security
42 noticias
Números aleatorios en Apple: guía y alternativas
Este artículo explora la generación de números aleatorios en las plataformas de Apple, desde las funciones de la biblioteca estándar hasta los mecanismos subyacentes del sistema operativo. Inicialmente, se considera `rand(3)`, pero rápidamente se descarta debido a que está obsoleta y se recomienda s
Cerno: Verificación humana sin captchas ni hardware
Cerno es una solución innovadora para la verificación humana que elimina la necesidad de hardware especializado, como capturas de pantalla o audio. En un mundo donde los bots y el fraude online son un problema creciente, Cerno ofrece una alternativa más segura y discreta a los métodos tradicionales
Crisis en RubyGems: Separación de Ingenieros Revela Fallas
Este informe, elaborado por Richard Schneeman tras la llamada "RubyGems Fracture" de septiembre-octubre de 2025, detalla una crisis que afectó a la comunidad Ruby y a la gestión de RubyGems.org. La situación surgió de la necesidad de separar a dos ingenieros salientes, André Arko y Samuel Giddins, d
Ataque a Axios: Versiones maliciosas en npm
La popular biblioteca JavaScript para HTTP, Axios, ha sido objeto de un sofisticado ataque a la cadena de suministro, según StepSecurity. El 30 de marzo de 2024, se identificaron dos versiones maliciosas de Axios (versiones 1.14.1 y 0.30.4) publicadas en npm. Estas versiones fueron subidas utilizand
macOS 26: inconsistencia en el redondeo de ventanas preocupa
Este artículo aborda un problema estético y técnico que surgió con la actualización de macOS a la versión 26: la inconsistencia en el redondeo de las esquinas de las ventanas. La estética de macOS 26, particularmente el redondeo de las esquinas, ha sido objeto de críticas, no solo por su diseño en
Control parental: router casero con OpenBSD
Este artículo describe cómo configurar un router doméstico con OpenBSD y el firewall `pf` para restringir el acceso a Internet durante la hora de dormir, de forma automática y con excepciones. El autor, frustrado con las limitaciones de un router comercial (Ubiquiti USG-3P), optó por construir su pr
Hacken al Xbox One: Seguridad comprometida tras 11 años
El Xbox One de Microsoft, considerado ‘inseparable’ desde su lanzamiento en 2013, ha sido finalmente comprometido por un investigador de seguridad conocido como 'Bliss'. El avance, revelado en la conferencia RE//verse 2026, utiliza una técnica llamada Voltage Glitch Hacking (VGH), un método que evit
Juego resuelve un crimen depurando código
El juego 'Fatal Core Dump' es una innovadora propuesta que combina un misterio de asesinato con la depuración de un 'core dump', un archivo que contiene el estado de un programa en el momento de su fallo. El objetivo es enseñar una habilidad informática poco común de una manera atractiva y lúdica, s
AgentArmor: Nuevo marco protege aplicaciones de IA
Un nuevo framework de código abierto llamado AgentArmor ha sido desarrollado para mejorar la seguridad de las aplicaciones de IA agentic. Creado por Agastya, AgentArmor ofrece una defensa en profundidad de ocho capas que abarca todo el flujo de datos, desde la entrada hasta la salida, abordando las
Sandboxing de procesos: Capsicum y seccomp comparados
Este artículo explora dos enfoques distintos para el 'sandboxing' de procesos, una técnica crucial para la seguridad informática que aísla un proceso para limitar el daño que puede causar si es comprometido. Tradicionalmente, los sistemas Unix permitían a los procesos heredar la autoridad completa d
Linux: /proc/self/mem y la memoria protegida
Este artículo explora un comportamiento peculiar y a menudo desconocido de `/proc/self/mem` en sistemas Linux: la capacidad de escribir en memoria marcada como inescrutable. Normalmente, el sistema operativo impide que el código escriba en áreas de memoria designadas como de solo lectura. Sin embarg
Sitios piden 'aguanta fuerte': ¿por qué ves ese mensaje?
El mensaje "Hold tight" que ves al acceder a algunos sitios web, acompañado de una solicitud para habilitar JavaScript, es una señal de que el sitio está implementando medidas de seguridad avanzadas para protegerse de ataques cibernéticos, específicamente ataques de tipo DDoS (Distributed Denial of
Código cerrado: ¿actualizar o no actualizar?
Este artículo de codon.org.uk explora la compleja decisión de actualizar o no los 'blobs' de código no libre que a menudo se encuentran en hardware moderno. Estos 'blobs' son esencialmente código (a menudo escrito en C y dirigido a arquitecturas como Arm o RISC-V) que controla el funcionamiento de d
macOS: Inyección de código para 'hot-reload' en C/C++
Este artículo de mariozechner.at explora la inyección de código en macOS, una técnica que permite modificar el comportamiento de un proceso en ejecución. La motivación surge de la imposibilidad de usar Live++, una herramienta de 'hot-reload' para C/C++ que funciona en Windows y consolas, en macOS. E
LineageOS: Guía para instalar y personalizar tu Android
Este artículo de lockywolf.net explora el proceso de instalación y uso de LineageOS en un teléfono Android, ofreciendo una guía alternativa a la documentación oficial, que a menudo es deficiente. El objetivo principal es proporcionar una comprensión más profunda de cómo funciona Android a un nivel m
Acceso remoto a disco encriptado: solución ingeniosa
Este artículo de jyn.dev describe una solución ingeniosa para desbloquear remotamente un disco duro encriptado durante el proceso de arranque de un sistema Linux, específicamente Arch Linux. El problema que aborda es la necesidad de acceder a un portátil con un sistema operativo encriptado, incluso
Scp bloquea SSH: solución inesperada al problema
Este artículo describe un problema inusual y una solución inesperada relacionada con el acceso SSH a un servidor. El autor se encontró con que, después de transferir archivos a su servidor usando `scp`, ya no podía iniciar sesión a través de SSH, a pesar de que otros servicios en el servidor funcion
Starlight Convenience: Automatiza despliegues en Kubernetes
Starlight Convenience es un proyecto de software y una colección de herramientas de automatización de despliegue y gestión de aplicaciones, principalmente enfocada en entornos Kubernetes. Aunque su nombre sugiere una simplicidad, su propósito es abordar una necesidad crucial en el mundo del desarrol
libxml2-ee: mejora la biblioteca para XML
libxml2-ee es una versión mejorada de la popular biblioteca libxml2, un conjunto de herramientas en C para procesar documentos XML. Originalmente, libxml2 es una biblioteca fundamental para muchos proyectos que necesitan analizar, manipular y generar archivos XML. libxml2-ee se centra en optimizar e
LLMs: ¿Programación determinista es posible?
El auge de los Modelos de Lenguaje Grandes (LLMs) está transformando la industria del software, generando debates sobre su uso ético y efectivo. Este artículo explora un enfoque menos discutido: el uso determinista de los LLMs, inspirándose en cómo los matemáticos están abordando el desafío de integ
xmloxide: alternativa segura a libxml2 en Rust
Un equipo de desarrolladores ha creado 'xmloxide', una reimplementación en Rust de la popular biblioteca de análisis XML/HTML 'libxml2'. 'libxml2', ampliamente utilizada en el mundo del código abierto, se declaró oficialmente sin mantenimiento en diciembre de 2025 y presenta vulnerabilidades de segu
CSP: Protege tu web con esta política de seguridad
Este artículo de Kayssel.com, escrito por Ruben Santos Garcia, desglosa el Content Security Policy (CSP), una herramienta crucial para la seguridad web, a menudo mal entendida y mal implementada. En esencia, CSP actúa como un 'portero' para el navegador, definiendo de dónde puede cargar un sitio web
Agentes autónomos: Browser Use crea infraestructura segura
Este artículo describe cómo Browser Use construyó una infraestructura segura y escalable para ejecutar 'agentes' (programas autónomos) que pueden ejecutar código arbitrario, como Python o comandos shell. Inicialmente, la empresa usaba AWS Lambda para ejecutar agentes con código limitado, pero a medi
Qwibitai mejora seguridad de código con tokens dinámicos
El proyecto `nanoclaw/repo-tokens` de Qwibitai en GitHub introduce un concepto innovador para gestionar y controlar el acceso a repositorios de código en entornos Kubernetes, especialmente útil para equipos de desarrollo que buscan una mayor granularidad y seguridad. En esencia, `repo-tokens` son to
Prueba CAPTCHA: ¿Eres humano o robot?
El contenido proporcionado es extremadamente limitado. Se trata de una prueba CAPTCHA, diseñada para verificar si un usuario es humano y no un bot automatizado. La prueba consiste en mostrar una imagen que contiene código (probablemente un fragmento de código de programación) y pedir al usuario que
Herramienta detecta riesgo de confusión en caracteres Unicode
Un investigador ha desarrollado una herramienta llamada 'confusable-vision' para cuantificar la similitud visual de pares de caracteres Unicode confusables. La herramienta, basada en el cálculo del índice de similitud estructural (SSIM), analizó 1.418 pares de caracteres en 230 fuentes, revelando qu
Fondo comunitario busca asegurar el futuro del código abierto
Una nueva iniciativa, el Open Source Endowment (OSE), busca estabilizar la financiación del software de código abierto (OSS) a través de un fondo de dotación impulsado por la comunidad. La necesidad surge de la creciente fragilidad de la infraestructura crítica de OSS, a menudo mantenida por volunta
Better Hub: Colaboración humana e IA en desarrollo
Better Hub es una plataforma de colaboración en código diseñada para facilitar el trabajo tanto de desarrolladores humanos como de agentes de inteligencia artificial (IA). En esencia, busca optimizar el flujo de trabajo de desarrollo, integrando herramientas y procesos de manera más fluida y adaptab
Ingeniería inversa de seguridad en chips nRF
Este artículo de ioactive.com detalla el proceso de ingeniería inversa de la encriptación AES CCM en chips nRF52840 de Nordic Semiconductor, revelando cómo funciona y cómo se integra con la radio del dispositivo. El objetivo principal es proporcionar una guía para otros ingenieros que trabajen con p
KeePass: SQLite podría mejorar seguridad y rendimiento
KeePass es un gestor de contraseñas ampliamente respetado por su seguridad y enfoque en la soberanía de los datos. Sin embargo, el formato KDBX, utilizado desde 2007, basado en XML, ha generado problemas para los desarrolladores y usuarios al intentar incorporar nuevas funciones modernas. El formato
Visualizan el código ARM64 con herramienta interactiva
Un investigador ha creado una visualización interactiva del conjunto de instrucciones ARM64, disponible en zyedidia.github.io/arm64/index.html. La visualización, basada en una curva de Hilbert, representa cada instrucción como un punto coloreado según su clase (general, float, advsimd, etc.), utiliz
Sitio web te pide JavaScript: ¿por qué ocurre esto?
El artículo completo aquí (500-1000 palabras): ## Sitio web te pide JavaScript: ¿por qué ocurre esto? **En una era digital donde la navegación web se ha convertido en una actividad cotidiana, es cada vez más común encontrarse con un mensaje frustrante: “Este sitio web utiliza JavaScript. Por favor
Kubernetes: ¿Qué es KPBJ 95.9FM?
El título "KPBJ 95.9FM" es un tanto engañoso. No se trata de una estación de radio, sino de una representación visual de un concepto fundamental en Kubernetes: el **Service Mesh**. Para entenderlo, vamos a desglosarlo. ¿Qué es un Service Mesh y por qué es importante? En arquitecturas de microservi
nmapUnleashed: Escaneo de redes simplificado y potente
Se ha desarrollado un nuevo software llamado 'nmapUnleashed' (nu) para simplificar y mejorar el proceso de escaneo de redes utilizando la herramienta Nmap, ampliamente utilizada para pruebas de penetración y auditoría de seguridad. nu actúa como una interfaz de línea de comandos (CLI) que envuelve N
Ruby: 30 años y rumbo a 2026 con nuevas herramientas
El lenguaje de programación Ruby celebró su 30º aniversario en 2025 con el lanzamiento de la versión 4.0.0, que incluye características experimentales como ZJIT (un nuevo compilador JIT) y Ruby::Box para aislamiento de código. El framework Rails 8.0 adoptó una filosofía de "No PaaS Required" con la
Cloudflare: Autenticación Segura en Workers, Ahora Open Source
Cloudflare ha publicado una implementación de referencia de código abierto para la autenticación segura en Cloudflare Workers. El proyecto, disponible en GitHub, busca enseñar cómo construir un sistema de autenticación robusto, siguiendo estándares de seguridad como NIST SP 800-63B, NIST SP 800-132
Passkeys llegan a Linux: Nueva seguridad sin contraseñas
Un proyecto llamado 'Credentials for Linux' busca integrar las passkeys, un método de autenticación más seguro que las contraseñas tradicionales, en el escritorio Linux. La presentación, realizada en la conferencia FOSDEM 2026 en Bruselas, Bélgica, reveló los detalles de esta iniciativa, que actualm
Vouch: Nuevo Sistema para Proteger el Código Abierto
Un nuevo sistema llamado 'Vouch' busca restaurar la confianza en los proyectos de código abierto, especialmente frente a la creciente proliferación de contribuciones generadas por inteligencia artificial de baja calidad. El sistema permite a los proyectos establecer listas de usuarios 'vouch' (confi
Kekkai: Herramienta agiliza revisión de seguridad en terminal
Un ingeniero de seguridad de aplicaciones ha desarrollado Kekkai, una herramienta de línea de comandos de código abierto diseñada para simplificar el proceso de revisión y gestión de resultados de escáneres de seguridad. Kekkai, anteriormente conocido como Hokage, se creó en respuesta a la dificulta
Protección Web: ¿Por qué JavaScript es clave?
## Agárrate fuerte: Entendiendo la Protección de Conexiones Seguras y el Rol de JavaScript **1. Introducción: ¿Qué es 'Agárrate fuerte' y por qué lo ves?** Cuando visitas un sitio web y ves un mensaje como "Agárrate fuerte... Estamos verificando tu navegador... Por favor, habilita JavaScript...",
Colisión en SHA-1: Amenaza a Sistemas Ampliamente Usados
Este artículo describe un avance significativo en la criptografía: la demostración de la primera colisión real para la función hash SHA-1. SHA-1, aunque oficialmente desaprobada desde 2011, aún se utiliza ampliamente en diversas aplicaciones, desde firmas de documentos y certificados TLS hasta siste
Servidor IoT de 20€: Alternativa Open Source para el Hogar
Un equipo de desarrolladores ha anunciado un prototipo de servidor doméstico IoT de código abierto con un costo estimado de 20 euros. La presentación, realizada en el evento FOSDEM 2026, busca ofrecer una alternativa a los servicios en la nube de los fabricantes de dispositivos IoT y a las plataform