Un pirata informático anónimo reveló hoy públicamente detalles y código de explotación de prueba de concepto para una vulnerabilidad de ejecución remota de código de día cero sin parches en vBulletin, uno de los softwares de foros de Internet más utilizados, según ha aprendido The Hacker News.
Una de las razones por las cuales la vulnerabilidad debe verse como un problema grave no es solo porque es explotable de forma remota, sino que tampoco requiere autenticación.

Escrito en PHP, vBulletin es un paquete de software de foro de Internet patentado ampliamente utilizado que impulsa más de 100,000 sitios web en Internet, incluidos Fortune 500 y Alexa Top 1 millón de sitios web y foros de empresas.

Según los detalles publicados en la lista de correo de Full Disclosure, el pirata informático afirma haber encontrado una vulnerabilidad de ejecución remota de código que parece afectar las versiones de vBulletin 5.0.0 hasta la última 5.5.4.

The Hacker News ha verificado independientemente que la falla funciona, como se describe, y afecta la última versión del software vBulletin, que eventualmente deja a miles de sitios web de foros en riesgo de piratería.

La vulnerabilidad reside en la forma en que un archivo de widget interno del paquete de software del foro acepta configuraciones a través de los parámetros de URL y luego las analiza en el servidor sin las comprobaciones de seguridad adecuadas, lo que permite a los atacantes inyectar comandos y ejecutar código de forma remota en el sistema.



Como prueba de concepto, el pirata informático también ha lanzado un exploit basado en python que podría facilitar que cualquiera explote el día cero en la naturaleza.

Hasta ahora, el número de vulnerabilidades y exposiciones comunes (CVE) no se ha asignado a la vulnerabilidad.

The Hacker News también ha informado a los responsables del proyecto vBulletin sobre la divulgación de la vulnerabilidad y espera que corrijan el problema de seguridad antes de que los hackers comiencen a explotarlo para apuntar a las instalaciones de vBulletin.
Un investigador independiente de seguridad cibernética analizó la razón principal de esta vulnerabilidad y publicó detalles poco después de que The Hacker News publicara el artículo.

Mientras tanto, un usuario de GitHub también lanzó un script simple que podría permitir a cualquier persona escanear Internet para encontrar sitios web de vBulletin usando el motor de búsqueda Shodan y buscar automáticamente sitios vulnerables.

Actualizaremos el artículo e informaremos a los lectores a través de las redes sociales tan pronto como tengamos noticias de los encargados de mantener vBulletin.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Son muchos los trucos y técnicas que utilizan los piratas informáticos para infectar a las víctimas en Internet. Utilizan diferentes métodos para llevar a cabo ataques y distribuir malware. Hoy nos hacemos eco de una nueva campaña para distribuir Emotet. Se hace pasar por un nuevo libro de Snowden y en realidad tienen como objetivo distribuir este peligroso malware y poner en riesgo la privacidad y seguridad de los usuarios. Explicamos cómo actúa y qué podemos hacer para protegernos.

Usan un supuesto libro de Snowden como cebo para distribuir Emotet

Cuando hablamos de Emotet no nos referimos a un nuevo malware, ni mucho menos. Se trata de uno de los troyanos más poderosos de los últimos años. Ha estado presente en múltiples campañas y ha afectado a la seguridad de los usuarios en múltiples dispositivos y sistemas operativos.

Básicamente estamos ante un troyano que puede actuar para robar credenciales y contraseñas bancarias, por ejemplo. A lo largo del tiempo se ha distribuido a través de diferentes campañas y métodos.

Hay que mencionar que Emotet ha estado inactivo los últimos meses. Como sabemos, normalmente suele distribuirse a través del correo electrónico. Simula ser una factura impagada, un archivo de Word importante o cualquier otro documento que pueda atraer la curiosidad de la víctima. Una vez se descarga y se abre es cuando actúa.

Ahora está utilizando un nuevo método, una nueva campaña, para distribuirse. Concretamente se hace pasar por un nuevo libro de Edward Snowden. Llega a través del correo electrónico. Es una campaña que está presente en varios idiomas, entre los que se encuentra el español. Por tanto es posible que muchos lectores puedan recibir en su bandeja de correo electrónico un e-mail donde se informa de un supuesto nuevo libro de Snowden. Realmente es una estafa y detrás se encuentra Emotet.

En caso de que un usuario abra el archivo, según indican investigadores de seguridad Malwarebytes, aparecerá un mensaje informando que Word no se ha activado y que hay que habilitar la edición o contenido. Es justo al habilitar eso cuando se ejecuta una macro maliciosa con un comando que permite descargar el malware.

Cuando este troyano se ha descargado se ejecutará en segundo plano y podrá descargar e instalar más malware en el sistema.



Cómo evitar ser víctima de esta amenaza

Lo primero y más importante es el sentido común. Por suerte este tipo de amenazas requiere de la interacción del usuario. Eso significa que aunque recibamos el troyano por e-mail necesitaremos descargarlo y ejecutarlo. Si no lo hacemos no hay de qué preocuparse. Por ello es importante saber detectar este tipo de amenazas, nunca descargar o abrir archivos adjuntos de correos desconocidos, así como acceder a links que puedan ser fraudulentos.

Además es importante siempre contar con software de seguridad. Un buen antivirus puede ayudarnos a detectar amenazas y evitar que pongamos en riesgo nuestra privacidad. Ya sabemos que existen herramientas tanto gratuitas como de pago.

Por otra parte, muchos tipos de amenazas se basan en vulnerabilidades existentes. Es vital tener siempre los sistemas y equipos actualizados y con los últimos parches instalados. Solo así podremos evitar que un ciberdelincuente pueda explotar un fallo de seguridad.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Facebook compra CTRL-Labs, una startup que busca controlar ordenadores con una pulsera en nuestra muñeca

Facebook ha anunciado que va a comprar CTRL-Labs, una startup de Nueva York centrada en las interfaces cerebro-máquina, es decir, en permitir que los humanos controlemos ordenadores y otros dispositivos mediante el pensamiento, y en su caso concreto, mediante una pulsera colocada en la muñeca.

Según CNBC, las cifras de la operación ha estado entre 500 y 1.000 millones de dólares, y según les ha contado un portavoz de Facebook, el trato se ha alcanzado por debajo de los 1.000 millones.

Andrew Bosworth, vicepresidente de Realidad Virtual y Aumentada en Facebook, se ha hecho eco de la compra en un comunicado en la red social:

Pasamos mucho tiempo intentando que nuestra tecnología haga lo que queremos en lugar de disfrutar de la gente que nos rodea. Sabemos que hay formas más naturales e intuitivas de interactuar con los dispositivos y la tecnología. Y queremos construirlos. Es por eso que hemos acordado adquirir CTRL-Labs. Se unirán a nuestro equipo de Facebook Reality Labs donde esperamos construir este tipo de tecnología, a escala, y convertirla en productos de consumo más rápido.

La visión de este trabajo es una pulsera que permite a las personas controlar sus dispositivos como una extensión natural del movimiento. Así es como funcionará: tú tienes neuronas en la médula espinal que envían señales eléctricas a los músculos de la mano diciéndoles que se muevan de maneras específicas, tales como hacer click en un ratón o presionar un botón. La pulsera decodificará esas señales y las traducirá en una señal digital que su dispositivo pueda entender, lo que le permitirá tener control sobre su vida digital. Captura tu intención para que puedas compartir una foto con un amigo usando un movimiento imperceptible o simplemente, bueno, con la intención de hacerlo.

Tecnología como ésta tiene el potencial de abrir nuevas posibilidades creativas y reimaginar las invenciones del siglo XIX en un mundo del siglo XXI. Así es como se verán nuestras interacciones en realidad virtual y realidad aumentada algún día. Puede cambiar la forma en que nos conectamos.

Se trata de la compra más grande de Facebook en los últimos años, tras adquirir Oculus en 2014, compañía a cuyos productos quiere potenciar Facebook con esta compra según se extra del mensaje de Bosworth. En un momento en que la realidad virtual o la aumentada están decayendo en interés tras la explosión de hace tres o cuatro años, Facebook demuestra que sigue trabajando por potenciarla, aunque puede haber intereses en otras direcciones.

La tecnología de CTRL-Labs encaja en otros planes de Facebook



Durante el F8 de 2017, Facebook anunció que estaba trabajando en que escribiéramos con la mente y escuchásemos con la piel para, por ejemplo, alcanzar las 100 palabras por minuto sin necesidad de teclear. Esto, por ejemplo, supondría escribir cinco veces más rápido que un smartphone. Para personas como Nita Farahany, profesora de la Universidad de Duke y especializada en neuroética, avances como estos suponen que estemos a punto de cruzar la última frontera de la privacidad en ausencia de cualquier tipo de protección.

Habrá tiempo de ver cómo CRTL-Labs complementa o añade capacidades al antiguo proyecto de Building 8, ahora enmarcado en el Reality Labs, pero la tecnología de muñeca resulta muy prometedora para controlar, por ejemplo, los dos modelos de gafas de realidad aumentada que se ha filtrado que Facebook está desarrollando junto con Ray-Ban.

Volviendo a CTRL-Labs, es interesante que entre su equipo de fundadores se encuentra Thomas Reardon, que inició el proyecto de desarrollo de Internet Explorer y estuvo hasta la versión cuatro. Por ejemplo implementó la primera versión de CSS en Internet Explorer 3, y suya fue la idea de lanzar el navegador con Windows. También fue miembro fundador del World Wide Web Consortium (W3C). Es neurocientífico, y confundó CRTL-Labs en 2015 con Patrick Kaifosh.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft corrige de emergencia dos fallos críticos de Internet Explorer y Microsoft Defender en todas las versiones de Windows

El equipo de respuesta de seguridad de Microsoft anunció el lanzamiento de parches de emergencia para todas las versiones de Windows con soporte debido a dos vulnerabilidades importantes en Internet Explorer y Microsoft Defender (antes llamado Windows Defender).

En el caso de Internet Explorer el problema es de especial importancia puesto que como ha indicado Microsoft en su portal de seguridad, ha sido explotado de forma activa, aunque no han ofrecido más detalles al respecto.

La vulnerabilidad identificada como CVE-2019-1255 afecta al antivirus Microsoft Defender que viene incluido por defecto en Windows 10. Se trata de una vulnerabilidad de denegación de servicio que puede ser explotada por un atacante para impedir la ejecución de binarios legítimos del sistema, y ha sido corregida asegurándose de que Microsoft Defender maneje correctamente los archivos.

Los parches han sido emitidos para Windows 10 (todas las versiones con soporte), Windows 8.1, Windows 7, las versiones de Windows Server con soporte actual.

El navegador que ya no es navegador, solo un problema



La vulnerabilidad identificada como CVE-2019-1367 permite la ejecución remota de código aprovechando la forma en que el motor de scripting maneja los objetos de la memoria en Internet Explorer. El fallo podría corromper la memoria de tal manera que un atacante puede ejecutar código arbitrario y obtener los mismos privilegios de usuario que el usuario actual.

Si el usuario tiene privilegios administrativos, el atacante podría tomar el control del sistema afectado para instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los privilegios de usuario.

El problema afecta a Internet Explorer 9, 10, y 11 y los parches han sido emitidos para Windows 7, Windows 8.1, y todas las versiones con soporte actual de Windows 10 (1709, 1803, 1809, y 1903). Debido a la severidad del problema y que estaba siendo explotado, Microsoft ha lanzado parches de emergencia fuera de su agenda acostumbrada.

Aunque el uso de Internet Explorer ha venido siendo desaconsejado durante años y años, e incluso la misma Microsoft recientemente pidió de forma explicita que dejaran de usarlo explicando que ya no era un navegador sino una solución de compatibilidad, el infame IE aún cuenta con más del 4% de cuota de mercado.

Pudiera parecer muy poco, pero es la misma cuota que tiene Microsoft Edge, está muy cerca de Safari y es mucho más de lo que alcanzan soluciones alternativas como Opera, Brave o Vivaldi. Si conoces a alguien que aún lo usa, por favor, ruégale que se detenga. Y si lo necesitan por alguna razón, el Microsoft Edge basado en Chromium permite ejecutarlo en una pestaña segura.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se acaba de anunciar la liberacion de la nueva versión estable de la distribución de seguridad informática Parrot Security OS llegando esta a su versión 4.7 la cual ya esta disponible la nueva imagen para su descarga al publico en general. Esta nueva versión de Parrot Security OS 4.7 llega con nuevas mejoras, correcciones de errores y de seguridad y sobre todo un montón de actualizaciones nuevas de la base del sistema.

Para aquellos lectores que aún no conozcan la distribución les puedo decir que Parrot Security es una distribución de Linux basada en Debian desarrollado por el Frozenbox Team y esta distro tiene un enfoque en la seguridad informática.

Está diseñado para pruebas de penetración, evaluación y análisis de vulnerabilidades, análisis forense de computadoras, navegación web anónima, y practicar criptografía.

Parrot OS está destinado a proporcionar herramientas de prueba para pruebas penetración equipadas con diferentes tipos de herramientas para que el usuario las pruebe en su laboratorio.

Parrot se basa en la rama de pruebas (stretch) de Debian, con un núcleo Linux personalizado. Sigue un modelo de desarrollo de lanzamiento móvil.

El entorno de escritorio que utiliza la distribución de Linux Parrot OS es MATE, y el administrador de pantalla predeterminado es LightDM.

Principales novedades de Parrot 4.7

En este nuevo lanzamiento de Parrot OS 4.7 se destaca que la estructura del menú fue rediseñada con utilidades para pruebas de seguridad. Las utilidades ahora se dividen usando una estructura jerárquica.

También se destaca la adición de un nuevo modo de inicio de aplicaciones opcionalmente incluido en modo de aislamiento del resto del sistema (el aislamiento se realiza a través de firejail y apparmor).

Mientras que para la parte del sistema, podremos encontrar que el entorno de escritorio del sistema que es MATE se ha actualizado a la versión 1.22.

Por la parte del Kernel de Linux, se ha actualizado a la versión 5.2 junto con lo cual se recibieron las mejoras para los siguientes firmwares:

- firmware-iwlwifi
- firmware-realtek
- firmware-ti-connectivity
- firmware-amd-graphics
- firmware-myricom
- firmware-atheros
- firmware-libertas
- firmware-netxen
- firmware-intelwimax
- firmware-linux-nonfree
- firmware-brcm80211
- firmware-qlogic
- firmware-misc-nonfree
- firmware-bnx2x
- firmware-linux
- firmware-bnx2

En cuanto a los demás componentes del sistema también se añadieron sus versiones actualizadas, incluidos Firefox, radare2, cutter, etc.

En relación con los próximos planes para convertir a Parrot en una distribución general (preparada por Parro Home), que no se limita a las pruebas de seguridad, se decidió cambiar el sitio principal del proyecto de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

El proyecto también se está preparando para crear una rama LTS, por lo que se ha cambiado el nombre del repositorio actual de "stable" a "rolling" (para los usuarios, la transición es transparente y no requiere cambios manuales).

Descargar y probar Parrot OS 4.7
Para quienes estén interesados en poder descargar esta nueva versión de la distribución pueden dirigirse directamente al sitio web oficial del proyecto en el cual en su sección de descargas podrán encontrar la imagen del sistema.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Puedes grabar la imagen con ayuda de Etcher en un USB.

Por otro lado, si ya cuentas con una versión de Parrot OS de la rama 4.x, puedes realizar una actualización de tu sistema sin tener que volver a reinstalarlo en tu equipo.

Para ello simplemente debes de abrir una terminal y en ella ejecutar los siguientes comandos:

1 | sudo parrot-upgrade

O puedes utilizar estos:

1 | sudo apt update
2 |
3 |sudo apt full-upgrade

Este proceso demorara un poco de tiempo dado que tiene que descargar todos los paquetes primero y después los actualizara. Por lo que puedes tomarte un rato de relajación.

Al finalizar el proceso basta con que reinicies tu equipo para que todos los cambios sean guardados y puedes iniciar tu sistema con todos los paquetes actualizados y el nuevo Kernel de Linux de esta versión de Parrot OS 4.7.

Para verificar que ya cuentas con el nuevo Kernel basta con teclear en la terminal:

1 | uname -r

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ya fue liberada al publico en general la versión beta de KDE Plasma 5.17 con lo cual los usuarios entusiastas podrán realizar las pruebas pertinentes y poder apoyar en la detección de errores. Esta nueva beta de KDE Plasma 5.17 trae diversas mejoras entre las cuales se destacan los cambios para varios componentes del entorno, así como también las mejoras a estos y sobre todo la solución de errores.

Uno de los cambios más destacados es en el gestor de ventanas KWin el cual ha mejorado el soporte para pantallas de alta densidad de píxeles (HiDPI) y ha agregado soporte de escalado fraccional para sesiones de escritorio Plasma basadas en Wayland.


Esta característica permite elegir el tamaño óptimo de los elementos en pantallas con una alta densidad de píxeles, por ejemplo, puede aumentar los elementos de la interfaz mostrados no 2 veces, sino 1.5.

El tema Breeze GTK se ha actualizado para mejorar la visualización de la interfaz Chromium Chrome en el entorno de KDE (por ejemplo, las pestañas activas e inactivas ahora son visualmente diferentes). El esquema de color se aplica a las aplicaciones GTK y GNOME. Al usar Wayland, se hizo posible cambiar el tamaño de los paneles de encabezado GTK en relación con los bordes de la ventana.

Se ha actualizado la interfaz para ajustar la iluminación nocturna, que ahora está disponible cuando se trabaja sobre X11.



También en KWin se proporciona el desplazamiento correcto con la rueda del mouse en un entorno basado en Wayland.

Mientras que para X11, se ha agregado la capacidad de usar la tecla Meta como modificador para cambiar ventanas (en lugar de Alt + Tab), asi como también una opción que restringe el uso de la configuración de la pantalla solo a la ubicación actual de la pantalla en configuraciones de monitores múltiples.

En el efecto "Present Windows", se ha agregado compatibilidad para cerrar ventanas con un clic medio del mouse.

Otro de los cambios para esta beta de Plasma 5.17 es que se modificó la interfaz de los configuradores de pantalla, el consumo de energía, el protector de pantalla de inicio, los efectos en el escritorio, el bloqueo de pantalla, las pantallas táctiles, las ventanas, la configuración avanzada de SDDM y la activación de acciones al pasar el cursor sobre las esquinas de la pantalla.

La configuración para el diseño de la página de inicio de sesión (SDDM) se expande, para lo cual ahora puede especificar su propia fuente, combinación de colores, conjunto de iconos y otras configuraciones.

Se ha agregado un modo de suspensión de dos etapas, en el que el sistema se pone primero en modo de espera y después de algunas horas en modo de suspensión.

Para el caso de Discover se han implementado los indicadores correctos del progreso de las operaciones. Informe mejorado de errores debido a problemas de conectividad de red.

De los demás cambios que se destacan:

- En la sección de configuración del sistema, se muestra la información básica sobre el sistema
- Para las personas con discapacidad, se agregó la capacidad de mover el cursor usando el teclado
- Se agregó la capacidad de cambiar el esquema de color para los encabezados en la página de configuración de color
- Se agregó la capacidad de asignar una tecla de acceso rápido global para apagar la pantalla.
- Se agregaron íconos en la barra lateral e íconos para aplicaciones instantáneas.
- En las notas adhesivas, por defecto, los elementos de formato de texto se borran al pegar desde el portapapeles
- En Kickoff, en la sección de documentos abiertos recientemente, también se proporciona la visualización de documentos abiertos en aplicaciones Gnome/GTK
- Se agregó una sección para configurar equipos con interfaz Thunderbolt al configurador

Finalmente para los que estén interesados en probar esta versión beta pueden probar la nueva versión a través de la compilación Live desde el proyecto openSUSE y las compilaciones desde el proyecto de edición KDE Neon Testing.

Los paquetes para varias distribuciones se pueden encontrar en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. El lanzamiento se espera para el 15 de octubre.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una auténtica locura ¿verdad? El título ya parece una broma, pero lo ha comentado alguien que no suele decir demasiadas estupideces y que conoce bien la industria. De hecho, fue la misma persona que me comunicó que Linus Torvalds volvería tras su cese temporal al mando de Linux en la versión Linux 4.20 y así fue. Justo tras anunciar la versión 4.19 del kernel, Torvalds tomó de nuevo el control de su proyecto. Me estoy refiriendo a Steven J. Vaughan-Nichols, para quienes no lo conozcan...

Y ahora se ha atrevido con algo tan fuerte como esta noticia. ¿Acertará nuevamente? Lo cierto es que sea cierto o no, esta noticia les gustaría a muchos al igual que alarmaría a otros tantos. Pero que el próximo Windows 11 esté basado en el kernel Linux en vez de en el kernel Windows NT de Microsoft, sería una noticia mucho más impactante que la de Richard Stallman dando un discurso en la sede de Microsoft.

Steven se basa en que los numerosos problemas de Windows 10 en el que van a disgusto casi por actualización tienen un problema de base complicado de resolver. Los numerosos releases de Windows 10 han traído desde problemas que evitan que ciertos equipos arranquen, otras actualizaciones que dejan la conexión WiFi inservible, otra que eliminaba archivos sin tu consentimiento de ciertas carpetas, y un largo etc., que no parece cesar.

Ayer al conocer esta noticia bromeaba con un amigo sobre si Linux vendrá a corregir los problemas de Microsoft Windows o si Microsoft llegará para estropear a Linux. Pero fuera de bromas, vamos a lo que ha comentado Steven para hacer esa suposición. Él piensa que ante problemas tan graves como los que tiene Windows 10, quizás sea necesario tomar medidas desesperadas. ¿Esto sería bueno para el mundo Linux? Yo sinceramente lo dudo, y preferiría que todo siga como está, porque podría llevarse por delante a muchos proyectos de distros...

Steven ha jugado con esta idea desde hace muchos años, pero ahora parece que se la está tomando más en serio debido a los últimos acontecimientos. Para los usuarios no habría cambio alguno, el próximo Windows no tendría cambios, excepto que el kernel que lo mueve todo sería Linux y no NT. Eso significaría todo el software nativo funcionando sobre Linux. Pero personalmente veo varios problemas a esto, por un lado que es probable que no haya ese tal Windows 11 debido a la política actual de actualizaciones como un rolling-release de Microsoft.

Por otro lado, que portar todo el software para funcionar sobre Linux sería un esfuerzo brutal. Aunque para eso, dice Steven que ya hay proyectos muy avanzados. Se basa en que WSL (Windows Subsystem Linux) ya está ahí, y también proyectos como Wine y otras implementaciones como la de CrossOver y Valve Proton para Steam. Eso ya cuenta con gran cantidad de llamadas al sistema o syscalls "traducidas" para funcionar sobre Linux.

Actualmente, proyectos como los citados no funcionan del todo finos porque Microsoft tiene el código cerrado de su API y no cuentan con funcionalidad plena. Pero si Microsoft aportase lo que le falta a la maquinaria como Wine, tendría lo necesario para "engrasarla" y que el software nativo funcionase a las mil maravillas. Esto por otro lado podría ser beneficioso colateralmente con GNU/Linux debido a lo que aportaría, pero también destructivo si logra captar la atención de los usuarios que ahora ejecutan alguna distro GNU/Linux.

Sea como sea, esto no es un hecho actualmente. Y aunque Linux sea el más usado en la plataforma de Microsoft Azure, y aunque hayan abierto mucho código, lanzado algunas herramientas para Linux, comprado GitHub, aportado código al kernel Linux, e incluso sean miembros de la Linux Foundation, será que el futuro va por ahí o más bien el futuro está en la nube...


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Dos extensiones de Google Chrome Adblocker ampliamente utilizadas , que se hacen pasar por las extensiones originales - AdBlock y uBlock Origin - en Chrome Web Store, han sido atrapadas rellenando cookies en el navegador web de millones de usuarios para generar ingresos de afiliados de manera fraudulenta.

No hay duda de que las extensiones web agregan muchas funciones útiles a los navegadores web, lo que hace que su experiencia en línea sea excelente y ayuda a la productividad, pero al mismo tiempo, también representan grandes amenazas tanto para su privacidad como para su seguridad.

Al ser el enlace más débil con sobrepeso en el modelo de seguridad del navegador, las extensiones se ubican entre la aplicación del navegador e Internet, desde donde buscan los sitios web que visita y, posteriormente, pueden interceptar, modificar y bloquear cualquier solicitud.

Además de las extensiones que se crean a propósito con intenciones maliciosas , en los últimos años también hemos visto que algunas de las extensiones legítimas más populares de Chrome y Firefox se vuelven deshonestas después de obtener una base de usuarios masiva o ser pirateadas.

Descubiertos por investigadores de Adguard, las dos extensiones de Chrome recién mencionadas que se mencionan a continuación se encontraron usando los nombres de dos extensiones de bloqueo de anuncios reales y muy populares en un intento de engañar a la mayoría de los usuarios para que las descarguen.

- AdBlock de AdBlock, Inc - más de 800,000 usuarios

- uBlock de Charlie Lee: más de 850,000 usuarios

Aunque estas extensiones estaban funcionando completamente como cualquier otro bloqueador de anuncios al eliminar anuncios de las páginas web que visita un usuario, los investigadores los vieron realizando " Relleno de cookies " como un esquema de fraude publicitario para generar ingresos para sus desarrolladores.

¿Qué es el esquema de fraude publicitario de relleno de cookies?

Cookie Stuffing, también conocido como Cookie Dropping, es uno de los tipos más populares de esquemas de fraude en el que un sitio web o una extensión de navegador deja caer un puñado de cookies afiliadas en el navegador web de los usuarios sin su permiso o conocimiento.

Estas cookies de seguimiento de afiliados luego realizan un seguimiento de las actividades de navegación de los usuarios y, si hacen compras en línea, los rellenadores de cookies reclaman comisiones por ventas que en realidad no tuvieron parte en hacer, robando potencialmente el crédito por la atribución de otra persona de manera fraudulenta.

Se encontró que las dos extensiones de bloqueo de anuncios descubiertas por los investigadores enviaban una solicitud a una URL para cada nuevo dominio que los usuarios visitaban después de instalarse durante aproximadamente 55 horas en un intento de recibir enlaces de afiliación de los sitios que los usuarios visitaban.

Las dos extensiones, con 1,6 millones de usuarios activos, estaban rellenando cookies de 300 sitios web de los sitios web más populares de Alexa Top 10000, incluidos teamviewer, microsoft, linkedin, aliexpress y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que potencialmente generaban millones de dólares al mes para sus desarrolladores, según los investigadores

"En realidad, tiene un lado positivo. Ahora que se descubre este esquema de fraude, los propietarios de los programas de afiliados pueden seguir el rastro del dinero y descubrir quién está detrás de este esquema", dijeron los investigadores .
"Otra cosa interesante acerca de esta extensión es que contiene algunos mecanismos de autoprotección. Por ejemplo, detecta si la consola del desarrollador está abierta, cesa toda actividad sospechosa de una vez".

Google eliminó ambas extensiones de bloqueador de anuncios de Chrome Web Store

A pesar de recibir múltiples informes sobre cómo estas extensiones engañan a los usuarios en los nombres de otras extensiones más populares, Google no las eliminó de Chrome Web Store, ya que la política de Google permite que varias extensiones tengan el mismo nombre.

Sin embargo, después de que los investigadores de AdGuard informaron sus hallazgos sobre el comportamiento malicioso de las dos extensiones, el gigante tecnológico eliminó ambas extensiones maliciosas de Google Chrome Store.

Dado que la extensión del navegador toma permiso para acceder a todas las páginas web que visita, puede hacer prácticamente cualquier cosa, incluido el robo de las contraseñas de sus cuentas en línea . Por lo tanto, siempre se recomienda instalar la menor cantidad posible de extensiones y solo de empresas en las que confíe.

Antes de instalar cualquier extensión o aplicación en su teléfono móvil, pregúntese siempre: ¿realmente lo necesito?


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha lanzado una actualización de software urgente para su navegador web Chrome y está instando a los usuarios de Windows, Mac y Linux a actualizar la aplicación a la última versión disponible de inmediato.

Comenzó a implementarse para los usuarios de todo el mundo este miércoles, la versión Chrome 77.0.3865.90 contiene parches de seguridad para 1 vulnerabilidad de seguridad crítica y 3 de alto riesgo, la más grave de las cuales podría permitir a los piratas informáticos remotos tomar el control de un sistema afectado.

Google ha decidido mantener en secreto los detalles de las cuatro vulnerabilidades durante unos días más para evitar que los hackers los exploten y dar a los usuarios el tiempo suficiente para instalar la actualización de Chrome.

Por ahora, el equipo de seguridad de Chrome solo ha revelado que las cuatro vulnerabilidades son problemas sin uso en diferentes componentes del navegador web, como se menciona a continuación, lo que podría provocar ataques de ejecución remota de código.

La vulnerabilidad de uso posterior libre es una clase de problema de corrupción de memoria que permite la corrupción o modificación de datos en la memoria, lo que permite a un usuario sin privilegios escalar privilegios en un sistema o software afectado.

Vulnerabilidades modificadas por Chrome 77.0.3865.90

- Use-after-free en UI (CVE-2019-13685) - Reportado por Khalil Zhani

- Use-after-free en los medios (CVE-2019-13688) - Reportado por Man Yue Mo del Equipo de Investigación de Seguridad Semmle

- Use-after-free en los medios (CVE-2019-13687) - Reportado por Man Yue Mo del Equipo de Investigación de Seguridad Semmle

- Use-after-free en páginas fuera de línea (CVE-2019-13686) - Reportado por Brendon Tiszka

Google ha pagado un total de $ 40,000 en recompensas a Man Yue Mo de Semmle por las vulnerabilidades ($ 20,000 por CVE-2019-13687 y $ 20,000 por CVE-2019-13688), mientras que las recompensas de errores por las dos vulnerabilidades restantes aún no se han establecido. decidido.

La explotación exitosa de estas vulnerabilidades podría permitir que un atacante ejecute código arbitrario en el contexto del navegador con solo convencer a las víctimas de que solo abran o redirijan a una página web especialmente diseñada en el navegador Chrome afectado, sin requerir ninguna interacción adicional. Según las divulgaciones anteriores, la falla de uso libre posterior también podría conducir a la divulgación de información confidencial, eludir las restricciones de seguridad, acciones no autorizadas y causar condiciones de denegación de servicio, dependiendo de los privilegios asociados con la aplicación.

Aunque Google Chrome notifica automáticamente a los usuarios sobre la última versión disponible, se recomienda a los usuarios que activen manualmente el proceso de actualización yendo a "Ayuda → Acerca de Google Chrome" en el menú.
Además de esto, también se recomienda ejecutar todo el software en sus sistemas, siempre que sea posible, como un usuario no privilegiado para disminuir los efectos de los ataques exitosos que explotan cualquier vulnerabilidad de día cero.

Le actualizaremos más sobre estas vulnerabilidades de seguridad tan pronto como Google publique sus detalles técnicos.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Huawei presentó ayer en Munich sus nuevos smartphones Huawei Mate 30 (y 30 Pro) que, a raíz del conflicto entre EE.UU. y China, llegan al mercado con una versión 'libre' de Android: es decir, la versión conocida como AOSP que se caracteriza por carecer de las aplicaciones de Google preinstaladas. Y eso incluye, claro, al Asistente de Google.

Pero los usuarios de los Mate 30 tendrán acceso desde el primer momento a su propio Huawei Assistant, una de las apps integradas en los Huawei Mobile Services que sustituyen a las aplicaciones de Google, y que en este caso suple las funciones no sólo del asistente, sino también de la aplicación de Google y de Discover. Así, ofrecerá recomendaciones, noticias y notificaciones en tiempo real, organizadas en 'smart cards'.

Un asistente que no encontrarás en la Google Play Store

Su desventaja frente a Google Assistant o Siri radica en que no funciona a través de comandos de voz, de modo que tendremos que deslizar el dedo por la pantalla -1 para activarlo y usar sus cuatro principales funcionalidades.



- Búsqueda: Además de ser el sistema de búsqueda web por defecto, permitirá buscar información dentro del propio smartphone, como las aplicaciones instaladas, las notas, los correos electrónicos y las entradas del calendario.

- Instant Access: Esta funcionalidad es una herramienta de accesos directos que nos permite, por ejemplo, acceder a nuestras fotos favoritas o a las listas de reproducción del dispositivo. Huawei promete que la experiencia de usuario mejorará en el futuro, dando acceso a una gama más amplia de funciones.

- SmartCare: Fundamentalmente, una agenda dotada de inteligencia artificial, que nos irá ofreciendo notificaciones y recordatorios en base al análisis de nuestro uso del smartphone. Nos permitirá gestionar, además, cinco tipos de servicios: viajes, comida, deportes, eventos y servicios en la nube. Eso sí, algunas de las funciones relacionadas con la gestión de reservas se irán añadiendo en actualizaciones futuras.

- Newsfeed: La función equivalente al Discover, que nos ofrecerá una selección de las noticias más relevantes del momento del momento.

Según la compañía, Huawei vendrá preinstalado en los nuevos Mate 30 y, en un futuro cercano, estará disponible para ser instalado en el resto de dispositivos móviles Huawei a través de su tienda de aplicaciones, AppGallery. Además, el fabricante ha dejado claro que este servicio basado en la nube alojará los datos de los usuarios en suelo europeo, para cumplir así con la normativa de protección de datos de la UE.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La corriente que pide el código fuente de los programas que deciden las ayudas al ciudadano: que el algoritmo no discrimine

En mayo, la Fundación Civio solicitó al Gobierno información completa sobre el software que decide quién tiene derecho a beneficiarse del bono social de electricidad (un descuento en la factura eléctrica dirigido a hogares vulnerables). La petición estaba motivada porque en la Fundación recibieron denuncias de personas que tenían derecho a las ayudas pero tal software se lo negaba. Como respuesta a la petición de información, el Gobierno mandó sólo parte de lo pedido, guardándose el código del software, pero fue suficiente para que desde la Fundación comprobaran que efectivamente el programa negaba la ayuda a quienes tenían derecho a recibirla.

Con la certeza de que había algo mal en el software que había mandado desarrollar el Gobierno, la Fundación insistió en ver el código. Esta vez contactaron con el Consejo de Transparencia y Buen Gobierno, quien denegó la petición aludiendo a que el código estaba protegido por la propiedad intelectual. La respuesta de la Fundación Civio fue presentar un recurso contencioso-administrativo para obligar al Gobierno a publicar el código del software. Javier de la Cueva, abogado y patrono de Civio, preparó y presentó el recurso.

"Reivindicamos que cuando el software entra a regular derechos y deberes de los ciudadanos, es decir, tiene funciones normativas como si fuera una ley, tiene que tener los mismos requisitos de la ley", explica De la Cueva. "Y estos requisitos son: 1) que el acceso al código sea público, 2) que la propiedad del código sea dominio público, como es la ley, y 3) la escritura del código tiene que estar a cargo de un grupo especializado de gente que se encargue de la escritura de este código porque haya una ley que así lo estipule, como ocurre con la escritura de las leyes."

El caso denunciado por la Fundación Civio hace referencia a un trámite ciudadanía-administración que está automatizado. Ante la pregunta ¿Tengo derecho a obtener el bono social eléctrico?, una máquina selecciona datos de aquí y de allá, los combina y responde en segundos sí o no. Es un procedimiento frío, rápido y no deja margen para una reclamación temprana. Un ejemplo de lo que nos espera pasado mañana: la automatización de la burocracia y el riesgo derivado de que falte transparencia en la toma de decisiones.

Funcionarios que trabajan 24/7 y no admiten preguntas

La automatización de procesos relacionados con la administración pública es un peldaño más en la escalera hacia la dataficación: la conversión en datos de la vida cotidiana. Para Sara Suárez, investigadora de la Universidad Pompeu Fabra sobre el impacto social y político de la explotación de datos masivos, "la dataficación es consecuencia de la digitalización de los servicios considerados básicos en la vida moderna, como la sanidad o el transporte urbano. El historial médico o las tarjetas de transporte integradas convierten las acciones, las conductas o las preferencias de las personas en datos. Es una tendencia en alza desde los 90, cuando se acuñó el término big data o datos masivos para referirse a datos que sobrepasaban la capacidad de procesamiento de ordenadores normales. Hoy ya podemos gestionarlos".

Los beneficios de contar con un software que trabaja sin parar revisando tablas en vez de con un equipo de funcionarios humanos son muy evidentes. No hay forma de que haya un duelo reñido en categorías como acciones por segundo, grado de atención o resistencia al cansancio. Eso sí, para que el programa 24/7 funcione tiene que haber sido diseñado sin un solo fallo, y lo mismo ocurre con la introducción y categorización de todo cuanto contengan las bases de datos. No hay margen de error. Si antaño el astigmatismo podía provocar que un funcionario se saltara una fila en una base de datos y esto deviniera en un problema para una familia, hoy este tipo de inconvenientes puede afectar a miles de personas, y pueden pasar años hasta que se enteren de ello.


Cada vez más trámites relacionados con la admnistración son resueltos por software automatizado. Fuente: Ministerio Política Territorial y Función Pública (aunque la foto no corresponde a ninguna oficina pública española)

AlgorithmWatch, una organización alemana sin ánimo de lucro que investiga el uso de algoritmos en administraciones públicas y empresas, expone en su web varios casos donde la automatización de la burocracia supone más problemas que ventajas. Como en Polonia, donde usaban un software para distribuir asesoría y ayudas económicas a desempleados conforme a un sistema de puntuación que calificaba la probabilidad de estos desempleados para conseguir empleo. A más probabilidad de conseguir trabajo, menos ayuda. Problemas de transparencia y libre circulación de datos privados aparte, este software resultó ser la versión algorítmica de la sociedad estamental del medievo: si te mandaba al grupo de "tengo difícil conseguir trabajo", podías olvidarte de volver a trabajar en la vida. Descubierto el problema, el algoritmo dejará de usarse a finales de este año, cinco después de que circularan las primeras alertas.

AlgorithmWatch expone otros casos, como el de las ayudas que dejaron de percibir 70.000 desempleados suecos o el de un finlandés que no podía acceder a un préstamo y nadie sabía por qué. Ambos casos, como el resto que se describen en la página, tienen el mismo origen: algoritmos que fallan en algún punto. En total son seis casos documentados. ¿Hay alguno español? Desde agosto, sí. El caso que nos ocupa.

¿Hay que publicar el código?


Ante la petición de la Fundación Civio para publicar el código del programa de marras, el Consejo de Transparencia y Buen Gobierno respondió que no podía facilitarlo debido a que lo protegía la propiedad intelectual. "Me parece extraña la respuesta del Estado", explica Ulises Cortés, profesor e investigador sobre inteligencia artificial (IA) en la Universidad Politécnica de Cataluña y del Barcelona Supercomputing Center. "Que tú no tengas derecho a mirar el código aludiendo a propiedad intelectual es extraño cuando ese programa ha sido pagado con dinero público".

"Que tú no tengas derecho a mirar el código aludiendo a propiedad intelectual es extraño cuando ese programa ha sido pagado con dinero público"
Para el investigador en IA, todo programa pagado con dinero público tendría que estar expuesto para que alguien experto pudiera dictaminar cómo fue escrito el código. "[Este experto] firmaría todas las condiciones de no disclosure para no hacer público lo que ha visto, pero sí debería poder verlo, verificarlo y dictaminar si es correcto y justo", explica Cortés.

Según De la Cueva, el acceso al código fuente es "primordial" para averiguar por qué ese software está negando el acceso al bono social eléctrico a personas que tienen derecho a percibirlo. "Una vez podamos acceder al código, sabremos qué falla. Puede deberse al propio algoritmo, que haya una variable mal definida, que las fórmulas matemáticas no sean las correctas o que no se estén teniendo en cuenta determinadas funciones. O puede que el problema sea una mala decisión en la estructura de los datos o una columna de la base de datos que se está ignorando. O que la causa esté en cómo se extraen estos datos... No sabemos nada y queremos saber cómo funciona el programa".

"Igual que pides que el Gobierno publique cuentas y sueldos, estaría bien que publicase los algoritmos, sobre todo en temas así", cuenta Sergio Rodil, data scientist en Altran. "Y no sólo publicar el algoritmo. Con eso podrías ver que no se ha hecho una chapuza y que el algoritmo tiene sentido. Pero además habría que publicar un set de datos anonimizados para testear que efectivamente funciona".

Quizá conocer el código y los datos no sea suficiente

Para Sara Suárez, publicar las tripas de los programas es algo "necesario, pero no suficiente. La ciudadanía no puede tener la obligación de entender la información más técnica de los procesos a los que se someten sus datos, por eso creo que publicar el código en sí no sería una solución. Que para poder detectar que no se cumple un derecho, y poder quejarse, haya que tener un conocimiento muy sofisticado me parece una comprensión tecnificada y muy elitista de lo que es un derecho. Y esto puede conducirnos a una indefensión en procesos básicos".

"La ciudadanía no puede tener la obligación de entender la información más técnica de los procesos a los que se someten sus datos"
"Si cada vez más la sociedad se va a regir por este tipo de procesos, tiene que haber más debate público e información de cara a la sociedad. Que el desarrollo tecnológico no sea algo donde la gente no puede entrar porque no tiene un conocimiento técnico", explica Suárez. "Al final, las consecuencias de la dataficación nos afectan a todos, así que deberíamos poder participar hayamos estudiado ciencias duras o no".

De momento, la publicación del código del software del bono social eléctrico está en el aire. El recurso contencioso-administrativo contra la resolución del Consejo de Transparencia y Buen Gobierno está presentado y sólo queda esperar. Si la sentencia del tribunal es favorable, el código saldrá a la luz. Si no lo es, la Fundación Civio interpondrá un recurso de casación ante el Tribunal Supremo. Si hay una nueva negativa, el siguiente paso será ir al Tribunal Europeo de Derechos Humanos. "Los ciudadanos tenemos el derecho a conocer cómo funciona todo programa que tenga la administración para gestionar nuestros derechos", subraya el abogado Javier de la Cueva.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Recientemente los desarrolladores que están detrás del navegador web Google Chrome, dieron a conocer la noticia de la adición del soporte para el protocolo HTTP/3 a las compilaciones experimentales de Chrome Canary, que implementa un complemento para habilitar HTTP sobre QUIC.

El protocolo QUIC en sí mismo se agregó al navegador hace cinco años y desde entonces se ha utilizado para optimizar el trabajo con los servicios de Google. Al mismo tiempo, la versión QUIC de Google utilizada en Chrome difería en algunos detalles de la versión de las especificaciones IETF, pero ahora las implementaciones están sincronizadas.



Es importante resaltar que Google ha desarrollado QUIC (Quick UDP Internet Connections) desde 2013 como una alternativa al paquete TCP + TLS para la Web, que resuelve problemas con largos tiempos de configuración y negociación para las conexiones TCP y elimina los retrasos en la pérdida de paquetes durante la transferencia de datos.

QUIC es un complemento del protocolo UDP que admite la multiplexación de múltiples conexiones y proporciona métodos de cifrado equivalentes a TLS / SSL.

El protocolo en cuestión ya está integrado en la infraestructura del servidor de Google, es parte de Chrome, está planeado para su inclusión en Firefox y se utiliza activamente para atender las solicitudes de los clientes en los servidores de Google.

Dentro de las principales características de QUIC que se destacan son:

- Alta seguridad, similar a TLS (de hecho, QUIC proporciona la capacidad de usar TLS sobre UDP)
- Control de integridad de flujo que evita la pérdida de paquetes
- La capacidad de establecer una conexión al instante (0-RTT, en aproximadamente el 75% de los casos, los datos se pueden transmitir inmediatamente después de enviar el paquete de configuración de la conexión) y garantizar retrasos mínimos entre el envío de una solicitud y la recepción de una respuesta (RTT, Tiempo de ida y vuelta)
- No usar el mismo número de secuencia al retransmitir un paquete, lo que evita la ambigüedad en la determinación de los paquetes recibidos y elimina los tiempos de espera
- La pérdida de un paquete afecta la entrega de solo el flujo asociado con él y no detiene la entrega de datos en flujos transmitidos en paralelo a través de la conexión actual
- Herramientas de corrección de errores que minimizan los retrasos debido a la retransmisión de paquetes perdidos.
- El uso de códigos especiales de corrección de errores a nivel de paquete para reducir situaciones que requieren la retransmisión de datos de paquetes perdidos.
- Los límites criptográficos de los bloques están alineados con los límites de los paquetes QUIC, lo que reduce el efecto de la pérdida de paquetes en la decodificación del contenido de los siguientes paquetes
- No hay problemas con el bloqueo de la cola TCP
- Soporte para el identificador de conexión, que reduce el tiempo para establecer una reconexión para clientes móviles
- Capacidad para conectar mecanismos avanzados para controlar la sobrecarga de conexión

También se destaca que hace uso la técnica de predecir el ancho de banda en cada dirección para asegurar una intensidad óptima de envío de paquetes, evitando que llegue a un estado de congestión en el que se observa la pérdida de paquetes;

Así como también un rendimiento notable y ganancias de rendimiento sobre TCP. Para servicios de vídeo como YouTube, QUIC mostró una reducción del 30% en las operaciones de re-almacenamiento en búfer al mirar videos.

El protocolo HTTP/3 estandariza el uso de QUIC como transporte para HTTP/2. Para habilitar HTTP/3 y la versión QUIC de los 23 borradores de las especificaciones IETF, se debe ejecutar Chrome con las opciones "–enable-quic –quic-version = h3-23" y luego, cuando se abra el sitio de prueba You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login:4433 en modo de inspección de red en las herramientas de desarrollador, la actividad HTTP / 3 se mostrará como "http / 2 + quic / 99".

En comparación con un paquete perdido por conexiones HTTP en paralelo solamente se detendra 1 de las tantas conexiones, con lo cual QUIC puede soportar la entrega fuera de orden de modo que un paquete perdido tendrá menor impacto.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha presentado el lanzamiento de la nueva versión de Neovim 0.4 la cual es una rama del editor Vim que se enfoca en aumentar la extensibilidad y flexibilidad.

Para quienes desconocen del proyecto Neovim deben saber que este ha estado reelaborando la base del código Vim durante más de cinco años, como resultado de lo cual se han realizado cambios para simplificar el mantenimiento del código, proporcionando medios para dividir el trabajo entre varios mantenedores, separando la interfaz de la base (la interfaz se puede cambiar sin tocar el interior) e implementando una nueva arquitectura extensible basado en complementos.


De los problemas de Vim que provocaron la creación de Neovim que consta de más de 300 mil líneas de código C. Solo unas pocas personas entienden todos los matices de la base de código de Vim y todos los cambios son controlados por un mantenedor, lo que dificulta el mantenimiento y el trabajo para mejorar el editor.

En lugar del código integrado en el núcleo de Vim para admitir la GUI, Neovim propone utilizar una capa universal que le permite crear interfaces utilizando varios kits de herramientas.

Los complementos para Neovim se ejecutan como procesos separados, para los cuales se utiliza el formato MessagePack. La interacción con los complementos se realiza en modo asíncrono, sin bloquear los componentes básicos del editor.


Para acceder al complemento, se puede usar un socket TCP, es decir El complemento puede ejecutarse en un sistema externo.

Al mismo tiempo, Neovim sigue siendo compatible con versiones anteriores de Vim, continúa admitiendo Vimscript (como alternativa a Lua) y admite la conexión de la mayoría de los complementos estándar de Vim. Las funciones avanzadas de Neovim se pueden usar en complementos creados con la API específica de Neovim.

Ya se han preparado alrededor de 80 complementos específicos, hay carpetas disponibles para crear complementos e implementaciones de interfaz utilizando varios lenguajes de programación (C ++, Clojure, Perl, Python, Go, Java, Lisp, Lua, Ruby) y marcos (Qt5, ncurses, Node .js, Electron, GTK +). Se están desarrollando varias opciones de interfaz de usuario.

Los complementos de GUI son muy parecidos a los complementos, pero a diferencia de los complementos, inician llamadas a las funciones de Neovim, mientras que los complementos se llaman desde Neovim.

Los desarrollos originales del proyecto se distribuyen bajo la licencia Apache 2.0, y la parte base bajo la licencia Vim.

Principales novedades de Neovim 0.4

Con la liberación de esta nueva versión de Neovim 0.4 se ha agregado una gran parte de las nuevas funciones API y eventos de interfaz de usuario a la aplicación.

Además de que también se destaca que se agregó una nueva biblioteca estándar de Nvim-Lua para desarrollar complementos en el idioma Lua.

Por otra parte se continúa con el desarrollo del protocolo de interfaz de usuario, que actualiza la información en la pantalla a nivel de línea, en lugar de caracteres individuales.

Y que además en Neovim 0.4 se agregó el soporte para ventanas flotantes completas que se pueden colocar en cualquier lugar, adjuntar, vincular a buffers de edición individuales, agrupadas en modo Multigrid.

Ahora para el caso de la instalación de esta nueva versión en Linux, es importante recalcar que Neovim esta dentro de la mayoría de los repositorios de las distribuciones más populares.

Aun que el único problema en estos momentos es que la nueva versión aún no se ha actualizado en los repositorios de la mayoría de las distribuciones de Linux.

Ya que de momento solamente Arch Linxu y sus derivados ya cuentan con la disponibilidad de este paquete.

Para realizar la instalación en Arch y derivados, solo tienen que abrir una terminal y en ella van a teclear el siguiente comando:




Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No hay dudas de que Google es un gigante de Internet en nuestros días. Más allá de su buscador, que es donde empezó todo, cuenta con servicios muy variados. Podemos utilizar plataforma de correo electrónico, programas de mensajería, reproducir vídeos en Streaming... Ofrece un gran abanico de posibilidades. Para que todo esto funcione correctamente utilizan una red, unas medidas por parte de los trabajadores, de extrema seguridad. En este artículo vamos a explicar cómo funciona.

Cómo funciona la red de extrema seguridad de Google

Es fácil pensar que una plataforma tan grande como Google tiene que cuidar todos los detalles. No pueden permitirse ningún error ya que podría desencadenar en problemas muy graves que afecten a la compañía y a los usuarios.

Por ello Google ha implantado siempre una cultura de ciberseguridad extrema. Cuida los detalles al máximo, tanto a nivel de seguridad en dispositivos físicos como también en la nube. Todo lleva un proceso, claro. Vamos a explicar paso a paso qué hace Google para crear esa red de máxima seguridad donde sus trabajadores son fundamentales.

El primer paso para crear un entorno completamente seguro es a través de los trabajadores. Google verifica los antecedentes de sus empleados, realizará una serie de comprobaciones y también exigirán una capacitación tanto en ciberseguridad como en privacidad. Pero en muchas ocasiones buscan en profundidad en el historial de esa persona, rastreando todo su pasado, cuentas financieras, trabajos anteriores...

Posteriormente exigen un monitoreo continuo de las conductas de los trabajadores. De esta forma intentan evitar que rompan el compromiso adquirido y puedan comprometer la información y datos de los usuarios que, a fin de cuentas, son los clientes.

También durante la preparación incluye una capacitación adicional en todo lo relacionado con la seguridad en la red. Los trabajadores tienen que realizar una serie de cursos y adquirir conocimiento en prácticas de codificación segura o herramientas automatizadas para escanear vulnerabilidades.

La privacidad, también clave

Tanto la seguridad como la privacidad son áreas en constante evolución. Google, en su labor de crear una red completamente segura y donde no se escape ningún detalle, organiza diferentes eventos para buscar la mejora de la privacidad e ir creando conciencia entre sus propios empleados, más allá de los usuarios.

En este sentido se centra en la privacidad a la hora de desarrollar software, manejar datos o aplicar políticas propiamente de privacidad de la compañía.

Cuenta con un amplio equipo de trabajadores especializados justo en esto, en mejorar la privacidad y mantener que todo esté en orden.



Mantener en el tiempo la seguridad

Hemos visto cómo intentan crear un equipo de máxima seguridad y privacidad con el objetivo de que todo esté en orden y basado en sus principios. Ahora bien, todo esto hay que mantenerlo en el tiempo. Para ello tienen en cuenta diferentes aspectos muy importantes.

Uno de esos puntos es la vigilancia. Un constante monitoreo que se centra en la información recopilada de manera interna, acciones de los propios empleados, prácticas, etc. Todo ello con el objetivo de que no haya vulnerabilidades en toda su red.

También cuentan con un proceso para gestionar las vulnerabilidades en caso de que las haya. Analiza de forma activa cualquier amenaza de seguridad utilizando para ello una serie de herramientas internas y que han sido diseñadas específicamente.

Por otra parte, cuentan también con una serie de programas de prevención del malware. Tecnología puntera para detectar software malicioso en herramientas que utilicen para conectarse a la red, etc. Cada día Google detecta miles y miles de sitios peligrosos, muchos de los cuales son legítimos pero han sido comprometidos.

Por supuesto el centro de datos tiene unas medidas de seguridad extremas. Allí solo pueden acceder trabajadores habilitados para ello. Cuenta con un sistema muy grande de seguridad que incluye acceso mediante tarjeta personalizada, alarmas, barreras de acceso de vehículos, sistema de monitoreo continuo con cámaras, etc.

Además de todo esto, cuentan con sistemas de máxima seguridad para el envío de datos a los usuarios. Todo va cifrado mediante HTTPS/TLS y diferentes capas que ayudan a crear una red de extrema seguridad.

En definitiva, a grandes rasgos podemos decir que este es el proceso que utiliza Google para hacer que todos los datos estén seguros. Una serie de pasos, puesta en práctica y aplicación de conocimientos para que no surjan problemas de seguridad.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es muy común instalar aplicaciones complementarias para el móvil para mejorar algunos aspectos a la hora de echar fotografías. Por ejemplo en los últimos tiempos se han vuelto muy populares las aplicaciones de selfies. Cuentan con diferentes configuraciones, funciones y herramientas interesantes para los usuarios. Ahora bien, esto también puede poner en riesgo nuestros dispositivos si no tomamos medidas de seguridad. En este artículo nos hacemos eco de un par de aplicaciones que espían a los usuarios y distribuyen adware.

Dos aplicaciones de selfies espían a los usuarios y distribuyen adware

Se trata de dos aplicaciones muy populares. Una de ellas, Sun Pro Beauty Camera, cuenta con más de 1 millón de instalaciones. La otra es Funny Sweet Selfie Camera, que tenía más de 500.000 instalaciones cuando detectaron este problema.

Ambas aplicaciones fueron analizadas por los investigadores de seguridad de Wandera. Descubrieron que las dos tenían permisos que para nada se ajustaban a lo que realmente necesita una aplicación de ese tipo. Podrían, entre otras cosas, superponer contenido arbitrario. De esta forma podría usarse para que el usuario haga clic en un determinado lugar o engañar para que introduzca datos donde no debe.

Pero además de esto, otro permiso que los investigadores de seguridad encontraron preocupante es que podían grabar audio de los usuarios. Incluso las grabaciones podrían empezar sin avisar a los usuarios, que no se darían cuenta de ello. Sin duda se trata de una técnica para espiar a los usuarios.

También indican que en ambos casos distribuían adware. Esto sin duda pone en riesgo la seguridad de los dispositivos. Informan que ambas aplicaciones instalaban programas secundarios, adware, que automáticamente borraban el acceso directo para no dejar rastro. De manera oculta lanzaban anuncios publicitarios y la única manera de evitarlo era ir al menú de aplicaciones y encontrar estos programas y desinstalarlos.

Hay que mencionar que las dos aplicaciones han sido eliminadas de la tienda oficial de Android.



Cómo evitar problemas con este tipo de aplicaciones

Nuestro consejo principal es nunca instalar software de fuentes no oficiales. Sin embargo esto no nos garantiza la seguridad al 100%, como hemos visto en estos dos casos por ejemplo. A veces se pueden colar aplicaciones maliciosas incluso en fuentes oficiales. No obstante, el hecho de utilizar únicamente sitios y tiendas oficiales será mejor para nuestra seguridad.

También hay que tener mucho ojo con los permisos que concedemos a las aplicaciones. Esto es algo que podemos controlar y evitar que aplicaciones como estas que mencionamos de selfies y fotos puedan tener permisos que no les corresponde y poner en riesgo nuestra seguridad y privacidad.

Por otra parte, de cara a prevenir el malware, adware y otras amenazas, conviene siempre tener programas de seguridad. Así podremos detectar anomalías que puedan suponer un verdadero problema para nuestros sistemas.

La última recomendación es siempre tener los sistemas y aplicaciones actualizados. Pueden surgir vulnerabilidades que son aprovechadas por los ciberdelincuentes para atacar. Normalmente los propios fabricantes lanzan parches y actualizaciones para corregir los problemas. Tener siempre las últimas versiones es muy importante.


Vía: Bleeping Computer

Dentro de todas las amenazas de seguridad que podemos encontrarnos en la red, EternalBlue es una de las que ha estado más presente en los últimos tiempos. No es algo nuevo, ya que apareció por primera vez en 2017. Sin embargo aún hoy, lejos de pasar al olvido, está muy presente. Pero no solo eso, sino que sigue siendo una amenaza real para muchos usuarios que acaban infectados. De hecho los investigadores de seguridad calculan en miles los nuevos casos de infecciones cada día. Ahora bien, los usuarios pueden tomar medidas sencillas para protegerse. Vamos a explicar cómo protegernos de EternalBlue.

EternalBlue sigue siendo un problema

EternalBlue comenzó a ser un problema a inicios del año 2017. Es un exploit que afecta a una vulnerabilidad a la hora de implementar el protocolo SMB de Microsoft. Esto significa que un equipo que no ha sido parcheado es vulnerable a este problema y, en definitiva, ser una amenaza para los usuarios.

A partir de esta vulnerabilidad, a partir de EternalBlue, surgieron numerosas amenazas. Podemos mencionar algunos ransomware como WannaCry y también botnets. Una de las últimas es la botnet Smominru. En el último mes ha infectado a más de 90.000 equipos con Windows aprovechando el exploit de EternalBlue.

Básicamente lo que hacen para lograr explotar esta vulnerabilidad y desplegar amenazas como la que mencionamos de la botnet Smominru es basarse en sistemas que no han sido actualizados. Aún hoy en día hay muchos equipos en todo el mundo que no han corregido esta vulnerabilidad y por tanto son vulnerables a sufrir ataques.

Por suerte evitar ser víctima de EternalBlue y, en definitiva, de todas las amenazas derivadas de esta vulnerabilidad, es sencillo. Vamos a explicar qué tenemos que hacer para ello y dar algunos consejos interesantes.

Cómo protegernos de la vulnerabilidad de EternalBlue

Como hemos mencionado resulta sencillo protegerse de EternalBlue y sus derivados. Vamos a dar una serie de consejos importantes y que podemos poner en práctica de inmediato. Además, la mayoría de ellos no solo va a protegernos de esta amenaza, sino que también va a hacer que nuestro equipo esté más protegido y no corramos riesgos innecesarios.

Son muchas las variedades de malware y amenazas de seguridad que hay por la red. Muchos tipos de ataques que pueden afectar a nuestra seguridad y privacidad. Sin embargo por suerte también podemos poner en práctica diferentes técnicas para protegernos.

Actualizar el equipo, lo más importante

Sin duda lo más importante para protegernos de EternalBlue es actualizar nuestro equipo Windows. Como hemos mencionado se basa en una vulnerabilidad que fue corregida hace tiempo por Microsoft. El problema es que muchos usuarios aún mantienen su equipo obsoleto y esto significa que siguen siendo vulnerables.

Por tanto lo principal que tenemos que hacer es actualizar Windows si no lo hemos hecho. Hay que asegurarse siempre de tener los últimos parches de seguridad instalados. Para ello podemos entrar en Configuración, vamos a Actualización y seguridad y allí comprobar si nuestro equipo está actualizado. Si es así nos lo indicará. De lo contrario podremos darle a descargar las últimas actualizaciones.



Podemos decir que solo con actualizar Windows a la última versión y con los parches correspondientes tendremos mucho ganado. Es un proceso sencillo y estaremos protegidos ante EternalBlue y amenazas que puedan surgir.

Herramientas de seguridad actualizadas

Otra medida importante que podemos tomar es la de contar con herramientas de seguridad. Podemos utilizar muchos tipos de antivirus y software que nos ayude a proteger nuestro sistema. Los hay tanto gratuitos como de pago.

Hay que tener en cuenta que de nada sirve tener un antivirus desactualizado, ya que básicamente sería como no tener nada. Lo ideal es mantenerlo siempre correctamente actualizado y con todas las mejoras que podamos incluir.

Solo así, solo teniendo software de seguridad actualizados, podremos hacer frente a las nuevas vulnerabilidades que puedan surgir.

Habilitar las actualizaciones automáticas en el sistema y navegador

El navegador es una herramienta fundamental para navegar por la red. Esto hace que también sea objetivo de los piratas informáticos para desplegar sus amenazas. Una buena idea es siempre mantener protegido el navegador ante cualquier tipo de ataque o problema de seguridad.

Nuestro consejo es habilitar las actualizaciones automáticas tanto en el sistema como en el navegador. Es algo que podemos configurar y nos ayuda a mantener siempre las últimas versiones instaladas en cuanto saltan.

Gracias a habilitar las actualizaciones automáticas no tendremos que perder tiempo en realizar comprobaciones o depender de que nos acordemos de hacerlo. Así siempre tendremos el sistema seguro.

Cuidado con el correo electrónico

Está demostrado que una de las fuentes de entrada de malware más importantes es el correo electrónico. Es a través del e-mail por donde nos pueden llegar archivos maliciosos que pongan en riesgo nuestro equipo.

Normalmente se requiere la interacción del usuario a la hora de recibir un correo peligroso. Puede que tengamos que descargar un archivo, instalar software o acceder a un link externo. Hay que tener mucho cuidado con lo que recibimos.

Copias de seguridad frecuentes

Aunque no es una medida que por sí sola nos ayude a evitar ataques a través de EternalBlue, sin duda es algo muy interesante que podemos llevar a cabo.

Como hemos visto, entre las amenazas que pueden llegar mediante este exploit son ransomware como WannaCry. El objetivo de este tipo de malware es cifrar los archivos del equipo de la víctima. Si creamos copias de seguridad podremos salvar esos archivos en caso de sufrir este tipo de ataques.


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MySQL es una de las bases de datos de código abierto más populares y utilizadas en todo el mundo, especialmente para el desarrollo de entornos web y en este artículo podrás aprender a instalarlo y configurarlo, paso a paso, en tu ordenador con Windows 10.

Aunque actualmente pertenece a Oracle, fue una empresa llamada MySQL AB la que inició el desarrollo de MySQL. Más tarde esta empresa fue adquirida por Sun Microsystem que a su vez fue comprada por Oracle, la actual propietaria. Este juego de compras de empresas seguro que te puede dar una idea de la importancia estratégica de MySQL para las compañías dedicadas a las bases de datos.

Pero si estás buscando información sobre cómo instalar MySQL en Windows 10 lo más probable es que ya conozcas su importancia, por lo que podemos pasar directamente a la explicación paso a paso.

Descargar MySQL

En este tutorial explicaremos cómo descargar la versión Community de la base de datos. La versión gratuita que se distribuye con licencia GPL y que puedes utilizar sin problemas en cualquier desarrollo.



Para ello accede a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y una vez dentro pincha sobre el botón Downloads del menú superior. Una vez dentro de la página de descargas, haz scroll y pincha sobre el enlace MySQL Community (GPL) Downloads.

Ahora verás un listado con todas las opciones de descargas existentes. En este punto debes pinchar sobre MySQL Installer for Windows. En la siguiente página te encontrarás dos enlaces de descarga que aparentemente parecen el mismo, pero uno tiene un peso de unos 18 MB mientras que el otro pesa casi 400.



El primero es un instalador que necesitará conexión a Internet para poder completar el proceso, mientras que el segundo ya incluye todo lo necesario para instalar la base de datos sin necesidad de conexión.



Para evitar complicaciones durante la instalación, pincha sobre el botón Download del instalador que pesa unos 400 MB y al final de la nueva página que aparecerá pulsa sobre No thanks, just start my download. De este modo te evitarás tener que crear una cuenta en la web de Oracle si no la tienes.

En ese momento empezará la descargar de un archivo con extensión .msi que será el que tendrás que utilizar para realizar todo el proceso de instalación de la base de datos en tu ordenador con Windows 10.

Instalar MySQL en Windows 10

Una vez que la descarga se haya completado, haz doble click sobre el archivo recién descargado para lanzar el proceso de instalación. Es necesario que lo hagas desde un usuario con permisos de administrador y que aceptes los permisos que te pedirá el administrador de cuentas.



Segundos después de aceptar este permiso, se abrirá el instalador de MySQL y en la primera pantalla te mostrará la licencia de uso que deberás aceptar marcando la casilla correspondiente y después pulsar sobre Next.



En el siguiente punto, el instalador te preguntará qué tipo de instalación quieres realizar. La elección dependerá del uso que vayas a hacer del software y también de la experiencia que tengas.

Si vas a crear tus propias bases de datos desde cero, necesitarás utilizar herramientas de desarrollo y plugins para ciertas aplicaciones, por lo que la opción Developer Default o Full son las idóneas. En cambio, si únicamente vas a cargar bases de datos ya creadas, puedes optar por elegir Server only para que únicamente se instale el servidor y puedas cargar tus bases de datos.



Otra opción es elegir Custom. Si eliges esta opción podrás seleccionar de forma manual lo que quieres instalar y lo que no de todo el contenido del paquete. Si tienes experiencia o si sabes exactamente lo que vas a necesitar, podrás ahorrar algo de espacio en el ordenador y también evitarás instalar cosas que nunca vas a necesitar. Por ejemplo, puedes optar por no instalar la documentación, instalar solo algunos conectores como el de Python o .NET, etc, etc...

En el siguiente punto es posible que el instalador te muestre una lista de software adicional que puedes necesitar. Éstas dependencias dependerán de las aplicaciones que tengas instaladas en tu ordenador y también de las partes de MySQL que hayas decidido instalar. Solo debes pinchar en Execute y automáticamente se iniciará la descarga e instalación de las dependencias.



Cuando el paso anterior haya terminado, volverás directamente al instalador y verás un listado con los paquetes que se van a instalar. Estos son los paquetes elegidos en el paso anterior (sin contar el de la instalación de dependencias) o de tu elección si optaste por la opción Custom. Revisa que todo es correcto y pincha en Execute para iniciar la instalación. Después de unos minutos, la instalación se habrá completado y debes pinchar sobre el botón Next.



Ahora el instalador te alertará que debes configurar el servidor. Pincha sobre el botón Next y automáticamente se iniciará el asistente de configuración.

Configurar el servidor MySQL y finalizar la instalación



El primer paso es escoger el modo de funcionamiento del servidor. Puedes optar por el modo servidor único o servidor de réplica (la primera opción y más habitual) o hacer que forme parte de un clúster InnoDB, una opción más avanzada para conseguir mejores rendimientos. En este ejemplo escoge la primera opción Standalone MySQL Server / Classic MySQL Replication y pincha sobre Next.

Ahora tendrás que elegir el tipo de configuración que quieres aplicar al servidor. En el menú desplegable Config Type podrás escoger entre las siguientes opciones:

Development Computer: esta configuración está pensada para PCs donde se ejecuta un servidor MySQL con fines de desarrollo, pero que también es utilizado para otras cosas. Consumirá la menor parte posible de los recursos de RAM.

Server Computer: el ordenador no está dedicado exclusivamente a MySQL, pero sí funciona como servidor y no como herramienta de desarrollo. Uso medio de los recursos de memoria.

Dedicated Computer: esta es la opción si el ordenador en el que lo instalas está dedicado exclusivamente a a MySQL. Usará toda la memoria disponible para obtener el mejor rendimiento posible.

Además, también podrás elegir el puerto a utilizar para acceder al servicio, abrir automáticamente los puertos en el firewall de Windows y cambiar otras opciones más avanzadas. En este ejemplo escogeré la opción Developtment Computer y el resto de opciones las dejaré por defecto, pero tu debes elegir las opciones que más te convengan. Una vez elegidas las opciones, pincha sobre Next.




Ahora deberás elegir el método de autenticación que deseas usar. El método que aparece marcado por defecto es más moderno y seguro, por lo que salvo que tengas alguna herramienta que necesite la opción antigua, elige el primero y pincha en Next.

En la nueva ventana deberás establecer la contraseña de acceso a root en la parte de arriba. Recuerda utilizar una contraseña lo más segura posible (incluye letras en minúsculas y mayúsculas, símbolos y números). Además, en la parte inferior de la pantalla podrás añadir otro usuarios; algo muy recomendable para no utilizar siempre la cuenta root, aunque podrás añadirlos más tarde sin problema.



Y llegamos a la última pantalla de configuración. En ella lo primero que aparece es Configure MySQL Server as a Windows Service que debes dejar marcada. En la segunda casilla podrás escoger el nombre que tendrá el servicio, puedes dejar el que trae por defecto o poner uno personalizado.

La siguiente opción, Start the MySQL Server at System Startup, deberás dajarla marcada si vas a utilizar muy a menudo el servidor. Si lo vas a usar solo de modo esporádico déjala desactivada y arranca el servicio de forma manual cuando lo necesites para ahorrar recursos del ordenador. Por último, selecciona si quieres que el servicio arranque con el usuario habitual, recomendado en la mayoría de los casos o quieres elegir un usuario personalizado. Cuando cambies todas las opciones pincha sobre Next.



Ahora verás un resumen de las tareas que va a realizar el configurador. Si estás de acuerdo pincha sobre Execute y se pondrá a trabajar. Pasados unos segundos la configuración habrá terminado y el servidor estará listo para trabajar. Pincha sobre Finish para cerrar el configurador y volver al instalador.

Ya por último, pincha sobre Next y después sobre Finish para terminar la instalación del servidor MySQL en Windows 10 y cerrar el asistente que te ha guiado por todo el proceso.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los responsables de Oracle han querido demostrar el potencial de la célebre Raspberry Pi, y han creado un cluster con 1.060 Raspberry Pi 3 Model B+ que han exhibido en evento Oracle OpenWorld 2019 que se ha celebrado esta semana.

Ya habíamos visto proyectos parecidos de pequeños supercomputadores que podían contruirse a base de unir un buen montón de pequeñas Raspberry Pi, pero esta iniciativa va más allá.

Un pequeño gran supercomputador

El cluster hacía uso no solo de esas Raspberry Pi 3 B+, sino también de una serie de bandejas impresas en 3D para montar un rack especialmente singular.



Para gobernar todo el sistema los ingenieros de la empresa conectaron todos estos miniPCs mediante la distribución Oracle Autonomous Linux, una plataforma que permite combinar la potencia de todos estos pequeños ordenadores para afrontar todo tipo de soluciones distribuidas.

Como apuntaban en ServeTheHome, hay alternativas mucho más directas como las de virtualizar un servidor basado en procesadores ARM -ellos compararon su rendimiento con el de un cluster de 190 RPi recientemente— pero en Oracle la respuesta era clara y contundente: "un cluster grande mola". Y ciertamente, mola.

La arquitectura de este "supercomputador" está formado con racks 2U con 21 Raspberry pi 3 B+ cada uno, y según los responsables de su creación solo llevó un día preparar el montaje de estos 1.060 nodos de computación, conectados luego con switches Ubiquiti UniFi de 48 puertos. Esos switches luego se conectaban vía un puerto SFP de Cisco y conexiones 10GbE.



En lugar de usar alimentación vía Ethernet (PoE) -lo que provocaría que el calor disipado se incrementase— este cluster hace uso de una matriz de fuentes de alimentación USB, y el almacenamiento corre a cargo de un servidor externo que se encarga de proporcionar arranque de red a todos los sistemas.

La firma no dio cifras sobre el rendimiento que se puede esperar de un cluster de este tipo, pero obviamente no se acerca al nivel de los supercomputadores modernos que forman parte de la célebre lista TOP500. Aún así es un proyecto de lo más llamativo que vuelve a demostrar la versatilidad de estos pequeños y sorprendentes miniPCs.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Gusten más o menos, los paquetes Snap han llegado para quedarse y cada vez son más populares dentro y fuera de Ubuntu. Pero, ¿las tendencias de descarga son las mismas en distintas distribuciones? Es lo que han querido comprobar en Canonical y los resultados que presentan son cuando menos curiosos.

Como sabéis, el soporte de Snap se extiende a varias distribuciones, que de hecho tienen páginas de descarga adaptadas, a pesar de que algunas ya han mostrado su oposición a las manera de Canonical, más que a la tecnología en sí. Sin embargo, ello no quita que los usuarios puedan instalar lo que quieran por su cuenta y eso es lo que hacen.

«Queríamos ver cómo usuarios de diferentes distribuciones consumen Snap. Así que analizamos algunos números y verificamos los cinco Snap más descargados por los usuarios de Ubuntu, Debian, Fedora, CentOS, Arch Linux y Manjaro«, señalan en el blog de Ubuntu. Dicho y hecho, la tabla queda tal y como se puede ver bajo estas líneas.



¿Qué sacan en claro del ejercicio? Que la reproducción de contenidos tira mucho, pero de manera diferente. Por ejemplo, Spotify es la aplicación más descargada en Arch Linux, Debian y Manjaro, y está entre las más descargadas en el resto de distros; y lo mismo sucede con VLC, excepto en las tres primeras... ¿Por qué? Vaya usted a saber.

Aunque lo cierto es lo que mismo se podría decir de casi todas las aplicaciones que se incluyen en la tabla. Por ejemplo, en el caso de Arch Linux, todas las que salen listadas se encuentran fácilmente en AUR. ¿Por qué entonces descargarlas como Snap? Lo mismo vale para Manjaro. ¿Y Fedora con Slack, cuya aplicación oficial ofrece instalador RPM?

Concluyen el artículo original comentando que «los Snap ofrecen una visión interesante de las necesidades específicas de las distribuciones. Vemos que hay algunos casos comunes, universales, pero también específicos, cosas personalizadas que están vinculadas a la elección de distribución»... ¿Es así?


Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los Huawei Mate 30 llegan con Android sin apps ni servicios de Google: en qué se diferencian del Android "normal" de otros teléfonos

El Huawei Mate 30 llega sin las aplicaciones de Google preinstaladas, según nos ha confirmado la propia Huawei. Se ratifica así el importante cambio en sus teléfonos, una situación forzada a raíz del conflicto entre los EE.UU y China. Huawei ya tiene preparado su sistema Harmony OS, pero todavía es pronto para instalarlo en smartphones. En su lugar, los Mate 30 llegan con una versión 'open source' de Android, con los servicios propios de Huawei y su capa de personalización EMUI, pero sin Google Play, ni Google Maps ni Gmail instalados por defecto como sí teníamos en todos sus dispositivos anteriores.

¿Es posible tener un Android sin los servicios de Google? Sí. Es lo que se conoce como AOSP (Android Open Source Project), la base abierta de Android disponible para todo el mundo. Se trata del mismo sistema operativo que todos conocemos, con la salvedad que los servicios de Google no están añadidos. Aquí vamos a tratar de explicar en qué se diferencia este Android que nos ofrece el Huawei Mate 30 respecto al Android tradicional que hemos tenido hasta la fecha y qué novedades introduce Huawei para compensarlo.



El primer cambio: adiós a las apps de Google, hola Huawei Mobile Services



No estamos ante el primer fabricante que pone a la venta un móvil sin los servicios de Google. De hecho, en China es habitual encontrar móviles Android sin acceso a Google Play, desde la propia Huawei a otros fabricantes como Xiaomi, Oppo o Honor. No ocurre lo mismo en Europa o el resto de países, donde los servicios de Google son muy utilizados y la mayoría de usuarios están acostumbrados a su uso.

El Huawei Mate 30 Pro previsiblemente habría llegado con las aplicaciones de Google como hasta ahora, pero se trata del primer smartphone de Huawei en ser afectado por el bloqueo de los EE.UU. Y esto ha impedido que el Mate 30 pase el Google Test Suite (GTS) para ser compatible con los Google Mobiles Services. Es decir, al no poder colaborar Google con Huawei, este último no ha podido recibir la licencia para preinstalar sus aplicaciones en el móvil. Si bien nada les ha impedido utilizar AOSP 10 para el Mate 30.

Estas son las aplicaciones de Google que antes teníamos preinstaladas y ya no aparecen: Google App, Google Chrome, Gmail, Google Maps, Youtube, Google Play Store, Google Drive, Google Play Music, Google Play Movies, Google Duo y Google Fotos.

Ni Google Maps, ni la Play Store, ni Youtube. Los Mate 30 llegan con los Huawei Mobile Services y AppGallery, su tienda de aplicaciones Android con acceso a más de 11.000 apps, pero con importantes ausencias.

Como alternativa, Huawei dispone de una larga serie de herramientas con EMUI 10 para solventar la falta de las apps de Google. Tenemos los Huawei Mobile Services (HMS), junto a aplicaciones de Música y Vídeo, galería propia, aplicación de salud, navegador, app de correo, calendario y también una tienda de aplicaciones propia: App Gallery. Es a través de esta tienda de aplicaciones donde podremos instalar las apps Android. Hay disponibles más de 11.000 aplicaciones, aunque por el momento no están disponibles ni las de Google como Youtube o Gmail, ni otras como WhatsApp, Facebook o Instagram.



Según Huawei, están "trabajando en maneras para facilitar su instalación", pero por el momento no están disponibles para ser instaladas a través de sus servicios. Sin embargo, nada impide instalar manualmente las aplicaciones de Google o las que falten. Y aquí es donde tenemos el punto clave del Mate 30: inicialmente no estarán disponibles muchas aplicaciones, pero si el usuario tiene los conocimientos técnicos para instalarlas a partir del APK no hay ninguna restricción.

Esta instalación manual también incluye a los Google Mobile Services, que pese a no venir instalados sí son compatibles como en cualquier otro móvil con AOSP. Lamentablemente, por el momento el bootloader de los Huawei Mate 30 no está abierto y la instalación de los Google Play Services no es tan sencilla como hacerlo con un APK.

Huawei ha explicado que facilitará la instalación de nuevas aplicaciones de la manera más "transparente y user-friendly posible", pero están todavía trabajando en la solución final para que sea lo más sencillo posible. No se prevé que Huawei vaya a recomendar la instalación de Google Play ni optar por tiendas de terceros, ya que los esfuerzos se centrarán en promover su propia AppGallery. Pero sí podría ofrecer una herramienta similar a la que ya ofrece Honor en China, conocida como Google Service Assistant.

Huawei facilitará la instalación de nuevas aplicaciones de la manera más "transparente y user-friendly posible". Pero por el momento aquellas que no estén disponibles deberán ser instaladas a través del APK.

Huawei Assistant, la alternativa a Google en información y noticiasHuawei Assistant, la alternativa a Google en información y noticias



Entre las novedades del Huawei Mate 30 está la incorporación de Huawei Assistant. Se trata del sustituto de la aplicación de Google, Discover y Google Assistant. De la misma forma que lo habitual en Android era encontrarse esta pantalla al deslizar desde la izquierda, ahora tendremos la plataforma de Huawei con sus propias recomendaciones y noticias.

El primer uso que le podremos dar a Huawei Assistant es el de búsqueda. Esta herramienta permitirá buscar entre las aplicaciones instaladas, así como en los correos y las entradas de calendario. También será el buscador a través del navegador por defecto. En segundo lugar está Instant Access, una herramienta de accesos directos para ir a las fotos favoritas o a las listas de reproducción. Por el momento están limitado a ciertas acciones, pero Huawei promete que la experiencia mejorará en el futuro.



Basándose en la inteligencia artificial de Huawei, su asistente ofrecerá notificaciones y recordatorios inteligentes basadas en el uso que hagamos del terminal. Inicialmente tenemos información del tiempo y llamadas perdidas, pero se actualizará con recomendaciones de restaurantes, vuelos, reservas de hotel y otra información.

Notificaciones inteligentes, recomendaciones de contenido y Huawei Assistant son algunas de las novedades del Mate 30 para compensar la falta de los servicios de Google.
Adicionalmente, Huawei ha llegado a acuerdos con TeleTrader y Enetpulse para ofrecer información de deporte y resultados financieros. Porque aquí está otra de las claves para sus servicios; si quieres ofrecer buena información necesitas aliados que puedan proporcionarla. Finalmente tenemos el Newsfeed, la equivalencia al discover de Google donde tendremos una selección de noticias y artículos interesantes del momento.

Huawei explica que Assistant vendrá preinstalado en los nuevos Mate 30 y estará disponible para el resto de dispositivos Huawei a través de AppGallery en un futuro. Este nuevo servicio está basado en la nube y los datos se gestionarán desde Europa, cumpliendo así la Ley de Protección de Datos europea.

Con el Android "open source" perdemos más de lo que parece


Los Huawei Mate 30 no pierden solo las apps más conocidas de Google, también toda una serie de servicios "invisibles" asociados a Android.

Para entender mejor las diferencias hay que conocer de qué partes está formado Android. La plataforma que todos conocemos es una base AOSP, más un añadido de los servicios y aplicaciones de Google. Esto último no lo tenemos en el Mate 30, pero sí el kernel linux de Android y las distintas librerías. Es decir, la base del sistema se mantiene pero lo que cambian son todos los servicios extra. Unos servicios que con el paso del tiempo cada vez son más importantes.

El Huawei Mate 30 no solo pierde las aplicaciones de Google, también la sincronización automática de las fotos, las APIs de localización, los servicios de desbloqueo inteligente, Google Play Games, la compatibilidad con Android Auto, Android Webview, Google Pay, Widevine DRM e incluso la capa de seguridad Google Play Protect, una capa de seguridad para impedir que el malware se instale en el móvil.

Google añadía a Android mucho más que sus aplicaciones más conocidas. Pese a la presencia de EMUI y los Huawei Mobile Services, con AOSP perdemos compatibilidad con una gran cantidad de accesorios, aplicaciones y servicios.

Google está muy arraigado y perder acceso a sus servicios significa perder la compatibilidad con una gran cantidad de accesorios y aplicaciones. Desde aparatos como el Chromecast hasta aplicaciones de terceros que se basan en los mapas de Google como Uber, Glovo, Deliveroo e incluso Tinder. Para solucionarlo, los Huawei Mobile Services ofrecen su propio servicio y estos desarrolladores podrán adaptarse para seguir funcionando.



Respecto a las aplicaciones que hagan uso de los servicios de geolocalización, los Huawei Mobile Services añaden su propio sistema que incluye posicionamiento GPS, cloud y Maps. Aunque no se especifica hasta qué punto funcionará junto a las aplicaciones actuales. En el caso de la compatibilidad con Android Auto, Huawei lo sustituye por su propio servicio HiCar.

Durante la presentación Huawei ha ofrecido algunos datos, explicando que más de 45.000 aplicaciones son compatibles con los Huawei Mobile Services y que disponen de un kit de desarrollo para la mayoría de herramientas que hasta la fecha recaían en manos de Google, como pueden ser los mapas, mensajes, servicios de juegos, analytics o compras dentro de aplicaciones.

Es un primer paso pero saben que todavía hace falta la ayuda del resto del ecosistema de aplicaciones y por ello han anunciado un fondo de hasta 1.000 millones de dólares para promover sus servicios y ayudar a crear un ecosistema potente alrededor de los Huawei Mobile Services.

Incógnitas que quedan por conocer

El Huawei Mate 30 se actualizará en el futuro con las distintas versiones de EMUI y podrá acceder a los parches de seguridad, pero no garantizan que se actualice a las últimas versiones de Android. Sí han confirmado que el Huawei Mate 30 estará disponible en Europa durante el cuarto trimestre de 2019, aproximadamente entre los meses de octubre y noviembre.

Para esa fecha es posible que algunas de las dudas que todavía quedan por resolver se hayan aclarado. Es el caso de qué mecanismo utilizará Huawei para ofrecer a sus usuarios acceso a las aplicaciones más populares o hasta qué punto los Huawei Mobile Services serán capaces de sustituir a los Google Services y su arraigada presencia en Android.

Harmony OS todavía no está preparado para su aparición en los buques insignia de Huawei y su apuesta por AOSP y EMUI sin la presencia de Google es un movimiento arriesgado. Habrá que esperar para conocer la reacción de los usuarios y qué métodos se acaban utilizando para poder sacar todo el partido a un smartphone que a nivel de hardware se encuentra entre los más completos del año.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login