante la investigación, los expertos descubrieron que este acceso oculto también puede ser útil para los investigadores de seguridad, pues brinda un forense de la memoria del dispositivo. "Logramos usar esta función para acceder al contenido de la memoria del PLC, lo que podría ayudar en investigación forense digital para detectar código malicioso. Aunque la compañía no permite acceder al contenido de la memoria en condiciones normales, esto es factible usando este acceso", concluyen los expertos. Los hallazgos serán presentados de forma oficial durante un evento de ciberseguridad a celebrarse el próximo mes en Londres.

Por otra parte, Siemens recibió en tiempo y forma el reporte sobre esta falla de seguridad y ya ha anunciado el lanzamiento de una solución lo más pronto posible. "Estamos al tanto de la investigación de los expertos de la Universidad de Ruhr, referente al acceso especial basado en hardware en las CPU SIMATIC S7-1200; nuestros equipos de seguridad de aplicaciones web están trabajando para resolver el inconveniente a la brevedad. Recomendamos a nuestros usuarios permanecer alertas ante cualquier actualización oficial", menciona el comunicado de la compañía.

Aún se desconoce si Siemens implementará sólo una actualización de software o si será necesario implementar nuevos componentes de hardware para corregir esta vulnerabilidad. Especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que un reemplazo de hardware sería una solución definitiva, pero es muy complicado de realizar para todos los dispositivos afectados (algo similar ocurre con la consola Nintendo Switch). Dicho esto, lo más probable es que la compañía lance actualizaciones de seguridad continuas para esta vulnerabilidad.

Hace un par de meses fue revelada otra investigación relativa a los PLCs Siemens S7; en esa ocasión, los expertos descubrieron que todas las familias modernas de PLC S7 ejecutaban la misma versión de firmware, además de que compartían la misma clave criptográfica; la compañía recibió todos estos reportes y comenzó el proceso de corrección de fallas de seguridad.


Vía:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google da por amortizado el proyecto Cardboard con el que crear gafas de realidad de bajo coste y anuncia su liberación como código abierto, para que la comunidad sea la encargada de continuar con su desarrollo si así lo quiere.

Como recuerdan nuestros compañeros de MC, Google Cardboard surgió cual experimento con el que acercar la realidad virtual al común de los mortales, y es que el invento consta de una carcasa de cartón en la que insertar el móvil, además de una lentes de plástico y otros detalles con los que completar su factura. Cual Nintendo Labo, pero para disfrutar de una experiencia de realidad virtual low cost.

De hecho, Google ha vendido más de 15 millones de unidades de Cardboard en todo el mundo, que no está nada mal. Sin embargo, el interés inicial por el proyecto ha ido disminuyendo con el tiempo, lastrado por problemas con la latencia o la ausencia de aplicaciones dedicadas, y los desarrolladores interesados en ampliar el ecosistema han volado hacia proyectos con mejores perspectivas de futuro.

A todo ello se le ha sumado el cierre de la plataforma de realidad virtual de Google para Android, Daydream VR, incluyendo la cancelación del SDK de VR de la compañía... Y con semejante panorama, mejor liberar el invento y que quien quiera le saque provecho. Además, siguien viendo «un uso constante en torno a experiencias de entretenimiento y educación, como YouTube y Expeditions», por lo que quieren «asegurarse de que el enfoque de la realidad virtual accesible para todos siga estando disponible».

«Creemos que un modelo de código abierto, con contribuciones adicionales de nuestra parte, es la mejor manera para que los desarrolladores continúen creando experiencias para Cardboard», explican en el blog de desarrolladores de Google, donde se indica toda la información necesaria para quien esté interesado en echar un vistazo o algo más.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sailfish OS es un sistema operativo móvil que ha tomado relevancia con el paso del tiempo, ya que desde hace algunos meses pues ha estado en la mira por parte de los grandes fabricantes, tal es el caso de Huawei que en su momento tomo en cuenta al sistema como un sustituto para Android, debido al gran problema que enfrenta por el bloqueo por parte de EE.UU.

Para quienes aún desconocen de Sailfish OS deben saber que este utiliza una pila gráfica basada en Wayland y la biblioteca Qt5, el entorno del sistema está construido sobre la base de Mer, que se ha desarrollado como una parte integral de Sailfish desde abril y los paquetes de Nemo.

El shell de usuario, las aplicaciones móviles básicas, los componentes QML para construir la interfaz gráfica de Silica, una capa intermedia para lanzar aplicaciones de Android, un motor de entrada de texto inteligente y un sistema de sincronización de datos son propietarios.

Sobre la nueva versión de Sailfish OS 3.2.

Jolla ha lanzado la nueva versión de su sistema operativo Sailfish OS 3.2, en la cual se destaca el soporte añadido para el teléfono inteligente Sony Xperia 10, que fue el primer dispositivo para el cual Sailfish habilitó de forma predeterminada el cifrado de la sección de datos del usuario y activó las herramientas de restricción de acceso basadas en SELinux.

SELinux actualmente solo se usa para componentes de administración de pantalla y servicios systemd.

Por su parte los desarrolladores del sistema operativo móvil Aurora (una versión localizada del sistema operativo Sailfish de Rostelecom) realizaron un trabajo para optimizar la interfaz para realizar y recibir llamadas. Para las llamadas entrantes, se ha agregado una pantalla diferente en el caso de que la llamada se realize desde el extranjero.

El procedimiento de notificación de finalización de la llamada se ha rehecho por completo, lo que libera un diálogo de pantalla completa y ahora se implementa como una ventana emergente discreta con botones que le permiten devolver la llamada o enviar un mensaje de texto.



Se agregó la capacidad de mostrar un recordatorio sobre la necesidad de realizar una llamada: la configuración de un recordatorio se realiza presionando el nombre del suscriptor en la lista con el historial de llamadas.

Tambien se destaca que la interfaz se ha adaptado para nuevos usuarios: los menús se hacen más visibles y las operaciones para eliminar una nota o una entrada en la libreta de direcciones son más inequívocas;

Aplicación reelaborada con reloj despertador. Ya que en ella se agregó la capacidad de retrasar la alarma durante 5-30 minutos. El temporizador ahora se puede configurar al segundo más cercano, y las lecturas de todos los temporizadores guardados se pueden restablecer a la vez.

De los demás cambios que se destacan en el anuncio:

- El navegador resolvió problemas al abrir el sitio de Twitter y estableció soporte para WebGL.
- La búsqueda en la libreta de direcciones se optimizó en presencia de una gran cantidad de contactos sincronizados con otros dispositivos.
- La capa de compatibilidad con Android se ha actualizado a la plataforma Android 8.1. Se ha aumentado la fiabilidad del lanzamiento de aplicaciones de Android y se ha aumentado el rendimiento de la búsqueda de contactos en la libreta de direcciones de Android.
- Los desarrolladores del sistema operativo Aurora también implementaron las siguientes mejoras:
- Se agregó soporte para el cifrado de la sección de datos.
- Preparado para aislar varias partes del sistema operativo utilizando SELinux.
- Soporte agregado para varios tipos de dispositivos Bluetooth de baja energía (BLE).
- Se agregó el envío de recordatorios de inaccesibilidad a través de Active Sync.
- Se muestra el tamaño de los directorios en el administrador de archivos (al abrir un cuadro de diálogo con información detallada).
- El número de opciones de EAP que se ofrecen en la configuración inalámbrica se ha ampliado.
- El problema con la autenticación usando certificados protegidos por contraseña en OpenVPN ha sido resuelto.
- Las notificaciones de carga insuficiente de la batería son menos molestas y raras.

Las compilaciones de esta nueva versión están preparadas para los dispositivos Jolla 1, Jolla C, Sony Xperia X, Gemini, Sony Xperia 10, y ya están disponibles en forma de actualización OTA.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La nueva versión de la distribución de Linux NethServer 7.7, la cual es una distribución que se destaca por ofrecer una solución modular para el despliegue rápido de servidores en pequeñas oficinas o empresas medianas. La distribución se basa en la base del paquete CentOS 7.7 y proporciona una interfaz basada en la web para administrar los componentes del servidor disponibles.

Al usuario se le ofrecen módulos listos para poder organizar la operación del servidor de correo (Postfix, Dovecot, Amavis, cliente web ClamAV + Roundcube), sistema de colaboración (SOGo), firewall (Shorewall), servidor web (LAMP), servidor de archivos y controlador de dominio activo Directorio (Samba), proxy de filtrado (Squid, ClamAV y SquidGuard), servidor VPN (OpenVPN, L2TP), almacenamiento en la nube (ownCloud), detección de intrusos y sistemas de prevención.

Lo interesante de NethServer es que el proceso de instalación y la puesta en marcha del servicio requerido se realiza con tan solo un solo clic y no requiere el conocimiento de las características de configuración de cada componente del servidor. El trabajo de administración típico se puede hacer a través de la interfaz web.

De las principales características de esta distribución es que su organización se realiza mediante un sistema modular, lo cual permite añadir nuevas funciones mediante plugins o software adicional según nuestras necesidades.

Principales novedades de NethServer 7.7

En esta nueva edición de NethServer 7.7 se destaca la nueva interfaz de usuario, construida sobre la base de Cockpit y que ofrece un diseño más moderno, ha pasado a la etapa de prueba beta y se incluye en la entrega predeterminada.



Los sistemas instalados previamente pueden probar la interfaz instalando el "Server Manager" en el Centro de software. La interfaz proporciona herramientas para administrar cuentas, DNS, DHCP, FQDN, configurar el tiempo, crear copias de seguridad, configurar la red, aplicar el cifrado TLS, administrar el sistema, instalar aplicaciones, administrar el almacenamiento y los certificados SSL.

También se destaca una nueva interfaz para configurar una VPN, que le permite evaluar el tráfico de cada túnel, rastrear el historial de conexión de cada usuario y enviar rápidamente los parámetros de conexión por correo electrónico. A través de la interfaz, también puede definir sus propias rutas, cambiar el protocolo UDP/TCP, activar o desactivar la cuenta.

La interfaz para administrar el firewall ha rediseñado completamente las secciones para definir reglas para bloquear conexiones, reenvío de puertos, reducción de tráfico y reglas vinculantes para una interfaz local o externa

Otro de los cambios destacados en el anuncio, es la nueva interfaz con estadísticas sobre intentos de bloqueo para seleccionar contraseñas para servicios en entornos aislados (usando Fail2Ban).

De los demás cambios que se mencionan en el anuncio:

- Nuevo panel con estadísticas de trabajo a través de Web Proxy.
- Un nuevo panel de servidor de archivos que muestra visualmente el estado de los directorios compartidos.
- Un nuevo método de gestión de respaldo y recuperación que admite múltiples respaldos;
- Nuevo panel para integración con NextCloud.
- El módulo de implementación de infraestructura para organizar la colaboración basado en la plataforma WebTop (Web Desktop) se ha actualizado a la versión 5.7.3.
- Nuevo tablero para monitorear el estado de las fuentes de alimentación ininterrumpida.
- Informes adicionales del sistema, que incluyen la obtención de datos de registros, DBMS y servicios.
- Nuevo panel con estadísticas del servidor http Apache.
- El almacenamiento en la nube de Nextcloud se ha actualizado a la versión 16.0.5, y la plataforma de mensajería entre los desarrolladores de Mattermost está disponible hasta la versión 5.15.

Descargar e instalar NethServer 7.7

Para quienes estén interesados en descargar y probar esta nueva versión de NethServer 7.7, solo deben de dirigirse a su página web oficial y en su sección de descargas encontraras los links para descargar esta distro de Linux.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El tamaño de la imagen de instalación es de 1.1 GB. Ademas también se proporciona una You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para familiarizarse con las capacidades de la interfaz de NethServer. Los logros del proyecto se distribuyen bajo licencias gratuitas.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La versión para Android de la popular aplicación de teclado ai.type ha intentado realizar más de 14 millones de transacciones no autorizadas que podrían haber costado a los usuarios US$18 millones, explica en un informe la empresa de tecnología móvil Upstream.

Los intentos de compra provienen de 110,000 dispositivos únicos a lo largo de 13 países. El tráfico fue principalmente alto en el norte de África y Sudamérica, y la actividad ilícita se disparó en julio de este año y continuó durante los siguientes dos meses. Esto fue en realidad después de que la aplicación fuera retirada de la tienda Google Play en junio.

La aplicación, que se ha descargado más de 40 millones de veces, promete personalizar el teclado con diferentes emojis y fuentes e incluye funcionalidades como aprender su estilo de escritura y corregir automáticamente errores. De hecho, puede que los lectores recuerden que la aplicación también llegó a los titulares de varios medios en 2017, cuando se supo que sus desarrolladores habían dejado expuestos los datos personales de más de 31 millones de usuarios en un servidor desprotegido.

Upstream ahora ha descubierto que una vez descargado en un teléfono, ai.type comienza a realizar, sin autorización, solicitudes de compra de contenido digital premium. La aplicación ha estado suscribiendo a los usuarios a servicios premium utilizando kits de desarrollo de software (SDK) con "enlaces hardcodeados ofuscados que llevan a rastreadores publicitarios".

"Estos SDK navegan a los anuncios a través de una serie de redirecciones y realizan clics automáticamente para activar las suscripciones", dijo Upstream. Todo esto ocurre en segundo plano, por lo que los usuarios no se dan cuenta. También toma la apariencia de otras aplicaciones populares como Soundcloud para llevar a cabo algunas de estas actividades.

Es posible que los usuarios hayan sido alertados a partir de la larga lista de permisos que solicitó la aplicación, incluido el acceso de lectura a mensajes de texto, fotos, videos, datos de contacto y también acceso al almacenamiento en el dispositivo. No hace falta decir que siempre debe tener cuidado con los tipos de permisos que otorga a las aplicaciones.

Se recomienda a los usuarios de la aplicación que comprueben en sus teléfonos cualquier indicio de comportamiento extraño y eliminen la aplicación. También debe verificar si es posible que le hayan cobrado por servicios que no ha solicitado.

Como señala Threatpost, la aplicación todavía está disponible en mercados alternativos de Android, así como en App Store, aunque se dice que Apple está investigando la funcionalidad de la aplicación ahora. Forbes escribe que en realidad hay una nueva versión de Ai.type en Google Play pero sin la misma funcionalidad maliciosa.

El engaño puede recordar a los lectores una estafa de suscripción que los investigadores de ESET descubrieron el año pasado y que se basó únicamente en la falta de atención del usuario.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Segunda actualización de seguridad para Google Chrome 78 en menos de dos semanas. Esta versión fue liberada a la rama estable el pasado 23 de octubre con algunas novedades, cambios y correcciones. Sin embargo, la semana pasada tuvieron que lanzar una actualización de seguridad para esta versión que cerraba dos graves agujeros de seguridad, uno de ellos siendo ya "aprovechado" por ciberdelincuentes para atacar a los usuarios. Por si fuera poco, ahora Google Chrome vuelve a actualizarse para cerrar 4 brechas de seguridad y os damos todas las claves a continuación.

Google Chrome 78 está disponible desde hace unos días para Windows, Linux y Mac, además de iOS y Android. Esta versión tiene algunas novedades como mejoras en la sección Nueva pestaña, posibilidad de mostrar las webs en modo oscuro en Chrome utilizando el menú de experimentos (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login más información de las pestañas al pasar el ratón por encima o mejoras a nivel de integración con Google Drive.

Además de todo esto, tenemos 37 vulnerabilidad corregidas, siendo una de ellas bastante grave al permitir hacer spoofing de URL en el navegador (CVE-2019-13701). En total, se pagaron más de 35.000 dólares en recompensas. Por desgracia, todo ese trabajo no fue suficiente para detectar hasta 6 vulnerabilidades más que han dado lugar a dos nuevas actualizaciones de urgencia.

La primera de las actualizaciones se lanzó la pasada semana bajo el número de versión 78.0.3904.87. Esta llegó para todos los usuarios con Windows, macOS y Linux. La actualización cierra dos fallos de seguridad relacionados con los componentes de audio de Chrome (CVE-2019-13720) y la librería PDFium (CVE-2019-13721). Ambas son del tipo use-after-free (UAF) permitiendo a un atacante el acceso a la memoria después de ser liberada.

Google Chrome versión 78.0.3904.97, otras 4 brechas de seguridad cerradas

La segunda de las actualizaciones fue lanzada ayer a última hora bajo el número de versión 78.0.3904.97. De nuevo, está disponible para Windows, macOS y Linux. Los usuarios pueden actualizar directamente desde Ayuda > Información de Google Chrome. Ahí podrán comprobar la versión y, en caso de no ser la última, descargar e instalar la actualización. Si vemos el texto "Versión 78.0.3904.97 (Build oficial)" tenemos la última disponible.

Esta actualización cierra 4 brechas de seguridad. El acceso a estas vulnerabilidades y sus detalles ha sido restringido por parte de Google. Esto se hará hasta que la mayoría de los usuarios hayan actualizado a la última versión. También restringirán el acceso a detalles sobre otro error en una librería de terceros que no ha sido solucionado con esta actualización.

Por todo ello, más nos vale actualizar lo antes posible a Google Chrome 78.0.3904.97 para evitar ser víctima de posibles ataques por culpa de la existencia de estas cuatro brechas de seguridad.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los servicios en la nube y las redes están impulsando el concepto de negocios digitales, pero las arquitecturas tradicionales de redes y ciberseguridad están lejos de satisfacer las demandas del negocio digital.

El informe " El futuro de la seguridad de la red está en la nube " de Gartner explica el potencial para la transformación de las redes y la seguridad en la nube, basado en un nuevo modelo de redes y seguridad. Ese modelo se llama Secure Access Service Edge (SASE), un término acuñado por los principales analistas de seguridad de Gartner, Neil MacDonald, Lawrence Orans y Joe Skorupa.

Gartner afirma que SASE tiene el potencial de invertir la red establecida de servicios de seguridad y redes de uno basado en el centro de datos en un diseño que cambia el punto focal de identidad para el usuario y el dispositivo de punto final.

SASE aborda los numerosos problemas que se han descubierto con los métodos tradicionales de ciberseguridad utilizados en la nube. Muchos de esos problemas tienen raíces en la ideología de que las arquitecturas de seguridad de red deben ubicarse en el centro de conectividad en el centro de datos.

Esas aplicaciones heredadas de seguridad de red no pueden soportar de manera eficiente las nuevas ideologías de red y casos de uso, como el cambio a servicios dinámicos, aplicaciones de software como servicio (SaaS) y la tendencia creciente de las empresas a trabajar con datos distribuidos.

Las arquitecturas tradicionales de red y seguridad de red se diseñaron para una era en la que el centro de datos de la empresa era el centro físico de los requisitos de acceso para usuarios y dispositivos. Un modelo que funcionó relativamente bien hasta que el impulso de la transformación digital generó nuevos requisitos.

Con las empresas adoptando procesos comerciales digitales, junto con la informática de punta, los servicios en la nube y las redes híbridas, se hizo evidente que las arquitecturas tradicionales de redes y seguridad comenzaban a fallar en múltiples frentes.

La complejidad general de la arquitectura tradicional introdujo problemas como la latencia, los puntos ciegos de la red, la sobrecarga administrativa excesiva y la necesidad de una reconfiguración constante a medida que cambiaban los servicios. El modelo SASE elimina esos problemas al reducir la complejidad de la red y cambiar el proceso de seguridad a donde puede hacer más bien, la ventaja de la red.

Como una tecnología emergente y disruptiva, Gartner ha duplicado la importancia de SASE, como lo demuestra el informe " Hype Cycle for Enterprise Networking, 2019 " de Gartner , que presenta a SASE como tan estratégico que la tecnología ganó la etiqueta "transformacional". El informe también establece proveedores de muestra y los elementos críticos de SASE.

¿Qué es exactamente SASE?

Según lo definido por Gartner, la categoría SASE consta de cuatro características principales:

Identidad  la identidad del usuario y de los recursos: no solo una dirección IP, determina la experiencia de la red y el nivel de los derechos de acceso. Calidad de servicio, selección de ruta, aplicación de controles de seguridad basados ​​en el riesgo: todo depende de la identidad asociada con cada conexión de red. Este enfoque reduce la sobrecarga operativa al permitir que las empresas desarrollen un conjunto de políticas de redes y seguridad para los usuarios, independientemente del dispositivo o la ubicación.

Arquitectura nativa de la nube: la arquitectura SASE aprovecha las capacidades clave de la nube, que incluyen elasticidad, adaptabilidad, autocuración y auto mantenimiento, para proporcionar una plataforma que amortice los costos entre los clientes para obtener la máxima eficiencia, se adapte fácilmente a los requisitos comerciales emergentes y esté disponible en cualquier lugar .

Admite todos los bordes: SASE crea una red para todos los recursos de la empresa: centros de datos, sucursales, recursos en la nube y usuarios móviles. Por ejemplo, los dispositivos SD-WAN admiten bordes físicos, mientras que los clientes móviles y el acceso de navegador sin cliente conectan a los usuarios en cualquier lugar.

Distribuido globalmente: para garantizar que todas las capacidades de red y seguridad estén disponibles en todas partes y brinden la mejor experiencia posible a todos los bordes, la nube SASE debe distribuirse globalmente. Como tal, señaló Gartner, deben expandir su huella para ofrecer un servicio de baja latencia a los bordes de la empresa.

En última instancia, el objetivo de una arquitectura SASE es hacer que la habilitación segura de la nube sea más fácil de lograr. SASE proporciona una filosofía de diseño que elimina los métodos tradicionales de unir dispositivos SD-WAN , firewalls, dispositivos IPS y muchas otras soluciones de redes y seguridad. En cambio, SASE reemplaza esa mezcla de tecnología difícil de administrar con un servicio SD-WAN seguro y global.

Servicios SASE disponibles

Gartner reconoce que el mercado de SASE está en constante cambio y que ningún proveedor ofrece la cartera completa de capacidades de SASE. Algunos proveedores, como ZScaler, ofrecen firewall como servicio pero carecen de las capacidades SD-WAN (y otras capacidades de seguridad) requeridas por SASE. Otros proveedores ofrecen seguridad como dispositivo, pero no en una red global nativa de la nube.

Lo más parecido a un servicio SASE en funcionamiento que he visto es de Cato Networks. Cato Networks proporciona una red troncal privada global (más de 50 puntos de presencia (PoP) en el último recuento). Los PoP ejecutan la propia arquitectura nativa de la nube de Cato que converge las redes y la seguridad de red. El software Cato es una arquitectura de un solo paso, basada en la nube. Todas las optimizaciones de red, la inspección de seguridad y la aplicación de políticas se realizan con un contexto rico antes de reenviar el tráfico a su destino.



Cato conecta varios "bordes", en el lenguaje de Cato, mediante el establecimiento de túneles encriptados al Cato PoP más cercano. La plataforma conecta ubicaciones a través del dispositivo SD-WAN de Cato, el Cato Socket; usuarios móviles a través del acceso de cliente y sin cliente de Cato; y recursos en la nube a través de la integración "sin agentes" de Cato. Incluso los dispositivos de terceros se pueden conectar estableciendo un túnel IPsec al Cato PoP más cercano.

La identidad y el acceso se unifican en un paradigma fácil de administrar. Ese paradigma permite a las empresas centrarse en las políticas de seguridad, en lugar de los componentes de seguridad y de red, al tiempo que apoya el cambio a una arquitectura global y distribuida, que conecta de forma segura todos los bordes de la red.

SASE: es mucho más que la seguridad bien hecha

SASE es mucho más que un marco de seguridad y un nuevo modelo de red que aplana la pila de acceso en una estructura de conectividad fácil de administrar con la seguridad en su núcleo. Eso hace que una nube SASE sea mucho más ágil ya que todas las funciones convergen juntas.

SASE procesa el tráfico más rápido con menos latencia e incorpora más contexto que otros métodos de redes y seguridad. Como plataforma definida por software, SASE puede adaptarse rápidamente a los cambios, como las reconfiguraciones basadas en la escala o la agilidad. SASE también presenta protecciones de red adicionales, como los conceptos de continuidad del negocio, distribución de carga y tiempo de actividad mejorado.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace un par de años la compañía desarrolladora de videojuegos Rockstar Games, en alianza con la plataforma de ciberseguridad HackerOne, lanzó un programa de recompensas para buscar fallas de seguridad y posibles vectores de hacking en Grand Theft Auto Online. Ahora, expertos en hacking ético reportan que este programa se extenderá a Red Dead Redemption 2 (para PC, PS4 y Xbox One), así como para las versiones móviles de algunos juegos de la compañía.

"Estamos comprometidos con la privacidad y seguridad de la información de nuestros usuarios. Próximamente será lanzando un nuevo programa de recompensas en HackerOne para incentivar la participación de los investigadores y la búsqueda de errores de seguridad potenciales en nuestros productos", menciona el comunicado de la compañía.

La compañía pagará una cuota mínima de 150 dólares a los investigadores que envíen reportes que se ajusten a los parámetros del programa de recompensas. Es importante destacar que el programa está limitado a los reportes de problemas de seguridad en el juego o posibles riesgos de seguridad de la información de los usuarios, por lo que Rockstar Games no contemplará reportes sobre bugs en los juegos, modificaciones de hardware (modding) o métodos para hacer trampa (cheaters).

Según los expertos en hacking ético, Rockstar Games ha expulsado a cientos de usuarios por supuesto comportamiento abusivo en el juego. A pesar de que la compañía afirma que nunca ha expulsado a un usuario de forma incorrecta o arbitraria, el nuevo programa de recompensas contempla un pago de hasta 10 mil dólares para cualquier investigador que reporte una expulsión errónea hecha por los moderadores de la compañía.

Los parámetros para que un reporte sea elegible para recibir una recompensa también fueron actualizados; entre las modificaciones principales se encuentran:

- El reporte debe ajustarse a todos los términos del programa, sin excepción
- El reporte debe referirse a una falla no reportada anteriormente
- En caso de recibir más de un reporte sobre el mismo error, se considerará el reporte que se haya recibido primero
- Las fallas no deben ser divulgadas por ningún medio antes o después de enviar los reportes

Asimismo, los expertos en hacking ético mencionan que la compañía está dispuesta a recibir recomendaciones sobre nuevas medidas de seguridad, pero el programa está completamente enfocado en la búsqueda y solución de errores de seguridad explotables. En otras palabras, las recomendaciones son bienvenidas, pero no son elegibles para recibir recompensas.

Los programas de recompensas por vulnerabilidades han demostrado ser casos de éxito en la lucha contra los hackers que explotan vulnerabilidades en múltiples desarrollos informáticos, por lo que las grandes compañías recurren a este enfoque cada vez en mayor medida. Acorde a expertos en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), durante 2018 Microsoft pagó más de 2 millones de dólares a los investigadores que participaron en sus diversos programas de recompensas por vulnerabilidades. Se estima que la cifra al final de 2019 incrementará considerablemente, pues la compañía extendió su programa a otras áreas, como GitHub, software de código abierto usado por la Unión Europea, entre otros.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los cables de fibra óptica nos han traído velocidades impensables hace una década en nuestros hogares, multiplicando más de 100 veces la velocidad media que se obtenía con ADSL. Sin embargo, los cables son bastante caros por lo difícil y caro de fabricar de la fibra de vidrio, pero un nuevo invento podría abaratar este coste.

Una impresora 3D es capaz de crear cables de fibra óptica

Hablamos de una impresora 3D que es capaz de crear cables ópticos a partir de sílice, que es el mineral usado para crear el vidrio. Gracias a utilizar algo tan mundano y sencillo como una impresora 3D, se simplifica mucho su producción y se reducen los costes de fabricación.

Uno de los motivos por los que algunos operadores están realizando despliegues de fibra tan lentos fuera de España es debido a que la fibra óptica es cara, y muchos operadores prefieren no acometer la inversión que requiere este cableado porque no tienen incentivos. En España, por suerte, la situación es diferente y más del 81% de la población ya tiene acceso a la fibra óptica.

El proyecto ha sido desarrollado por diversas universidades del mundo, aunque principalmente ha sido realizado por dos de Australia y otras dos de China. Los investigadores detallaron una gran parte del proceso actual, que requiere la tediosa labor de girar tubos en un torno, lo cual implica que el núcleo o núcleos de fibra estén centrados con precisión.

Sin embargo, el que han creado utilizando una impresora 3D no requiere que el cable esté centrado al ser tridimensional, eliminando uno de los principales inconvenientes en la fabricación de este tipo de cables.

El proceso de impresión en 3D es conocido como «proyección de luz directa», la cual es una técnica muy exigente e innovadora, donde la impresión de cristal requiere de temperaturas que superan los 1.900 ºC, ya que para obtener vidrio a partir de arena de sílice (SiO2) se requiere superar los 1.500 ºC.

Los cables de fibra óptica resultantes tienen todavía demasiadas imperfecciones

Las impresoras tipo DLP, como la utilizada en el estudio, cuestan cientos o miles de euros y se usan para polimerizar monómeros fotorreactivos. En este caso, introdujeron partículas de sílice junto con el monómero en una proporción superior. La impresión produce un tubo hueco que luego es rellenado por la misma mezcla anterior a la que le añaden un dopante de germanosilicato para aumentar el índice de refracción.


Después de calentarlo para eliminar el aglutinante, las nanopartículas quedan unidas por fuerzas intermoleculares. El aumento de temperatura hace que las partículas queden aún más juntas. Estirando de ahí es de donde se obtenían los filamentos de fibra óptica.

El proceso se ha realizado con una impresora comercial normal y corriente de proyección de luz directa (impresora DLP), aunque la técnica necesita perfeccionarse. Los primeros cables de fibra óptica tienen demasiadas imperfecciones, lo que genera que se pierda mucha luz en el camino y se reduzca su rendimiento. Sin embargo, ya han identificado las causas de ese y otros problemas, además de haber probado ya con éxito algunas soluciones.

En definitiva, esta innovación permitiría fabricar cables de fibra óptica más rápidamente, a menor precio, de manera más segura y requiriendo menos especialización por parte de los trabajadores.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La lucha contra el IPTV pirata está en uno de sus momentos álgidos. A lo largo y ancho del planeta se suceden acontecimientos que buscan terminar con este gran problema para operadoras de televisión de pago, plataforma de streaming y poseedores legítimos de los derechos. Además, la venta de este tipo de suscripciones o listas IPTV ha crecido notablemente gracias al alcance de Internet que nos "conecta" con personas de cualquier parte del planeta. La última al respecto es la posible condena a 3 años de cárcel por vender listas IPTV piratas por 20 euros al mes. Os damos todas las claves tras el salto.

Las diferentes acciones tanto policiales como judiciales contra los servicios de IPTV llevan produciéndose de forma regular en los últimos años, pero desde hace unos meses a esta parte, parece que todo se ha acelerado. Sin duda, el cierre de Xtream Codes, el sistema de gestión utilizado por muchos de estos proveedores y vendedores de servicios IPTV en todo el mundo, marcó un antes y un después. Fue tan sonado ese cierre que incluso hizo caer el tráfico global de IPTV a la mitad durante unos días.

Por desgracia para las operadoras de pago y demás actores del mercado audiovisual, los proveedores y vendedores de servicios IPTV en todo el mundo encontraron rápidamente otras herramientas y reemplazaron la listas m3u a los "clientes" para que pudieran seguir viendo todo el contenido como hasta ahora. Pero eso no fue todo, también fue sonada la retirada de IPTV Smarters, la app más famosa de Android para ver este tipo de contenido. Tras unos días de caos y confusión, la aplicación volvió a estar disponible sin más explicación.

Hasta 3 años de cárcel por vender suscripciones a listas IPTV por 20 euros

Hoy conocemos un nuevo caso de lucha contra la piratería IPTV, en este caso en Francia. En este caso, un vendedor de teléfonos móviles y ordenadores de la localidad de Charleville-Mézières ha sido detenido por vender suscripciones IPTV piratas a los clientes de su tienda.

Concretamente, vendía listas m3u por 20 euros al mes que daban acceso a sus clientes a todos los canales de la plataforma de televisión de pago Canal+. Gracias a ello, consiguió ganar 80.000 euros en dos años, depositando el dinero en la Isla de Man.

Ahora se enfrenta a 3 años de prisión. Este caso nos recuerda en parte al juicio celebrado hace unos días en Valladolid contra los responsables del addon de Kodi conocido como PalcoTv. Finalmente, de los 3 acusados, sólo uno de ellos ha sido condenado a 6 meses de cárcel, muy por debajo de los 2,5 años pedidos tanto por la acusación como por la fiscalía.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Facebook reveló hoy otro incidente de seguridad que admite que aproximadamente 100 desarrolladores de aplicaciones pueden haber accedido incorrectamente a los datos de sus usuarios en ciertos grupos de Facebook, incluidos sus nombres e imágenes de perfil.

En una publicación de blog publicada el martes, Facebook dijo que los desarrolladores de aplicaciones que acceden sin autorización a esta información eran principalmente aplicaciones de gestión de redes sociales y transmisión de video que permitían a los administradores del grupo administrar sus grupos de manera más efectiva y ayudar a los miembros a compartir videos con los grupos, respectivamente.

Para aquellos que no lo saben, Facebook realizó algunos cambios en su API grupal en abril de 2018, un mes después de la revelación del escándalo de Cambridge Analytica., limitando las aplicaciones integradas con un grupo para acceder solo a información, como el nombre del grupo, el número de miembros y el contenido de las publicaciones.

Para obtener acceso a información adicional como nombres e imágenes de perfil de los miembros en relación con las actividades del grupo, los miembros del grupo tuvieron que optar.

Sin embargo, parece que Facebook una vez más no pudo proteger la información de sus usuarios a pesar de que la compañía cambió sus parámetros de acceso a la API del Grupo en abril de 2018.

En una revisión en curso, Facebook dijo que descubrió que los desarrolladores de algunas aplicaciones conservaban la capacidad de acceder a Facebook Información de miembros del grupo de la API de grupos durante más tiempo del previsto por la empresa.

Aunque Facebook no reveló el número total de usuarios afectados por la filtración o si los datos también involucraron a otros Más allá de los nombres y las imágenes de perfil, la compañía aseguró a sus usuarios que detuvo todo acceso no autorizado a los datos y que no encontró evidencia de abuso.

"Aunque no hemos visto evidencia de abuso, les pediremos que eliminen los datos de los miembros que hayan retenido, y realizaremos auditorías para confirmar que se han eliminado", dijo la compañía.

Facebook también cree que la cantidad de desarrolladores de aplicaciones que realmente accedieron a estos datos es menor y disminuyó con el tiempo, ya que dice que de aproximadamente 100 desarrolladores de aplicaciones que retienen el acceso a los datos del usuario a través de la API de Grupos desde los últimos 18 meses, "al menos 11 socios accedieron al grupo información de los miembros en los últimos 60 días ".

En julio, Facebook acordó pagar una multa de $ 5 mil millones como un acuerdo con la Comisión Federal de Comercio (FTC) sobre la estafa de Cambridge Analytica y también aceptó un acuerdo de 20 años con la FTC que impone nuevas pautas sobre cómo manejan las redes sociales la privacidad de sus usuarios y sus datos.

"El nuevo marco bajo nuestro acuerdo con la FTC significa más responsabilidad y transparencia en la forma en que construimos y mantenemos productos", dijo Facebook.

"A medida que continuamos trabajando en este proceso, esperamos encontrar más ejemplos de dónde podemos mejorar, ya sea a través de nuestros productos o cambiando la forma en que se accede a los datos. Estamos comprometidos con este trabajo y apoyamos a las personas en nuestra plataforma".

En las noticias recientes sobre el gigante de las redes sociales, Facebook demandó a la firma israelí de vigilancia móvil NSO Group a fines del mes pasado por su participación en la piratería de usuarios de WhatsApp , incluidos diplomáticos, funcionarios gubernamentales, activistas de derechos humanos y periodistas, utilizando su conocido spyware llamado Pegasus. .


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Pese a haber recibido con antelación información de todo tipo sobre el primer smartwatch desarrollado íntegramente por Xiaomi, aún existían dudas en lo relativo al software del nuevo dispositivo. Ahora, el Xiaomi Mi Watch ya es oficial, y ya lo conocemos todo sobre el que llega para intentar posicionarse como la mejor alternativa existente al Apple Watch en el mercado de los wearables compatibles con Android.

Desde septiembre de este año sabíamos que Xiaomi trabajaba en su primer reloj con Wear OS. No obstante, las dudas de si este smartwatch sería el Mi Watch aparecieronen cuanto Xiaomi hizo oficial su software "MIUI for Watch". Al fin y al cabo, hasta ahora, ningún fabricante había apostado por introducir una capa de personalización sobre WearOS.

Pero una vez más, Xiaomi ha dado la sorpresa. Efectivamente, el Mi Watch llega con un software basado en la plataforma WearOS de Google, que trabaja en unión con la primera versión de MIUI para relojes.


MIUI for Watch: todo sobre la versión de WearOS personalizada por Xiaomi

Antes de entrar de lleno en los detalles de MIUI for Watch, es necesario tener en cuenta que, si hasta ahora ningún otro fabricante había optado por incluir una capa de personalización sobre WearOS, se debe a la decisión de Google de restringir las modificaciones que se pueden realizar sobre el software, para tener así un mayor control sobre la plataforma y evitar problemas de fragmentación como sucede en el sistema operativo principal.


Los fabricantes sí que tienen permitido, en cambio, incluir tantas aplicaciones propias como deseen. Eso nos hace pensar que, en realidad, MIUI for Watch no es más que un conjunto de aplicaciones integradas por Xiaomi en su Mi Watch, que otorgan al software la personalización y las herramientas que la compañía pekinesa nos mostraba durante la presentación de su reloj.

Dicho esto, ya podemos examinar todo lo que incluye MIUI for Watch. Como la compañía especifica en su web oficial, el del Mi Watch es un software basado en WearOS y cargado de versiones optimizadas de las herramientas típicas que podemos encontrar en los móviles de la marca, tales como Notas, El Tiempo, Maps o Tareas, entre muchas otras –en total son 40 las apps preinstaladas por Xiaomi–.


Tampoco falta el asistente inteligente XiaoAI, aunque el hecho de solo estar disponible en idioma chino no lo hace precisamente un aliciente para el público occidental que estuviera pensando hacerse con el reloj.

Xiaomi también se preocupa por la personalización, y por ello introduce un total de 100 esferas diferentes con las que personalizar la pantalla de inicio del reloj, muchas de ellas totalmente configurables para mostrar distintos tipos de información.

Pero no todo es nuevo. El software del Mi Watch hereda algunos componentes del sistema operativo para relojes de Google, como es el caso del panel de ajustes rápidos, accesible al deslizar de arriba hacia abajo en la pantalla principal del reloj. También es similar la apariencia de las notificaciones, mostradas en tarjetas, así como la interfaz del cajón de aplicaciones, en el que será posible desplazarse tanto a través de la pantalla táctil, como con la corona giratoria lateral del reloj.

Como cualquier otro reloj basado en la plataforma de Google, para sincronizar el reloj con un smartphone Android o un iPhone será necesario instalar la app de WearOS. No obstante, Xiaomi también ha desarrollado una herramienta complementaria, Xiaomi Wear, que pronto debería estar disponible para su descarga a través de Google Play Store.

Aunque de momento el Xiaomi Mi Watch solo ha sido anunciado en China, el hecho de que Xiaomi haya decidido apoyarse en un servicio de Google en lugar de apostar por una alternativa propia sugiere que, tarde o temprano, el smartwatch de Xiaomi acabará aterrizando en el resto de regiones. De hecho, no sería de extrañar que la compañía fuera a presentar la versión global de su reloj en el mismo evento donde anunciará el nuevo Xiaomi Mi Note 10.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Arne Exton es un desarrollador cuya fama le viene, en parte, porque hace cosas algo especiales. Es el responsable de sistemas operativos como RaspEX, una alternativa para la Raspberry cuya última versión estuvo basada en Eoan Ermine cuando éste aún estaba en fase beta (o incluso antes). También desarrolla una versión de Android para ordenadores y Raspbian Pixel, lo que no es otra cosa que el sistema operativo de Raspberry Pi, basado en Debian, para ordenadores PC y Mac.

La última versión de Raspbian Pixel, o más concretamente Rasbperry Pi Debian 10 Pixel para ordenadores, ha llegado con la numeración 191102, lo que significa que es la versión del dos de noviembre de 2019. La novedad más destacada es que esta entrega pasa a estar basado en Debian 10 Buster, la versión del sistema operativo Project Debian que fue lanzada en julio de este año

Novedades más destacadas de Raspbian Pixel 191102

- Basado en Debian 10 Buster.
- Disponible con dos kernels diferentes Linux 4.19 para sistemas PAE (4.19.0-6-686-pae) y no PAE (4.19.0-6-686).
- Incluye Firefox como navegador web.
- Se ha incluido NetworkManager y Wicd para configurar conexiones a redes.
- Instalado por defecto Refracta Snapshot en su última versión (10.2.9) acompañado por Refracta Installer 9.5.3.
- Firefox se ha instalado para que tenga un navegador cuando inicie sesión como root. No puedes ejecutar Chromium como root. Otra cosa buena de Firefox es que puedes usarlo para ver películas de Netflix.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login