Saltar al contenido principal

2023-09-08

NSO group iPhone zero-click, zero-day exploit capturado in the wild

  • Apple ha publicado una actualización para solucionar una vulnerabilidad de clic cero descubierta por Citizen Lab, que fue aprovechada para desplegar el programa espía Pegasus de NSO Group.
  • La cadena de exploits, conocida como BLASTPASS, podía comprometer iPhones con la última versión de iOS sin interacción de la víctima. En respuesta, Apple publicó dos CVE (Common Vulnerabilities and Exposures), identificadores de riesgos de seguridad conocidos públicamente.
  • Se recomienda a los usuarios que actualicen sus dispositivos y activen el modo de bloqueo, lo que podría bloquear este ataque. Este incidente pone de relieve los ataques contra organizaciones de la sociedad civil y la necesidad de contar con su apoyo en materia de ciberseguridad.

Reacciones

  • El debate gira en torno a NSO Group, una empresa israelí de ciberseguridad, criticada por vender exploits de día cero para iPhones, con la preocupación de que los Estados autoritarios empleen su software para vigilar y reprimir a activistas y periodistas.
  • Se examinan cuestiones como las limitaciones del modo de bloqueo de Apple, la seguridad de iMessage, la eficacia de las medidas de seguridad y la necesidad de reforzar las protecciones para hacer frente a las vulnerabilidades, incluidas las posibles ramificaciones del bloqueo regional del iPhone.
  • El debate incluye sugerencias para reforzar la seguridad como el fuzzing, el uso de lenguajes seguros para la memoria (como Rust), la superación de las limitaciones del sandboxing y la importancia de las consideraciones éticas y las medidas reguladoras en la industria de la ciberseguridad.

Chrome rastrea ahora a los usuarios y comparte una lista de "temas" con los anunciantes

  • Google ha introducido una nueva plataforma publicitaria en Chrome llamada "Privacy Sandbox", que supervisa la actividad de los usuarios para personalizar una lista de temas publicitarios para los sitios web.
  • Mientras que Google lo plantea como una alternativa necesaria a las cookies de seguimiento de terceros, que tiene previsto bloquear a finales de 2024, los críticos sugieren imaginar un mundo sin anuncios dirigidos.
  • Los usuarios de Chrome pueden controlar esta función a través de la configuración de su navegador, lo que ofrece cierto grado de control sobre el proceso.

Reacciones

  • El discurso abarca numerosos temas relacionados con los navegadores web, como cuestiones de privacidad, prácticas de rastreo, efectos sobre la competencia, introducción de nuevas funciones y anuncios, rendimiento de los navegadores y necesidad de una normativa más estricta.
  • La conversación se extiende a posibles alternativas a navegadores convencionales como Google Chrome, bots en sitios web, el compromiso entre seguridad y facilidad de uso, cadenas de agentes de usuario y el tratamiento de los datos de los usuarios por parte de Google.
  • Estas discusiones ponen de relieve los debates y preocupaciones que prevalecen sobre los navegadores web y la privacidad de los usuarios.

Web pequeña Kagi

  • Kagi, una plataforma de búsqueda web, ha presentado Kagi Small Web, una iniciativa innovadora centrada en impulsar la visibilidad de la "Small Web", descrita como el segmento no comercial de Internet.
  • Este nuevo servicio recopila datos frescos de blogs cuidadosamente seleccionados, los muestra en sus resultados de búsqueda y ofrece también un canal RSS. Es de código abierto e incluye una lista especialmente seleccionada de casi 6.000 sitios web verificados. El objetivo de Kagi Small Web es ofrecer una experiencia de búsqueda más personal, destacar aspectos menos conocidos de la web y subrayar la importancia de la Small Web.
  • Kagi también ha presentado el sitio web Kagi Small Web, una plataforma que funciona sin JavaScript para permitir interacciones de los usuarios como la apreciación de los mensajes y la toma de notas. Los usuarios pueden acceder a Kagi Small Web a través de un canal RSS o una API, y hacer comentarios o aportaciones a través de diversas plataformas.

Reacciones

  • Kagi, un buscador web menor, ha introducido una novedosa función, "Small Web", que muestra explícitamente contenidos de blogs y sitios web independientes.
  • Aunque Kagi es aplaudido por su interfaz de usuario fácil de usar, su dedicación a la privacidad y su valor, hay algunas críticas sobre su incorporación de enlaces a plataformas centralizadas como Twitter, lo que lleva a sugerir sustitutos como Mastodon u opciones de software libre federado.
  • A pesar de las incertidumbres sobre la escalabilidad y los modelos de negocio, hay una sensación general de entusiasmo y respaldo a la nueva iniciativa de Kagi.

Mullvad en Tailscale: Navega por Internet en privado

  • Mullvad, un servicio de red privada virtual (VPN) centrado en la privacidad, se ha asociado con Tailscale para ofrecer a los clientes de Tailscale el uso de los servidores VPN de Mullvad. Esta asociación mejora la privacidad y la seguridad de los usuarios durante la navegación web.
  • Tailscale, que crea un entorno de Internet privado, actúa como capa de coordinación entre los dispositivos y el borde de red de Mullvad, garantizando el cifrado y la privacidad de extremo a extremo.
  • Aunque Tailscale conoce la identidad de los usuarios, no comparte información personal con Mullvad, lo que refuerza aún más la privacidad. Esta asociación permite diversos usos de los nodos de salida de Mullvad con Tailscale.

Reacciones

  • El tema central del artículo gira en torno a las redes privadas virtuales (VPN) y los proxies web, destacando sus riesgos potenciales y las distintas perspectivas sobre su uso.
  • Incluye un enfoque detallado sobre la integración de Tailscale y Mullvad, dos servicios VPN, discutiendo sus beneficios y limitaciones.
  • Se hace hincapié en la privacidad, los problemas de censura y el uso de VPN para acceder a contenidos restringidos en Internet.

Campaña norcoreana contra investigadores de seguridad

  • El Grupo de Análisis de Amenazas de Google ofrece información actualizada sobre una campaña norcoreana dirigida a investigadores de seguridad que se dedican a la investigación y el desarrollo de vulnerabilidades.
  • Los actores apoyados por el gobierno utilizan exploits de día 0, establecen relaciones con sus objetivos a través de las redes sociales y, a continuación, envían archivos maliciosos utilizando plataformas de mensajería cifradas.
  • El grupo ha creado una herramienta para Windows capaz de descargar y ejecutar códigos no especificados desde un dominio controlado por un atacante. Google está tomando medidas para proteger a sus usuarios y difundir los resultados entre la comunidad de seguridad.

Reacciones

  • Piratas informáticos norcoreanos han estado atacando a investigadores de seguridad con códigos maliciosos a través de GitHub, lo que ha suscitado preocupación sobre la seguridad de utilizar código fuente abierto.
  • Los debates profundizan en las amenazas potenciales, incluidos los mantenedores comprometidos, el uso indebido de las estrellas de GitHub y las cuestiones que rodean la atribución de los ciberataques a Corea del Norte.
  • La conversación también explora el entrenamiento, las tácticas de reclutamiento y las condiciones de vida de los hackers norcoreanos, suscitando debates sobre la credibilidad de los informes de inteligencia de seguridad y los riesgos que presentan estos piratas informáticos.
  • El nuevo compromiso de derechos de autor de Microsoft Copilot defiende a los clientes frente a demandas por infracción de derechos de autor relacionadas con el uso de los servicios Copilot de Microsoft o sus resultados generados.
  • El compromiso se aplica a las versiones de pago de los servicios de Copilot y obliga a los clientes a utilizar filtros de contenidos y abstenerse de generar cualquier material infractor.
  • La medida de Microsoft pretende respaldar a sus clientes, asumir la responsabilidad de cualquier problema legal derivado del uso de sus productos y garantizar la promoción de los objetivos de la IA, el respeto de los derechos de autor, la competencia y la innovación.

Reacciones

  • Microsoft se ha comprometido a asumir cualquier riesgo relacionado con los derechos de autor de su herramienta de inteligencia artificial Copilot, en medio de la preocupación de los usuarios por las posibles infracciones de derechos de autor y el impacto en el repositorio de código más amplio.
  • Existe un debate en curso sobre la legalidad y el uso justo de la IA generativa en la creación de contenidos, con especial atención a su intersección con la legislación sobre derechos de autor y la necesidad de aclaraciones jurídicas.
  • También han surgido debates sobre la responsabilidad relacionada con el uso de Copilot y hasta qué punto es realmente exigible el compromiso de Microsoft. El discurso contiene opiniones divergentes, ya que algunos cuestionan la patentabilidad de determinados fragmentos de código y otros hacen hincapié en el respeto de la propiedad intelectual.

Tailscale se ha asociado con Mullvad

  • Tailscale ha iniciado una colaboración con Mullvad VPN, permitiendo a sus clientes utilizar ambos servicios en tándem.
  • Esta asociación permite a los clientes de Tailscale llegar a sus dispositivos a través de la red de malla de Tailscale y enviar conexiones salientes a través de los servidores WireGuard de Mullvad VPN.
  • La colaboración proporciona a los usuarios un mayor grado de funcionalidad y versatilidad.

Reacciones

  • Tailscale ha iniciado una colaboración con Mullvad, una empresa consolidada en el ámbito de la seguridad y la privacidad en Internet.
  • Los detalles concretos de esta asociación y lo que puede suponer no se han revelado por el momento.

Web textual: TUIs para la Web

  • Textual Web es un proyecto que convierte las aplicaciones de terminal soportadas por Textual en aplicaciones web, eliminando la necesidad de configuraciones de cortafuegos y puertos.
  • Simplifica el intercambio de aplicaciones a través de URL, lo que hace que el desarrollo de aplicaciones web sea más asequible para los desarrolladores de Python que carecen de experiencia en desarrollo web.
  • Las futuras actualizaciones pretenden incorporar API de plataformas web adicionales y soporte para construir aplicaciones de terminal, web y escritorio a partir de la misma base de código. Actualmente, el proyecto Textual Web está en fase beta pública.

Reacciones

  • El artículo explora el concepto de interfaces textuales de usuario (TUI) y su comparación con las interfaces gráficas de usuario (GUI), arrojando luz sobre su posible coexistencia.
  • Destaca algunas herramientas, como AutoCAD y Emacs, que ofrecen tanto opciones TUI como GUI, lo que indica la flexibilidad en el diseño de la interfaz de usuario.
  • Se introduce la aplicación Textual, un marco de desarrollo de TUI para Python, y se presentan las experiencias y opiniones de algunos usuarios sobre Textual, proporcionando una aplicación real y una reacción a las TUI.

Mojo está disponible para descarga local

  • Mojo, un lenguaje de programación de alto rendimiento adaptado a los desarrolladores de IA, ya está listo para su descarga local. Se integra con Python, lo que permite utilizar el conjunto completo de funciones de Mojo, incluidas las del compilador y las herramientas IDE.
  • El kit de desarrollo de software (SDK) de Mojo ofrece herramientas como el controlador Mojo, una extensión de código de Visual Studio y la integración con Jupyter. Permite a los desarrolladores aprovechar el rendimiento de Python y acceder al ecosistema de Python sin problemas.
  • Entre los planes de futuro para Mojo se incluye la creación de código abierto de algunas partes del lenguaje para su desarrollo y mejora.

Reacciones

  • La conversación se centra en Mojo, un lenguaje de programación, con preocupaciones sobre su modelo de licencias, su naturaleza de código cerrado y su futuro poco claro en el open-sourcing.
  • Los usuarios son reacios a invertir tiempo en Mojo debido a su aspecto de código cerrado y a la incertidumbre sobre la apertura de los creadores.
  • Hay división de opiniones sobre el estilo sintáctico de Mojo, su rendimiento y su eficacia en comparación con Python para tareas de programación y aprendizaje automático.

Grindr pierde casi la mitad de su plantilla por la exigencia de 2 días de RTO

  • La aplicación de citas LGBTQ, Grindr, ha sido testigo de la dimisión de cerca del 45% de su plantilla tras aplicar una rígida política de regreso a la oficina en medio de planes de sindicalización.
  • La política de Grindr obligaba a los empleados a trabajar en persona dos días a la semana o corrían el riesgo de ser despedidos.
  • En consecuencia, aproximadamente 80 de los 178 empleados tuvieron que dimitir por no estar de acuerdo con la nueva estrategia de la empresa.

Reacciones

  • En este sumario se analizan determinados asuntos, concretamente los recortes de personal en Grindr y las acusaciones de trato inadecuado de empleados y posibles amenazas a la seguridad.
  • Señala la afirmación de Elon Musk de que los ingresos publicitarios de Twitter disminuyeron debido a la Liga Antidifamación (ADL) y el Centro para Contrarrestar el Odio Digital (CCDH).
  • El resumen también profundiza en el debate sobre los gastos que ocasiona la gestión de una empresa de software, la distinción de las empresas como compañías de software y su capacidad para adaptarse a las exigencias del mercado mediante suscripciones de software.