gadgetsgenial.es

Categoría: Otros

Otras secciones

  • La IA es tan buena cazando bugs que ahora ahoga a los desarrolladores bajo una avalancha de reportes

    IA
    IA

    Los reportes de vulnerabilidades no dejan de llegar

    Durante mucho tiempo, los mantenedores de proyectos de código abierto temían recibir reportes de errores generados por IA. Los consideraban imprecisos, muchas veces erróneos y en general una pérdida de tiempo. Sin embargo, el panorama de la ciberseguridad está cambiando rápidamente. Los modelos de IA han mejorado mucho y han pasado de producir falsos positivos a descubrir vulnerabilidades complejas y reales.

    Este avance representa un enorme salto cualitativo en la detección de amenazas, pero ha generado una nueva crisis. Ahora los mantenedores humanos están siendo desbordados por una avalancha de reportes plausibles y de alta calidad. Los errores que antes nadie detectaba ahora están llegando todos de golpe.

    Un exploit crítico descubierto por agentes de IA

    Un ejemplo de esta nueva era es el reciente reporte de vulnerabilidades relacionado con CUPS (Common Unix Printing System), el sistema de impresión predeterminado en macOS y en la mayoría de distribuciones Linux. Debido a su enorme adopción, cualquier fallo en CUPS tiene un impacto potencial masivo.

    Un equipo liderado por el ingeniero de seguridad de SpaceX, Asim Viladi oğlu (Manizada) Manizadə, utilizó agentes de IA para descubrir una cadena de exploits devastadora basada en dos vulnerabilidades:

    • CVE-2026-34980
    • CVE-2026-34990

    La primera vulnerabilidad afecta a colas PostScript compartidas, habituales en redes corporativas. El problema se origina en la política por defecto de CUPS que acepta trabajos de impresión anónimos. Los agentes de IA detectaron un comportamiento peculiar, a saber que el sistema añade una barra invertida a los saltos de línea, pero posteriormente la elimina durante el análisis. Este detalle permite insertar código malicioso que sobrevive al proceso de sanitización.

    Además, CUPS trata el registro “PPD:” como un control confiable. Esto abre la puerta a modificar la configuración de la cola de impresión y ejecutar binarios existentes, como por ejemplo el editor Vim, con el usuario lp, lo que permite la ejecución remota de código (RCE).

    La segunda vulnerabilidad permite que un usuario local sin privilegios engañe al demonio del scheduler para autenticar una impresora falsa controlada por el atacante. Combinadas, ambas fallas permiten a un atacante remoto no autenticado sobrescribir archivos con privilegios de root a través de la red.

    Cómo la IA está mejorando la búsqueda de vulnerabilidades

    Según Manizada, no basta con pedirle a la IA que encuentre directamente una cadena completa de ataque. Sin embargo, dividir el problema en pasos, primero buscar un RCE y luego escalar privilegios, reduce enormemente el espacio de búsqueda.

    Esto demuestra lo eficaces que se han vuelto estas herramientas para encadenar lógica compleja sin consumir grandes recursos de cómputo.

    Los mantenedores ya no pueden seguir el ritmo

    El éxito de la IA en la detección de vulnerabilidades ha creado un nuevo cuello de botella, la eliminación de las vulnerabilidades.

    Daniel Stenberg, creador del proyecto curl, describió el cambio reciente:

    “En los últimos meses dejamos de recibir reportes basura generados por IA. Han desaparecido. Ahora recibimos cada vez más reportes realmente buenos, casi todos hechos con ayuda de IA.”

    El problema es que incluso los mejores reportes requieren verificación humana. Muchas veces la IA identifica comportamientos extraños, como race conditions (condiciones de carrera), que terminan siendo informativos pero no explotables. Aun así, analizarlos consume enormes cantidades de tiempo.

    Greg Kroah-Hartman, mantenedor del kernel de Linux, confirmó que mientras los grandes proyectos han logrado manejar el volumen, los equipos pequeños están colapsando bajo la presión.

    La crisis del modelo de bug bounty

    La avalancha de reportes generados por IA ha puesto en jaque el modelo tradicional de recompensas por vulnerabilidades.

    Para frenar los envíos masivos automatizados, el proyecto curl dejó de pagar recompensas por vulnerabilidades. Poco después, el programa Internet Bug Bounty anunció la pausa de premios monetarios, incluyendo el cierre del programa de recompensas para Node.js.

    Según los organizadores, la investigación asistida por IA ha aumentado la velocidad y cobertura del descubrimiento de vulnerabilidades, pero la capacidad de corrección no ha crecido al mismo ritmo.

    El nuevo cuello de botella de la seguridad

    El pasado fin de semana hablábamos de cómo la App Store de Apple se estaba viendo desbordada por la solicitud de revision de nuevos programas realizados con la ayuda de la IA.

    Hoy vemos que el principal problema de la seguridad de software ya no es descubrir fallos, sino corregirlos. La IA no incrementa directamente la capacidad humana de revisión y mantenimiento, simplemente traslada el trabajo pesado hacia mantenedores ya saturados.

    Al parecer la IA está creando más trabajo del que está destruyendo.

    Como resume el mantenedor Willy Tarreau, la industria necesita actualizar las reglas del reporte de vulnerabilidades para que los investigadores asistidos por IA asuman mayor responsabilidad en la clasificación y validación.

    Hasta que se encuentre ese equilibrio, la comunidad open source seguirá atrapada en una paradoja. Por un lado dispone de las herramientas más potentes de búsqueda de bugs jamás creadas, pero al mismo tiempo carece del tiempo humano necesario para procesar sus resultados.

  • El presupuesto FY2027 de Trump propone recortes masivos a ciberseguridad y CISA

    La administración Trump no parece creer en la misión de CISA

    Una decision inexplicable

    La administración de Donald Trump presentó su propuesta de presupuesto federal para el año fiscal 2027, un plan que reconfigura profundamente el enfoque del gobierno estadounidense hacia la ciberseguridad, la ciencia y la tecnología. La iniciativa contempla de forma sorprendente fuertes recortes a agencias clave como la agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) y el Instituto Nacional de Estándares y Tecnología (NIST), mientras redirige miles de millones hacia la defensa, la IA y la infraestructura energética.

    Un fuerte recorte a CISA

    El golpe más grande del plan presupuestario se dirige a CISA, la principal agencia federal de ciberseguridad.

    • Recorte del propuesto: 707 millones de dólares
    • Equivale a ≈30% del presupuesto de 2025

    La Oficina de Gestión y Presupuesto (OMB) argumenta que el objetivo es enfocar la agencia en la protección de redes federales y eliminar lo que describe como “censura y despilfarro”.

    El documento acusa a la agencia de haberse centrado en combatir la desinformación en línea en lugar de proteger infraestructuras críticas. Esta narrativa coincide con críticas previas de la administración y de la exsecretaria del DHS, Kristi Noem.

    Si el plan se aprueba:

    • Se consolidaría la reducción de casi un tercio del personal ya realizada.
    • Se eliminarían programas de lucha contra la desinformación.
    • Se trasladarían responsabilidades de seguridad a estados y municipios.

    Reacciones y preocupaciones de seguridad

    La propuesta enfrenta fuerte oposición en el Congreso.

    El representante Bennie Thompson criticó el recorte, señalando que CISA gastó solo 2 millones de dólares en programas de desinformación en 2023.

    Expertos advierten que reducir funciones de coordinación internacional y la cooperación entre el sector público y el privado podría:

    • Debilitar la defensa ante ciberataques.
    • Aumentar el riesgo de incidentes en infraestructuras críticas.

    Crisis en el DHS y privatización de la seguridad aeroportuaria

    El Departamento de Seguridad Nacional también enfrentaría recortes:

    • Presupuesto propuesto: 63.000 millones de dólares
    • Reducción del 3,3%

    El plan incluye un recorte de 52 millones a la TSA y el inicio de la privatización de los controles de seguridad en aeropuertos, comenzando por aeropuertos pequeños.

    La medida llega tras problemas laborales causados por el cierre parcial del gobierno, que dejó a trabajadores sin salario durante un periodo prolongado.

    Recortes severos a ciencia y acceso digital

    El Departamento de Comercio sufriría una reducción del 12,2%.

    Entre los principales afectados:

    NIST

    • Recorte: 993 millones de dólares
    • Justificación oficial: eliminar iniciativas relacionadas con clima y diversidad.

    Programa de Equidad Digital

    La National Telecommunications and Information Administration perdería 2.200 millones de dólares, eliminando el programa de acceso a internet financiado por la ley de infraestructura.

    Los ganadores: IA, energía y seguridad tecnológica

    No todo son recortes. Algunas áreas recibirían fuertes aumentos.

    Oficina de Industria y Seguridad

    • +215 millones para combatir robo de tecnología y proteger semiconductores.

    Departamento de Energía

    El Departmento de Energía (responsable de las bombas nucleares de EE.UU) obtendría un aumento del 10%, hasta 53.900 millones de dólares.

    Sin embargo, el enfoque cambia radicalmente:

    • –1.100 millones al programa científico de energía limpia.
    • +1.200 millones para 7 supercomputadoras de IA en laboratorios nacionales.
    • +3.500 millones para energía firme de base.

    Un giro ideológico hacia la IA

    El presupuesto refleja una prioridad clara: reducir programas de clima, diversidad y conectividad digital para financiar inteligencia artificial, supercomputación y seguridad tecnológica.

    Si se aprueba, el plan marcaría uno de los cambios más drásticos en décadas en la política tecnológica federal de EE. UU., priorizando la carrera por la IA sobre la ciberseguridad civil y la investigación climática.

    Esto es bastante contradictorio con la reciente decisión de prohibir routers fabricados en el extranjero, por motivos de seguridad.

  • La Raspberry Pi sube dramáticamente de precio por escasez global de memoria RAM

    Raspberry Pi

    Aumentos de hasta hasta US$150

    La era del hardware barato para makers está pasando por un mal momento y aún no se sabe cuánto tiempo durará. Raspberry Pi anunció un fuerte aumento de precios en varios de sus productos debido a una escasez global de memoria RAM, impulsada principalmente por la creciente demanda de la industria de la inteligencia artificial.

    Aumentos acumulados que cambian el panorama

    El mercado ya había mostrado señales de presión, la versión de 16GB del Raspberry Pi 5 superó los 100 dólares hace poco más de un año. Desde entonces, los incrementos no han parado:

    • +25 dólares en diciembre de 2025
    • +60 dólares en febrero de 2026
    • Nueva ronda de aumentos anunciada ahora por el CEO Eben Upton

    En total, más de una docena de productos se verán afectados.

    Los modelos con más RAM son los más golpeados

    Los dispositivos con 4GB o más de memoria registran los mayores incrementos:

    • Raspberry Pi 5 16GB: sube 100 dólares, casi igualando su precio original.
    • Raspberry Pi 500+: aumento de 150 dólares.
    • Pi AI HAT+ 2: incremento de 50 dólares.
    • Compute Module 4 y 4S (1GB): subida de 11.25 dólares.

    La razón es evidente, los chips LPDDR4 que usan estos dispositivos están bajo una presión de demanda sin precedentes.

    Buenas noticias para modelos económicos y legacy

    No todo son malas noticias. Raspberry Pi confirmó que varios dispositivos mantendrán sus precios sin cambios:

    • Raspberry Pi 400 (el modelo integrado en un teclado)
    • Versiones de 1GB y 2GB de la Raspberry Pi 4 y Pi 5
    • Productos legados como las Pi Zero, Zero 2, 1, 3, 3B+ y 3A+

    Estos modelos utilizan memoria LPDDR2, de la cual la empresa aún tiene suficiente inventario.

    Nuevo modelo intermedio: Raspberry Pi 4 de 3GB

    Para amortiguar el impacto, la compañía presentó una nueva variante intermedia, la Raspberry Pi 4 3GB, con un precio de 83.75 dólares. Este modelo busca equilibrar potencia y costo para proyectos que necesitan más memoria sin pagar la prima de las versiones de gama alta.

    Raspberry Pi apuesta por los semiconductores mientras crecen sus ventas globales

    Raspberry Pi vive uno de los mejores momentos financieros de su historia. Sin embargo, su creciente enfoque en el negocio de semiconductores está generando dudas sobre el futuro de su tradicional comunidad maker.

    Raspberry Pi 6 en desarrollo

    Tras el lanzamiento del Raspberry Pi 500+ en 2025, la empresa confirmó que el Raspberry Pi 6 ya está en desarrollo.

    Aunque no hay fecha de lanzamiento, prometen:

    • Mejoras significativas en rendimiento
    • Mayor eficiencia energética
    • Continuidad en el software (menos recompilaciones)

    No hubo novedades sobre un posible sucesor del Pi Zero 2.

    Resultados financieros sólidos en 2025

    La compañía reportó ingresos de 323.5 millones de dólares en el año fiscal 2025, lo que representa un crecimiento del 25% interanual.

    Principales cifras:

    • Ganancia bruta: 77.8 millones de dólares (+23%)
    • Ganancias por acción: 11.22 centavos (+73%)
    • Demanda especialmente fuerte en Estados Unidos y China

    Aunque los números son positivos, la inflación de la memoria DRAM, impulsada por la demanda de la industria de IA, sigue siendo una preocupación clave para inversionistas.

    El cambio clave: los chips superan a las Raspberry Pi tradicionales

    El dato más llamativo del reporte es que por primera vez, los envíos de semiconductores superaron a los de placas y módulos.

    • Volumen de chips enviados: 8.4 millones de unidades
    • Beneficio bruto de SBC y módulos: 66.3 millones USD
    • Beneficio de microcontroladores y otros: 0.6 millones USD

    La empresa quiere convertirse en un negocio de doble franquicia:

    1. Productos electrónicos (SBC, módulos y PCs)
    2. Semiconductores propios

    Este giro marca una evolución importante: Raspberry Pi está dejando de ser solo una marca para entusiastas y makers.

    De proyectos caseros a infraestructura industrial

    Según analistas del sector, Raspberry Pi está migrando rápidamente hacia el mercado empresarial.

    Hoy sus dispositivos se utilizan en:

    • Elevadores y pasillos móviles
    • Automatización industrial
    • Señalización digital
    • Edificios inteligentes
    • Gestión energética

    Esto refleja una creciente demanda de fabricantes OEM y distribuidores autorizados.

    ¿Se aleja Raspberry Pi de sus raíces?

    Los resultados entusiasman a inversores, pero dejan una pregunta abierta:
    ¿Podría el crecimiento industrial desplazar a la comunidad de entusiastas que impulsó la marca?

    Raspberry Pi sigue creciendo con fuerza, pero su transformación hacia convertirse en un actor relevante del mercado desemiconductores podría redefinir el futuro de la plataforma.

    Un 2026 complicado para el hardware

    Aunque Raspberry Pi viene de un periodo durante el cual la empresa ha sido muy rentable, ahora anticipa un año difícil para el mercado de memoria. Según Upton, la era de “sobredimensionar la RAM sin pensar” ha terminado, ahora los desarrolladores deberán calcular con precisión cuánta memoria necesitan realmente.

    La compañía insiste en que la situación es temporal y promete revertir los aumentos cuando el mercado se estabilice. Mientras tanto, la escasez global de RAM seguirá redefiniendo el costo del hardware tanto para makers como para desarrolladores.

  • Delta y Amazon llevarán Wi-Fi satelital ultrarrápido a los aviones con tecnología LEO

    Amazon
    Delta y Amazon llevarán Wi-Fi satelital ultrarrápido a los aviones con tecnología LEO

    La conectividad aérea está a punto de cambiar para siempre

    Delta Air Lines anunció una alianza multianual con Amazon para ofrecer Wi-Fi de alta velocidad y baja latencia en vuelos mediante la red satelital Leo.

    El despliegue comenzará en 2028 y equipará inicialmente 500 aeronaves de la aerolínea.

    Internet gratis para millones de pasajeros

    Siguiendo la estrategia de beneficios para viajeros, el servicio será gratuito para todos los miembros de SkyMiles en rutas hacia más de 300 destinos globales.

    El objetivo es ofrecer una experiencia de conexión “gate-to-gate”, es decir, desde que abordas hasta que aterrizas.

    Qué es la red satelital Leo de Amazon

    La red Leo (Low Earth Orbit) está formada por miles de satélites en órbita baja, a unos 600 km de altura, diseñados para ofrecer internet rápido y estable en cualquier parte del mundo.

    Cada avión contará con una antena de matriz en fase capaz de alcanzar:

    • Hasta 1 Gbps de descarga
    • Hasta 400 Mbps de subida

    En la práctica, los pasajeros podrán:

    • Ver video en streaming sin interrupciones
    • Jugar en línea
    • Trabajar en la nube
    • Mantener videollamadas estables

    Todo como si estuvieran en tierra.

    Según Andy Jassy, CEO de Amazon, esta tecnología permitirá que millones de viajeros permanezcan conectados durante todo el vuelo.

    La batalla por el Wi-Fi en los aviones se intensifica

    El anuncio es una reacción competitiva directa contra SpaceX y su servicio Starlink, que ya tiene acuerdos con aerolíneas como Alaska Air, United y British Airways.

    Amazon busca cerrar la brecha rápidamente. Actualmente tiene unos 200 satélites en órbita y planea acelerar su despliegue para poner la red en operación antes del lanzamiento con Delta.

    El 12 de febrero de 2026, la empresa europea Arianespace lanzó con éxito 32 satélites Amazon LEO con su megacohete Ariane 64 desde el puerto espacial europeo de Kourou, en la Guayana Francesa.

    Arianespace ha conseguido su mayor contrato privado con Amazon, el cual contempla 18 lanzamientos. El gigante estadounidense del comercio electrónico tiene previsto desplegar más de 3.000 satélites en los próximos años.

    Una alianza tecnológica que ya existía

    Esta colaboración no surge de la nada. Delta ya utiliza Amazon Web Services para sus sistemas de reservaciones y aplicaciones, tras migrar más de 600 apps a la nube desde 2020.

    La expansión hacia conectividad satelital es el siguiente paso lógico.

    El futuro del internet en vuelos

    Si el plan avanza según lo previsto, el Wi-Fi lento y costoso en aviones podría convertirse en cosa del pasado. Para 2028, volar podría significar ya no estar desconectado.

  • Hackean Axios en npm para distribuir malware

    Otro ataque más a la cadena de suministro, hackean Axios en npm para distribuir malware

    Otro ataque más a la cadena de suministro

    La popular librería de JavaScript Axios, utilizada por millones de desarrolladores para enviar solicitudes HTTP entre aplicaciones y servicios web, fue comprometida en uno de los ataques a la cadena de suministro más graves registrados en el ecosistema npm.

    Con cerca de 100 millones de descargas semanales, el incidente encendió alarmas en toda la industria del software.

    Cómo ocurrió el ataque

    El ataque no explotó una vulnerabilidad del código de Axios. En cambio, los atacantes lograron secuestrar la cuenta de la persona responsable por mantener el proyecto y cambiar su correo por una bandeja anónima de ProtonMail.

    Desde ahí, los intrusos evitaron los controles automáticos del pipeline de GitHub Actions y publicaron manualmente versiones maliciosas en el registro de npm usando la línea de comando (CLI).

    En tan solo 39 minutos, se publicaron dos versiones comprometidas:

    • axios@1.14.1 (00:21 UTC)
    • axios@0.30.4 (01:00 UTC)

    Cualquier desarrollador que instaló estas versiones descargó malware sin saberlo.

    El caballo de Troya: un paquete falso llamado plain-crypto-js

    El ataque fue planeado minuciosamente. Los atacantes publicaron primero un paquete falso llamado plain-crypto-js para crear historial y credibilidad.

    18 horas después, lo actualizaron con código malicioso y lo añadieron como dependencia dentro de la versión comprometida de Axios.

    Su función real era actuar como puerta de entrada para un Remote Access Trojan (RAT).

    Tras la instalación, un script automático descargaba una segunda carga maliciosa adaptada al sistema operativo:

    • macOS: disfrazado como daemon del sistema
    • Windows: ejecución vía PowerShell
    • Linux: puerta trasera en Python

    Después de infectar el sistema, el malware eliminaba sus rastros para dificultar el análisis forense.

    Un ataque altamente sofisticado

    La firma de seguridad StepSecurity analizó el incidente y lo calificó como uno de los ataques más sofisticados contra npm.

    Según Ashish Kurmi, CTO y cofundador de la empresa:

    “No fue oportunista. Se prepararon tres cargas para distintos sistemas, se atacaron dos ramas en menos de una hora y todo fue diseñado para autodestruirse”.

    Este tipo de campañas confirma una tendencia preocupante: los atacantes están enfocándose directamente en la cadena de suministro del software.

    Riesgo crítico para desarrolladores y empresas

    Aunque npm eliminó rápidamente las versiones maliciosas, el daño potencial es enorme:

    • Equipos de desarrollo infectados
    • Pipelines CI/CD comprometidos
    • Posible filtración de credenciales y tokens
    • Riesgo de infiltración en entornos de producción

    Los expertos advierten que si instalaste esas versiones de Axios, debes asumir que tu sistema está comprometido.

    Qué hacer si tu proyecto fue afectado

    Las recomendaciones de seguridad son:

    1) Revertir versiones

    • Volver a una versión segura de Axios
    • Verificar la eliminación de la dependencia maliciosa

    2) Auditar pipelines

    • Revisar logs de CI/CD y despliegues recientes

    3) Rotar credenciales

    • Cambiar contraseñas, API keys y tokens

    4) Reconstruir entornos

    • Reinstalar máquinas y pipelines desde cero si es necesario

    Debido a la enorme presencia de Axios en el ecosistema global, las consecuencias de este ataque pueden perdurar.

  • Pretext: la librería de 15KB que podría resolver un problema de rendimiento web de 30 años

    Pretext: la librería de 15KB que podría resolver un problema de rendimiento web viejo de 30 años
    Pretext: la librería de 15KB que podría resolver un problema de rendimiento web viejo de 30 años

    Un viejo problema

    Durante décadas, medir y posicionar texto en la web ha sido una trampa silenciosa de rendimiento. Cada vez que el navegador calcula el tamaño de un párrafo o dónde cortar una línea, ejecuta una de las tareas más costosas del rendering, a saber el reflow de layout.

    Ahora, el ingeniero Cheng Lou, creador de React Motion y senior engineer en Midjourney, presentó una solución radical, Pretext, una librería TypeScript de solo 15KB que mide texto multilinea hasta 600 veces más rápido que los métodos tradicionales.

    El costo oculto del texto en la web

    Renderizar texto parece simple, pero no lo es.

    Los navegadores deben manejar:

    • Emojis y modificadores de tono de piel
    • Ligaduras tipográficas
    • Sistemas de escritura sin espacios como el japonés o el chino
    • Idiomas RTL (right-to left) como el árabe o el hebreo que se escriben de derecha a izquierda

    Para medir el tamaño del texto, los desarrolladores normalmente insertan elementos invisibles en el DOM y consultan sus dimensiones. Esto provoca un reflow sincrónico, que según el equipo de Chrome DevTools puede bloquear el hilo principal entre 10 y 100 ms en móviles.

    Multiplica eso por cientos de bloques de texto y obtienes:

    • UI lenta
    • “Web jank”
    • Peor CLS (Cumulative Layout Shift)
    • Penalizaciones SEO

    El cambio de paradigma de Pretext

    Pretext rompe con el enfoque tradicional ya que no usa el DOM ni CSS para medir texto.

    Su método funciona en dos pasos:

    1) Medición sin reflow

    Utiliza canvas.measureText() para acceder al motor tipográfico del navegador sin activar layout.

    2) Cálculo matemático puro

    Con el ancho del contenedor, calcula:

    • Saltos de línea
    • Justificación
    • Altura total

    Resultado:

    • Método tradicional: 500 bloques → 15–30 ms + 500 reflows
    • Pretext: 500 bloques → 0.05 ms y 0 reflows

    No es solo optimización, es una nueva forma de pensar el layout.

    Nuevas posibilidades para interfaces y animación

    Separar el layout del DOM desbloquea varios casos de uso antes imposibles.

    Solución al problema histórico del SVG

    Desde su lanzamiento en 2003, SVG nunca ha ofrecido una solución adecuada al wrapping automático de texto.
    Con Pretext + herramientas tipográficas, ahora es posible generar texto SVG que se ajusta automaticamente.

    Interfaces modernas más precisas

    Permite crear:

    Renderizado en el servidor

    Funciona en Node.js y edge functions:

    • PDFs ultrarrápidos
    • Social cards dinámicas
    • Tipografía vectorial para impresión

    Animaciones avanzadas

    Pretext entrega coordenadas por carácter, permitiendo animaciones complejas a 60 FPS que romperían el motor de layout tradicional.

    Retos y limitaciones

    No todo está resuelto aún:

    • Replicar exactamente el comportamiento en todos los navegadores llevará tiempo
    • El texto renderizado fuera del DOM requiere reconstruir accesibilidad (screen readers, selección, etc.)

    Pueden ver más demos de Pretext aquí.

    Por qué importa para el futuro del frontend

    Pretext llena un vacío enorme en el desarrollo web moderno. Disponible como código abierto en npm, ofrece a los desarrolladores un control total y ultrarrápido sobre el elemento más básico de la web que es el texto.

    Si se adopta masivamente, podría cambiar cómo se construyen interfaces en internet durante la próxima década.

    Sin embargo, lo más importante podría terminar siendo que esta librería al fin hiciera que la W3C se fijara en este problema fundamental y definiera un nuevo estándar para resolver este problema de programación tan común que afecta a tantos desarrolladores de front-end.

  • Adobe Illustrator ya incluye Turntable para convertir ilustraciones 2D en vistas 3D en segundos

    Adobe Illustrator ya incluye Turntable para convertir ilustraciones 2D en vistas 3D en segundos
    Adobe Illustrator ya incluye Turntable para convertir ilustraciones 2D en vistas 3D en segundos

    Parece magia, pero una vez más, es IA

    Crear múltiples ángulos de un personaje u objeto siempre ha sido una de las tareas más laboriosas para ilustradores y animadores. Ahora, Adobe quiere simplificar este trabajo laborioso con el lanzamiento oficial de la función Turntable en Adobe Illustrator, que sale de beta y llega como una de las novedades más importantes del año para creadores digitales.

    De Project Turntable a Illustrator

    La función se presentó inicialmente como Project Turntable durante el evento Adobe MAX 2024, donde sorprendió al mostrar cómo era posible rotar ilustraciones planas en un espacio 3D.

    Ahora, tras meses de pruebas, la versión final está disponible y utiliza la IA Adobe Firefly para generar hasta 74 vistas desde distintos ángulos a partir de una sola ilustración vectorial.

    La herramienta permite:

    • Rotación horizontal completa
    • Inclinación vertical
    • Mantener el estilo artístico original en todas las vistas
    • Editar cada ángulo como vector independiente

    En otras palabras, se obtiene una “traducción 3D” de un dibujo 2D sin perder la esencia del diseño original.

    Ideal para animación, videojuegos y motion graphics

    Turntable está pensada para acelerar el trabajo de:

    • Animadores (turnarounds de personajes)
    • Diseñadores de videojuegos (concept art 360°)
    • Creadores de contenido y motion graphics

    Durante la beta, Adobe detectó que muchos animadores la usaban para generar presentaciones y pitch decks en minutos, mientras que equipos de videojuegos la aprovecharon para crear prototipos visuales con rapidez.

    Además, la herramienta facilita la creación de GIFs y micro-animaciones directamente en Illustrator y ofrece integración fluida con Adobe After Effects, agilizando el paso del diseño al motion.

    Mejores resultados con ilustraciones claras

    Según el feedback de la beta, Turntable funciona mejor con ilustraciones gráficas claramente definidas:

    • Contornos claros
    • Geometría identificable

    Los estilos muy abstractos o bocetos sueltos podrían generar resultados menos consistentes.

    Más novedades y lo que viene

    Turntable forma parte de una actualización más amplia de Illustrator que incluye:

    • Generative Shape Fill
    • Mejor integración con After Effects
    • Mejoras de rendimiento

    Y el futuro ya se asoma. Adobe también presentó Project Turn Style, una tecnología experimental que permitirá editar objetos 2D como si fueran modelos 3D completos.

    Con esta actualización, Illustrator da un paso clave hacia la convergencia entre ilustración, animación y 3D, reduciendo en la mayoría de los casos horas de trabajo tedioso a solo segundos.

  • PAPURE: El Fraunhofer Institute desarrolla empaques más ecológicos, sin adhesivos

    Con PAPURE, empaques más reciclables y menos contaminantes

    El papel suele considerarse la alternativa ecológica al plástico en el empaquetado gracias a sus menores emisiones de CO₂ y altas tasas de reciclaje. Sin embargo, tiene un problema importante: para sellar envases, los fabricantes dependen de adhesivos sintéticos o capas plásticas que contaminan el material y reducen la calidad del reciclaje.

    Un grupo de investigadores de cuatro institutos del Fraunhofer Institute busca cambiar esto con el proyecto PAPURE, una tecnología que usa un rayo láser para transformar el papel en su propio pegamento natural, permitiendo envases totalmente libres de plástico y adhesivos.

    Convertir el papel en pegamento natural

    El proceso comienza en el Fraunhofer Institute for Applied Polymer Research, donde los investigadores analizan distintos tipos de papel mediante técnicas avanzadas como microscopía electrónica (SEM) y espectroscopía de rayos X (XPS).

    El hallazgo clave: la capacidad de sellado depende de la proporción natural de:

    • Hemicelulosa
    • Celulosa
    • Lignina

    Los papeles más gruesos, como los usados en envases desechables de comida, resultan ideales para este método.

    Láser CO₂: el secreto del sellado sin pegamento

    El siguiente paso se desarrolla en el Fraunhofer Institute for Material and Beam Technology. Aquí, la superficie del papel se irradia con un láser de monóxido de carbono (CO₂), que calienta rápidamente el material.

    Este proceso convierte los componentes naturales del papel en compuestos de cadena corta similares al azúcar que permanecen en la superficie. Estos compuestos actúan como un adhesivo natural generado directamente del propio papel.

    Con PAPURE, sellos resistentes sin químicos

    Después, el Fraunhofer Institute for Process Engineering and Packaging aplica calor y presión para fundir estos compuestos y crear un sellado extremadamente resistente.

    Los resultados logrados ya son prometedores:

    • Un sello de apenas 2 cm x 3 mm puede soportar hasta 20 kg de peso.
    • El objetivo es lograr una resistencia mayor que la adhesión interna entre capas del propio papel.

    La producción industrial de PAPURE ya en marcha

    Para validar su viabilidad comercial, el Fraunhofer Institute for Machine Tools and Forming Technology está desarrollando una línea piloto de producción roll-to-roll de seis metros de longitud.

    Este sistema:

    • Irradia el papel con láser
    • Une dos capas de papel
    • Sella y troquela bolsas automáticamente
    • Usa sensores y un gemelo digital con modelos de datos para ajustar el proceso en tiempo real

    El objetivo es alcanzar una producción de 10 paquetes por minuto antes de septiembre de 2026.

    El futuro del packaging sostenible

    La tecnología PAPURE podría integrarse fácilmente en líneas de producción existentes, lo que la convierte en una solución atractiva para fabricantes de maquinaria y empresas de alimentos.

    Para saber si esta solución representa realmente un avance ecológico habrá que ver cuánta energía requiere, cosa que no se menciona en la nota de prensa.

    Los investigadores planean presentar esta innovación en la feria Interpack 2026, posicionando el papel como una alternativa verdaderamente sostenible a los empaques con plástico.

  • AMD presenta el Ryzen 9 9950X3D2 Dual Edition con 208 MB de caché

    Microprocesadores
    AMD presenta el Ryzen 9 9950X3D2 Dual Edition con 208 MB de caché

    Un monstruo para dominar el mundo del gaming y de la creación de contenido

    AMD ha presentado oficialmente su nuevo procesador insignia para escritorio, el Ryzen 9 9950X3D2 “Dual Edition”, un chip diseñado para llevar el rendimiento de la PC al límite, tanto para gaming como para tareas profesionales altamente demandantes.

    Este lanzamiento llega como sucesor del exitoso 9950X3D del año pasado y marca un hito importante. Por primera vez, AMD incorpora su tecnología 3D V-Cache en ambos chiplets de núcleos (CCD).

    Un salto histórico en memoria caché

    El nuevo procesador está basado en la arquitectura Zen 5 y es compatible con placas madre AM5 actuales, lo que facilita la actualización para entusiastas y creadores.

    La gran novedad es su enorme memoria caché:

    • Caché L3: pasa de 128 MB a 196 MB
    • Caché total (L2 + L3): 208 MB
    • 104 MB de memoria por chiplet

    Según Jack Huynh, vicepresidente senior de AMD, esta enorme cantidad de caché permite mantener más datos y assets cerca del CPU, reduciendo latencias y mejorando la capacidad de respuesta del sistema.

    AMD lo describe sin rodeos como el nuevo flagship de Zen 5.

    Enfoque híbrido: gaming y workstation en un solo CPU

    AMD posiciona este procesador como la opción definitiva para quienes buscan una PC capaz de:

    • Ejecutar videojuegos de alto rendimiento
    • Manejar flujos de trabajo profesionales exigentes
    • Acelerar tareas creativas y modelos de IA

    Según pruebas internas de la compañía, el rendimiento mejora entre 5% y 10% frente al modelo anterior en aplicaciones de productividad y creación.

    Este avance se debe a que muchas cargas de trabajo modernas dependen del acceso ultrarrápido a datos, donde la caché masiva marca una diferencia clave.

    El costo del rendimiento extremo

    Este aumento de caché trae algunos compromisos técnicos importantes:

    • Frecuencia boost reducida a 5.6 GHz (antes 5.7 GHz)
    • TDP aumenta de 170 W a 200 W
    • Requerirá sistemas de refrigeración más robustos

    En otras palabras, es un procesador pensado para equipos de alto rendimiento y no para configuraciones básicas.

    La gran incógnita: rendimiento en gaming

    Curiosamente, AMD no mostró benchmarks de videojuegos durante la presentación.

    Esto ha generado dudas en la comunidad, ya que históricamente la compañía ha preferido ejecutar juegos en un solo chiplet para evitar latencias entre CCDs.

    La gran pregunta ahora es cómo se comportará el Dual Edition en juegos cuando lleguen las pruebas independientes.

    Fecha de lanzamiento y precio esperado

    El Ryzen 9 9950X3D2 Dual Edition llegará al mercado global el 22 de abril.

    Aunque AMD aún no revela el precio oficial, se espera que supere al modelo anterior, que debutó en 699 dólares y actualmente ronda los 675 dólares.

    La comunidad tecnológica espera con gran expectativa los análisis completos para confirmar si este procesador realmente redefine el rendimiento de escritorio sin compromisos.

  • El ataque a LiteLLM podría crear el mayor cartel de ransomware de la historia

    El ataque a LiteLLM podría crear el mayor cartel de ransomware de la historia
    El ataque a LiteLLM podría crear el mayor cartel de ransomware de la historia

    Un ejemplo más de ataque a la cadena de suministro de software

    La comunidad tecnológica enfrenta una crisis que parece sacada de una novela cyberpunk. Durante el último mes, una ola de ataques a la cadena de suministro ha golpeado proyectos de código abierto en GitHub, NPM y PyPI. El golpe más fuerte lo recibió LiteLLM, una popular librería de Python usada como puerta de enlace para conectar apps con modelos de IA de OpenAI, Anthropic, Google y Mistral.

    El 24 de marzo de 2026, esa infraestructura fue convertida en un arma. Durante tres horas, cualquiera que descargó la librería instaló sin saberlo malware diseñado para robar credenciales.

    Las consecuencias del ataque apenas empiezan a percibirse.

    Una trampa preparada durante cinco días

    El ataque no fue improvisado. Fue una operación sofisticada atribuida al grupo TeamPCP, que comenzó el 19 de marzo al comprometer Trivy, una herramienta de seguridad ampliamente usada para escanear código en busca de vulnerabilidades.

    Los atacantes sustituyeron versiones legítimas por versiones maliciosas y repitieron la estrategia el 23 de marzo con Checkmarx KICS. También registraron dominios falsos para evadir detección, como models.litellm.cloud.

    El golpe final llegó el 24 de marzo a las 10:39 AM:

    • El pipeline automatizado de LiteLLM ejecutó la versión comprometida de Trivy
    • El malware robó las claves secretas para publicar paquetes en PyPI
    • En solo 13 minutos se publicaron dos versiones infectadas: 1.82.7 y 1.82.8

    Qué hacía el malware

    El código malicioso operaba en tres fases:

    1. Extracción silenciosa: robaba claves SSH, contraseñas, tokens de Kubernetes, credenciales cloud y frases de recuperación de criptomonedas.
    2. Exfiltración: cifraba los datos y los enviaba a servidores de los atacantes.
    3. Persistencia: instalaba una puerta trasera disfrazada como “System Telemetry Service”.

    El error que salvó al ecosistema

    El ataque se descubrió por accidente. El investigador Callum McMahon detectó que su computadora se apagó tras instalar la actualización.

    Cuando la comunidad alertó en GitHub, los atacantes intentaron encubrirlo:

    • Publicaron 88 comentarios automáticos para ocultar advertencias
    • Cerraron el ticket usando una cuenta comprometida

    Pero el aviso ya había llegado a Hacker News. A las 1:38 PM, PyPI eliminó las versiones infectadas.

    Aun así, el daño estaba hecho.

    Proyectos importantes como DSPy, MLflow, CrewAI y OpenHands tuvieron que lanzar actualizaciones urgentes y recomendar a usuarios formatear equipos y rotar credenciales.

    La polémica sobre certificaciones de seguridad

    El incidente destapó otra controversia. El sitio de LiteLLM afirmaba contar con certificaciones SOC 2 e ISO 27001 mediante la firma Delve.

    Sin embargo, Delve negó públicamente esa relación.

    La investigación continúa con la firma de ciberseguridad Mandiant, pero el caso deja una lección clara, las certificaciones no protegen contra vulnerabilidades en dependencias open source.

    Hasta 300 GB de datos robados

    Los atacantes aseguran haber obtenido 300 GB de información sensible de hasta 500,000 sistemas infectados.

    Al verse superados por la cantidad de datos, decidieron algo sin precedentes, externalizar la extorsión.

    El nacimiento de un nuevo cartel de ransomware

    TeamPCP anunció una alianza con:

    • El foro criminal Breached (más de 300 mil usuarios)
    • El operador de ransomware Vect

    Su plan consiste en distribuir herramientas de ransomware a cualquiera que quiera participar.

    Esto rompe el modelo tradicional donde los grupos controlaban cuidadosamente a sus afiliados.

    Ahora, cualquiera con conexión a internet podría lanzar ataques.

    Expertos comparan esta estrategia con una “movilización masiva”: miles de atacantes sin coordinación ni reglas.

    Un escenario peor para las víctimas

    Este modelo descentralizado crea un riesgo sin precedentes:

    • Múltiples atacantes podrían extorsionar a la misma empresa
    • No habría garantía de recuperación de datos tras pagar rescates
    • Desaparece el “honor entre ladrones” del cibercrimen tradicional

    Un punto de inflexión para la seguridad del software

    Lo que comenzó como una dependencia comprometida en una librería de IA podría convertirse en la mayor operación de cibercrimen de la historia.

    La comunidad tecnológica y de ciberseguridad ya se prepara para una nueva ola de ataques que promete ser más caótica, impredecible y peligrosa que nunca.