Archives septiembre 2022

El uso de las carteras digitales se ha popularizado mucho en los últimos años, pero como suele ser habitual en muchos sectores de la computación de consumo, las opciones existentes son pocas, privativas e incompatibles entre sí. Con el fin de cambiar el rumbo de la industria, The Linux Foundation va a intentar dar forma a la OpenWallet Foundation (OFW), cuya traducción es Fundación de Cartera Abierta.

Las intenciones de The Linux Foundation con OpenWallet Foundation es desarrollar un esfuerzo colaborativo para impulsar software código abierto que ofrezca un soporte interoperable para muchos de los usos que se les da a las carteras digitales. La organización que ampara el kernel Linux, CUPS y Servo dice que “la iniciativa ya se beneficia de un fuerte apoyo que incluye a empresas líderes en los segmentos verticales de la tecnología, el sector público y la industria, además de organizaciones de estandarización”.

La OWF pretende crear un motor seguro, multipropósito y de código abierto que sirva como punto de partida para la construcción de carteras digitales interoperables, seguras y que protejan la privacidad. De esa manera habría una variedad de soluciones que compartirían una misma base tecnológica.

Es importante tener en cuenta que la OWF no tiene la intención de desarrollar una cartera digital propia. Su propósito, al menos por ahora, es la de crear un motor de software publicado como código abierto que organizaciones y empresas puedan aprovechar como base para la construcción de sus propias carteras digitales. El motor abarcaría casos de uso como la identidad, los pagos y las claves digitales y tendría como objetivo lograr la paridad con las mejores opciones disponibles en la actualidad.

La orientación del motor hacia las empresas ya deja entrever el uso de una licencia permisiva como Apache 2, MIT o BSD, que permiten la creación de derivados privativos al no exigir la redistribución del código fuente. Si el proyecto llega a buen puerto, se abriría la puerta a que pequeñas empresas puedan tenerlo más fácil a la hora de plantar cara a gigantes como Google y Apple, que en la actualidad muestran una fuerte posición dominante con sus respectivas soluciones para Android e iOS respectivamente.

Veremos cómo le va a la OpenWallet Foundation, que, viendo el comunicado de prensa de The Linux Foundation, parece un proyecto en fase embrionaria. En el evento de presentación, celebrado el día 14 de septiembre de 2022, ha contado con el apoyo de personas importantes en empresas e instituciones como Accenture, Avast y The Open Identity Exchange. Cimientos parece que hay, pero habrá que ver si al final se construye el edificio.

Fuente: www.muylinux.com

Red Hat permite que el personal se mantenga alejado de la oficina para siempre, Los edificios necesitan ‘una vibra’ y ‘vecindarios’ sin escritorios para hacerlos divertidos si alguien decide entrar.

La unidad de software libre de IBM, Red Hat, ha revelado que su personal no necesita volver a la oficina, nunca. Pero si lo hacen, descubrirán que les esperan «barrios» de colaboración. Según Register.

La noticia de esta política llegó en un post de la vicepresidenta senior y jefa de personal Jennifer Dudeck, quien dijo que más del 30% del personal trabajaba a distancia antes de que una determinada pandemia hiciera que esta práctica fuera más aceptada.

Ahora Red Hat «ha ampliado la flexibilidad ofreciendo a la mayoría de nuestros empleados la libertad de ser ‘office-flex’, donde pueden venir a la oficina tanto como necesiten, o no venir en absoluto si así lo desean». Sin embargo, se anima a los altos cargos a trabajar desde las oficinas de la empresa «para interactuar y aprender más».

Dudeck dijo que la política refleja el hecho de que algunas personas tienen excelentes razones -como seres queridos inmunodeprimidos- para no visitar la oficina.

«No estar limitado por la ubicación a la hora de contratar ofrece una oportunidad mucho más amplia de atraer y retener a grandes asociados, especialmente cuando se trata de talento diverso», añadió, antes de señalar que la comunidad de FOSS colabora sin interacción física y lo hace con famoso éxito.

El artículo de Dudeck incluye una sección titulada «La oficina es un ambiente» que explica que Red Hat se ha dado cuenta de que las oficinas tienen que ser algo más que un lugar al que se va a trabajar.

«Como la mayoría de nuestros empleados tienen la flexibilidad de decidir cuándo quieren utilizar la oficina, nos dimos cuenta de que tenía que ser un lugar en el que los empleados pudieran conectar con la cultura de Red Hat, colaborar y participar más plenamente. En pocas palabras, si los empleados no van a la oficina todo el tiempo, es aún más importante que sea divertida, funcional y agradable cuando lo hagan.»

Esto significa que las oficinas de Red Hat contarán con «‘barrios’ donde los equipos se reúnen para trabajar» y que incluyen «muchos menos escritorios y más cabinas, sofás y pequeños espacios de colaboración».

Lo que suena bien para la colaboración, y tal vez menos bueno para aquellos con espinas dorsales comprometidas con el sofá.

Toda esta apertura va acompañada de un «centro de decisiones abierto» que Dudeck describe como «un lugar central para que los Red Hatters participen en las decisiones activas, expresen sus opiniones, tomen parte en las encuestas y sigan la historia de cómo y por qué se tomaron las decisiones».

«Mirando el Open Decision Hub, los asociados pueden ver qué líderes están impulsando un tema, qué está abierto a comentarios (y qué no) y en qué punto del proceso de decisión nos encontramos».

Los clientes de Red Hat quizá sepan ahora cómo obtener un poco de ventaja: preguntar quién está impulsando un tema importante y si está obteniendo una buena tracción del Hub.

Todo lo anterior va acompañado de una reflexión sobre cómo hacer que el nuevo lugar de trabajo funcione.

«Un enfoque del trabajo sin límites requiere un mayor énfasis en permitir la colaboración digital y la seguridad psicológica, porque la inclusión y la confianza potencian los equipos distribuidos eficaces», escribió Dudeck.

La política de flexibilidad de Red Hat parece ser maximalista en comparación con sus pares. Apple quiere que la gente vuelva tres días a la semana, al igual que Google. Tesla quiere que los ejecutivos vuelvan a tiempo completo. Salesforce no quiere imponer la vuelta a la oficina porque su director general, Marc Benioff, no cree que funcione.

Y la NASA ha culpado al trabajo desde casa de los retrasos en al menos una misión: el rover VIPER, que buscará sustancias químicas útiles en el Polo Sur de la Luna a partir de noviembre de 2023. Se podría pensar que la NASA está bien equipada para trabajar a distancia.

Fuente: www.somoslibres.org

Se acerca el plazo para que las facturas físicas queden en el recuerdo. La Ley de Desarrollo Económico y Sostenibilidad Fiscal establece que a partir del próximo 30 de noviembre la emisión de los comprobantes digitales sea de carácter obligatorio.

La sustitución de las facturas físicas por las digitales a fines de noviembre obliga a los usuarios a tener una firma electrónica. Foto: Pexels

Uno de los requisitos indispensables para migrar a este sistema virtual es la obtención de la firma electrónica. Por ello, la demanda de este archivo digital ha crecido notablemente en el país.

Yael Fierro Guillén, experta en temas tributarios, recordó que hay ocho entidades autorizadas para emitir este documento digital. Cada una tiene sus propios tiempos de emisión y costos.

Tres son entidades públicas: Banco Central, Consejo de la Judicatura y Registro Civil. Y las otras cinco son privadas: Anfac Ecuador, Security Data, Uanataca, Eclipsoft y Datil Medi.

La experta recomendó acercarse lo antes posible a una de estas entidades para obtener su firma electrónica, ya que quedan alrededor de 60 días para completar el trámite que será obligatorio.

Muchos aún no han migrado

Según el Servicio de Rentas Internas (SRI), aún falta que migren 900 000 contribuyentes al sistema virtual, con corte a agosto pasado. Los habilitados para emitir facturas electrónicas son 300 000.

Idrián Estrella, presidente de la Federación Nacional de Contadores del Ecuador, señaló que se debe tomar precauciones de seguridad con la firma electrónica, ya que esta equivale a la manuscrita. Cualquier documento firmado digitalmente es válido. La responsabilidad y uso de la firma digital recae directamente sobre el dueño.

Formatos a elegir

Hay dos formatos de firma electrónica en el país. Una en archivo y otra en token. La elección dependerá de cada contribuyente.

La de archivo permite colocar firmas con un solo clic, mientras que la de token debe usar un dispositivo tipo USB para colocar la rúbrica. Este último es necesario, además, para hacer importaciones y exportaciones. Los dos formatos tienen una clave de acceso.

La firma virtual puede tener vigencia de uno o más años, dependiendo de las necesidades de los clientes. De ello también depende el precio. Para consultar los valores se puede revisar en las páginas web de cada una de entidades autorizadas, públicas y privadas.

Seguridad

Nunca revele o anote la contraseña en algún lugar que alguien pueda descubrir. Tampoco pida a otra persona que le ayude a firmar algún documento por usted otorgándole las credenciales. La persona que ha firmado electrónicamente algo no puede negar su autoría; es como hacerlo a mano.

Ponga atención

Lea detenidamente el documento que está firmando. La información podrá ser aceptada sin cuestionamientos y puede indicar autorización, decisión o aprobación que tendrá impacto sobre personas y cosas. Antes de firmar un documento que tenga otras rúbricas, debe asegurarse que sean correctas.

Clave

Asegúrese que por cada documento se le solicite la clave. La firma de varios de ellos a la vez es insegura; podría firmar documentos sin conocerlos. Si el documento es privado, cerciórese de no usar medios compartidos para guardarlo. La firma digital en sí misma no da privacidad de la información en cuestión.

Originales

Todos los documentos firmados digitalmente son originales, por ello, este debe ser lo más específico posible. Lo único que puede hacer en un documento firmado electrónicamente es agregar otras firmas o cambiar el nombre al archivo. Cualquier otro cambio hará que la firma se pierda o sea inválida.

Recuerde

Almacene su certificado de firma electrónica de manera segura. Además, debe cuidar la seguridad de sus dispositivos electrónicos, como ‘smartphones’ o computadoras utilizados en la firma electrónica. Instale un antivirus, evite entrar a sitios web inseguros y/o abrir archivos que sean desconocidos.

Fuente: www.elcomercio.com

El Software Libre se refiere a la libertad, no al precio. Garantiza a sus usuarios las cuatro libertades esenciales. La ausencia de al menos una de estas libertades significa que una aplicación es propietaria, por lo tanto Software no-Libre, en este artículo vamos a revisar los conceptos asociados al Software Libre. 

1. ¿Qué es el Software?

El software libre es un término que describe el software que permite a los usuarios ver libremente el código de programación, modificarlo, distribuirlo y utilizarlo sin ninguna restricción.

Muchas herramientas eligieron el modelo de software libre porque tiene una filosofía que fomenta el espíritu de apertura y de compartir. Esto ayuda a su objetivo de ser una comunidad acogedora e inclusiva.

2. El significado de ‘libre’

Empecemos por definir el significado de «libre». En el caso del software libre, se parece más a la «libertad de expresión» que a la «cerveza gratis».

Las fiestas en las que se regala cerveza son populares porque los invitados pueden beber sin tener que pagar. En ese caso, la palabra ‘free’ significa ‘gratis’.

Esa es una de las razones por las que WordPress es tan popular. Al igual que la cerveza en la fiesta, es gratuito. Si bien hay otros costes relacionados con la creación de un sitio web, el software de WordPress no cuesta ni un céntimo.

Pero el software libre se parece más a la libertad de expresión que a la cerveza gratis. En otras palabras, se trata principalmente de la libertad, no del precio.

El movimiento del software libre fue iniciado en 1989 por Richard Stallman porque le preocupaba que las licencias de software fueran cada vez más restrictivas. No es sólo un movimiento de software, sino un movimiento social.

Stallman quería proteger la libertad de los usuarios de software. Quería que pudieran ayudar a sus vecinos compartiendo el software, algo que muchas licencias de software privativo no permiten.

Así que creó una licencia de software para cumplir este objetivo. El software libre se refiere principalmente al software publicado bajo la Licencia Pública General GNU o GPL, como el propio sistema operativo GNU de Stallman.

3. ¿Qué es la GPL?

La GPL es una licencia de software administrada actualmente por la Free Software Foundation (FSF). Ha sido revisada varias veces para proteger mejor la libertad de los usuarios de software.

La GPL puede considerarse una «Carta de Derechos» que ofrece cuatro libertades:

• La libertad de utilizar el software para cualquier propósito.
• La libertad de estudiar el código fuente y modificar el software para cualquier propósito.
• La libertad de compartir el software con otros.
• La libertad de compartir sus propias versiones modificadas del software con otros.

La única restricción es que si comparte una versión modificada del software GPL, ésta debe tener también una licencia GPL. Esto se llama «copyleft», un juego de palabras con la palabra «copyright», y asegura que el software libre siga siendo libre.

WordPress ha sido publicado bajo la licencia GPLv2. Esto significa que seguirá estando disponible de forma gratuita y que su éxito depende de la cooperación de una comunidad activa en lugar del personal de una sola empresa.

Fuente: www.somoslibres.org

Compartieron detalles del descubrimiento de una vulnerabilidad en la app de escritorio de Microsoft Teams para Windows, Mac y Linux. El fallo permitiría que un actor malicioso con acceso a los archivos de un sistema que utilice Microsoft Teams pueda robar tokens de autenticación de un usuario o usuaria que haya iniciado sesión.

Descubren una vulnerabilidad que permitiría a un atacante acceder a una archivo que contiene tokens de acceso en texto sin formato.

Esta vulnerabilidad está relacionada con el hecho de que la app de Microsoft Teams almacena, sin la debida protección, tokens de autenticación en texto sin formato. En este sentido, un atacante podría hacer uso de estos tokens de autenticación para iniciar sesión en la cuenta de la víctima, incluso si tienen habilitada la autenticación multifactor (MFA, por sus siglas en inglés). Además, como el atacante no necesita permisos elevados para leer estos archivos, puede ser aprovechada en cualquier ataque en el que hayan logrado acceso físico o remoto al sistema.

Microsoft Teams es una potente plataforma de comunicación y colaboración utilizada por empresas, instituciones educativas y usuarios que ofrece chat, videoconferencias y una gran cantidad de aplicaciones vinculadas a la organización de tareas y proyectos y gestión de información

El equipo de investigación de Vectra fue el que descubrió esta vulnerabilidad en agosto de 2022 y aseguraron que la reportaron a Microsoft. Sin embargo, el gigante tecnológico dijo que el fallo reportado no cumplía con los requisitos suficientes para el lanzamiento de un parche inmediato. Según manifestó un vocero de Microsoft al Bleeping Computer, la técnica que describe Vectra no cumple con sus parámetros para una respuesta inmediata, ya que requiere que primero el atacante obtenga acceso a la red de una víctima.

Los investigadores publicaron detalles del hallazgo y manifestaron que mientras trabajaban en una forma de remover cuentas antiguas de Teams se toparon con un archivo ldb que contenía tokens de acceso en texto sin formato, los cuales le permitieron acceder durante las pruebas que realizaron a las API de Outlook y Skype; con todo lo que eso implica.

Según explicaron, un aspecto clave para explicar este fallo tiene que ver con que Microsoft Teams es un desarrollo que se basa en el framework app Electron, utilizado para crear aplicaciones de escritorio capaces de ser ejecutadas en un navegador. Y si bien esto hace más sencillo el desarrollo, el uso de un navegador web en el contexto de una app presenta ciertos riesgos para la seguridad. Esto en parte se debe a que los desarrolladores de apps no comprenden completamente cómo funciona Electron, ya que, por ejemplo, este framework no soporta por defecto el cifrado o la protección de ubicación de archivos.

Para los especialistas preocupa el alcance que podría tener este hallazgo en un escenario en el cual atacantes logren comprometer varios equipos y puedan tomar el control de cuentas importantes.

GifShell: una técnica que utiliza archivos GIF maliciosos en Microsoft Teams

Además de esta vulnerabilidad, hace unas semanas se relevaron detalles de una nueva técnica que aprovecha una serie de vulnerabilidades y fallos en Microsoft Teams para utilizar la plataforma para ataques de phishing, el envío de archivos maliciosos, exfiltrar datos o incluso enviar comandos. Todo a través de un archivo GIF. La técnica fue apodada GIFShell y fue descubierta por el investigador Bobby Raunch.

Fuente: www.welivesecurity.com

Los responsables de la red Ethereum llevaban años preparando la primera sus grandes transformaciones. El evento, conocido como ‘The Merge’, acaba de completarse, y desde este momento la red y su criptodivisa, el ETH, cambian de filosofía. Una mucho más eficiente y que verá nuevos cambios en el futuro.

‘The Merge’, un éxito. La transición de un mecanismo de consenso Proof-of-Work (PoW) a un modelo Proof-of-Stake (PoS) lleva en marcha desde 2016, y tras varias pruebas preliminares se ha completado. Las cosas no cambian mucho para los inversores y usuarios de la red Ethereum, pero sí para los mineros.

Adiós a la minería. El mecanismo PoW, el mismo usado en bitcoin, consiste en que máquinas y ordenadores de todo el mundo compiten para resolver complejos problemas matemáticos que luego permiten consensuar que un bloque se añade a la cadena de bloques. Ese modelo se ha vuelto muy ineficiente, y el paso a Proof of Stake es clave para reducir el impacto medioambiental.

Hola al ‘staking’. En lugar de minar, ahora el consenso se basa en apilar ETH en la red para tener algo así como ‘más participación’ en ese consenso. Con el ‘staking’ ya no se validan transacciones al resolver esos puzzles matemáticos: en lugar de eso los ususarios validan transacciones de acuerdo al número de criptodivisas que tienen en el sistema, en base a su ‘participación’ (stake). Eso genera también dudas, ojo.

And we finalized!

Happy merge all. This is a big moment for the Ethereum ecosystem. Everyone who helped make the merge happen should feel very proud today.

— vitalik.eth (@VitalikButerin) September 15, 2022

Impacto. Según la Ethereum Foundation esta transición permitirá que el consumo energético de la red Ethereum baje en un 99,95%, pero además plantea futuras mejoras a la escalibilidad y seguridad de esta criptodivisa y su cadena de bloques.

Los gamers también se benefician. Hay otra consecuencia directa: las tarjetas gráficas ya no sirven de mucho a los mineros, que en gran medida las usaban para minar ETH. Eso ha provocado que por fin estén disponibles y que los precios bajen. Los gamers volverán por fin a poder actualizar sus equipos sin tener que pagar ese sobrecoste excepcional que se sufrió hace años.

Aún queda trabajo por hacer. Esta transición es importante, pero para Vitalik Buterin, creador de Ethereum, la evolución de la red solo está completa al 40%. Quedan otras fases que por ejemplo resolverán problemas que aún persisten, como poder procesar más transacciones y rebajar las comisiones de cada transacción, que siguen siendo altas. Aún así este es un paso de gigante que podría marcar un punto de inflexión para Ethereum. Hay quien dice que de hecho acabará siendo más relevante que bitcoin, pero eso está por ver.

Fuente: www.xataka.com 

La historia del código abierto, es la historia de la evolución tecnológica de las últimas tres décadas. Nadie lo sabe mejor que las grandes compañías del sector, las que ya estaban y se mantienen, pero también las que surgieron apoyadas en la explosión de un fenómeno que llegó para cambiarlo todo. Nunca habríamos llegado al nivel tecnológico actual sin el impulso del código abierto y todas las ventajas que ha traído consigo.

No existe a día de hoy tejido industrial digitalizado en el que no haya permeado el código abierto, por muy buenas razones, todas las ventajas que aporta este modelo de desarrollo: calidad, ahorro de costes, colaboración y reutilización, seguridad, transparencia, independencia tecnológica… El mundo de la empresa tardó poco en asimilar y explotar las bondades del código abierto en su propio beneficio. La pregunta es ¿qué ha sucedido en la esfera pública?

Habida cuenta de la penetración y del valor intrínseco alcanzado por el código abierto en y para el sector privado, ¿qué hay del público? ¿Aprovechan las administraciones públicas las ventajas que aporta este modelo de desarrollo tecnológico? Lo cierto es que sí y desde hace mucho. Son numerosos los ejemplos de implantación del código abierto en las administraciones públicas tanto en el ámbito internacional como europeo e incluso nacional, hablando de España.

El código abierto como motor de transformación digital en la Administración Pública es un ebook realizado por MCPRO con el apoyo de Red Hat en el que se aborda el asunto en profundidad y que puedes descargar totalmente gratis a través de este enlace.

Sin embargo, todavía queda mucho por hacer, ya sea a nivel europeo o nacional, regional e incluso local. El código abierto tiene una presencia cada vez más significativa en las administraciones públicas españolas, pero el margen de crecimiento y, por lo tanto, de pleno aprovechamiento de todas sus ventajas está aún por explotar y las nuevas políticas tecnológicas dentro del marco de la Unión Europea inciden en ello en presente y futuro.

En el caso de España, construir una administración digital más abierta, eficiente y segura es el objetivo de España Digital 2025, programa gubernamental parte del Plan Nacional de Recuperación, Transformación y Resiliencia al que se destinarán 2.600 millones de euros en los próximos años y en el que el código abierto será el pilar fundamental para afrontar la transformación digital de las administraciones públicas en una época postpandémica llena de retos.

Experiencia ciudadana personalizada, teletrabajo, seguridad y confianza, políticas basadas en datos y prestación de servicios, plataformas e infraestructuras ágiles e inteligentes, inclusión digital… La construcción digital del Estado del Bienestar sobre el que se asientan servicios públicos esenciales como salud, educación, servicios sociales, pensiones, administración de justicia o transporte, es todo un lance a presente y futuro en el que el código abierto jugará un papel primordial como modelo tecnológico de desarrollo.

El código abierto como motor de transformación digital en la Administración Pública ahonda en las ventajas y desafíos de la implantación de soluciones abiertas en los organismos públicos, en el cambio de paradigma cultural que promueva el modelo y en la oportunidad que supone para la mejora de nuestra sociedad. Descubre todo lo que ha hecho, pero también todo lo que aún tiene por hacer el código abierto en las administraciones públicas.

Descargar

Fuente: www.muylinux.com

Clientes de BanEcuador recibían llamadas y mensajes a través de WhatsApp con un tipo de estafa. Foto: Freekip

BanEcuador emitió una alerta de un tipo de estafa a través de mensajes de WhatsApp. La información la dio a conocer el martes 13 de septiembre de 2022.

A través de sus redes sociales, la institución financiera señaló que la ciudadanía en general está recibiendo mensajes y llamadas en donde se les indica que recibirán una compensación económica de USD 500, durante cinco años, para quienes consigan que 350 personas abran una cuenta en dicha entidad.

Luego de esto, los estafadores proceden a solicitar claves de acceso y e información personas de las personas que son estafadas.

En el comunicado, BanEcuador rechazó el accionar delictivo e hizo un llamado a todas las personas que mantienen sus inversiones o actividades financieras en la entidad a no entregar su información personal.

Las denuncias de estas estafas se pueden realizar en el correo: atencioncliente@banecuador.fin.ec.

¿Cómo abrir una cuenta de ahorros en BanEcuador?

BanEcuador aclara el proceso que se debe seguir en caso de abrir una cuenta de ahorros:

• Debe presentar cedula de identidad o pasaporte y certificado de votación originales;
• Copia de una planilla de servicio básico con validez de hasta 60 días anteriores a la fecha del trámite, y
• $20 de depósito inicial.

Fuente: www.elcomercio.com

Notesnook

Notesnook es una aplicación / servicio de notas con clientes para PC (Linux, Mac, Windows) y móvil (Android, iOS), además de aplicación web. Su principal característica es el cifrado de extremo a extremo, por lo que solo el usuario puede acceder al contenido de sus notas; el motivo por el que es noticia en estas páginas, su cambio de modelo hacia el código abierto.

Notesnook funciona a modo de software como servicio y, en principio, es igual a otro montón de aplicaciones ahí fuera, con la distinción ya hecha: el cifrado de extremo a extremo y la política de «cero conocimiento» (zero knowledge) son dos de sus principales pilares, que ahora se refuerzan con la liberación del código de todos los clientes, el núcleo de la aplicación, editor y extensiones bajo licencia GPL-3.0. Para más adelante se prevé liberar también el código del lado del servidor.

Por ahí se compara a Notesnook con Evernote por hacerlo con un referente fácilmente reconocible, se entiende, aunque a nivel de funciones se queda un poco corto en comparación. Tampoco es extraño, dada la posición de Evernote. De hecho, Notesnook tiene una tabla comparándose con Evernote, Microsoft OneNote y Google Keep, y se reduce a las características de seguridad y privacidad: cifrado end to end, adjuntos cifrados, código abierto, zero knowledge, multiplataforma, bloqueo integrado, protección de notas con contraseña y opción de compartir…

Sin embargo, en el anuncio que nos ocupa en el blog oficial de Notesnook, la primera referencia que hace su autor es para con Standard Notes, a su vez otra referencia dentro de las aplicaciones / servicios de notas basados en el cifrado en el lado del cliente y de código abierto. El mismo camino que Notesnook ha tomado ahora y que no es el más habitual. En ese enlace se explica todo acerca de esta operación.

Por otro lado, en el sitio web del proyecto se desgrana toda la funcionalidad de la aplicación, incluyendo las limitaciones del plan gratuito; el plan de pago Pro cuesta 50,98 euros al año o 4,58 euros al mes y consta de adjuntos ilimitados, almacenamiento ilimitado, un espacio privado, opciones para exportar las notas en PDF, HTML y Markdown, un editor más completo y cuadernos y etiquetas ilimitados, además de alguna opción de personalización más.

Notesnook

Si te interesa probarla, Notesnook ofrece instaladores en formatos Deb y RPM, solo para 64-bit, además de AppImage.

Hace tiempo que no hablábamos de aplicaciones de este tipo, aplicaciones de notas, porque más allá del surtido clásico para para Linux y para Android, hay tantas que cuesta fijar el foco. Y aquí solemos fijarlo en las aplicaciones nativas de código abierto, o las muy conocidas por su alcance.

Así, en los últimos tiempos hemos recogido cosas como Joplin por su naturaleza; Simplenote, por venir de donde viene; o la mismoa Evernote, a razón del lanzamiento de su aplicación oficial para Linux. Pero alternativas, haberlas haylas de todo tipo y condición.

Curiosamente, nunca hemos llegado a mencionar a Standard Notes, que sí es cierto que lleva tiempo haciéndose notar, pero lo caro de sus planes (ahora los han modificado) siempre me echó para atrás. Aun así, es evidente que es suyo o el que ha tomado Notesnook, es el modelo más atractivo: cifrado y código abierto. Pese a ello, soy más de usar un editor potente y poner yo el cifrado y la sincronización, pero a quien le sirva lo que tienen estos y además lo prefiera todo listo para la acción… la oferta se amplía.

Fuente: www.muylinux.com

Cibercriminales han estado apuntando con malware para espiar a empresas y organismos gubernamentales de Ecuador.

El equipo de investigación de ESET Latinoamérica compartió detalles de una campaña de malware dirigida a organizaciones de alto perfil que se llevó adelante entre finales de junio y primeros días de julio de 2022. Denominada Operación Pulpo Rojo, esta campaña maliciosa registró actividad en varios países de América Latina, pero de acuerdo a los sistemas de ESET se concentró principalmente en Ecuador, apuntando a organismos gubernamentales, organizaciones del sector de la salud y compañías privadas de distintas industrias.

El malware final que intentaban distribuir la campaña era el conocido troyano de acceso remoto (RAT) Remcos. Si bien Remcos es un software legítimo que fue desarrollado para monitorear y administrar remotamente dispositivos, desde hace unos años que viene siendo utilizado también por cibercriminales en distintas campañas maliciosas que buscan espiar y robar información de los equipos de sus víctima.

Países a los que afectó la campaña

Los operadores detrás de Operación Pulpo Rojo utilizaron distintos servicios gratuitos para alojar sus códigos maliciosos, como Google Drive o la plataforma Discord, pero se destacó por el uso de diferentes técnicas para evitar ser detectados, ya sea por una solución de seguridad, como también por una víctima que vea un comportamiento anómalo en su equipo.

Correos de phishing que utiliza la campaña

La forma de infectar a las víctimas fue a través de correos de phishing. En la Imagen 1 podemos observar un ejemplo de un correo en el que aparentaban ser de la Fiscalía General del Estado de Ecuador, pero también detectamos que se han utilizado otros temas, como correos que hacen referencia a supuestos procesos judiciales, demandas o incluso transferencias bancarias.

Imagen 1. Ejemplo de correo de phishing utilizado enviado a las víctimas

Estos correos incluyen un enlace que conducen a la descarga de un archivo comprimido que está protegido con contraseña. En el ejemplo que vemos a continuación, el archivo estaba alojado en Google Drive y contiene un ejecutable (.exe) que aparenta ser un archivo de Microsoft Word. Sin embargo, si la víctima abre este supuesto archivo Word desencadena el proceso de infección, el cual consiste en dos etapas, que termina descargando en el equipo de la víctima el RAT Remcos.

Imagen 2. Ejemplo del nombre de archivo comprimido alojado en Google Drive que contiene el ejecutable.

Imagen 3. Archivo ejecutable que utiliza el ícono de Microsoft Word para hacer creer a la víctima que se trata de un archivo de texto.

El nombre del archivo adjunto descargado puede variar. Algunos ejemplos de los nombres utilizados en esta campaña fueron ser:

• DEMANDA ADMINISTRATIVA JUICIO PENAL.rar
• TRANSFERENCIA BANCARIA ADJUNTO COMPROBANTE.rar
• PROCESO PENAL JUICIO DEMANDA INTERPUESTA (1).rar
• JUICIO NO 2586522 JUZGADO 2 LLAMADO JUDICIAL.exe
• FISCALIA PROCESO PENAL JUICIO DEMANDA INTERPUESTA (2).rar
• VOUCHER DE TRANSFERFENCIA REALIZADA A SU EMPRESA CUENTA CORRIENTE (1).rar
• Proceso Penal Comunicacion De Jucio Demanda Interpuesta.rar
• PROCESO JUDICIAL EMPRESARIAL ADMINISTRATIVO LLAMADO 1 FISCALIA GENERAL.rar

Etapas de la campaña

En una primera etapa el archivo malicioso busca ejecutar comandos de PowerShell con privilegios elevados para ejecutar un segundo código malicioso que va a realizar las siguientes acciones:  

1. Descargar un archivo malicioso alojado en Discord que va a modificar la configuración de Windows Defender para evadir su detección. 
2. Descarga un archivo comprimido, que también está alojado en Discord, y que contiene un ejecutable malicioso desarrollado en .NET que se encarga de lograr persistencia y de ejecutar Remcos.  

Capacidades de Remcos

Este troyano permite realizar en el equipo comprometido diferentes acciones a través de comandos que son ejecutados remotamente por los atacantes; por ejemplo:

• Realizar capturas de pantalla
• Registrar las pulsaciones del teclado por el usuario (Keylogging)
• Grabar audio
• Manipular archivos
• Ejecutar remotamente comandos en una máquina
• Ejecutar remotamente scripts en una máquina

Como mencionamos anteriormente, si bien se trata de una herramienta legítima, en foros clandestinos se pueden encontrar versiones crackeadas de este software que son comercializadas para su uso malicioso. En este caso, los atacantes utilizaron la versión 3.4.1 Pro de Remcos.

Cómo estar protegido

Para evitar ser víctima de una campaña de malware como esta, lo primero es aprender a reconocer posibles correos de phishing, ya que como vimos en este caso, así comienzan muchos ciberataques. Para ello es importante prestar atención a la dirección de correo del remitente y evitar descargar o ejecutar archivos adjuntos o enlaces si existe la más mínima duda o sospecha de que tal vez no sea un correo legítimo.

Es muy importante también prestar atención a las extensiones de los archivos y no dejarse llevar por la imagen del ícono. Por último, es importante instalar una solución de seguridad confiable que detecte a tiempo cualquier intento de actividad maliciosa en el equipo y mantener todos los equipos y aplicaciones actualizadas.

Fuente: www.welivesecurity.com