ByteHorizon

Blog

  • ¿La Agencia de Ciberseguridad de EE.UU. se hackeó a sí misma? Un despropósito en GitHub

    ¿La Agencia de Ciberseguridad de EE.UU. se hackeó a sí misma? Un despropósito en GitHub

    Imagina esto: la agencia gubernamental encargada de proteger la infraestructura crítica de EE.UU. de ciberataques… tiene sus propias credenciales secretas expuestas al mundo entero en GitHub. Suena a guion de película, pero es real. Aquí está la historia del repo «Private-CISA» que era todo menos privado.

    Un Descubrimiento Escandaloso

    El investigador de seguridad Brian Krebs, de KrebsOnSecurity, destapó la noticia: la Agencia de Ciberseguridad e Infraestructura (CISA) de EE.UU. tenía un gran almacén de contraseñas en texto plano, claves privadas SSH, tokens y «otros activos sensibles» expuestos en un repositorio público de GitHub desde, al menos, noviembre de 2025.

    El repositorio, ahora fuera de línea, llevaba el irónico nombre de «Private-CISA». Fue descubierto por Guillaume Valadon de GitGuardian, gracias a los escaneos públicos de código de la empresa. Lo más preocupante: los registros de confirmación (commits) muestran que el administrador del repositorio deshabilitó las protecciones por defecto de GitHub diseñadas precisamente para evitar este tipo de fugas.

    Expertos que revisaron los secretos expuestos dijeron que los registros de confirmación del repositorio de código mostraron que el contratista de CISA deshabilitó la protección incorporada de GitHub contra la publicación de credenciales sensibles en repositorios públicos.

    No Era un Ejercicio Teórico

    Aquí viene el golpe: las pruebas realizadas por Philippe Caturegli, fundador de Seralys, confirmaron que las credenciales eran reales y funcionales. Caturegli pudo usarlas para acceder a múltiples cuentas de Amazon Web Services GovCloud «con un alto nivel de privilegio».

    El repositorio parecía estar gestionado por Nightwing, un contratista de CISA con sede en Virginia, que se ha negado a comentar públicamente el asunto.

    El Congreso Pide Explicaciones (y CISA Aún Lidia con las Consecuencias)

    La revelación ha desatado una tormenta política. Legisladores de ambas cámaras del Congreso están exigiendo respuestas a CISA. La senadora Maggie Hassan (D-NH) envió una carta al director interino de CISA, Nick Andersen, expresando su profunda preocupación.

    «Este informe plantea serias preocupaciones respecto a las políticas y procedimientos internos de CISA en un momento de importantes amenazas de ciberseguridad contra la infraestructura crítica de EE.UU.», escribió la senadora Hassan.

    El representante Bennie Thompson (D-MS) y la representante Delia Ramirez (D-Ill) hicieron eco de la alarma, señalando que los archivos expuestos proporcionaban a adversarios como China, Rusia e Irán la «información, el acceso y la hoja de ruta» para infiltrarse en las redes federales.

    Pero aquí está la parte que quita el sueño: más de una semana después de que GitGuardian notificara a CISA de la fuga, la agencia aún está luchando por invalidar y reemplazar muchas de las claves y secretos expuestos.

    Una Ventana de Oportunidad para los Atacantes

    Dylan Ayrey, creador de la herramienta de código abierto TruffleHog, reveló a KrebsOnSecurity que, incluso días después del reporte inicial, CISA no había invalidado una clave privada RSA expuesta que otorgaba acceso total a una aplicación de GitHub propiedad de la cuenta empresarial de CISA.

    «Un atacante con esta clave puede leer el código fuente de todos los repositorios en la organización CISA-IT, incluidos los repositorios privados, registrar ejecutores autónomos fraudulentos para secuestrar canalizaciones CI/CD… y modificar la configuración administrativa de los repositorios», explicó Ayrey.

    Aunque esa clave específica parece haberse invalidado tras una nueva notificación, Ayrey señaló que CISA aún no ha rotado otras credenciales filtradas vinculadas a tecnologías de seguridad críticas.

    Lo peor es que esta exposición no pasó desapercibida. Ayrey advierte que los grupos cibercriminales y adversarios extranjeros también monitorean los flujos públicos de datos de GitHub en busca de llaves API o SSH publicadas inadvertidamente.

    «Tenemos pruebas de que los atacantes también monitorean ese torrente de datos. Cualquiera que monitoree los eventos de GitHub podría estar sentado sobre esta información», afirmó.

    Un Problema Humano, No Técnico

    Expertos del podcast de seguridad Risky Business analizaron el caso. Mientras James Wilson señaló que las organizaciones pueden establecer políticas para evitar que se desactiven las protecciones de GitHub, su coanfitrión Adam Boileau dio en el clavo.

    «En última instancia, esto es algo que no puedes resolver con un control técnico», dijo Boileau. «Este es un problema humano donde has contratado a un contratista para hacer este trabajo y ellos han decidido por su propia voluntad usar GitHub para sincronizar contenido desde una máquina de trabajo a una máquina doméstica.»

    El repositorio «Private-CISA» exhibía un patrón consistente con un operador individual usándolo como una libreta de apuntes o mecanismo de sincronización personal, no como un repositorio de proyecto curado. Un recordatorio brutal de que incluso las agencias más importantes son vulnerables a los errores básicos de sus propios empleados y contratistas. Y esta vez, el chiste se hizo realidad.

  • Trump Mobile filtra datos de clientes: nombres, emails, direcciones… y todo a la vista

    Trump Mobile filtra datos de clientes: nombres, emails, direcciones… y todo a la vista

    ¿Pensabas que tu información personal estaba a salvo al comprar el último gadget de moda? Un serio problema de seguridad en Trump Mobile ha dejado al descubierto datos sensibles de sus clientes. Según informes confirmados, la compañía de teléfonos del expresidente ha estado exponiendo información privada en internet.

    La confirmación llega tras el silencio

    El miércoles 20 de mayo, comenzaron a sonar las alarmas. Los youtubers Coffeezilla y penguinz0, que habían comprado el teléfono T1 de color dorado por curiosidad, recibieron una alerta de un investigador: sus datos personales estaban expuestos en línea.

    «Sé que, lamentablemente, soy uno de esos clientes cuya dirección postal, dirección de correo electrónico, ya sabes, todo menos el número de tarjeta de crédito, se está filtrando», dijo Coffeezilla. Y añadió una advertencia directa: «No pidas en trumpmobile.com a menos que estés preparado para que tu información se filtre. Es básicamente así de malo».

    Inicialmente, los intentos de contactar con la empresa fueron infructuosos. «Todos nos hemos encontrado con el silencio por respuesta», afirmó penguinz0. Pero la presión mediática hizo su efecto.

    La compañía reconoce el problema… con matices

    Dos días después, Trump Mobile salió al paso. Chris Walker, portavoz de la empresa, confirmó a TechCrunch la exposición de datos de clientes. La lista es preocupante: nombres, direcciones de correo electrónico, direcciones postales, números de teléfono móvil e identificadores de pedido.

    Aquí viene el giro: la compañía afirma que no hubo una brecha en sus propios sistemas. Según Walker, la exposición estuvo vinculada a un proveedor de plataforma de terceros que respalda «ciertas operaciones de Trump Mobile». El portavoz no nombró al proveedor.

    «La compañía está investigando la exposición y no ha encontrado pruebas de que información de contenido o financiera se haya filtrado en línea», dijo Walker.

    La empresa también declaró que está evaluando si necesita notificar formalmente a los clientes sobre este incidente.

    Un teléfono con un historial complicado

    Este no es el primer problema que afecta al T1. El teléfono, anunciado el año pasado con la promesa de ser «todo hecho en USA», ha estado plagado de inconvenientes desde el primer día.

    Por ejemplo, 404 Media intentó realizar un pedido cuando se anunció el dispositivo y la página de pedido falló y cobró una cantidad incorrecta.

    También se han planteado dudas sobre el diseño y los orígenes del terminal. NBC News señaló que, nueve meses después de la fecha prevista de entrega, los materiales de marketing ahora dicen que el teléfono fue «diseñado con valores estadounidenses en mente» y «moldeado por la innovación estadounidense».

    Además, medios como The Verge destacaron que el teléfono luce una bandera estadounidense con solo 11 franjas en lugar de la docena que debería tener. Algunos también han notado que el dispositivo se parece a un teléfono HTC de hace dos años, lo que sugiere que podría ser solo un dispositivo renombrado.

    La dimensión real del problema

    Según Coffeezilla, que analizó los identificadores únicos en la filtración, parece que solo 30.000 personas pidieron el teléfono. Esta es una cifra mucho más baja de lo esperado. El año pasado, según una estimación, había 590.000 pre-pedidos, con un coste de 100 dólares cada uno.

    Los youtubers involucrados no explicaron cómo los actores malintencionados podrían acceder a los datos, argumentando que era muy fácil hacerlo y que la información sigue disponible en línea.

    La moraleja es clara: en la era digital, incluso los productos más publicitados pueden esconder fallos de seguridad básicos. Trump Mobile tiene ahora la tarea de arreglar este desaguisado y recuperar la confianza de los clientes cuyos datos han estado, literalmente, a la vista de todos.

    Con información de TechCrunch.

  • ¿Es esto la evolución definitiva del Flipper Zero? Conoce al Flipper One, un Linux portátil con IA local

    ¿Es esto la evolución definitiva del Flipper Zero? Conoce al Flipper One, un Linux portátil con IA local

    Imagina un Flipper Zero que, en lugar de limitarse a comunicaciones por radio, pudiera funcionar como un mini PC Linux con conexión 5G, capaz de ejecutar modelos de IA sin conexión a internet y servir como tu propio router VPN. ¿Suena a ciencia ficción? Pues acaba de anunciarse, y se llama Flipper One.

    Pavel Zhovner, CEO de Flipper Devices, lo tiene claro: esto no es un sucesor, sino un dispositivo paralelo. Mientras el Zero es para protocolos de acceso «offline» punto a punto, el Flipper One es para «todo lo que esté conectado por IP». La compañía, que ya ha vendido más de un millón de unidades del Flipper Zero, busca conquistar una nueva capa de la piratería informática.

    Especificaciones que quitan el hipo

    Los detalles técnicos son, simplemente, brutales. El corazón del dispositivo es un SoC de ocho núcleos Rockchip RK3576, acompañado por una GPU integrada Mali G52 y nada menos que 8 GB de RAM.

    Aquí viene el elemento más jugoso: incluye un NPU dedicado para ejecutar modelos de lenguaje e inteligencia artificial de manera local. Es decir, funciona sin depender de la nube. Para completar el sistema, un segundo chip, un microcontrolador Raspberry Pi RP2350 de dos núcleos, se encargará de la pantalla, los botones y el sistema de energía, permitiendo operaciones básicas incluso con la parte Linux apagada.

    En el blog de la compañía mencionan incluso la posibilidad de añadir conectividad satélite NTN, asociándose con un proveedor para dar a «ingenieros y entusiastas la oportunidad de trabajar con infraestructura satélite real».

    Conectividad total y un M.2 para (casi) todo

    La filosofía del One gira en torno a la red. Viene equipado con:

    • 2x puertos Gigabit Ethernet
    • USB Ethernet (5 Gbps)
    • Wi-Fi 6E (bandas de 2.4, 5 y 6 GHz)
    • Un puerto M.2 que abre un mundo de posibilidades: módems 5G, módulos SDR, aceleradores de IA, unidades SSD (NVMe o SATA) o tarjetas Wi-Fi mediante adaptadores.

    Y sí, también tiene un puerto HDMI 2.1 con soporte para streaming 4K a 120Hz, lo que lo convierte en una potentísima caja multimedia portátil. Conecta un monitor, teclado y ratón, y tendrás un escritorio Linux de bolsillo.

    Un proyecto abierto desde el día cero

    La clave del Flipper One es su apertura. La empresa está desarrollando su propio sistema operativo, Flipper OS, un Linux que permitirá crear perfiles con paquetes preconfigurados para diferentes proyectos, facilitando un reinicio limpio sin tener que flashear la tarjeta SD.

    Según TechCrunch, han trabajado con la consultoría de software de código abierto Collabora para llevar el soporte del chip RK3576 al kernel principal de Linux, disponible para cualquiera en Kernel.org. El desarrollo es tan abierto que invitan a la comunidad a participar a través de un portal específico en áreas como hardware, software Linux, firmware del microcontrolador, interfaz de usuario y documentación.

    ¿Y para qué sirve en la vida real?

    Las posibilidades son tan amplias como tu imaginación (y tus conocimientos), pero Flipper ya da algunas pistas:

    • IA local offline: Ejecutar un modelo de lenguaje pequeño para, por ejemplo, generar configuraciones de WireGuard al instante.
    • Escritorio de supervivencia: Un PC de bolsillo con acceso a herramientas críticas en cualquier situación.
    • Servidor multimedia portátil.
    • Router, puerta de enlace VPN o puente de red.
    • Herramienta multifunción para electrónica: Desde abrir puertas de garaje hasta leer microchips de mascotas.

    Eso sí, con un poderío así, es inevitable preguntarse por las implicaciones. Como reporta BGR, la TSA permite viajar con un Flipper Zero en el equipaje de mano. Con las avanzadas capacidades de red del One, será interesante ver si esa política se mantiene.

    La compañía es clara: el dispositivo está en desarrollo. Faltan piezas de software clave, como el soporte completo del NPU en el kernel, y tanto el Flipper OS como el FlipCTL (una interfaz para controlar pantallas pequeñas) son todavía conceptos. El precio anunciado para la configuración base, eso sí, es una grata sorpresa: se espera que cueste menos de 350 dólares (sin módulos celulares).

    Si el Flipper Zero era la navaja suiza del hacker, el Flipper One parece aspirar a ser su estación de trabajo portátil y conectada. El proyecto acaba de echar a andar, y la comunidad ya está invitada a construirlo.

  • SpaceX fría el lanzamiento del Starship V3: Un detalle técnico roba el protagonismo al debut histórico

    SpaceX fría el lanzamiento del Starship V3: Un detalle técnico roba el protagonismo al debut histórico

    ¿Qué podría detener el despegue del «sistema de lanzamiento más potente jamás desarrollado» justo cuando el contador bajaba de T-40 segundos? Un problema técnico ha aplazado el debut del Starship V3, dejando un monumental proyecto de $15 billones y la mayor IPO de la historia esperando en la puerta de Texas.

    Una cancelación de última hora

    El primer lanzamiento del Starship V3, la tercera generación del colosal sistema de cohetes de SpaceX, fue cancelado el jueves desde Starbase, Texas. La compañía había pospuesto la hora de despegue varias veces y, con el cohete y su booster completamente cargados, el conteo descendió por debajo de los 40 segundos. Pero ahí se quedó.

    El CEO de SpaceX, Elon Musk, explicó en X que «un pin hidráulico que mantiene el brazo de la torre de lanzamiento en su lugar no se retractó». La compañía ha anunciado que intentará un nuevo lanzamiento el viernes a las 5:30 p.m. hora local, si el problema puede ser solucionado.

    Más potencia, más reutilizable

    Este vuelo no es solo el debut de hardware nuevo; es la primera prueba real de una versión radicalmente mejorada. El Starship V3 representa una «actualización masiva» en el diseño del vehículo y la infraestructura de la plataforma de lanzamiento.

    Una de las grandes novedades son los motores Raptor de tercera generación, que proporcionan mayor empuje en un diseño más compacto. El booster de tercera generación también está diseñado para que la torre de lanzamiento lo capture más fácilmente y tiene un grid fin menos. Según SpaceX, el nuevo diseño pretende evitar que el propulsante que se filtra se acumule en ciertas secciones de la etapa superior del Starship —un problema en vuelos anteriores—. El objetivo final es hacer todo el vehículo totalmente reutilizable, como el Falcon 9.

    «Esperamos que el Starship V3 pueda transportar una carga útil de 100 toneladas métricas, con futuras generaciones diseñadas para duplicar esta carga», declaró SpaceX en su documentación de IPO, según BBC News.

    Un vuelo de prueba sin recuperación

    Pero este 12º vuelo del Starship tiene objetivos más modestos. Según TechCrunch, el vuelo es «para recopilar datos» y no será un intento de recuperación total.

    La compañía no intentará recuperar el booster ni la nave Starship. Ambos están programados para realizar «aterrizajes suaves» en el agua: el booster en el Atlántico y el Starship en el Índico. Además, el Starship no entrará en una verdadera órbita terrestre, lo que significa que SpaceX aún necesitará más misiones para demostrar que la etapa superior de este mega-cohete puede entregar carga comercial.

    La presión financiera

    El lanzamiento viene en un momento crucial para SpaceX, que según TechCrunch recientemente ha solicitado una IPO y podría salir a bolsa en semanas. Esto añade presión para demostrar que su programa de cohetes de próxima generación progresa de forma significativa.

    La compañía ha invertido más de $15 billones (£11.2bn) en el programa Starship. Necesita que el Starship V3 sea un sistema de lanzamiento confiable en gran parte debido a su enorme apuesta en Starlink, que generó $11 billones en ingresos el año pasado.

    Un peso financiero monumental

    Según BBC News, la IPO en el Nasdaq podría ser la mayor en la historia de Wall Street y podría empezar el próximo mes. Esto podría hacer que Musk, ya la persona más rica del mundo, sea el primer billonario, gracias a su propiedad mayoritaria de SpaceX, que se valora en $1.25 trillones.

    Pero los números muestran una empresa en plena expansión, pero aún con pérdidas. Según BBC News, Space Exploration Technologies reportó $18.6 billones en ingresos el año pasado, pero una pérdida neta de $4.9 billones. En el primer trimestre de este año, las ventas fueron de $4.7 billones pero la pérdida neta fue de $4.3 billones.

    Ahora, todo depende de que ese pin hidráulico se mueva.

    Nuevo intento: viernes.

  • ¿Están TikTok y YouTube a punto de ser bloqueados para menores? El enfrentamiento que lo decide

    ¿Están TikTok y YouTube a punto de ser bloqueados para menores? El enfrentamiento que lo decide

    El debate sobre la seguridad de los niños en internet ha alcanzado un punto crítico. Las principales autoridades policiales y el regulador británico han desatado un frontal enfrentamiento con las grandes plataformas de redes sociales, y ahora la pregunta es: ¿podrían bloquearse para los menores?

    Una propuesta radical de los jefes policiales

    Los altos mandos policiales del Reino Unido han puesto la lupa sobre TikTok, YouTube, y otras apps, y su mensaje es claro. La Agencia Nacional contra el Crimen (NCA) y el Consejo Nacional de Jefes de Policía (NPCC) dicen que los niños menores de 16 años deberían ser bloqueados de acceder a cualquier aplicación que no deshabilite ciertas funciones «de alto riesgo», como mensajería privada o contacto con desconocidos.

    «Nuestra evaluación es clara: el entorno online en su forma actual no es seguro para los niños», dijo el director general de la NCA, Graeme Biggar.

    La propuesta es firme: prohibir apps que no eviten que los menores sean contactados por adultos desconocidos, que recomienden contenido dañino o que permitan compartir fotos explícitas.

    ¿Qué funciona es «de alto riesgo»?

    Las agencias policiales han identificado seis características que, según ellos, facilitan un «daño a gran escala» y que simplemente no deberían estar presentes en apps usadas por menores:

    • Visibilidad masiva de niños.
    • Contacto sin restricciones de adultos desconocidos.
    • Mensajería privada o cifrada.
    • Algoritmos que promueven contenido dañino e ilegal.
    • Compartir o transmitir imágenes explícitas.
    • Verificaciones de edad débiles.

    Pero aquí está la clave: esto no es solo una demanda policial. El gobierno británico está consultando opciones que van «de límites de edad y restricciones horarias hasta prohibiciones absolutas».

    El informe de Ofcom que pone en evidencia

    Mientras tanto, el regulador británico Ofcom ha publicado un informe que arroja luz sobre el estado actual. En un análisis que recoge según BBC, Ofcom afirma que los feeds de contenido de TikTok y YouTube «no son lo suficientemente seguros» para niños.

    «TikTok y YouTube no se comprometieron a cambios significativos… nuestra evidencia sugiere que todavía no son lo suficientemente seguros», declaró Ofcom.

    La respuesta de las plataformas es que ya tienen medidas: TikTok deshabilita los mensajes directos para menores de 16, y YouTube permite a los padres poner límites de tiempo para los «Shorts».

    Pero el informe señala que otras plataformas, como Meta, Snap y Roblox, sí han aceptado fortalecer medidas contra el grooming. Snapchat, por ejemplo, aceptó bloquear por defecto que adultos desconocidos contacten a niños en el Reino Unido y introduciría verificaciones de edad «muy efectivas» este verano.

    Un problema que escala

    ¿Por qué está creciendo la presión? Las cifras son alarmantes. La NCA recibió 92,000 reportes de posibles actividades de abuso sexual infantil online en 2025, y la tendencia va en aumento.

    Biggar argumenta que el problema se ha intensificado porque las empresas tecnológicas no han hecho de la seguridad infantil «un principio central de diseño».

    Añadiendo al contexto, una encuesta de Ofcom reveló que 84% de niños entre 8 y 12 años aún usa al menos un servicio importante cuya edad mínima es de 13 años.

    ¿Qué sigue?

    La consulta del gobierno sobre si prohibir redes sociales para menores de 16 años se acerca a su fin. El Comité de Educación ya ha publicado su respuesta: pide una prohibición para menores de 16 años.

    Helen Hayes MP, presidenta del comité, dijo a BBC: «Las empresas de redes sociales no pueden ser confiadas para auto-regularse… Solo una prohibición legal para menores de 16 años mantendrá a los niños a salvo del daño.»

    El mensaje final es claro. Ofcom advirtió que actuará si las plataformas no cumplen sus promesas de seguridad, y las fuerzas policiales están demandando cambios legislativos radicales. El entorno online para los niños está en un momento decisivo.

  • ¿Tu cursor del ratón ahora tiene inteligencia? Google DeepMind reinventa el puntero con Gemini

    ¿Tu cursor del ratón ahora tiene inteligencia? Google DeepMind reinventa el puntero con Gemini

    Imagina que tu cursor del ratón no solo sabe dónde estás, sino también qué estás mirando. Parece ciencia ficción, pero es la realidad que Google DeepMind está construciendo ahora. Han presentado un sistema experimental que transforma el simple puntero en una herramienta de IA contextual, y ya puedes probar sus primeros pasos.

    Una revolución que vive donde trabajas

    ¿Has intentado usar Gemini para una tarea mientras trabajas en otra aplicación? Es frustante. Tienes que cambiar de ventana, copiar lo que ves, explicarlo… Google DeepMind quiere que esa ayuda llegue directamente a tu cursor, sin romper tu flujo de trabajo. Su nuevo sistema, llamado AI Pointer y que alimentará la función Magic Pointer, captura el contexto visual y semántico alrededor de tu cursor en tiempo real.

    La clave es que la IA «ve» lo que tú ves. En lugar de escribir un prompt detallado, simplemente apuntas y la IA comprende qué palabra, imagen o bloque de código necesita atención. De acuerdo con los investigadores de DeepMind, esto está basado en cuatro principios fundamentales.

    Los cuatro pilares del puntero inteligente

    1. Mantener el flujo: La asistencia debe estar disponible en cualquier aplicación, no obligarte a hacer «excursiones» a una ventana de IA separada. El puntero inteligente está presente en cualquier herramienta que uses.

    2. Mostrar y contar: En lugar de escribir instrucciones precisas, el sistema captura el contexto visual y semántico alrededor del puntero. Solo apunta, y la IA sabe exactamente con qué necesitas ayuda.

    3. Aprovechar el poder de «Este» y «Aquél»: En la comunicación humana usamos gestos y lenguaje deíctico («este», «aquél»). Este sistema está diseñado para entender combinaciones de contexto, gestos de apuntar y voz, permitiendo comandos como «Corrige esto» sin tener que explicar qué es «esto».

    4. Transformar pixels en entidades accionables: Durante décadas, los ordenadores solo seguían dónde apuntábamos. Ahora, la IA puede entender lo que estamos apuntando, convirtiendo los pixels en entidades estructuradas como lugares, fechas o objetos con los que puedes interactuar instantáneamente.

    Aquí está la parte realmente genial: Ya puedes probarlo. Dos demostraciones están disponibles ahora en Google AI Studio (una para edición de imágenes y otra para buscar lugares en un mapa).

    Pero ahí no termina todo. Google está integrando estos principios directamente en herramientas que usas hoy.

    Magic Pointer: la IA llega a Chrome y a los nuevos Googlebook

    «En lugar de escribir un prompt complejo, puedes usar tu puntero para preguntar a Gemini en Chrome sobre la parte de la página web que te interesa», explica DeepMind.

    La función Magic Pointer, basada en esta tecnología AI Pointer de DeepMind, está comenzando a implementarse en Gemini en Chrome para Mac y Windows. Su llegada a los nuevos laptops Googlebook está programada para este año.

    ¿Cómo funciona Magic Pointer? De acuerdo con las demostraciones de Google, basta con «agitar» el cursor del ratón para invocar Gemini. La IA comprende tu contexto y ofrece sugerencias. Puedes apuntar a un email y Gemini sugerirá acciones para Google Calendar, Gmail o Google Maps. Puedes seleccionar varias imágenes y la IA entenderá que quieres visualizarlas juntas, creando el prompt y generando la imagen combinada.

    «Para hacer esto en los laptops actuales, tendrías que hacer clic derecho, guardar en imágenes, subirlo a un chatbot y luego escribir el prompt», dijo Google. «En cambio, tu Googlebook puede entender el contexto y empezar a trabajar inmediatamente.»

    Un brillante futuro… con preguntas importantes

    Esta tecnología promete acelerar el trabajo sin necesidad de hardware más potente. Un simple movimiento del ratón activa una IA que ve y comprende. Sin embargo, como señala BGR, los usuarios preocupados por la privacidad tienen motivos para cuestionar las implicaciones de Magic Pointer.

    Google aún no ha explicado qué puede ver la IA cuando agitas el cursor, ni cuándo comienza y termina la recolección de datos. También no especifica si el procesamiento de datos de Magic Pointer ocurre en el dispositivo o se envía a la nube, o si estos datos potencialmente sensibles se utilizan para entrenar futuros modelos Gemini.

    Pero el concepto es claro: estamos ante un cambio fundamental en la interacción humano-computadora. En lugar de arrastrar nuestro contexto hacia una ventana de IA, la IA seguirá nuestro cursor en cada aplicación donde ya estamos trabajando. El futuro del puntero está aquí, y es mucho más inteligente.

  • ¿Contamina xAI mientras se expande? Elon Musk se gastará $2.8 billones en turbinas de gas… y hay una demanda

    ¿Contamina xAI mientras se expande? Elon Musk se gastará $2.8 billones en turbinas de gas… y hay una demanda

    ¿Qué pasa cuando una de las compañías de IA más potentes del planeta decide alimentar sus servidores con una fuente de energía… bastante polémica? Elon Musk y su xAI están en el centro de una tormenta legal mientras hacen planes para una expansión masiva, y los detalles son un bombazo.

    El problema: casi 50 turbinas sin permiso

    La empresa de Musk está operando 46 turbinas de gas natural en su centro de datos de Mississippi. Pero aquí viene el giro: según TechCrunch, el estado considera estas plantas de energía como «móviles» porque están instaladas sobre trailers. Esta clasificación les permite evitar las regulaciones de contaminación atmosférica durante un año.

    La NAACP, que ha presentado una demanda en nombre de los residentes de la zona, dice que las emisiones sin control de las turbinas están deteriorando la calidad del aire en una región ya contaminada.

    La organización ha solicitado incluso una orden judicial de emergencia para detener la operación. El Southern Environmental Law Center, que representa a la NAACP, argumenta que, según la ley federal, estas plantas de energía montadas en trailers aún deben considerarse estacionarias y sujetas a regulación.

    Aquí está el dato más preocupante: cada tipo de turbina que xAI opera tiene el potencial de emitir más de 2.000 toneladas de contaminación NOₓ al año, un grupo de químicos que contribuye al smog que induce asma.

    La respuesta de xAI: una discrepancia regulatoria

    La compañía afirma que puede operar las turbinas hasta un año sin permisos precisamente debido a su naturaleza «móvil». Parece estar aprovechando una discrepancia entre interpretaciones estatales y federales. Mississippi afirma que no necesita permitir generadores móviles.

    Pero las regulaciones federales dicen que turbinas de ese tamaño, incluso si están sobre un trailer, siguen sujetas a las normas de contaminación atmosférica. La EPA dictaminó este año que xAI estaba operando las turbinas violando la ley federal.

    Pero wait, hay más: $2.8 billones en turbinas

    Aquí viene la parte más jugosa. A pesar de la demanda y la controversia, xAI tiene planes de crecimiento… gigantescos. En la filtración para la OPV de SpaceX publicada este miércoles, la compañía reveló que su división xAI comprará $2.8 billones más en turbinas para su infraestructura de IA durante los próximos tres años.

    Uno de esos acuerdos, valorado en $2 billones, es específicamente para «turbinas de gas móviles» – el mismo tipo por el que está siendo demandada ahora.

    SpaceX reconoce los riesgos en su documento para la OPV:

    «Actualmente dependemos significativamente del gas natural y la tecnología de turbinas de gas para alimentar nuestras operaciones de centros de datos», escribió. Órdenes judiciales o permisos rescindidos «afectarían adversamente nuestro negocio de IA».

    El mensaje es claro: la estrategia energética de xAI es un pilar fundamental de su crecimiento, pero también su mayor vulnerabilidad legal. Solo tiene permisos para 15 de sus turbinas, pero ya opera 46. Con una inversión planificada de $2.8 billones, la batalla entre innovación acelerada y regulación ambiental está a punto de intensificarse. ¿Logrará Musk mantener sus turbinas en marcha mientras la justicia decide si deben parar?

  • Desvelados: SpaceX abre sus cuentas de billones por fin. Esto es lo que gastó en IA

    Desvelados: SpaceX abre sus cuentas de billones por fin. Esto es lo que gastó en IA

    ¿Listo para ver las tripas de una empresa que ha perdido más de 37.000 millones de dólares desde su fundación y que ahora aspira a una valoración estratosférica? La documentación para la OPI de SpaceX ya está aquí, y las cifras son… de otro planeta.

    El archivo S-1 por fin aterriza

    Houston, tenemos el formulario. Tras semanas de especulaciones, SpaceX ha hecho pública su presentación S-1 ante la SEC, el paso obligatorio para salir a bolsa. Este documento monumental, divulgado el miércoles tras el cierre de los mercados, nos ofrece la disección financiera más transparente y reveladora de la historia de la empresa de Elon Musk. Y llega justo unas semanas antes de lo que se espera sea la mayor OPI de la historia, con una valoración objetivo de 1,75 billones de dólares. El ticker elegido en el Nasdaq será SPCX.

    Aquí tienes el titular frío y duro: SpaceX perdió unos 4.900 millones de dólares en 2025 con unos ingresos superiores a los 18.000 millones, según datos confirmados por Reuters. Más de la mitad de esos ingresos provinieron de su servicio de internet por satélite Starlink, el verdadero motor de su negocio hoy en día.

    El agujero negro (llamado IA) de SpaceX

    Pero el verdadero protagonista del desfile de cifras es la IA. La reciente adquisición de xAI por parte de SpaceX no ha llegado precisamente para endulzar las cuentas.

    La presentación revela que SpaceX destinó alrededor del 60% de sus gastos de capital en 2025 a su división de IA, algo así como 20.000 millones de dólares. Una cifra que, según Business Insider, es más del triple de lo gastado en sus segmentos de espacio y conectividad. Y ese enorme gasto tuvo una rentabilidad… cuestionable. Mientras el negocio principal sigue quemando efectivo, la división que alberga al chatbot Grok perdió miles de millones el año pasado y solo creció sus ingresos alrededor de un 22%, muy por debajo de otros laboratorios líderes en IA.

    Aquí la paradoja que presentará Musk a los inversores: a pesar de los gigantescos números rojos, la empresa cree que el segmento de IA tiene la oportunidad de mercado más grande, valorada en la astronómica cifra de 26,5 billones de dólares.

    El S-1 ofrece «la disección pública más vívida y financieramente iluminadora del negocio de SpaceX hasta la fecha», según TechCrunch.

    Una apuesta por el futuro (llamado Starship)

    Más allá de los números del pasado, el futuro de SpaceX está hipotecado al éxito de Starship. El cohete completamente reutilizable de carga pesada, que ha sufrido una serie de explosiones y rediseños técnicos en los últimos años, es la piedra angular. De hecho, se espera que la empresa realice el 12º lanzamiento de Starship esta misma semana. El futuro viaje a Marte, los centros de datos orbitales para entrenar IA y la participación clave en el programa Artemis de la NASA para volver a la Luna dependen de él.

    La cuenta atrás para un gigante

    ¿Qué significa todo esto? Que el momento es ahora. El informe de Mashable señala que SpaceX está «acelerando» su cronograma de OPI con la mira puesta en hacerse pública el próximo mes. Los rumores apuntan a una fecha de listado el 12 de junio en el Nasdaq. Una avalancha de anuncios recientes, como las conversaciones con Google para lanzar centros de datos de IA en órbita y la asociación con Anthropic, parecen pasos calculados para pulir su atractivo ante los inversores.

    La OPI está en marcha. El papeleo ya está sobre la mesa. Y ahora, por primera vez, todo el mundo puede echar un vistazo a los libros de contabilidad de la compañía que quiere llevar a la humanidad a Marte, mientras intenta construir la próxima gigante de la IA… y trata de convencer a Wall Street de que todo eso vale 1,75 billones de dólares.

  • ¿De verdad los EVs ya pueden hacer autovías extremas? BYD ha hecho un récord de 2.700 millas

    ¿De verdad los EVs ya pueden hacer autovías extremas? BYD ha hecho un récord de 2.700 millas

    ¿Imaginas viajar con tu coche eléctrico más de 2.700 millas (4.395 km) sin problemas de carga? BYD ha hecho justamente eso con su nuevo Song Ultra EV, convirtiéndose en el primer vehículo eléctrico puro que completa la autovía más larga de China.

    La hazaña fue anunciada por Lu Tian, director general de la serie Dynasty de BYD. El Song Ultra EV, equipado con la nueva Blade Battery 2.0 y la tecnología Flash Charging de 5 minutos, completó oficialmente el viaje el 20 de mayo, llegando a Kaifeng, Henan.

    BYD Song Ultra EV con Flash Charging: El viaje de prueba

    El objetivo era claro: demostrar que la ansiedad por la autonomía es cosa del pasado. La autovía Lianyungang-Khorgos, la más larga de China, era el terreno perfecto. «No hay ningún vehículo eléctrico puro que haya completado un viaje completo en ella», dijo Tian.

    Pero BYD lo ha conseguido.

    La clave para este logro es la infraestructura que BYD está desplegando agresivamente. Ya tiene 5.979 estaciones Flash Charging en 312 ciudades de China. Y aquí viene la parte más prometedora: a finales de este año, la compañía comenzará la expansión de esta red en Europa y otros mercados internacionales.

    Un éxito que nadie esperaba: Más de 61.000 pedidos

    El Song Ultra EV se lanzó oficialmente en China el 26 de marzo, con un precio de entrada de 151.900 yuanes (22.000 dólares). Un precio mucho más bajo que lo esperado inicialmente.

    La demanda ha sido explosiva. En su primera semana recibió más de 10.000 pedidos. Al 2 de abril, la cifra ascendió a 37.216. Y según el último dato, el SUV eléctrico ha asegurado 61.240 pedidos en su primer mes en el mercado.

    Autonomía y carga: Las especificaciones que importan

    El modelo ofrece cuatro configuraciones, con precios entre 151.900 yuanes y 179.900 yuanes. Todas las variantes montan la nueva Blade Battery 2.0, con dos opciones de batería:

    • 68.4 kWh: autonomía CLTC de 375 millas (605 km)
    • 82.7 kWh: autonomía CLTC de 441 millas (710 km)

    Pero el dato que rompe moldes es la velocidad de carga.

    Con la tecnología Flash Charging de BYD, el Song Ultra EV puede cargar desde 10% a 70% en solo 5 minutos. Para alcanzar el 97% toma 9 minutos. Y en temperaturas tan bajas como -30°C (-20°F), solo necesita 12 minutos.

    Los que reservaron antes recibieron 18 meses gratuitos de Flash Charging, pero BYD sigue ofreciendo un año gratis como estándar en todos los acabados.

    Potencia, diseño y un sistema inteligente de control

    El interior del Song Ultra EV es minimalista y elegante, con una pantalla central de 15.6″, un cuadro de instrumentos de 10.25″ y una pantalla de proyección (head-up display) añadida de 26″.

    La potencia viene de un motor eléctrico montado en la parte trasera con una salida máxima de 362 hp (270 kW).

    Además, cuenta con el sistema inteligente de control de carrocería DiSus-C de BYD, que ajusta la amortiguación en tiempo real para minimizar vibraciones y golpes.

    Las tres versiones superiores ofrecen como opción el «God’s Eye B», con LiDAR montado en el techo y 27 sensores que soportan funciones ADAS, incluyendo conducción autónoma Nivel 3 en autovía y ciudad, y aparcamiento automático.

    Con dimensiones de 4.850 mm de largo, 1.910 mm de ancho y 1.670 mm de alto, y una distancia entre ejes de 2.840 mm, el Song Ultra EV es un poco más grande que el Song L DM-i PHEV.

    BYD ha hecho historia. No solo demostrando la viabilidad de los EVs en viajes extremos, sino también estableciendo un nuevo estándar de velocidad de carga que podría cambiar completamente nuestra relación con los coches eléctricos.

  • Mini Shai-Hulud asalta npm: ¿tus credenciales de desarrollo están en peligro?

    Mini Shai-Hulud asalta npm: ¿tus credenciales de desarrollo están en peligro?

    ¿Imaginas que una librería JavaScript que usas todos los días de repente se convierte en un caballo de Troya? Eso es exactamente lo que está pasando en el ecosistema npm, donde el gusano Mini Shai-Hulud ha desatado su mayor oleada hasta la fecha.

    Una hora de caos coordinado

    Según el análisis de Socket’s Threat Research Team, el ataque comenzó alrededor de las 01:56 UTC del 19 de mayo. En apenas una hora, se publicaron 639 versiones maliciosas en 323 paquetes únicos relacionados con el ecosistema de visualización de datos AntV. El ataque fue tan coordinado como devastador.

    Microsoft, que ya había publicado guías de protección Defender para la campaña más amplia, también proporcionó actualizaciones de su propia investigación a través de X el martes 19 de mayo.

    Los paquetes afectados incluyen dependencias de npm con muchas descargas, como echarts-for-react, size-sensor, @antv/scale y timeago.js. La cuenta de mantenedor de npm comprometida, «atool», tenía derechos de publicación en más de 500 paquetes.

    Robo de credenciales a gran escala

    Cada versión maliciosa añadió un hook preinstall al package.json que ejecuta un paquete Bun ofuscado de 498 KB. ¿Su objetivo? Robar credenciales en la nube, tokens de CI/CD, claves SSH, tokens de cuentas de servicio de Kubernetes y bóvedas de gestores de contraseñas locales.

    Aquí está el detalle escalofriante: el payload exfiltró los datos robados a través de repositorios públicos de GitHub creados con tokens robados. Estos repositorios llevaban nombres basados en la terminología del universo de Dune y descripciones que contenían un marcador invertido que decía «Shai-Hulud: Here We Go Again«.

    Avital Harel, líder de investigación de seguridad en Upwind, dijo que la operación parecía madura y consciente de las defensas, con atacantes que anticipaban las herramientas utilizadas para detectar y analizar malware.

    «La campaña no solo estaba construida para propagarse, sino también para ralentizar el análisis», explicó.

    TanStack también en la mira

    Pero esta no fue la única víctima. En una ola anterior, el 11 de mayo, la misma campaña comprometió paquetes de TanStack. El atacante publicó 84 versiones maliciosas en 42 paquetes @tanstack/* entre las 19:20 y 19:26 UTC.

    Al menos un paquete afectado, @tanstack/react-router, recibe más de 12 millones de descargas semanales, según Socket.

    TanStack aclaró que «No se robaron tokens de npm y el flujo de trabajo de publicación de npm en sí no se vio comprometido«. El ataque encadenó el patrón de «Pwn Request» de pull_request_target, el envenenamiento de la caché de GitHub Actions y la extracción en tiempo de ejecución de un token OIDC de la memoria del proceso del runner.

    Las versiones de paquetes maliciosos de TanStack contenían un archivo router_init.js recién añadido. Socket lo describió como un payload de 2.3MB fuertemente ofuscado.

    Una técnica de entrega ingeniosa y peligrosa

    La oleada de AntV extendió una técnica de entrega de payload utilizada en olas anteriores. La gran mayoría de las versiones maliciosas inyectan una entrada optionalDependencies que apunta a commits huérfanos, esta vez plantados en un repositorio de confianza no relacionado, antvis/G2, con autoría falsificada que coincide con un mantenedor real de ese proyecto para desalentar una inspección más detallada.

    GitHub almacena los commits en un grupo de objetos compartido en la red de forks de un repositorio, y el resolvedor github: de npm los recupera por hash de commit sin verificar en qué fork vive un commit. Esto permite a un atacante enviar un commit a su propio fork de antvis/G2 y que se sirva desde la URL del repositorio principal.

    Isaac Evans, fundador y CEO de la firma de seguridad de software Semgrep, dijo que esta cascada refleja un problema estructural con la forma en que se confía en las dependencias.

    «Un paquete en el que has confiado durante años puede convertirse de repente en el mecanismo de entrega», advirtió.

    El alcance total de la campaña

    Socket describió el tradecraft como consistente con un «patrón de compromiso de npm de alto volumen que implica publicaciones maliciosas coordinadas«.

    En todas las oleadas, la empresa ha rastreado 1055 versiones comprometidas en 502 paquetes únicos que abarcan npm, PyPI y Composer.

    StepSecurity, que ha registrado más de 2500 repositorios de GitHub que contienen marcadores de campaña, atribuyó la actividad más amplia a un grupo con motivación financiera conocido como TeamPCP.

    Wiz también atribuyó la actividad con alta confianza a TeamPCP, vinculándolo a compromisos anteriores que afectaron a SAP, Checkmarx, Bitwarden, Lightning, Intercom y Trivy.

    El análisis de Wiz dijo que el payload apunta a tokens de GitHub Actions OIDC, GitLab, CircleCI, AWS, Google Cloud Platform, Azure, Kubernetes, HashiCorp Vault y registros de paquetes.

    ¿Qué hacer si has sido afectado?

    Snyk aconsejó que las organizaciones afectadas traten cualquier secreto accesible durante la instalación como comprometido, incluyendo secretos de GitHub Actions con alcance de organización y tokens OIDC.

    Los pasos recomendados incluyen:

    • Anclar las dependencias a versiones publicadas antes del 19 de mayo.
    • Rotar todas las credenciales expuestas a los entornos de compilación afectados.
    • Auditar las cuentas de GitHub para detectar la creación no autorizada de repositorios que coincida con el patrón de nomenclatura temático de Dune y el marcador de cadena invertida de la campaña.

    El GitHub Advisory Database calificó el problema de TanStack como crítico y advirtió que cualquier entorno de desarrollo o integración continua que instaló una versión afectada el 11 de mayo de 2026 debe considerarse comprometido.

    Aconsejó rotar las credenciales accesibles desde el proceso de instalación y revisar los registros de auditoría en la nube para detectar actividad de los hosts afectados.

    Este ataque de cadena de suministro es un claro recordatorio: en el mundo del desarrollo moderno, la confianza es el activo más valioso y el vector de ataque más explotado. ¿Estás seguro de lo que estás instalando?