Archives 2022

Se acerca el plazo para que las facturas físicas queden en el recuerdo. La Ley de Desarrollo Económico y Sostenibilidad Fiscal establece que a partir del próximo 30 de noviembre la emisión de los comprobantes digitales sea de carácter obligatorio.

La sustitución de las facturas físicas por las digitales a fines de noviembre obliga a los usuarios a tener una firma electrónica. Foto: Pexels

Uno de los requisitos indispensables para migrar a este sistema virtual es la obtención de la firma electrónica. Por ello, la demanda de este archivo digital ha crecido notablemente en el país.

Yael Fierro Guillén, experta en temas tributarios, recordó que hay ocho entidades autorizadas para emitir este documento digital. Cada una tiene sus propios tiempos de emisión y costos.

Tres son entidades públicas: Banco Central, Consejo de la Judicatura y Registro Civil. Y las otras cinco son privadas: Anfac Ecuador, Security Data, Uanataca, Eclipsoft y Datil Medi.

La experta recomendó acercarse lo antes posible a una de estas entidades para obtener su firma electrónica, ya que quedan alrededor de 60 días para completar el trámite que será obligatorio.

Muchos aún no han migrado

Según el Servicio de Rentas Internas (SRI), aún falta que migren 900 000 contribuyentes al sistema virtual, con corte a agosto pasado. Los habilitados para emitir facturas electrónicas son 300 000.

Idrián Estrella, presidente de la Federación Nacional de Contadores del Ecuador, señaló que se debe tomar precauciones de seguridad con la firma electrónica, ya que esta equivale a la manuscrita. Cualquier documento firmado digitalmente es válido. La responsabilidad y uso de la firma digital recae directamente sobre el dueño.

Formatos a elegir

Hay dos formatos de firma electrónica en el país. Una en archivo y otra en token. La elección dependerá de cada contribuyente.

La de archivo permite colocar firmas con un solo clic, mientras que la de token debe usar un dispositivo tipo USB para colocar la rúbrica. Este último es necesario, además, para hacer importaciones y exportaciones. Los dos formatos tienen una clave de acceso.

La firma virtual puede tener vigencia de uno o más años, dependiendo de las necesidades de los clientes. De ello también depende el precio. Para consultar los valores se puede revisar en las páginas web de cada una de entidades autorizadas, públicas y privadas.

Seguridad

Nunca revele o anote la contraseña en algún lugar que alguien pueda descubrir. Tampoco pida a otra persona que le ayude a firmar algún documento por usted otorgándole las credenciales. La persona que ha firmado electrónicamente algo no puede negar su autoría; es como hacerlo a mano.

Ponga atención

Lea detenidamente el documento que está firmando. La información podrá ser aceptada sin cuestionamientos y puede indicar autorización, decisión o aprobación que tendrá impacto sobre personas y cosas. Antes de firmar un documento que tenga otras rúbricas, debe asegurarse que sean correctas.

Clave

Asegúrese que por cada documento se le solicite la clave. La firma de varios de ellos a la vez es insegura; podría firmar documentos sin conocerlos. Si el documento es privado, cerciórese de no usar medios compartidos para guardarlo. La firma digital en sí misma no da privacidad de la información en cuestión.

Originales

Todos los documentos firmados digitalmente son originales, por ello, este debe ser lo más específico posible. Lo único que puede hacer en un documento firmado electrónicamente es agregar otras firmas o cambiar el nombre al archivo. Cualquier otro cambio hará que la firma se pierda o sea inválida.

Recuerde

Almacene su certificado de firma electrónica de manera segura. Además, debe cuidar la seguridad de sus dispositivos electrónicos, como ‘smartphones’ o computadoras utilizados en la firma electrónica. Instale un antivirus, evite entrar a sitios web inseguros y/o abrir archivos que sean desconocidos.

Fuente: www.elcomercio.com

El Software Libre se refiere a la libertad, no al precio. Garantiza a sus usuarios las cuatro libertades esenciales. La ausencia de al menos una de estas libertades significa que una aplicación es propietaria, por lo tanto Software no-Libre, en este artículo vamos a revisar los conceptos asociados al Software Libre. 

1. ¿Qué es el Software?

El software libre es un término que describe el software que permite a los usuarios ver libremente el código de programación, modificarlo, distribuirlo y utilizarlo sin ninguna restricción.

Muchas herramientas eligieron el modelo de software libre porque tiene una filosofía que fomenta el espíritu de apertura y de compartir. Esto ayuda a su objetivo de ser una comunidad acogedora e inclusiva.

2. El significado de ‘libre’

Empecemos por definir el significado de «libre». En el caso del software libre, se parece más a la «libertad de expresión» que a la «cerveza gratis».

Las fiestas en las que se regala cerveza son populares porque los invitados pueden beber sin tener que pagar. En ese caso, la palabra ‘free’ significa ‘gratis’.

Esa es una de las razones por las que WordPress es tan popular. Al igual que la cerveza en la fiesta, es gratuito. Si bien hay otros costes relacionados con la creación de un sitio web, el software de WordPress no cuesta ni un céntimo.

Pero el software libre se parece más a la libertad de expresión que a la cerveza gratis. En otras palabras, se trata principalmente de la libertad, no del precio.

El movimiento del software libre fue iniciado en 1989 por Richard Stallman porque le preocupaba que las licencias de software fueran cada vez más restrictivas. No es sólo un movimiento de software, sino un movimiento social.

Stallman quería proteger la libertad de los usuarios de software. Quería que pudieran ayudar a sus vecinos compartiendo el software, algo que muchas licencias de software privativo no permiten.

Así que creó una licencia de software para cumplir este objetivo. El software libre se refiere principalmente al software publicado bajo la Licencia Pública General GNU o GPL, como el propio sistema operativo GNU de Stallman.

3. ¿Qué es la GPL?

La GPL es una licencia de software administrada actualmente por la Free Software Foundation (FSF). Ha sido revisada varias veces para proteger mejor la libertad de los usuarios de software.

La GPL puede considerarse una «Carta de Derechos» que ofrece cuatro libertades:

• La libertad de utilizar el software para cualquier propósito.
• La libertad de estudiar el código fuente y modificar el software para cualquier propósito.
• La libertad de compartir el software con otros.
• La libertad de compartir sus propias versiones modificadas del software con otros.

La única restricción es que si comparte una versión modificada del software GPL, ésta debe tener también una licencia GPL. Esto se llama «copyleft», un juego de palabras con la palabra «copyright», y asegura que el software libre siga siendo libre.

WordPress ha sido publicado bajo la licencia GPLv2. Esto significa que seguirá estando disponible de forma gratuita y que su éxito depende de la cooperación de una comunidad activa en lugar del personal de una sola empresa.

Fuente: www.somoslibres.org

Compartieron detalles del descubrimiento de una vulnerabilidad en la app de escritorio de Microsoft Teams para Windows, Mac y Linux. El fallo permitiría que un actor malicioso con acceso a los archivos de un sistema que utilice Microsoft Teams pueda robar tokens de autenticación de un usuario o usuaria que haya iniciado sesión.

Descubren una vulnerabilidad que permitiría a un atacante acceder a una archivo que contiene tokens de acceso en texto sin formato.

Esta vulnerabilidad está relacionada con el hecho de que la app de Microsoft Teams almacena, sin la debida protección, tokens de autenticación en texto sin formato. En este sentido, un atacante podría hacer uso de estos tokens de autenticación para iniciar sesión en la cuenta de la víctima, incluso si tienen habilitada la autenticación multifactor (MFA, por sus siglas en inglés). Además, como el atacante no necesita permisos elevados para leer estos archivos, puede ser aprovechada en cualquier ataque en el que hayan logrado acceso físico o remoto al sistema.

Microsoft Teams es una potente plataforma de comunicación y colaboración utilizada por empresas, instituciones educativas y usuarios que ofrece chat, videoconferencias y una gran cantidad de aplicaciones vinculadas a la organización de tareas y proyectos y gestión de información

El equipo de investigación de Vectra fue el que descubrió esta vulnerabilidad en agosto de 2022 y aseguraron que la reportaron a Microsoft. Sin embargo, el gigante tecnológico dijo que el fallo reportado no cumplía con los requisitos suficientes para el lanzamiento de un parche inmediato. Según manifestó un vocero de Microsoft al Bleeping Computer, la técnica que describe Vectra no cumple con sus parámetros para una respuesta inmediata, ya que requiere que primero el atacante obtenga acceso a la red de una víctima.

Los investigadores publicaron detalles del hallazgo y manifestaron que mientras trabajaban en una forma de remover cuentas antiguas de Teams se toparon con un archivo ldb que contenía tokens de acceso en texto sin formato, los cuales le permitieron acceder durante las pruebas que realizaron a las API de Outlook y Skype; con todo lo que eso implica.

Según explicaron, un aspecto clave para explicar este fallo tiene que ver con que Microsoft Teams es un desarrollo que se basa en el framework app Electron, utilizado para crear aplicaciones de escritorio capaces de ser ejecutadas en un navegador. Y si bien esto hace más sencillo el desarrollo, el uso de un navegador web en el contexto de una app presenta ciertos riesgos para la seguridad. Esto en parte se debe a que los desarrolladores de apps no comprenden completamente cómo funciona Electron, ya que, por ejemplo, este framework no soporta por defecto el cifrado o la protección de ubicación de archivos.

Para los especialistas preocupa el alcance que podría tener este hallazgo en un escenario en el cual atacantes logren comprometer varios equipos y puedan tomar el control de cuentas importantes.

GifShell: una técnica que utiliza archivos GIF maliciosos en Microsoft Teams

Además de esta vulnerabilidad, hace unas semanas se relevaron detalles de una nueva técnica que aprovecha una serie de vulnerabilidades y fallos en Microsoft Teams para utilizar la plataforma para ataques de phishing, el envío de archivos maliciosos, exfiltrar datos o incluso enviar comandos. Todo a través de un archivo GIF. La técnica fue apodada GIFShell y fue descubierta por el investigador Bobby Raunch.

Fuente: www.welivesecurity.com

Los responsables de la red Ethereum llevaban años preparando la primera sus grandes transformaciones. El evento, conocido como ‘The Merge’, acaba de completarse, y desde este momento la red y su criptodivisa, el ETH, cambian de filosofía. Una mucho más eficiente y que verá nuevos cambios en el futuro.

‘The Merge’, un éxito. La transición de un mecanismo de consenso Proof-of-Work (PoW) a un modelo Proof-of-Stake (PoS) lleva en marcha desde 2016, y tras varias pruebas preliminares se ha completado. Las cosas no cambian mucho para los inversores y usuarios de la red Ethereum, pero sí para los mineros.

Adiós a la minería. El mecanismo PoW, el mismo usado en bitcoin, consiste en que máquinas y ordenadores de todo el mundo compiten para resolver complejos problemas matemáticos que luego permiten consensuar que un bloque se añade a la cadena de bloques. Ese modelo se ha vuelto muy ineficiente, y el paso a Proof of Stake es clave para reducir el impacto medioambiental.

Hola al ‘staking’. En lugar de minar, ahora el consenso se basa en apilar ETH en la red para tener algo así como ‘más participación’ en ese consenso. Con el ‘staking’ ya no se validan transacciones al resolver esos puzzles matemáticos: en lugar de eso los ususarios validan transacciones de acuerdo al número de criptodivisas que tienen en el sistema, en base a su ‘participación’ (stake). Eso genera también dudas, ojo.

And we finalized!

Happy merge all. This is a big moment for the Ethereum ecosystem. Everyone who helped make the merge happen should feel very proud today.

— vitalik.eth (@VitalikButerin) September 15, 2022

Impacto. Según la Ethereum Foundation esta transición permitirá que el consumo energético de la red Ethereum baje en un 99,95%, pero además plantea futuras mejoras a la escalibilidad y seguridad de esta criptodivisa y su cadena de bloques.

Los gamers también se benefician. Hay otra consecuencia directa: las tarjetas gráficas ya no sirven de mucho a los mineros, que en gran medida las usaban para minar ETH. Eso ha provocado que por fin estén disponibles y que los precios bajen. Los gamers volverán por fin a poder actualizar sus equipos sin tener que pagar ese sobrecoste excepcional que se sufrió hace años.

Aún queda trabajo por hacer. Esta transición es importante, pero para Vitalik Buterin, creador de Ethereum, la evolución de la red solo está completa al 40%. Quedan otras fases que por ejemplo resolverán problemas que aún persisten, como poder procesar más transacciones y rebajar las comisiones de cada transacción, que siguen siendo altas. Aún así este es un paso de gigante que podría marcar un punto de inflexión para Ethereum. Hay quien dice que de hecho acabará siendo más relevante que bitcoin, pero eso está por ver.

Fuente: www.xataka.com 

La historia del código abierto, es la historia de la evolución tecnológica de las últimas tres décadas. Nadie lo sabe mejor que las grandes compañías del sector, las que ya estaban y se mantienen, pero también las que surgieron apoyadas en la explosión de un fenómeno que llegó para cambiarlo todo. Nunca habríamos llegado al nivel tecnológico actual sin el impulso del código abierto y todas las ventajas que ha traído consigo.

No existe a día de hoy tejido industrial digitalizado en el que no haya permeado el código abierto, por muy buenas razones, todas las ventajas que aporta este modelo de desarrollo: calidad, ahorro de costes, colaboración y reutilización, seguridad, transparencia, independencia tecnológica… El mundo de la empresa tardó poco en asimilar y explotar las bondades del código abierto en su propio beneficio. La pregunta es ¿qué ha sucedido en la esfera pública?

Habida cuenta de la penetración y del valor intrínseco alcanzado por el código abierto en y para el sector privado, ¿qué hay del público? ¿Aprovechan las administraciones públicas las ventajas que aporta este modelo de desarrollo tecnológico? Lo cierto es que sí y desde hace mucho. Son numerosos los ejemplos de implantación del código abierto en las administraciones públicas tanto en el ámbito internacional como europeo e incluso nacional, hablando de España.

El código abierto como motor de transformación digital en la Administración Pública es un ebook realizado por MCPRO con el apoyo de Red Hat en el que se aborda el asunto en profundidad y que puedes descargar totalmente gratis a través de este enlace.

Sin embargo, todavía queda mucho por hacer, ya sea a nivel europeo o nacional, regional e incluso local. El código abierto tiene una presencia cada vez más significativa en las administraciones públicas españolas, pero el margen de crecimiento y, por lo tanto, de pleno aprovechamiento de todas sus ventajas está aún por explotar y las nuevas políticas tecnológicas dentro del marco de la Unión Europea inciden en ello en presente y futuro.

En el caso de España, construir una administración digital más abierta, eficiente y segura es el objetivo de España Digital 2025, programa gubernamental parte del Plan Nacional de Recuperación, Transformación y Resiliencia al que se destinarán 2.600 millones de euros en los próximos años y en el que el código abierto será el pilar fundamental para afrontar la transformación digital de las administraciones públicas en una época postpandémica llena de retos.

Experiencia ciudadana personalizada, teletrabajo, seguridad y confianza, políticas basadas en datos y prestación de servicios, plataformas e infraestructuras ágiles e inteligentes, inclusión digital… La construcción digital del Estado del Bienestar sobre el que se asientan servicios públicos esenciales como salud, educación, servicios sociales, pensiones, administración de justicia o transporte, es todo un lance a presente y futuro en el que el código abierto jugará un papel primordial como modelo tecnológico de desarrollo.

El código abierto como motor de transformación digital en la Administración Pública ahonda en las ventajas y desafíos de la implantación de soluciones abiertas en los organismos públicos, en el cambio de paradigma cultural que promueva el modelo y en la oportunidad que supone para la mejora de nuestra sociedad. Descubre todo lo que ha hecho, pero también todo lo que aún tiene por hacer el código abierto en las administraciones públicas.

Descargar

Fuente: www.muylinux.com

Clientes de BanEcuador recibían llamadas y mensajes a través de WhatsApp con un tipo de estafa. Foto: Freekip

BanEcuador emitió una alerta de un tipo de estafa a través de mensajes de WhatsApp. La información la dio a conocer el martes 13 de septiembre de 2022.

A través de sus redes sociales, la institución financiera señaló que la ciudadanía en general está recibiendo mensajes y llamadas en donde se les indica que recibirán una compensación económica de USD 500, durante cinco años, para quienes consigan que 350 personas abran una cuenta en dicha entidad.

Luego de esto, los estafadores proceden a solicitar claves de acceso y e información personas de las personas que son estafadas.

En el comunicado, BanEcuador rechazó el accionar delictivo e hizo un llamado a todas las personas que mantienen sus inversiones o actividades financieras en la entidad a no entregar su información personal.

Las denuncias de estas estafas se pueden realizar en el correo: atencioncliente@banecuador.fin.ec.

¿Cómo abrir una cuenta de ahorros en BanEcuador?

BanEcuador aclara el proceso que se debe seguir en caso de abrir una cuenta de ahorros:

• Debe presentar cedula de identidad o pasaporte y certificado de votación originales;
• Copia de una planilla de servicio básico con validez de hasta 60 días anteriores a la fecha del trámite, y
• $20 de depósito inicial.

Fuente: www.elcomercio.com

Notesnook

Notesnook es una aplicación / servicio de notas con clientes para PC (Linux, Mac, Windows) y móvil (Android, iOS), además de aplicación web. Su principal característica es el cifrado de extremo a extremo, por lo que solo el usuario puede acceder al contenido de sus notas; el motivo por el que es noticia en estas páginas, su cambio de modelo hacia el código abierto.

Notesnook funciona a modo de software como servicio y, en principio, es igual a otro montón de aplicaciones ahí fuera, con la distinción ya hecha: el cifrado de extremo a extremo y la política de «cero conocimiento» (zero knowledge) son dos de sus principales pilares, que ahora se refuerzan con la liberación del código de todos los clientes, el núcleo de la aplicación, editor y extensiones bajo licencia GPL-3.0. Para más adelante se prevé liberar también el código del lado del servidor.

Por ahí se compara a Notesnook con Evernote por hacerlo con un referente fácilmente reconocible, se entiende, aunque a nivel de funciones se queda un poco corto en comparación. Tampoco es extraño, dada la posición de Evernote. De hecho, Notesnook tiene una tabla comparándose con Evernote, Microsoft OneNote y Google Keep, y se reduce a las características de seguridad y privacidad: cifrado end to end, adjuntos cifrados, código abierto, zero knowledge, multiplataforma, bloqueo integrado, protección de notas con contraseña y opción de compartir…

Sin embargo, en el anuncio que nos ocupa en el blog oficial de Notesnook, la primera referencia que hace su autor es para con Standard Notes, a su vez otra referencia dentro de las aplicaciones / servicios de notas basados en el cifrado en el lado del cliente y de código abierto. El mismo camino que Notesnook ha tomado ahora y que no es el más habitual. En ese enlace se explica todo acerca de esta operación.

Por otro lado, en el sitio web del proyecto se desgrana toda la funcionalidad de la aplicación, incluyendo las limitaciones del plan gratuito; el plan de pago Pro cuesta 50,98 euros al año o 4,58 euros al mes y consta de adjuntos ilimitados, almacenamiento ilimitado, un espacio privado, opciones para exportar las notas en PDF, HTML y Markdown, un editor más completo y cuadernos y etiquetas ilimitados, además de alguna opción de personalización más.

Notesnook

Si te interesa probarla, Notesnook ofrece instaladores en formatos Deb y RPM, solo para 64-bit, además de AppImage.

Hace tiempo que no hablábamos de aplicaciones de este tipo, aplicaciones de notas, porque más allá del surtido clásico para para Linux y para Android, hay tantas que cuesta fijar el foco. Y aquí solemos fijarlo en las aplicaciones nativas de código abierto, o las muy conocidas por su alcance.

Así, en los últimos tiempos hemos recogido cosas como Joplin por su naturaleza; Simplenote, por venir de donde viene; o la mismoa Evernote, a razón del lanzamiento de su aplicación oficial para Linux. Pero alternativas, haberlas haylas de todo tipo y condición.

Curiosamente, nunca hemos llegado a mencionar a Standard Notes, que sí es cierto que lleva tiempo haciéndose notar, pero lo caro de sus planes (ahora los han modificado) siempre me echó para atrás. Aun así, es evidente que es suyo o el que ha tomado Notesnook, es el modelo más atractivo: cifrado y código abierto. Pese a ello, soy más de usar un editor potente y poner yo el cifrado y la sincronización, pero a quien le sirva lo que tienen estos y además lo prefiera todo listo para la acción… la oferta se amplía.

Fuente: www.muylinux.com

Cibercriminales han estado apuntando con malware para espiar a empresas y organismos gubernamentales de Ecuador.

El equipo de investigación de ESET Latinoamérica compartió detalles de una campaña de malware dirigida a organizaciones de alto perfil que se llevó adelante entre finales de junio y primeros días de julio de 2022. Denominada Operación Pulpo Rojo, esta campaña maliciosa registró actividad en varios países de América Latina, pero de acuerdo a los sistemas de ESET se concentró principalmente en Ecuador, apuntando a organismos gubernamentales, organizaciones del sector de la salud y compañías privadas de distintas industrias.

El malware final que intentaban distribuir la campaña era el conocido troyano de acceso remoto (RAT) Remcos. Si bien Remcos es un software legítimo que fue desarrollado para monitorear y administrar remotamente dispositivos, desde hace unos años que viene siendo utilizado también por cibercriminales en distintas campañas maliciosas que buscan espiar y robar información de los equipos de sus víctima.

Países a los que afectó la campaña

Los operadores detrás de Operación Pulpo Rojo utilizaron distintos servicios gratuitos para alojar sus códigos maliciosos, como Google Drive o la plataforma Discord, pero se destacó por el uso de diferentes técnicas para evitar ser detectados, ya sea por una solución de seguridad, como también por una víctima que vea un comportamiento anómalo en su equipo.

Correos de phishing que utiliza la campaña

La forma de infectar a las víctimas fue a través de correos de phishing. En la Imagen 1 podemos observar un ejemplo de un correo en el que aparentaban ser de la Fiscalía General del Estado de Ecuador, pero también detectamos que se han utilizado otros temas, como correos que hacen referencia a supuestos procesos judiciales, demandas o incluso transferencias bancarias.

Imagen 1. Ejemplo de correo de phishing utilizado enviado a las víctimas

Estos correos incluyen un enlace que conducen a la descarga de un archivo comprimido que está protegido con contraseña. En el ejemplo que vemos a continuación, el archivo estaba alojado en Google Drive y contiene un ejecutable (.exe) que aparenta ser un archivo de Microsoft Word. Sin embargo, si la víctima abre este supuesto archivo Word desencadena el proceso de infección, el cual consiste en dos etapas, que termina descargando en el equipo de la víctima el RAT Remcos.

Imagen 2. Ejemplo del nombre de archivo comprimido alojado en Google Drive que contiene el ejecutable.

Imagen 3. Archivo ejecutable que utiliza el ícono de Microsoft Word para hacer creer a la víctima que se trata de un archivo de texto.

El nombre del archivo adjunto descargado puede variar. Algunos ejemplos de los nombres utilizados en esta campaña fueron ser:

• DEMANDA ADMINISTRATIVA JUICIO PENAL.rar
• TRANSFERENCIA BANCARIA ADJUNTO COMPROBANTE.rar
• PROCESO PENAL JUICIO DEMANDA INTERPUESTA (1).rar
• JUICIO NO 2586522 JUZGADO 2 LLAMADO JUDICIAL.exe
• FISCALIA PROCESO PENAL JUICIO DEMANDA INTERPUESTA (2).rar
• VOUCHER DE TRANSFERFENCIA REALIZADA A SU EMPRESA CUENTA CORRIENTE (1).rar
• Proceso Penal Comunicacion De Jucio Demanda Interpuesta.rar
• PROCESO JUDICIAL EMPRESARIAL ADMINISTRATIVO LLAMADO 1 FISCALIA GENERAL.rar

Etapas de la campaña

En una primera etapa el archivo malicioso busca ejecutar comandos de PowerShell con privilegios elevados para ejecutar un segundo código malicioso que va a realizar las siguientes acciones:  

1. Descargar un archivo malicioso alojado en Discord que va a modificar la configuración de Windows Defender para evadir su detección. 
2. Descarga un archivo comprimido, que también está alojado en Discord, y que contiene un ejecutable malicioso desarrollado en .NET que se encarga de lograr persistencia y de ejecutar Remcos.  

Capacidades de Remcos

Este troyano permite realizar en el equipo comprometido diferentes acciones a través de comandos que son ejecutados remotamente por los atacantes; por ejemplo:

• Realizar capturas de pantalla
• Registrar las pulsaciones del teclado por el usuario (Keylogging)
• Grabar audio
• Manipular archivos
• Ejecutar remotamente comandos en una máquina
• Ejecutar remotamente scripts en una máquina

Como mencionamos anteriormente, si bien se trata de una herramienta legítima, en foros clandestinos se pueden encontrar versiones crackeadas de este software que son comercializadas para su uso malicioso. En este caso, los atacantes utilizaron la versión 3.4.1 Pro de Remcos.

Cómo estar protegido

Para evitar ser víctima de una campaña de malware como esta, lo primero es aprender a reconocer posibles correos de phishing, ya que como vimos en este caso, así comienzan muchos ciberataques. Para ello es importante prestar atención a la dirección de correo del remitente y evitar descargar o ejecutar archivos adjuntos o enlaces si existe la más mínima duda o sospecha de que tal vez no sea un correo legítimo.

Es muy importante también prestar atención a las extensiones de los archivos y no dejarse llevar por la imagen del ícono. Por último, es importante instalar una solución de seguridad confiable que detecte a tiempo cualquier intento de actividad maliciosa en el equipo y mantener todos los equipos y aplicaciones actualizadas.

Fuente: www.welivesecurity.com

EE UU ha decidido restringir la exportación de software EDA. ¿Qué es EDA y cómo esa decisión afectará a China?

Los tiempos en los que los chips de ordenador se diseñaban a mano quedaron bastante atrás. Mientras que en la década de 1970 los chips contenían miles de transistores, hoy en día tienen más de cien mil millones, y es imposible crear estos diseños manualmente. Ahí es donde entra en juego el software de automatización de diseño electrónico (EDA). Se trata de una categoría de herramientas que ayudan a los ingenieros eléctricos a diseñar y desarrollar chips cada vez más complejos.

Este software es actualmente el último frente de batalla en la guerra comercial tecnológica entre China y EE UU. El 12 de agosto, el Departamento de Comercio de EE UU anunció el control de exportación multilateral sobre ciertas herramientas de EDA, impidiendo a China y a más de 150 países (básicamente cualquier país que no sea un aliado tradicional de EE UU) el acceso a ellas sin autorización otorgada especialmente.

El software EDA es una pequeña pero poderosa parte de la cadena de suministro de semiconductores, y está controlado principalmente por tres empresas occidentales. Eso le da a EE UU un poderoso punto de influencia, similar a la forma en la que el mes pasado quería restringir el acceso a las máquinas de litografía, otra herramienta crucial para la fabricación de chips. Pero, ¿cómo se ha vuelto esta industria tan centrada en EE UU y por qué China no puede simplemente desarrollar su propio software alternativo?

¿Qué es EDA?

La automatización del diseño electrónico (también conocida como diseño electrónico asistido por ordenador o ECAD) es el software especializado que se utiliza en la fabricación de chips. Es parecido al software CAD que usan los arquitectos, pero aún más sofisticado, ya que maneja miles de millones de transistores minúsculos en un circuito integrado.

Foto: Captura de pantalla de KiCad, un software EDA gratuito. Créditos: Jon Neal/Wikimedia Commons

No existe un único programa de software dominante que represente lo mejor de la industria. En cambio, a menudo se usa una serie de módulos de software durante todo el diseño: diseño lógico, depuración, colocación de componentes, enrutamiento de cables, optimización del tiempo y consumo de energía, verificación, etc. Como los chips modernos son tan complejos, cada paso requiere una herramienta de software diferente.

¿Es muy importante EDA para la fabricación de chips?

Aunque el mercado global de EDA se valoró en solo alrededor de 10.000 millones de dólares (9.961 millones de euros) en 2021, lo que lo convierte en una pequeña fracción del mercado de semiconductores (592.706 millones de euros), tiene una importancia única para toda la cadena de suministro.

El actual ecosistema de semiconductores se puede ver como un triángulo, según el consultor Mike Demler, que lleva más de 40 años en la industria del diseño de chips y EDA. En una esquina están las fundiciones, o los fabricantes de chips como TSMC; en otra se encuentran las empresas de propiedad intelectual como ARM, que fabrican y venden maquetas o unidades de diseño reutilizables; y en la tercera esquina están las herramientas EDA. Las tres juntas garantizan el buen funcionamiento de la cadena de suministro.

Por su nombre, puede parecer que las herramientas EDA solo son importantes para las empresas de diseño de chips, pero también las utilizan los fabricantes de chips para verificar que un diseño resulta factible antes de la producción. No hay forma de que una fundición fabrique un solo chip como prototipo; tiene que invertir meses de tiempo y producción, y cada vez se fabrican cientos de chips sobre la misma base de semiconductores. Sería un enorme desperdicio si se descubriera que tienen fallos de diseño. Por lo tanto, los fabricantes confían en un tipo especial de herramienta EDA para realizar su propia validación.

¿Cuáles son las empresas líderes en la industria de EDA?

Solo hay unas pocas empresas que venden software para cada paso del proceso de fabricación de chips y han dominado este mercado durante décadas. Las tres empresas principales, Cadence (estadounidense), Synopsys (estadounidense) y Mentor Graphics (estadounidense pero adquirida por la empresa alemana Siemens en 2017), controlan alrededor del 70% del mercado mundial de EDA. Su dominio es tan fuerte que muchas start-ups de EDA se especializan en un nicho de uso y luego se venden a una de estas tres empresas, lo que consolida aún más el oligopolio.

¿Qué hace el Gobierno de EE UU para restringir las exportaciones de EDA a China?

La enorme influencia de las empresas estadounidenses en la industria de EDA facilita que el Gobierno de EE UU bloquee el acceso de China. En su último comunicado, el Gobierno de EE UU aseguró que añadiría ciertas herramientas EDA a su lista de tecnologías cuya exportación está prohibida. Estados Unidos se coordinará con otros 41 países, incluida Alemania, para implementar estas restricciones.

Las herramientas restringidas son las que se pueden usar para la arquitectura GAAFET (transistor de efecto de campo de compuerta completa), la estructura de circuito más avanzada en la actualidad, que será fundamental para fabricar los chips más avanzados en el futuro. El Departamento de Comercio de EE UU está en fase de consulta pública para identificar qué software EDA es más útil para lograr esta estructura específica y, por lo tanto, se debería incluir en la lista.

El gigante de hardware chino Huawei fue restringido de manera similar en 2019, perdiendo el acceso a todas las herramientas EDA de EE UU, y la administración de Biden ha continuado con la preferencia de la administración de Trump por los controles de exportación como arma de guerra comercial. “Su anterior ronda de restricciones a Huawei fue tan exitosa [que] descubrieron que este era el camino a seguir”, resalta la analista de la consultora Eurasia Group Xiaomeng Lu.

¿Cómo se verá afectada China?

A corto plazo, China no se verá muy afectada, porque las fundiciones chinas no están lo suficientemente desarrolladas para fabricar los chips de última generación que necesitan la estructura GAAFET. Pero el bloqueo significa que las empresas chinas de diseño de chips no podrán acceder a las herramientas más avanzadas y, a medida que pase el tiempo, lo más probable es que se queden atrás.

Sin embargo, paralizar la exportación de software es muy diferente a bloquear la exportación de hardware voluminoso como las máquinas de litografía, que son imposibles de pasar de contrabando a China porque son muy rastreables. Las herramientas de software EDA se distribuyen online, por lo que se pueden piratear.

Las empresas chinas podrían conservar el software EDA que ya compraron o recurrir al hackeo de licencias o adquirirlas de forma ilegal. Eso dificulta todavía más la posibilidad de predecir lo efectiva que será esta última ronda de restricciones de EE UU.

¿Qué hace China con respecto a EDA?

China se ha dado cuenta (aunque bastante tarde) de que necesita desarrollar alternativas internas. En su último plan quinquenal, que es el principal proyecto económico del país, EDA figuraba como la primera tecnología de vanguardia dentro de la industria de semiconductores donde China debería conseguir más avances. Esto significa que se destinará una mayor cantidad de recursos del Gobierno a I+D en esta área, incluido el fondo de inversión en semiconductores respaldado por el Gobierno de China, que invirtió en la empresa china EDA Huada Empyrean en 2018.

Huada Empyrean, cuyo fundador ha trabajado en el diseño EDA desde la década de 1980, es el líder actual del país en el software EDA nacional, pero solo representa el 6% del mercado EDA nacional. También está lejos de desarrollar el diseño completo, lo que significa que su producto solo puede sustituir una pequeña parte de lo que ofrecen las empresas estadounidenses.

Están surgiendo más start-ups para llenar ese vacío, la mayoría de ellas dirigidas por los ex empleados chinos de Cadence o Synopsys, como X-Epic, con sede en Nanjing (China), y Hejian Industrial Software, con sede en Shanghái (China). Con más experiencia internacional y menos carga histórica, estas start-ups pueden estar mejor posicionadas para desafiar el status quo, según explica Douglas Fuller, profesor asociado de la Escuela de Negocios de Copenhague (Dinamarca). “A más largo plazo, si las elaboraran, podrían ser una mejor alternativa a Huada”, señala Fuller.

¿Es difícil para China desarrollar una alternativa nacional de EDA?

China tiene una industria de software vibrante, que ha producido algunas apps de tecnología de consumo de fama mundial como WeChat de Tencent y Alipay de Alibaba. “¿Pero en cuanto el software de uso industrial y de uso corporativo? Ese es el problema de China. Durante mucho tiempo, los responsables de la política industrial china no se dieron cuenta de que [el software EDA] es el verdadero freno”, indica Lu. “

Es un área en la que se necesitan décadas y miles de millones de dólares de inversión para lograr avances significativos en la investigación, por lo que aunque las empresas chinas quieran ponerse al día ahora, pasará mucho tiempo para que consigan avances.

Un gran problema es el talento. El desarrollo de herramientas EDA es un campo de nicho, y las empresas chinas tradicionalmente han tenido dificultades para atraer a un mayor número de los pocos ingenieros capacitados en la fabricación de las herramientas EDA.

¿Cómo afectará esta restricción a las empresas estadounidenses de chips?

El último control de la exportación de EDA está dirigido a una sección muy especializada y avanzada de la industria. “Este software de gama alta aún no se utiliza ampliamente por las empresas chinas, por lo que el impacto comercial inmediato de la restricción en los proveedores estadounidenses es limitado”, explica Lu.

Pero los controles de exportación generalmente no son bien recibidos por las empresas de chips, ya que tales políticas pueden reducir la demanda de los productos estadounidenses y, por lo tanto, sus ingresos. No solo para las empresas de EDA, sino también para las fundiciones, las empresas de propiedad intelectual, los fabricantes de equipos y para todos los demás en la cadena de suministro. “Habrá muchas empresas enfadadas. No solo en EE UU y no solo las empresas de EDA”, concluye Fuller. 

Fuente: www.technologyreview.es

Cemu 2.0, la última versión del conocido emulador de Wii U, ha sido publicada con un par de novedades revolucionarias que a buen seguro cambiarán el rumbo del proyecto, ya que ha sido convertido en código abierto y por fin dispone de compilaciones nativas para Linux, si bien estas todavía están muy verdes.

Empezamos con lo que resulta más relevante por estos lares, la licencia y la disponibilidad para Linux. Sobre lo primero, el código fuente de Cemu 2.0 ha sido publicado bajo Mozilla Public License 2.0 (MPL 2), que es la licencia empleada por Firefox, las versiones de Thunderbird para escritorio (ya veremos en qué queda K-9 Mail) y Brave, el derivado de Chromium publicado como software libre más popular.

Sin embargo, en el repositorio GitHub de Cemu se avisa que están exentos de la licencia MPL 2 “todos los archivos en el directorio de dependencias para los que se aplican las licencias del código original, así como algunos archivos individuales de la carpeta src, como se especifica en los encabezados de esos archivos respectivamente”. Esta situación también se da, por ejemplo, con los editores de vídeo, que se apoyan en otros componentes publicados bajo licencias diversas.

En cuanto a las compilaciones para Linux, estas todavía están en fase preliminar, así que no están disponibles desde la sección de descargas de Cemu, donde se encuentran únicamente los instaladores para Windows. A pesar de ello, este es un primer paso muy importante y la disponibilidad del código fuente hará que, muy probablemente, un puñado de voluntarios se impliquen para acelerar el proceso. Si la intención del soporte nativo para Linux apunta hacia la Steam Deck, en un futuro podría haber hasta una compilación Flatpak oficial.

Otro cambio introducido a nivel de proyecto ha sido una simplificación de las versiones de mantenimiento, que ahora serán numeradas solo como 2.0, 2.1, 2.2, 2.3, etc. En cuanto a la versión mayor recientemente publicada, la 2.0, se le han actualizado todas las dependencias, destacando SDL y wxWidgets.

Por los demás, hay un puñado de cambios que consisten sobre todo en correcciones que apuntan a ir más dirigidas a Windows que a Linux. Entre ellas hay una para el decodificador de H.264, otra para arreglar un cuelgue de Call of Duty: Black Ops II y otra para corregir un fallo que provocaba que la versión de The Legend of Zelda: Wind Waker para Wii U se quedara inactiva en la pantalla de título durante dos minutos.

Para los que anden perdidos, Wii U es la última consola de sobremesa de Nintendo. Fue un total fracaso comercial debido a que la compañía apenas invirtió en publicidad, por lo que la mayoría del público de la Wii original, que fue comprada mayormente por personas que sabían poco de videojuegos, la entendieron o percibieron como un periférico en lugar de una consola nueva. Eso, unido a que el concepto de Wii ya había pasado de moda y a que el mal llamado “público hardcore” le dio la espalada a Nintendo hacía tiempo en consolas de sobremesa, obligaron a la compañía a tener que concentrar todas sus energías en portátiles a través de Switch, cosa que al final no ha sido mala idea porque le ha ahorrado el tener que desarrollar dos líneas de sus sagas más conocidas.

Desde MuyLinux le deseamos los mejor a Cemu en su andadura como proyecto de código abierto y en sus intenciones de ofrecer soporte nativo para Linux, porque siempre es bueno contar con más aplicaciones para el sistema, sobre todo si estas llegan como código abierto.

Fuente: www.muylinux.com