Asesinos de Twitter

Millones de personas han abandonado el «nido del pájaro» y se han pasado a los servicios descentralizados de redes sociales.

¿Quiénes? Bluesky, Discord, Mastodon, Nostr y Threads.

¿Cuándo? Ahora.

Durante la mayor parte de los últimos 17 años, la agitada, cambiante, díscola, unas veces divertida, otras horrible e interminable conversación global tuvo un epicentro: Twitter.

Si quería saber qué estaba pasando y de qué se hablaba en aquel momento, Twitter era el único lugar.

Entonces, Elon Musk compró Twitter, lo rebautizó como X, despidió a la mayoría de sus empleados, y eliminó sus sistemas de moderación y verificación. Puso en marcha una nueva estructura financiera que incentiva a los creadores a difundir y amplificar las mentiras y la propaganda. Muchas personas ya han empezado a buscar un servicio que sustituya a X, preferiblemente uno que esté fuera del control de una sola persona.

Las redes sociales descentralizadas o federadas permiten la comunicación entre servidores o plataformas alojadas de forma independiente al utilizar protocolos de red como ActivityPub, AT Protocol o Nostr. Ofrecen una moderación más granular, mayor seguridad frente a los caprichos de un amo corporativo o un censor gubernamental, y la oportunidad de controlar tu gráfico social. Incluso es posible pasar de un servidor a otro y seguir a los mismos usuarios.

Sin duda, el sueño de un servicio descentralizado similar a Twitter existe desde hace años. La historia está plagada de intentos fallidos, entre los que destacan App.net e Identi.ca. Nunca surgió un competidor real porque no había suficientes personas con una razón de peso para abandonar Twitter, o un lugar al que ir si lo hacían. Ahora tienen ambas cosas.

Según Similarweb, el tráfico de X ha bajado casi un 20%, año tras año. Otro estudio, realizado por Apptopia, reveló que el número de usuarios activos diarios pasó de 141 millones a 120 millones. Mientras tanto, servicios descentralizados como Mastodon, Bluesky y algunos clientes de Nostr han aumentado su popularidad. Pero Threads, de Meta, ha sido el gran ganador. En septiembre, Meta reveló que Threads contaba ya con casi 100 millones de usuarios mensuales. (Al cierre de esta edición, Threads aún no había implementado ActivityPub, pero promete hacerlo). Mastodon, el favorito de los frikis, ocupa un segundo lugar más distante, con 1,5 millones de usuarios activos, pero sigue creciendo. Mientras Bluesky, que funciona con el protocolo AT y aún requiere invitación, alcanza los 2 millones de usuarios.

Y, por supuesto, ¿quién es el verdadero asesino de Twitter? Elon Musk.

 

Fuente: www.technologyreview.es

Mis deseos para el escritorio Linux en 2024

El escritorio Linux está viviendo el mejor momento de su historia, aunque desde algunos círculos todo se ve al revés. La Steam Deck ha logrado ser un relativo éxito en ventas, pero lo realmente importante es que a niveles generales ha tenido una recepción bastante buena, lo que muestra la madurez del sistema en términos tecnológicos. Por otro lado, Linux ha cerrado el 2023 con una cuota cercana al 4% en el escritorio, un porcentaje que sin duda sigue siendo bajo, pero que representa una evidente mejora si la comparamos con aquella época en la que retener el 1% era todo un logro.

La evolución y mejora del escritorio Linux se ha asentado principalmente en dos grandes pilares desde mi punto de vista. Primero está systemd, que ha asentado un marco homogéneo e integrado que ha permitido que el sistema mejore en aspectos como la automatización y la propia integración entre los componentes, dando así una menor sensación de collage que cuando sysvinit y Upstart eran los reyes. Linux es ahora un sistema más integrado y más desatendido, por lo que requiere de menos intervención del usuario para su instalación, configuración y mantenimiento.

Segundo, está la mejora de los controladores de la pila gráfica estándar del sistema, compuesta por Mesa y los drivers para las gráficas presentes en el kernel. Nadie imaginaba hace diez años que con una gráfica de Radeon y los drivers presentes por defecto se podría ejecutar videojuegos triple A con unos resultados que pudiesen hasta superar a Windows, pero es algo que estamos viviendo y de lo que no todo el mundo es consciente.

Volviendo a mí, desde hace años siento desinterés por las distribuciones Linux, más que nada porque veo muchas propuestas y casi ninguna aporta algo realmente nuevo y útil para el usuario común. De todo lo nuevo, lo único que ha captado mi atención son los sistemas operativos inmutables, los cuales se han mostrado, desde mi punto de vista, como un mejor cimiento para tener un sistema Linux orientado al escritorio y de calidad.

Más allá de las características que aumentan la resiliencia del sistema, como el poner en modo de solo lectura parte del sistema de ficheros, la separación de las aplicaciones del sistema (con Flatpak, Podman, Distrobox y Toolbox principalmente), las actualizaciones atómicas y las imágenes de sistema o instantáneas para volver hacia atrás, lo que más me ha gustado de los sistemas operativos inmutables es que reducen mucho la atención que necesitan del usuario, por lo que son mucho más desatendidos.

Por lo demás, mi atención se ha alejado de las distribuciones y las batallas entre escritorios para centrarse más en aspectos como el soporte de los gráficos y la multimedia, áreas que sorprendentemente siguen sin despertar un gran interés entre los usuarios de Linux, a pesar de que son críticas para tener un sistema de escritorio funcional.

Con todo lo dicho, no hace falta ser un lince para adivinar cuáles son mis deseos para el escritorio Linux en 2024, pero aún así voy a desgranarlo todo en apartados para que no quede un batiburrillo difícil de deshilachar.

Que Wayland se asiente definitivamente

Wayland se ha convertido, por méritos propios, en la mayor eterna promesa de la historia del escritorio Linux, sin embargo, parece que en este 2024 va a empezar a ver la luz al final del túnel. El protocolo gráfico no solo empieza a mostrar madurez, sino que también está asentando los cimientos para soportar características como el HDR, una meta que con Xorg se mostraba inalcanzable, y no será porque no se intentó (incluso NVIDIA metió mano al asunto sin resultados tangibles).

La trayectoria de Wayland ha sido un tormento por culpa de un diseño más centrado en pintar ventanas que en soportar un escritorio. Pintar ventanas y soportar un escritorio puede parecer lo mismo desde lejos, pero a la hora de la verdad se ha traducido en que no se tuvieron en cuenta en el diseño original del protocolo una serie de características que son inherentes a un sistema de escritorio y que Wayland no era capaz de soportar.

La situación fue tal que el núcleo duro de los desarrolladores de Wine, compuesto por algunos de los mejores ingenieros que hay dentro del software libre, fue incapaz de implementar Wayland con éxito. Por suerte, la consultora Collabora ha recogido el testigo y parece que está logrando su objetivo, pero que nadie espere que Wine soporte Wayland por defecto en el corto plazo (yo apuesto dos años como mínimo).

En lo que respecta a que Wayland sea tenido en cuenta por parte de los desarrolladores, ese paso depende totalmente de Ubuntu, distribución que acapara desde hace muchos años a más de la mitad de los usuarios del escritorio Linux. Por otro lado, hay un proyecto que podría dar la campanada como la tecnología que termine de asentar el protocolo: KDE Plasma.

Cuando se habla de Wayland sobre un escritorio, GNOME ha llevado siempre la delantera, pero esto podría cambiar radicalmente en los próximos meses si KDE Plasma consigue estabilizar su experiencia con el protocolo durante el transcurso de 2024, y es que, de conseguir eso, empezaría con unos cimientos mucho mejor ajustados al mundo real y por ende podría atraer a bastantes usuarios, sobre todo aquellos que son jugadores de videojuegos.

La sesión sobre Wayland de KDE Plasma ya proporciona en fase estable características como la tasa de refresco variable (VRR), el arrendamiento del gestor de renderización directa (DRM) requerido para soportar la realidad virtual en Wayland y el escalado fraccional, mientras que en GNOME, al menos las dos primeras cosas, todavía se encuentran en fase de desarrollo. Esto ha motivado a Nobara, una de las distribuciones de referencia del Linux Gaming, a cambiar GNOME por KDE Plasma con el fin de aprovecharse de esas posibilidades con menos complicaciones.

Desde KDE han trabajado bastante en los últimos años para tener una implementación de Wayland más ajustada a la realidad del usuario promedio que GNOME. Aquí se puede destacar el soporte para el tearing implementado en el protocolo, el cual lleva la firma de un destacado desarrollador de KDE. De hecho, parece que KDE y Valve han ganado bastante protagonismo en el desarrollo de Wayland, algo en lo que posiblemente haya influido la Steam Deck.

Decir que KDE Plasma puede ser la tecnología que asiente a Wayland definitivamente parecía una locura hace dos años, pero en estos momentos suena a algo verosímil. Si eso ocurre, es probable que Wayland sea el cimiento para iniciar la era dorada de KDE Plasma.

Otros aspectos a tener en cuenta son la consolidación definitiva de Wayland en Ubuntu a partir de la versión 24.04 LTS y la progresión de proyectos como Sway y el compositor modular que desarrolla, wl-roots, que ha logrado hacerse con el estatus de estándar de freedesktop.

Sobre GNOME, obviamente en estos momentos sigue siendo la mejor implementación de Wayland que hay en un escritorio, pero no es menos cierto que en el presente año las cosas pueden cambiar bastante viendo el empuje de KDE Plasma y la cada vez mayor adopción de Sway o wl-roots por parte de proyectos que no ven viable el desarrollo de un compositor propio basado en Wayland.

Mejores drivers gráficos

Como ya he dicho, la mejora del escritorio Linux en los últimos años no se entiende sin la mejora de los drivers proporcionados a través de la pila gráfica estándar del sistema. Esto empezó con la publicación de AMDGPU, el driver oficial de AMD para las gráficas Radeon presente en el kernel Linux, que ha servido como acicate para el inicio de una revolución que ha hecho posible la existencia de la Steam Deck.

Linux ganó con AMDGPU algo que no tenía antes: un driver gráfico de código abierto que saca partido de verdad a una GPU en el espectro x86. Hasta el anuncio de este driver, los usuarios de Linux tenían que conformarse con NVIDIA y su siempre controvertido driver privativo si querían tener potencia en ese frente, pero aquello empezó a cambiar cuando AMD, después de muchos años de peticiones y de arrastrar una situación económica bastante mala, decidiera apostar por un enfoque más abierto que ha mantenido hasta el día de hoy, aunque no sin amagos de querer revertirlo.

AMDGPU abrió la puerta a hacer algo que era inimaginable hace algunos años: ejecutar videojuegos triple A de Windows con la pila gráfica estándar de Linux, sin necesidad de emplear componentes privativos de terceros. Sin embargo, es importante tener en cuenta que el driver no cumple del todo con las especificaciones de la Free Software Foundation al requerir de un firmware privativo para liberar toda la potencia de los procesadores gráficos que soporta.

Debido a que la pila gráfica de Linux está partida en dos, con el kernel por un lado y Mesa por otro, es obvio que AMDGPU no ha estado solo para materializar la revolución se inició con él. Mucho mérito ha tenido también RADV, el driver de Vulkan para AMD presente en Mesa y de origen comunitario, sin el cual la Steam Deck sería inviable, y RadeonSI, que se encarga de soportar OpenGL con unos resultados que poco o nada tienen que envidiar a NVIDIA (valga la redundancia).

Además de un soporte para Radeon que se muestra maduro, en el año 2023 fue incluido NVK, otro driver de Vulkan presente en Mesa, pero que se apoya en el driver Nouveau (el driver de código abierto presente en Linux dirigido a las gráficas de NVIDIA). Desgraciadamente, Nouveau no es un producto oficial, sino derivado de la ingeniería inversa, lo que se traduce en un aprovechamiento muy limitado de las gráficas de NVIDIA y en pocas opciones de que pueda ser empleado en contextos como la ejecución de aplicaciones exigentes a nivel de GPU. Pese a ello, NVK ha despertado cierta esperanza para ofrecer algo mejor que solo un soporte básico para escritorio y aplicaciones que no hacen un uso intensivo de la gráfica.

Pero mi gran deseo para 2024 en este apartado es que ANV, el driver de Vulkan para las gráficas de Intel presente en Mesa, madure de una vez para mostrarse como un rival digno de RADV. Las gráficas dedicadas de Intel generaron grandes expectativas entre los usuarios de Linux, y si bien se han mostrado como productos interesantes para la multimedia (tanto reproducción como el generar contenidos) y la ejecución de OpenGL, el pobre soporte para Vulkan termina convirtiendo a esos productos en una mala opción para jugar desde Linux.

Las gráficas dedicadas de Intel son verdaderas bestias con la ejecución de OpenGL, pero cuando se trata de Vulkan, llegan hasta a ser aplastadas por una vieja Radeon RX 590. Desgraciadamente, el lamentable estado con el que fueron comercializados esos productos, sobre todo en Windows, ha hecho que la compañía centrara todos sus esfuerzos en el sistema de Microsoft y haya dejado a los usuarios de Linux como segundo plato, incumpliendo así las expectativas que muchos teníamos.

En resumidas cuentas, me gustaría que Intel se tomara en serio el desarrollo de ANV de una puñetera vez, porque el escritorio Linux ya no está en el contexto del año 2008. Intel es la única de las tres grandes del espectro x86 que ofrece soporte oficial a través del kernel, OpenGL, Vulkan y VA-API, por lo que tiene todos los cimientos para barrer a sus competidores del mercado de gráficas dedicadas para Linux.

Algunos posiblemente me salten con la cantinela de los pocos usuarios, pero la cuota ha subido durante el transcurso de la última década y no creo que Intel esté en condiciones de rechazar a clientes si quiere que su segmento de gráficas dedicadas sobreviva en el futuro, más viendo que muy pocos usuarios de Windows contemplan la compra de una gráfica que no sea de NVIDIA.

Mejor soporte multimedia

El soporte multimedia es otro de los tradicionales tendones de Aquiles del escritorio Linux. Aquí se unen dos apartados: primero, la prevalencia de los formatos privativos y/o patentados en un sector que en algunos aspectos sigue moviéndose bajo parámetros más bien propios de hace cuarenta años. Segundo, está la falta de drivers a la altura, sobre todo en lo que se refiere a procesar la multimedia mediante hardware (la GPU para más señas).

Sobre los formatos, no queda otra que fomentar el uso de VP9, AV1 y Opus entre los creadores de contenido y las plataformas de vídeo y audio. YouTube impulsa desde hace tiempo VP9 para todo canal o vídeo que alcanza unos mínimos de repercusión, e incluso reprocesa vídeos en AV1 si tienen muchísimo éxito, pero cuando nos salimos de ahí, nos encontramos con un panorama dominado por H.264, un códec que tiene una variante publicada bajo GPLv2, pero que no está libre de unas patentes que ciertas distribuciones se niegan a tragar, entre ellas Fedora y openSUSE.

Fomentar el uso de formatos realmente libres, tanto a nivel de licencia como de patentes, es fundamental para que el escritorio Linux pueda mejorar en la multimedia, porque de no ser así muchos usuarios tendrán que cumplimentar pasos adicionales, aunque estos puedan ser resueltos mediante un checkbox como en Ubuntu.

En lo que respecta a los drivers, me gustaría que las distribuciones preinstalaran libva-utils, pero reconozco que esta es una decisión que pueden conllevar sus riesgos debido a que el soporte para Linux en ese frente no está tan maduro como en Windows. Por otro lado, me gustaría que AMD se implicara más y publicara un Radeon Media Driver equivalente al conocido Intel Media Driver. Si el gigante rojo hace eso, daría todo un golpe sobre la mesa que dejaría temblando a la competencia en el sector doméstico, porque en el profesional todavía anda bastante lejos de lo que ofrece NVIDIA.

En este punto no puedo dejar de lado a PipeWire, el servidor de transmisión de multimedia que se encarga de la captura de la pantalla en Wayland, del soporte de audio y en un futuro de la captura de dispositivos de vídeo como las webcams. Su consolidación definitiva debería producirse dentro de unos meses con el lanzamiento de Ubuntu 24.04 LTS, y es que, cuando se trata de soporte para Linux, la mayoría sigue teniendo a la distribución de Canonical como la gran referente. Si Ubuntu no adopta algo, es poco probable que los desarrolladores de aplicaciones lo tengan en cuenta.

Sistemas operativos inmutables más maduros

No es ningún secreto que me he vuelto un ferviente seguidor de las distribuciones Linux inmutables, no todas, sino las que siguen el enfoque aplicado por Fedora Silverblue, openSUSE MicroOS (Aeon y Kalpa) y Vanilla OS, que apuestan por conceptos como las actualizaciones atómicas, la separación de las aplicaciones del sistema empleando Flatpak y contenedores y la disponibilidad out of the box de imágenes del sistema o instantáneas para volver a un estado anterior. Pero antes de continuar, me gustaría dejar claro que esas características no son inherentes a los sistemas operativos inmutables, sino que pueden encontrarse o ser instaladas en sistemas mutables.

Centrándome en la experiencia de usuario, lo que me gusta de los sistemas inmutables es que intentan hacer que el usuario se centre más en las aplicaciones, pudiendo así desentenderse del sistema operativo y su mantenimiento. Esto es algo que ya comenté hace tiempo cuando dije que Fedora Silverblue hizo que mi uso de Linux se volviera aburrido debido a la poca atención que requería, y en la actualidad, con las actualizaciones del sistema y Flatpak totalmente automatizadas, no me entero de nada.

Enciendo la computadora, la uso y la apagado. Cuando vuelvo a encender todo está al día sin necesidad de que abra una terminal o GNOME Software, pero debido a que Fedora es una distribución de lanzamiento puntual, sí tengo que realizar el cambio de versión de forma manual, y para colmo GNOME Software no garantiza nada si has anulado paquetes del sistema base, cosa que es mi caso con la compilación RPM de Firefox proporcionada por la distribución.

Regresando a un plano más general, los sistemas operativos inmutables tienen bastante potencial, pero dejando a SteamOS 3 a un lado debido a que en realidad no compite con nadie dentro de Linux, Fedora Silverblue se encuentra un tanto sola debido a que es la única que muestra cierto nivel de madurez. Los demás sistemas similares siguen siendo proyectos que necesitan ser pulidos para ofrecer una experiencia sin grandes sobresaltos.

Otro punto en el que los sistemas operativos inmutables necesitan mejorar es la configuración inicial o posinstalación, que llega a ser un poco aparatosa debido al requerimiento de reinicios. El proceso es en realidad corto si uno usa estos sistemas operativos de forma ortodoxa, o sea, delegando todo lo que se pueda en Flatpak, pero algo más de agilidad en este frente no vendría mal y Vanilla OS es la única que tiene algo en esa dirección de entre los sistemas que he usado en serio (que no son todos).

Creo que los sistemas operativos inmutables son el futuro del escritorio Linux, y lejos de ser un deseo, es algo que ha empezado a materializarse con la Steam Deck. De todos los sistemas operativos que he usado de manera intensiva y por un largo periodo de tiempo (incluido Windows), Fedora Silverblue es el que menos atención me ha requerido, y eso lo ha logrado siendo un producto inacabado. El ofrecer un marco que requiera de poca atención por parte del usuario con el fin de que pueda centrarse en las aplicaciones es importante para que un sistema operativo sea amigable para los perfiles con menos conocimientos, y propuestas como Silverblue y MicroOS caminan en esa dirección.

Que Flatpak siga madurando

Y para terminar me gustaría que el formato de paquetes que más uso con diferencia para las aplicaciones, Flatpak, siga madurando en aspectos como la integración y el soporte de ciertas características que todavía se le escapa.

Es obvio que Flatpak necesita madurar, aunque su estado actual es suficiente para cubrir mis bajas exigencias, ya que la informática no va mucho conmigo desde hace unos años. Dentro de todo lo que he usado en este formato durante el pasado año 2023, mi mayor sorpresa fue ver que la compilación Flatpak de ProtonUp-Qt es capaz de integrarse con el reempaquetado en el mismo de Steam, algo que descubrí de manera forzada después de que se me reportara el abandono de la recompilación Flatpak de Proton GloriousEggroll.

Pero la evolución de Flatpak no solo depende del propio formato de paquetes, sino también de la evolución de XDG Desktop Portal, que puede ser definido como una API que sirve para exponer interfaces de D-Bus mediante “portales”, los cuales son usados para acceder a recursos como el acceso de ficheros, a impresoras, la apertura de URI y más. Si XDG Desktop Portal no amplía y mejora sus posibilidades, la propia evolución de Flatpak corre riesgo de verse frenado o al menos ralentizado.

Sobre aplicaciones concretas en formato Flatpak solo tengo dos peticiones para este 2024: que LibreOffice, al igual que Firefox, emplee el diálogo o selector de ficheros de XDG Desktop Portal para integrarse mejor en KDE Plasma y que GNOME Boxes cuente con redireccionamiento de los USB, aunque esto último lo veo bastante menos probable que lo primero.

Fuente: www.muylinux.com

 

 

Linux cumplirá 33 años en 2024

Estabilidad, rendimiento y adaptabilidad son atributos clave de Linux, que domina la computación en la nube y la supercomputación y es fundamental para IoT y los contenedores.

Ahora que 2024 ha despegado, es un buen momento para reflexionar sobre cómo empezó Linux y cuál es su situación actual. Para muchos de nosotros es difícil comprender cuánto tiempo lleva Linux desarrollándose y estando disponible. Probablemente sea aún más difícil comprender hasta qué punto se ha extendido a tantos aspectos de la informática. La disponibilidad actual de más de 600 distribuciones de Linux demuestra su asombroso éxito.

Es interesante tener en cuenta que Linux empezó incluso antes de que Torvalds se pusiera a trabajar en el núcleo Linux en 1991 (la fecha exacta es difícil de precisar). Gente como Richard M. Stallman se había entusiasmado con el concepto de un «¡Unix Libre!» – tanto si ese «libre» implicaba «sin coste» o «liberación». Linux siguió a sus predecesores Unix (como SunOS) en muchos aspectos, pero con el atractivo carácter de ser de «código abierto» – el carácter que lo hizo disponible a tantos niveles sorprendentes de innovación.

La fundación que hizo posible el núcleo Linux se creó en septiembre de 1983. Richard M. Stallman anunció el Proyecto GNU (que significa «GNU no es Unix»), un nombre que confirmaba la distinción entre Unix y las variedades en evolución de Linux.

Como alguien que empezó a utilizar SunOS (un sistema operativo Unix) al principio de su carrera, la aparición de Linux en la sala de ordenadores de mi empresa sólo unos años más tarde captó inmediatamente mi interés, aunque entonces no tenía ni idea del impacto que este sistema operativo «libre» tendría en la tecnología informática.

¿Qué es el núcleo?

El kernel Linux es el componente principal del sistema operativo Linux. Sirve de interfaz entre el hardware que utiliza Linux y los numerosos procesos que se ejecutan.

Linux Torvalds es un ingeniero de software finlandés-estadounidense que fue el creador y principal desarrollador del núcleo Linux. Acaba de cumplir 55 años. La Fundación para el Software Libre (FSF) celebró el pasado mes de septiembre el 40 aniversario del sistema operativo GNU y el lanzamiento del movimiento del software libre, que tanto ha cambiado el entorno informático.

¿Por qué Linux tiene tanto éxito?

Entre las muchas características de Linux que conducen a su éxito se incluyen:

  • Naturaleza de código abierto: El código fuente de Linux está a disposición de cualquiera, lo que facilita su uso y la colaboración con otros en tareas de desarrollo.

  • Adaptabilidad: Puede adaptarse a diversos tipos de hardware y retos de procesamiento.

  • Estabilidad y fiabilidad: Suele ser la elección para servidores en los que el tiempo de actividad es muy importante.

  • Rendimiento: Está diseñado para ofrecer eficiencia y alto rendimiento.

  • Seguridad: Incluye actualizaciones periódicas y supervisión de la seguridad.

  • Rentabilidad: La mayoría de las distribuciones son gratuitas, mientras que algunas ediciones empresariales conllevan algunos costes por soporte y servicios.

  • Portabilidad: Linux funciona en una gama muy amplia de sistemas, desde dispositivos diminutos hasta los superordenadores más potentes del mundo.

  • Versatilidad y potencia de la línea de comandos: la línea de comandos de Linux sigue proporcionando un control amplio y potente sobre el procesamiento y la gestión del sistema.

Distribuciones

La variedad y el número de distribuciones de Linux cambia cada año, pero Wikipedia ofrece muchos detalles sobre las familias de Linux (por ejemplo, los grupos de distribuciones basadas en Debian, RHEL y Arch). Los miembros de los grupos de distribuciones Linux están muy relacionados entre sí, por lo que estas agrupaciones familiares son bastante significativas. Eche un vistazo a la gama de distribuciones descritas aquí.

Supercomputación

Linux sigue dominando la supercomputación principalmente por lo bien que se puede adaptar a casi cualquier tipo de hardware. Este artículo mío anterior detalla muchas de las razones por las que Linux funciona tan bien en los 500 superordenadores más importantes del mundo: Linux domina la supercomputación

Logros de Linux

Linux domina la computación en nube, constituye la base del Internet de las cosas (IoT) y sigue siendo la base de los contenedores. Además de las importantes funciones que sigue desempeñando en la supercomputación, Linux es responsable de variedades de computación que probablemente nunca habrían llegado de no ser por su código abierto y su naturaleza innovadora.

Fuente: www.somoslibres.org

The Linux Foundation publica su informe del año 2023 con gastos e ingresos

The Linux Foundation, la organización sin ánimo de lucro que fue fundada en el año 2000, inició su andadura con el propósito de canalizar los medios que hicieran el desarrollo del kernel sostenible en el largo plazo. Sin embargo, con el paso del tiempo ha ido evolucionando para apoyar al menos temporalmente a otros proyectos, como OpenSSL y Let’s Encrypt, y actualmente es el paraguas de proyectos, especificaciones e iniciativas como OpenWallet Foundation, Servo, CUPS (a través de OpenPrinting) y Open Container Initiative (OCI).

Dicho con otras palabras, The Linux Foundation es, desde hace años, todo un gigante tecnológico. Su financiación procede en un porcentaje importante de sus propios miembros, de entre los que se encuentran Huawei, Intel, Meta, Microsoft, Oracle, Red Hat, Samsung, Qualcomm, Fujitsu, Ericsson, Hitachi, Tencent y VMware como los que ostentan el nivel platino; Accenture, Alibaba Cloud, Baidu, Cisco, Citrix, Dell, Google, Panasonic, Refinitiv, Rensas, Sony, Toshiba, Toyota y WeBank como miembros de nivel oro; mientras que la cantidad de miembros de nivel plata se cuenta por decenas en la actualidad y entre ellos hay empresas de muchos países.

Si bien la forma de fundación puede dar la impresión de que The Linux Foundation es una institución movida por la benevolencia, en realidad no es tan así si vemos que respaldó a Microsoft cuando esta adquirió GitHub en un movimiento que en su momento no gustó a muchos, pero que en términos absolutos apenas ha afectado al desarrollo de los proyectos si vemos que sigue siendo el principal servicio de almacenamiento de repositorios de código.

Dejando aparte su actividad y la procedencia de una parte importante de sus ingresos, The Linux Foundation ha publicado su informe del año 2023, en el que expone todos los sectores en los que está involucrado, los proyectos que alberga bajo su paraguas y datos relacionados sobre sus ingresos y gastos. Como ya hemos dicho, la fundación ha crecido hasta convertirse en un gigante tecnológico que abarca mucho, así que en esta centrada nos ceñiremos a algunos de los datos más interesantes.

The Linux Foundation ha servido en el año 2023 “a más de 1.133 comunidades de proyectos de código abierto”. Si nos fijamos en el segmento técnico de los proyectos, descubrimos que el kernel Linux y la administración de sistemas solo han acaparado un 2% cada uno, mientras que el 25% de la contribución ha ido para la nube, los contenedores y la virtualización; un 13% a redes y computación en la frontera; un 12% a inteligencia artificial, aprendizaje automático, datos y analíticas; un 11% al desarrollo de la web y aplicaciones; un 8% a tecnologías cruzadas; un 4% a la privacidad y la seguridad; y un 4% al IoT y la computación empotrada.

Si uno se fija en los segmentos, estos concuerdan mucho con los más populares entre las grandes tecnológicas del mundo. Por otro lado y en lo que respecta al tipo de proyecto, el software de código abierto acaparó el 72% y las especificaciones y estándares abiertos el 20%, lo que concuerda con las principales actividades en las que se ha centrado y sigue centrándose la institución.

The Linux Foundation ingresó en el año 2023 un total de 262.615.790 dólares estadounidenses, los cuales, según la explicación proporcionada por la propia institución, “derivan de cuatro fuentes principales: membresías y donaciones, apoyo a proyectos, capacitación y certificaciones, y registro y patrocinio de eventos. En 2023, prevemos unos ingresos de 262,61 millones de dólares. En 2023, la Fundación Linux prevé gastar más de 269,02 millones de dólares para apoyar nuestra misión”.

El 45% de los ingresos de The Linux Foundation en 2023 procedieron de los miembros y las donaciones, el 26% del apoyo de proyectos, el 19% de registros y eventos patrocinados y el 10% de formación y certificaciones.

Por otro lado y como ya ha expuesto la fundación, esta espera haber gastado un total de 269.029.262 dólares en 2023, de los cuales el 64% iría destinado al apoyo a proyectos, el 9% a infraestructura, el 7% a formación y certificación, el 6% a operaciones corporativas, el 6% al apoyo a eventos, el 5% a herramientas comunitarias y solo el 2% para el desarrollo del kernel.

¿Y qué hay del kernel? A pesar de que en números no parece tener un peso excesivo dentro de The Linux Foundation, la institución no se olvida del proyecto por el que es más conocida y que a su vez fue el cimiento de su existencia. Dos años después de celebrar su trigésimo aniversario, el kernel sigue siendo uno de “los tres principales proyectos de código abierto a nivel mundial en términos de velocidad de desarrollo”. Sin embargo, los siguientes párrafos, que hacen referencia a aspectos relacionados con el desarrollo, son realmente interesantes:

“El kernel de Linux permite cargar módulos privativos si cumplen con las reglas y se mantienen dentro de los límites. Sin embargo, la comunidad del kernel no puede depurar ni reparar módulos privativos. Como resultado, no ven el mismo nivel de mejoras en los módulos del kernel. Hay un juego continuo de creadores de módulos privativos que intentan traspasar los límites para encontrar lagunas y desarrolladores de kernel que intentan cerrarlas. Un cambio reciente impide que un módulo privativo obtenga acceso a símbolos exclusivamente bajo GPL a través de un módulo con licencia nominal GPL, obteniendo así acceso a funciones del kernel que están disponibles para módulos que están exclusivamente bajo GPL.”

“Esta nueva restricción cierra este vacío legal. Esta es una de las muchas características y cambios que se realizaron en el kernel este año, incluida la desactivación de la función que inhabilita el entorno de ejecución de SELinux para evitar que los sistemas se vuelvan inseguros de manera accidental y/o intencional”.

Y estos son los datos más importantes para el público general del informe de The Linux Foundation correspondiente al año 2023. Como ya hemos dicho, aquí hay mucha política, muchos proyectos y muchos frentes, y encima la institución está más bien centrada en los sectores que interesan a las grandes tecnológicas del momento. Pero pese a sus sombras, no se puede negar que todo podría ser muchísimo peor para el código abierto.

 

Fuente: www.muylinux.com

 

MhlFileVerify, una aplicación para verificar archivos de vídeo en Linux

Probablemente el sector audiovisual no es el terreno donde más se haya desplegado el uso de Linux, sin embargo, no significa que no tenga presencia y disponga de herramientas avanzadas para una gran variedad de tareas.

En este sentido, MhlFileVerify es una herramienta con un propósito concreto, a veces descuidado: verificar la integridad de los datos registrados por una cámara y sus sucesivas copias.

Desde la adaptación de la industria cinematográfica a los formatos digitales y con la llegada de cámaras de ARRI o RED, el volumen de datos ha crecido de forma exponencial. Y durante los rodajes cinematográficos, los datos que viajan en tarjetas o discos tras cada jornada, son todo el resultado una gran inversión.

Por ello, asegurar la integridad de ese material durante todo el workflow juega un papel indispensable y es aquí donde entran en juego las herramientas de copia y verificación de datos.

Desde hace años existe una implementación de archivo abierto para sistematizar la verificación de copias llamado Media Hash List. MHL es básicamente un archivo xml con información checksum de un conjunto de archivos.

MhlFileVerify fue creada para realizar este proceso de comprobación mediante archivos MHL en Linux de forma gráfica y sencilla.

El proyecto surge como herramienta interna en una productora audiovisual cuyo workflow esta muy ligado a Linux y ahora han publicado su código bajo licencia GPL.

Está desarrollada con Python / QT y se basa en la especificación MHL 1.1 de Mediahashlist.

Las principales características son:

  • Portabilidad para Linux (Appimage) y MacOS (DMG).

  • Tipos de hash admitidos: md5, sha, xxHash y xxHash64.

  • Verificar archivos MHL generados con herramientas como Davinci Resolve, Pomfort Silverstack o Hedge.

  • Generar archivos MHL a partir de un directorio o dispositivo.

  • Facilidad de uso. Drag and Drop de archivos MHL o directorios para analizar.

La aplicación en formato AppImage se ha testado en diferentes distribuciones como Ubuntu, Mint o MX Linux. Para aquellas distribuciones en las que appimage no funcione, también es posible lanzarla directamente desde Python.

Puede ser especialmente útil para DITs / Data Wranglers que precisen una herramienta portable o que prefieran evitar el uso de la línea de comandos a la hora de verificar dailies.

Tanto el proyecto como los binarios se pueden descargar desde Github.

Fuente: www.muylinux.com

 

Métricas Clave y KPI en Ciberseguridad para Empresas

En un mundo cada vez más digitalizado, la ciberseguridad se ha convertido en una prioridad crucial para las empresas. Para evaluar y fortalecer la postura de seguridad, es esencial utilizar métricas clave y KPI (Indicadores Clave de Desempeño).

En este artículo, exploraremos algunas de las métricas más relevantes que las empresas deben seguir para gestionar de manera efectiva su seguridad digital.

1. Tasa de Detección de Amenazas:

  • Definición: Porcentaje de amenazas detectadas con éxito en comparación con el total de amenazas.
  • Importancia: Mide la eficacia de los controles de seguridad y la capacidad de detectar amenazas antes de que causen daño.

2. Tiempo Medio de Detección (MTTD):

  • Definición: El tiempo promedio que tarda una organización en detectar una amenaza desde su inicio.
  • Importancia: Cuanto menor sea el MTTD, más rápido se puede responder a las amenazas, reduciendo el impacto potencial.

3. Tiempo Medio de Respuesta (MTTR):

  • Definición: El tiempo promedio necesario para contener y eliminar una amenaza una vez detectada.
  • Importancia: Un MTTR bajo indica una respuesta rápida y eficiente a las amenazas, minimizando el tiempo de exposición.

4. Porcentaje de Cumplimiento de Políticas de Seguridad:

  • Definición: Proporción de cumplimiento de las políticas de seguridad establecidas.
  • Importancia: Evalúa la conformidad con las políticas internas y regulaciones externas, reduciendo el riesgo de infracciones.

5. Niveles de Acceso No Autorizado:

  • Definición: Frecuencia de intentos o casos de acceso no autorizado.
  • Importancia: Mide la efectividad de los controles de acceso y la resistencia a intrusiones no autorizadas.

6. Niveles de Phishing Exitosos:

  • Definición: Porcentaje de intentos de phishing que los empleados han ejecutado exitosamente.
  • Importancia: Evalúa la conciencia y la preparación de los empleados frente a ataques de phishing.

7. Número de Incidentes de Seguridad:

  • Definición: Cantidad total de incidentes de seguridad reportados.
  • Importancia: Proporciona una visión general de la frecuencia y la diversidad de las amenazas enfrentadas.

8. Eficiencia del Sistema de Gestión de Incidentes (SIEM):

  • Definición: Capacidad del SIEM para detectar, responder y recuperarse de incidentes.
  • Importancia: Mide la capacidad del sistema para gestionar y responder eficazmente a eventos de seguridad.

9. Niveles de Actualización y Parcheo:

  • Definición: Porcentaje de sistemas actualizados y parcheados en comparación con el total.
  • Importancia: Un alto nivel indica una menor superficie de ataque, reduciendo las vulnerabilidades.

10. Evaluación de la Conciencia de Seguridad:

  • Definición: Resultados de evaluaciones de conciencia de seguridad entre los empleados.
  • Importancia: Mide la preparación de los empleados y su comprensión de las mejores prácticas de seguridad.

La ciberseguridad no es solo un desafío técnico, sino también una cuestión de gestión y conciencia organizativa. Al seguir y analizar meticulosamente estas métricas clave y KPI, las empresas pueden mejorar su capacidad para prevenir, detectar y responder a amenazas cibernéticas. Una estrategia de ciberseguridad efectiva se basa en la comprensión y el seguimiento constante de estos indicadores para proteger de manera proactiva los activos digitales y la reputación de la organización.

Fuente: www.somoslibres.org

«Tener un enfoque sostenible es esencial para la estrategia de negocio»

Pedro Lerner, CEO de Grupo UNACEM, que abarca empresas de cemento, hormigón y energía con una destacada presencia en América Latina, destaca la apuesta acometida por el grupo para descarbonizar su actividad y contribuir así a la transición ecológica del sector.

Foto: Pedro Lerner, CEO de UNACEM. Créditos: Cortesía del entrevistado.

La industria cementera es una de las que más gases de efecto invernadero produce, responsable de hasta el 8% de las emisiones mundiales de CO₂. Por ello, la descarbonización de este sector es especialmente relevante para mitigar el cambio climático, pero también supone una gran inversión: la transición ecológica de la industria de producción de cemento podría tener un coste de hasta 60.000 millones de dólares (unos 55.594 millones de euros) al año, según estimaciones.

Dar respuesta a un mismo tiempo a las necesidades del negocio y del planeta es el reto al que se enfrenta Grupo UNACEM, cuyo porfolio incluye compañías de cemento, hormigón y energía; presente en Perú, Ecuador, Chile, Colombia y EE UU. En 2021, anunció su intención de alcanzar la neutralidad de carbono para 2050. Una tarea que, tal y como relata su CEO Pedro Lerner, ya está siendo acometida en varios frentes, desde el uso de renovables a la conservación de recursos hídricos.

¿Por qué es importante para el sector adoptar estrategias que reduzcan su impacto medioambiental?

Las emisiones totales y globales de CO₂eq (emisiones de CO₂ equivalentes) estimadas están en el orden de los 40.000 millones de toneladas anuales; de estas, aproximadamente 2.800 millones de toneladas provienen de la industria del cemento. Existe actualmente una gran presión en la industria global para ver cómo logra la disminución de sus emisiones, considerando que es un sector hard to abate [difícil de mitigar], y que tiene consumidores que deben conocer y aceptar productos ecoeficientes que tienen características diferentes. 

De acuerdo con lo establecido en nuestra Declaración de Sostenibilidad [establecida en 2021 y basada en los pilares de Gobierno Corporativo, Medio Ambiente y Biodiversidad, Gestión Social, Economía Circular y Acción Climática], hemos definido metas para la reducción de huellas de carbono al 2030 y lograr la neutralidad de nuestros procesos y operaciones al 2050. Actualmente, ya contamos con metas concretas de reducción al año 2030 para nuestras unidades de negocio cementeras, las cuales representan una reducción del 21% con relación a las cifras del 2014.

¿Qué hitos se ha marcado el grupo para alcanzar este objetivo?

Hemos establecido lineamientos en base a dos palancas claves: la primera, relacionada a la reducción del factor clínker [cantidad de clínker que se emplea para fabricar una tonelada de cemento con relación al resto de materiales], que es uno de los principales desafíos en la industria; y la segunda, relacionada a la reducción del uso de combustibles fósiles y el uso de energías alternativas. Desde el Grupo UNACEM venimos invirtiendo desde hace años en energía y combustibles limpios. Por ejemplo, contamos con dos hidroeléctricas en Perú (El Platanal y Marañón), y las hidroeléctricas Carpapata I, II y II, que surten de energía exclusivamente a la Planta Condorcocha de UNACEM Perú. Solo en 2023, hemos destinado un aproximado de 500 millones de soles peruanos a proyectos que priorizan la eficiencia y sostenibilidad de nuestras operaciones.

Consideramos importante, también, invertir en el uso de residuos sólidos y soluciones basadas en la naturaleza para aprovechar los recursos naturales y la restauración de ecosistemas, así como apuntar a una economía circular de reutilización. Muestra de ello es nuestra Área de Conservación Privada (ACP), constituida por UNACEM Perú, la primera en Lima Metropolitana reconocida por el Ministerio del Medio Ambiente (MINAM) y promovida por una empresa privada. Esta área tiene la finalidad de conservar 787 hectáreas de lomas, además de destinar un espacio para la promoción de la investigación, el deporte y la recreación, pero sobre todo promover la dinámica productiva local.

¿Qué estrategias e innovaciones tecnológicas ha adoptado UNACEM para lograr estos objetivos?

Todas las empresas del Grupo UNACEM están enfocadas en la reducción de nuestra huella medioambiental. Este desafío implica, entre otros esfuerzos, un gran compromiso por la innovación. Por ello, estamos transformado nuestros procesos y nuestra manera de trabajar.

Dentro de la línea productiva, generamos cementos adicionados de alta resistencia y con baja huella de carbono. Por ejemplo, en UNACEM Ecuador utilizamos materiales que permiten el reemplazo del contenido de clínker en la elaboración de cemento, manteniendo su calidad. Adicionalmente, estimamos que en Drake Cement [planta cementera ubicada en Arizona propiedad del Grupo] al 2030 se pueda alcanzar una reducción de emisiones del 10% con la inclusión de combustibles derivados de residuos (CDR) y biomasa proveniente de residuos forestales.

En UNICON Perú cerca del 25% de la flota de mixers para el transporte del concreto tiene motores de combustión a gas GNV (combustible alternativo ecológico); y utilizamos gas natural en nuestra planta cementera de Lima, lo que nos ha permitido reducir más del 25% las emisiones de gases de efecto invernadero por consumo de combustible.

Por último, en el sector de energía, nuestra propuesta de valor con Celepsa [empresa generadora y distribuidora de energía carbono neutral] ha trascendido de la venta de un commodity. Contamos con un área de Sostenibilidad dentro de la Gerencia de Negocios, para ofrecer a nuestros clientes soluciones de eficiencia energética, como la certificación Triple C (Compromiso Carbono Negativo Celepsa).

Grupo UNACEM también presta atención al reaprovechamiento y la reducción del consumo de agua. ¿Qué acciones han emprendido para contribuir a la conservación de los recursos hídricos?

En Grupo UNACEM impulsamos una gestión responsable del agua en todas nuestras operaciones extractivas, portuarias y energéticas. En 2022 logramos recircular el 38% del total de agua consumida, es decir, 514.670 m3 de agua reciclada en todas nuestras subsidiarias de los negocios de cemento y energía.

Este resultado es el reflejo de los esfuerzos realizados en nuestros negocios como UNACEM Perú, que desde el 2013 cuenta con la medición de la huella de agua de sus actividades en las plantas de Atocongo y Condorcocha; y desde el 2018 ha sido reconocida por la Autoridad Nacional del Agua (ANA) con la entrega del Certificado Azul. Además, hacemos uso de un sistema de enfriamiento de la planta industrial para colaborar con la recirculación del agua y, a su vez, aprovechar esta para el riego de las áreas verdes y sistemas contra incendios.

Por su parte, al cierre de 2022 UNACEM Ecuador logró reducir su consumo de agua en un 43,64%, gracias a su sistema de tratamiento y recirculación de agua de procesos. 

¿Cómo ha incluido UNACEM la descarbonización de sus operaciones en su planificación de negocio?

Tener un enfoque sostenible es esencial para la continuidad del negocio. Contamos con un comité encargado de asegurar que las iniciativas estratégicas de las empresas del grupo incorporen criterios ESG para garantizar la sostenibilidad de nuestro negocio, su crecimiento rentable, y la generación de valor para todos nuestros grupos de interés. 

A día de hoy, hemos avanzado en el planteamiento de nuestra estrategia para transitar hacia la carbono neutralidad. En ese sentido, la disminución del contenido de clínker por tonelada de cemento de nuestras unidades de negocio UNACEM Perú y UNACEM Ecuador en 2022 presentaron los avances más significativos, con un factor clínker/cemento del 85,0% y el 70%, respectivamente. 

En UNACEM Ecuador logramos también sustituir el uso de combustibles fósiles en un 11,8% por aceites usados y en un 6,16% por biomasa en el mismo año; y reducir el consumo de energía eléctrica un 3,14% en relación con la línea base de 2013, logrando la certificación ambiental Punto Verde del Instituto para la Certificación Ética y Ambiental (ICEA) de Ecuador. Mientras que en UNACEM Perú implementamos grandes avances tecnológicos en las plantas con el fin de lograr una mayor eficiencia energética, posicionando la sede de Atocongo dentro del 10% de las plantas más eficientes a nivel internacional.

Una de las estrategias con mayor impacto positivo en la reducción de emisiones a gran escala es la adopción de recursos energéticos renovables. Durante 2022, como Grupo UNACEM, utilizamos 799.327 MWh de energía de fuentes renovables en nuestras operaciones del rubro de cemento. 

¿Qué relevancia tienen las sinergias entre el sector público y privado para impulsar la descarbonización del sector?

El desarrollo sostenible es posible gracias al trabajo conjunto entre la empresa privada y autoridades o entidades públicas. Por ejemplo, en Perú, el registrar nuestras emisiones de GEI en la plataforma Huella de Carbono Perú, herramienta oficial del MINAM, permitió que UNACEM Perú se convierta en la primera cementera peruana en obtener el primer nivel de reconocimiento en dicha herramienta.

Mientras que, en Ecuador, participamos del proyecto de compensación del Programa Ecuador Carbono Cero, que cuantificará la huella de carbono por producto de los diferentes tipos de cemento que comercializa la empresa. 

Celepsa, por su lado, constituyó el Patronato de la Reserva Paisajística Nor Yauyos Cochas, para preservar los ecosistemas paisajísticos de la zona.  

Las start-ups dedicadas a la producción de cemento verde también ganan peso en el mundo de la inversión. ¿Qué oportunidades de colaboración existen con empresas emergentes? ¿Cómo pueden estas alianzas ayudar a acelerar e incorporar la innovación al sector?

Las start-ups de construcción en general están apostando por revolucionar el sector, introduciendo nuevas tecnologías, transformando los procesos de la industria y rompiendo esquemas tradicionales. Estas van desde generar automáticamente los planos en 3D de un edificio completo hasta tecnologías que capturan el CO₂ de cenizas volantes y escorias para transformarlas en material reactivo necesario para la fabricación de cemento que cumpla con los requisitos más estrictos de la industria.

Consideramos que las colaboraciones entre start-ups y empresas líderes deben afianzarse para seguir impulsando la adopción de nuevas tecnologías y prácticas sostenibles, lo que supone una contribución significativa a la descarbonización, posible reducción de costos económicos y sociales, así como la reducción del impacto ambiental del sector.

Fuente: www.technologyreview.es

 

¿La digitalización de tu empresa se complica? Descubre las claves para superarlo

Nadie dijo que el camino hacia la digitalización fuese fácil, pero lo cierto es que es ineludible y no solo por motivo de competitividad: las ventajas son un hecho a todos los niveles, sin embargo, se trata a día de hoy de una cuestión de mera supervivencia. Ergo, lo que no puedes hacer solo, podrás conseguir hacerlo acompañado.

Si la digitalización de tu empresa se complica; si llevas tiempo intentándolo sin alcanzar a conseguirlo; si el papel sigue siendo tu pan de cada día… Es evidente que ha llegado el momento de buscar un apoyo sobre el que impulsarse para encarrilar la situación: una ayuda experta que sepa indicarte soluciones certeras a los problemas que enfrentas.

Problemas tales como:

  • Accesibilidad: ¿tienes garantizado el acceso a los documentos que necesitas cuando y donde lo necesitas?
  • Ahorro: ¿sigues imprimiendo documentos en papel, no a modo de copia de seguridad, sino para su uso cotidiano?
  • Eficiencia: ¿ese documento en papel que acabas de encontrar… estás seguro de que es la última versión?
  • Cumplimiento: ¿estás cumpliendo con todos los requisitos legales al almacenar la información confidencial de tus clientes?

Las ventajas de la digitalización son un hecho: tener acceso constante, desde cualquier dispositivo, a todos los datos referentes a las diversas áreas de negocio para tomar decisiones informadas; ahorro en gastos operativos; alza de la productividad y la eficiencia; una mejor comunicación con los clientes a través de múltiples canales digitales…

Sin embargo, el camino hacia la digitalización total de una empresa puede resultar desafiante sin la guía y herramientas adecuadas. Cambiar el enfoque tradicional basado en papel y procesos físicos a uno completamente digital demanda la colaboración de expertos destacados y la implementación de las mejores prácticas disponibles en el mercado.

Por suerte, existen soluciones que pueden ser de gran ayuda en el proceso de digitalización, de transformación digital de una empresa. ¿Quieres saber más? Descarga gratis el siguiente documento y descubre todas las claves.

Descargar documento

Fuente: www.muylinux.com

 

En 2023 crecieron las aplicaciones de préstamos maliciosas que engañan y espían a usuarios de Android

El crecimiento en 2023 de  apps maliciosas que recopilan y exflitran datos confidenciales de las víctimas, eludiendo los controles de Google Play, y que afectan a personas de varios países, entre ellos México, Colombia, Chile y Perú.

Ecuador – Desde principios de 2023 los investigadores de ESET, han observado un alarmante crecimiento de aplicaciones engañosas para Android que se presentan como servicios legítimos de préstamos personales, prometiendo un acceso rápido y fácil a los fondos. Estos servicios en realidad están diseñados para estafar a los usuarios ofreciéndoles préstamos con altas tasas de interés respaldados con descripciones engañosas, todo mientras recopilan la información personal y financiera de sus víctimas para chantajearlas y, al final, obtener sus fondos. Por ello, los productos de ESET reconocen estas aplicaciones utilizando el nombre de detección SpyLoan, que hace referencia directa a su funcionalidad de spyware combinada con reclamos de préstamos.

Todas las aplicaciones mencionadas en esta nota estaban disponibles en Google Play, pero actualmente se comercializan a través de redes sociales y mensajes SMS, y se pueden descargar desde sitios web dedicados a estafas y tiendas de aplicaciones de terceros. Como socio de Google App Defense Alliance, ESET identificó y denunció a Google 18 aplicaciones SpyLoan que tenían más de 12 millones de descargas en Google Play y que fueron posteriormente eliminadas 17 de ellas. La última aplicación identificada por ESET todavía está disponible en Google Play, pero como sus desarrolladores cambiaron sus permisos y funcionalidades, ya no se detecta como una aplicación SpyLoan.

“Es importante tener en cuenta que cada instancia de una aplicación SpyLoan, independientemente de su origen, se comporta de forma idéntica. Si los usuarios descargan una aplicación van a experimentar las mismas funciones y se enfrentarán a los mismos riesgos, sin importar de dónde obtuvieron la aplicación. No interesa si la descarga procede de un sitio web sospechoso, de una tienda de aplicaciones de terceros o incluso de Google Play: el comportamiento de la aplicación será el mismo en todos los casos.”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Según la telemetría de ESET, los ejecutores de estas apps operan principalmente en México, Indonesia, Tailandia, Vietnam, India, Pakistán, Colombia, Perú, Chile, Filipinas, Egipto, Kenia, Nigeria y Singapur. Todos estos países tienen diversas leyes que regulan los préstamos privados, no sólo sus tipos, sino también la transparencia de su comunicación. Cualquier detección fuera de estos países podría estar relacionada con smartphones que tienen, por diversas razones, acceso a un número de teléfono registrado en uno de estos países.

Mapa de calor de las detecciones de SpyLoan vistas en la telemetría de ESET entre el 1 de enero y el 30 de noviembre de 2023.

ESET Research ha rastreado los orígenes del esquema SpyLoan hasta 2020. En ese momento, este tipo de aplicaciones solo presentaban casos aislados que no llamaban la atención de los investigadores; sin embargo, la presencia de aplicaciones de préstamos maliciosas siguió creciendo y, finalmente, se comenzaron a detectar en Google Play, la App Store de Apple y en sitios web dedicados a estafas. Este enfoque multiplataforma maximizó su alcance y aumentó las posibilidades de participación de los usuarios, aunque estas aplicaciones fueron retiradas posteriormente de las tiendas de aplicaciones oficiales.

Aplicaciones disponibles en las tiendas oficiales de iOS (izquierda) y Android (derecha) en 2020.

Sitio web dedicado a estafas.

A principios de 2022, ESET se puso en contacto con Google Play para notificar sobre más de 20 apps de préstamos maliciosas con más de 9 millones de descargas colectivas. Luego de esta intervención, la compañía eliminó estas apps de su plataforma. Según la telemetría de ESET, las detecciones de SpyLoan comenzaron a aumentar de nuevo en enero de 2023 y desde entonces han seguido creciendo aún más en tiendas de aplicaciones de terceros no oficiales, Google Play y sitios web. En los últimos tres años, la situación ha evolucionado y Google Play ha realizado varios cambios en sus políticas de apps de préstamos personales y ha anulado la publicación de muchas apps de préstamos maliciosas.

Para atraer a las víctimas, los delincuentes promocionan activamente estas aplicaciones maliciosas con mensajes SMS y en redes sociales populares como X (Twitter), Facebook y YouTube. Aprovechando esta inmensa base de usuarios, los estafadores pretenden atraer a víctimas desprevenidas que necesitan ayuda financiera. Otro aspecto alarmante de algunas aplicaciones SpyLoan es la suplantación de proveedores de préstamos y servicios financieros de buena reputación mediante el uso indebido de nombres y marcas de entidades legítimas.”, añade Gutiérrez Amaya, de ESET Latinoamérica.

Cómo funcionan las aplicaciones de SpyLoan

Una vez que el usuario instala una aplicación SpyLoan, se le pide que acepte las condiciones del servicio y que conceda amplios permisos para acceder a datos confidenciales almacenados en el dispositivo. A continuación, la aplicación solicita el registro del usuario, que normalmente se realiza mediante la verificación de la contraseña de un solo uso por SMS para validar el número de teléfono de la víctima. Estos formularios de registro seleccionan automáticamente el código de país basándose en el código de país del número de teléfono de la víctima, garantizando que sólo las personas con números de teléfono registrados en el país objetivo puedan crear una cuenta.

Registro del número de teléfono con códigos de país preseleccionados.

Una vez verificado el número de teléfono, los usuarios acceden a la función de solicitud de préstamos de la aplicación. Para completar el proceso de solicitud, los usuarios se ven obligados a proporcionar una gran cantidad de información personal, incluyendo detalles de dirección, información de contacto, prueba de ingresos, información de la cuenta bancaria, e incluso subir fotos del anverso y reverso de sus documentos de identidad, y un selfie.

Las aplicaciones solicitan datos sensibles al usuario.

Las aplicaciones SpyLoan suponen una importante amenaza al extraer sigilosamente una amplia gama de información personal de usuarios desprevenidos: son capaces de enviar datos confidenciales a sus servidores de comando y control (C&C). Los datos que se suelen filtrar incluyen la lista de cuentas, registros de llamadas, eventos del calendario, información del dispositivo, listas de aplicaciones instaladas, información de la red Wi-Fi local e incluso información sobre los archivos del dispositivo. Además, las listas de contactos, los datos de localización y los mensajes SMS también son vulnerables.

Una vez instalada la aplicación y recopilados los datos personales, sus ejecutores empiezan a acosar y chantajear a las víctimas para que realicen los pagos, incluso si -según las críticas- el usuario no solicitó el préstamo o lo solicitó pero no se lo aprobaron. Además, estos servicios presentan una forma de usura digital moderna, que se refiere al cobro de tipos de interés excesivos en los préstamos, aprovechándose de personas vulnerables con necesidades financieras urgentes, o de prestatarios que tienen un acceso limitado a las instituciones financieras convencionales.

Los revisores de estas aplicaciones afirman haber sido acosados y amenazados, algunos de ellos incluso aunque no recibieran un préstamo.

Hay varias razones que explican el rápido crecimiento de las aplicaciones SpyLoan. Una de ellas es que sus desarrolladores se inspiran en los exitosos servicios FinTech, que aprovechan la tecnología para ofrecer servicios financieros ágiles y fáciles de usar. Las aplicaciones y plataformas FinTech son conocidas por alterar el sector financiero tradicional ofreciendo comodidad en términos de accesibilidad, permitiendo a las personas, de una manera fácil de usar, realizar diversas actividades financieras en cualquier momento y en cualquier lugar, utilizando sólo sus teléfonos inteligentes. Por el contrario, lo único que alteran las aplicaciones SpyLoan es la confianza en la tecnología, las instituciones financieras y entidades similares.”, señala Gutiérrez Amaya, de ESET Latinoamérica.

Para poder poner el pie en Google Play y ser publicadas en la plataforma, todas las apps de SpyLoan analizadas proporcionaron una descripción que en su mayoría parece ajustarse no sólo a los requisitos de Google Play, sino que también parece cubrir las exigencias legales locales; algunas apps incluso afirmaban ser empresas financieras no bancarias registradas. En general, declaran abiertamente qué permisos se solicitan, afirman tener la licencia adecuada y facilitan el rango de la tasa anual equivalente.

En cuanto a sus políticas de privacidad, las aplicaciones SpyLoan identificadas utilizaban tácticas engañosas. Por un lado enumeraban razones engañosas para recopilar datos personales, mientras que, por otro, afirmaban que no se recopilaban datos personales sensibles. Se cree que el verdadero propósito de estos permisos es espiar a los usuarios de las aplicaciones y acosarlos y chantajearlos a ellos y a sus contactos.

 

Aplicaciones de préstamos legítimas frente a maliciosas: cómo distinguirlas

Desde ESET, se comparte una serie de recomendaciones que los usuarios pueden emplear para protegerse:

– Recurrir a fuentes oficiales: los usuarios de Android deberían evitar la instalación de aplicaciones de préstamos de fuentes no oficiales y tiendas de aplicaciones de terceros, y ceñirse a plataformas de confianza como Google Play, que aplican procesos de revisión de aplicaciones y medidas de seguridad. Aunque esto no garantiza una protección total, reduce el riesgo de encontrarse con aplicaciones de préstamos fraudulentas.

– Utilizar una aplicación de seguridad: una aplicación de seguridad fiable para Android protege al usuario de aplicaciones de préstamo maliciosas y de malware. Las aplicaciones de seguridad proporcionan una capa adicional de protección escaneando e identificando aplicaciones potencialmente dañinas, detectando malware y advirtiendo a los usuarios sobre actividades sospechosas.

– Revisión de escrutinio: al descargar aplicaciones de Google Play, es importante prestar mucha atención a las reseñas de los usuarios. Es crucial ser consciente de que las reseñas positivas pueden ser falsificadas. Los prestatarios deben centrarse en las reseñas negativas y evaluar cuidadosamente las preocupaciones planteadas por los usuarios, ya que pueden revelar información importante, como las tácticas de extorsión y el coste real que cobra el proveedor del préstamo.

– Política de privacidad y examen del acceso a los datos: antes de instalar una aplicación de préstamos, los usuarios deben leer su política de privacidad, si está disponible. Este documento suele contener información valiosa sobre la forma en que la aplicación accede a la información confidencial y la almacena. Sin embargo, los estafadores pueden emplear cláusulas engañosas o un lenguaje vago para engañar a los usuarios y conseguir que concedan permisos innecesarios o compartan datos personales. Durante la instalación, es importante prestar atención a los datos a los que la aplicación solicita acceso y preguntarse si los datos solicitados son necesarios para la funcionalidad de la aplicación de préstamo.

Hay varias vías por las que las personas pueden buscar ayuda y tomar medidas si son víctimas de usureros digitales. Las víctimas deben denunciar el incidente a las autoridades policiales o judiciales pertinentes de su país, ponerse en contacto con los organismos de protección de los consumidores y alertar a la institución que rige las condiciones de los préstamos privados; en la mayoría de los países es el banco nacional o su equivalente. Cuantas más alertas reciban estas instituciones, más probable será que tomen medidas. Si la aplicación de préstamos engañosa se obtuvo a través de Google Play, los particulares pueden solicitar ayuda al servicio de asistencia de Google Play, donde pueden denunciar la aplicación y solicitar la eliminación de sus datos personales asociados a ella.” concluye Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Fuente: Departamento de Comunicación ESET Ecuador

 

Actividad maliciosa en los chats de Discord

A raíz de una investigación reciente, analizamos varios escenarios que destacan la actividad maliciosa en Discord.

En los seis años desde el lanzamiento del chat de Discord y el servicio VoIP, la plataforma se ha vuelto una herramienta popular para construir comunidades de interés, especialmente entre los gamers. Sin embargo, como con cualquier otra plataforma que aloja contenido generado por los usuarios, Discord puede explotarse. Las vastas opciones de personalización de Discord también abren la puerta a ataques a usuarios ordinarios, tanto dentro como fuera del servidor del chat. Una investigación reciente de la seguridad de Discord reveló varios escenarios de ciberataque vinculados con su servicio de chat, algunos de los cuales pueden ser en verdad peligrosos para los usuarios. Te decimos cómo protegerte.

Malware que se propaga por Discord

Los archivos maliciosos distribuidos mediante Discord representan la amenaza más obvia. En un estudio reciente se identificaron varias decenas de tipos de malware. Decimos que esta amenaza es “obvia” solo porque compartir archivos en Discord es muy fácil; a cada archivo cargado en la plataforma se le asigna una URL permanente con este formato:

cdn.discordapp.com/attachments/{channel ID}/{file ID}/{file name}

La mayoría de los archivos están disponibles para descarga para cualquiera que tenga el enlace.

El estudio describe un ejemplo de ataque de la vida real: un sitio web falso que ofrece descargas del cliente de conferencias de Zoom Web. El sitio web se asemeja al real, y el archivo malicioso está alojado en un servidor de Discord. Con esto se evitan las restricciones para descargar archivos de fuentes desconocidas. La justificación es que es menos probable que los servidores de una aplicación popular utilizada por millones sean bloqueados por soluciones antimalware.

El “truco” maliciosos es tan obvio como la forma de combatirlo: Las soluciones de seguridad de gran calidad no solo se fijan en el origen de la descarga para determinar el nivel de amenaza de un archivo. Las herramientas de Kaspersky detectan de inmediato la funcionalidad maliciosa la primera vez que un usuario intenta descargar el archivo, por ejemplo, y después, con ayuda de un sistema de seguridad basada en la nube, avisan al resto de los usuarios que el archivo debe ser bloqueado.

Todos los servicios que permiten cargas de contenido generado por el usuario se enfrentan a problemas de mal uso. Por ejemplo, en los sitios de alojamiento de páginas web gratuitos se crean páginas de phishing, mientras que las plataformas para intercambio de archivos se utilizan para propagar troyanos. Los servicios de llenado de formatos sirven como canales para spam. Etc. Los propietarios de la plataforma sí tratan de combatir el abuso, pero los resultados son variados.

Queda claro que los desarrolladores de Discord necesitan implementar al menos medios básicos de protección para los usuarios. Por ejemplo, los archivos utilizados en un servidor de chat particular no necesitan estar disponibles para todo el mundo. También es buena idea revisar y bloquear automáticamente el malware conocido. En cualquier caso, este es el menor de los problemas de Discord, y se combate de la misma manera que cualquier otro método de distribución de malware. Sin embargo, no es el único al que se enfrentan los usuarios.

Bots maliciosos

En otro estudio reciente se demuestra qué tan fácil es explotar el sistema de bots de Discord. Los bots amplían la funcionalidad del servidor del chat de varias maneras, y Discord ofrece una amplia gama de opciones para personalizar los chats de los propios usuarios. Un ejemplo de código malicioso relacionado con el chat se publicó recientemente en (y fue eliminado rápidamente de) GitHub: El autor pudo ejecutar código arbitrario en la computadora de un usuario con ayuda de las principales capacidades que proporciona la API de Discord. Podría verse algo así:

Un chatbot malicioso ejecuta un programa arbitrario en la computadora de un usuario en respuesta a un comando del chat de Discord. Fuente

En un escenario de ataque, el código malicioso depende de que un cliente de Discord instalado de forma local se ejecute automáticamente durante el arranque. Instalar a un bot desde un origen no confiable puede resultar en este tipo de infección.

Los investigadores también revisaron otro escenario de mal uso de Discord que no depende de que el usuario tenga instalado un cliente de Discord. En este caso, el malware utiliza el servicio de chat para comunicarse. Gracias a la API pública, el proceso de registro simple, y el cifrado de datos básico, una puerta trasera puede fácil y convenientemente utilizar Discord para enviar datos sobre el sistema infectado a su operador y, a su vez, recibir comandos para ejecutar el código, descargar módulos nuevos maliciosos y más.

Este tipo de escenario parece muy peligroso; simplifica el trabajo de los atacantes, quienes entonces no necesitan crear una interfaz de comunicación con computadoras infectadas, pero pueden utilizar algo que ya esté disponible. Al mismo tiempo, complica de cierta forma la detección de actividad maliciosa; conversaciones entre la puerta trasera y su operador se parecen a actividad normal de usuario en un chat popular.

Protección para los gamers

Si bien las amenazas anteriores aplican a todos los usuarios de Discord, principalmente tienen que ver con quienes utilizan Discord como un complemento del juego: para comunicación por voz y texto, transmisiones, recopilación de estadísticas del juego, etc. Este uso significa una buena personalización y aumenta el riesgo de los usuarios de encontrar e instalar extensiones maliciosas.

El ambiente relajado, y en apariencia seguro, es de hecho otra amenaza, ya que aumenta la tasa de éxito de las técnicas de ingeniería social: el señuelo  se atrapa mejor en un chat cómodo con personas que consideras tus amigos. Recomendamos utilizar las mismas reglas de higiene digital en Discord que utilizas en cualquier otro lado de la web: no hagas clic en enlaces sospechosos o descargues archivos sospechosos; escudriña ofertas que suenan demasiado buenas para ser verdad; y evita compartir tu información personal o financiera.

En cuando a los troyanos y las puertas traseras, basados en Discord o solo distribuidos mediante la plataforma, no son especiales o esencialmente diferentes de otro tipo de malware. Utiliza una aplicación antivirus de confianza para mantenerte a salvo, déjala ejecutándose en todo momento, incluso cuando instales cualquier software o añadas bots a un servidor de chat, y pon atención a sus advertencias.

El desempeño no tiene que ser un problema. Por ejemplo, nuestros productos de seguridad incluyen un modo de juego que minimiza la carga adicional sin comprometer la protección.

Fuente: www.latam.kaspersky.com