92 es la mitad de 99

Noticias de la KW50.2025

Wews releyendo. Todo lo que sucedió entre 8.12 y 14.12 en KW 50, 2025. Enriquecido con una opinión personal, les presento algunos de los aspectos más destacados que de otra manera nos hubiéramos perdido esta semana.

Filosofía rápida | Netflix VS Paramount | Bloc de notas++ | MCP OpenSource | Rebaja de la entrada de EE.UU. | Kit de phishing Spiderman | Brecha de WinRAR | Diablo4 Addon El Señor del Odio | Redes sociales ab16

Artículo 1

El arte del buen aviso: La filosofía se encuentra con la IA

¿Qué hace que un aviso sea realmente bueno? Amanda Askell de Anthropic muestra cómo el pensamiento filosófico ayuda a aprovechar al máximo las herramientas de IA.

Cualquiera que trabaje con herramientas de IA como Claude o ChatGPT a diario conoce el problema: A veces, la IA ofrece exactamente los resultados deseados y, a veces, dispara completamente más allá del objetivo. La diferencia a menudo radica en la forma en que formulamos nuestras solicitudes. En t3n.de hay un buen artículo al respecto.

Más que solo experimentar

Amanda Askell, filósofa e investigadora de IA de Anthropic, dio una visión fascinante de cómo trabaja en el podcast de la propia empresa «Ask Me Anything». Su enfoque: La ingeniería rápida es mucho más que prueba y error.

"Se trata de estar dispuesto a interactuar mucho con los modelos y realmente mirar cada resultado", explica Askell. La experimentación es solo una parte de la ecuación. La otra parte, a menudo subestimada: comunicación cristalina.

La ventaja filosófica

Los antecedentes académicos de Askell: Se doctoró en Ética Infinita por la Universidad de Nueva York y estudió filosofía en Oxford. Esto resulta ser una ventaja sorprendente.

Aquí realmente creo que la filosofía puede ser útil para incitar, porque gran parte de mi trabajo es explicar ciertos problemas, preocupaciones o pensamientos al modelo lo más claramente posible.

En Anthropic, lleva liderando un equipo que trabaja para hacer que los modelos lingüísticos sean más honestos y con mejores «características» desde 2021, un proyecto fascinante en la intersección de la tecnología y la ética.

El nuevo colega necesita contexto

Anthropic compara las herramientas de IA con los nuevos miembros del equipo: Son competentes, pero no conocen los procesos internos ni las formas preferidas de trabajar. En su resumen de ingeniería rápido de julio de 2024, la compañía recomienda que la IA sea informada en consecuencia en detalle.

En concreto, esto significa:

  • Definir una distribución clara de roles
  • Describa con precisión el formato y el estilo deseados
  • Proporcionar el contexto pertinente
  • Proporcionar ejemplos concretos, si es posible

La ingeniería rápida no está muerta.

La necesidad de ingenieros rápidos altamente especializados con salarios de seis cifras puede haber disminuido, pero el trabajo de Askell muestra: La capacidad de formular instrucciones precisas sigue siendo valiosa.

A medida que las herramientas se vuelven más accesibles, la calidad de la comunicación continúa determinando el éxito. Si realmente desea explotar las herramientas de IA, no puede evitar las indicaciones reflexivas.

conclusión

La lección más importante: Trata a tu IA como a un colega capaz pero sin experiencia. Tómese el tiempo para formular su solicitud con precisión. Y no tengas miedo de trabajar iterativamente, porque cada interacción te ayuda a entender cómo lograr mejores resultados.

A veces son las habilidades «blandas», como la comunicación clara y el pensamiento estructurado, las que marcan la diferencia, especialmente en la era de la inteligencia artificial.

Artículo 2

PLOT TWIST! Paramount mezcla Netflix en el medio cuando Warner se hace cargo.

¿El trato que parecía seguro? Supongo que no estaba tan seguro. ¡Ahora hay 108 mil millones sobre la mesa!

¿Te acuerdas? fin de semana pasado? Netflix anunció Warner Bros. Descubrimiento por 82.700 millones de dólares. La corona de transmisión debe pertenecer a Netflix, Harry Potter, Game of Thrones, DC; Todo bajo un mismo techo. Escribimos sobre ello y parecía un Hecho el trato.

Bueno, sí. Bienvenido a Hollywood, donde nada es realmente seguro.

Ahora viene Paramount Skydance a la vuelta de la esquina y aparece Oferta de 108 mil millones de dólares sobre la mesa. Estos son 25 700 millones más Fue Netflix. Y mientras que Netflix ofrece una mezcla de efectivo y acciones, Paramount viene con Efectivo completo: $30 por acción, en efectivo. Sin acciones, sin juegos, sólo dinero en efectivo.

¿El mejor? Paramount está girando Directamente a los accionistas de Warner – más allá del consejo de administración. Esto se llama a adquisición hostil. O en alemán: "No preguntamos cortésmente, solo ofrecemos más y tú decides".

¿Cuál fue el trato de Netflix de nuevo?

En caso de que te hayas perdido la historia original:

Netflix ofreció:

  • $27.75 por Warner Bros. Cuota de descubrimiento
  • Valor del capital: $72 mil millones ($23.25 en efectivo + $4.50 acciones de Netflix)
  • Valor total, incluida la deuda: 82.700 millones de dólares
  • Hada de la ruptura: 5.800 millones de dólares (Netflix pagará a Warner si se rompe el acuerdo)

Lo que Netflix debería obtener:

  • Warner Bros. Studios (producción cinematográfica)
  • HBO Max (130 millones de suscripciones en todo el mundo) + HBO
  • La filmoteca completa (de Casablanca a Dune)
  • DC Studios (Superman, Batman, Wonder Woman)
  • Harry Potter & El Señor de los Anillos
  • Juego de Tronos, El Último de Nosotros, Sucesión, Amigos
  • Warner Bros. Juegos (Hogwarts Legacy, Batman Arkham)

Qué NO hacer con Netflix:

  • CNN, TNT Sports, Discovery+ y todos los canales de Discovery

Netflix solo lo quería. Filetes de estudio y streaming, Warner debe continuar el resto como una empresa independiente llamada «Discovery Global».

Paramount dice: «¡No tan rápido, amigo!»

Paramount Skydance, incluso recién fusionado bajo CEO David Ellison (hijo del multimillonario de Oracle Larry Ellison) había intentado previamente comprar Warner. Dos ofertas anteriores (Primero $ 20 por acción, luego $ 24) Warner había rechazado. ¿Pero 30 dólares? Es un número de casa completamente diferente.

Lo que hace diferente a Paramount:

1. Más dinero:

  • $ 30 por acción (frente a $ 27.75 de Netflix)
  • Valor total: 108.400 millones de dólares
  • 100% Dinero en efectivo, sin trucos bursátiles

2. Adquisición completa: ¡Paramount quiere!todo! incluyendo CNN, TNT Sports, Discovery+ y todas las cosas de Discovery. Sin divisiones, sin complicaciones. Un gran imperio mediático.

3. Conexiones políticas: David Ellison Buenas relaciones con Donald Trump. Esto podría hacer toda la diferencia para las autoridades antimonopolio (más sobre eso).

Por qué Paramount llama a Netflix 'inferior'

En una carta pública a los accionistas de Warner, Paramount argumenta claramente:

El acuerdo de Netflix es problemático porque:

  • Volatil: El componente de acciones hace que el acuerdo sea inseguro (topes del mercado de valores, ¿alguien?)
  • Riesgo reglamentario: 43% ¿Cuota de mercado en streaming? ¡Eso clama por alertas antimonopolio!
  • Sin experiencia: Netflix nunca ha hecho una mega-adquisición de esta magnitud.
  • Complicado: Dividir a Warner en dos partes es difícil y requiere mucho tiempo

El acuerdo supremo es mejor porque:

  • El efectivo es el rey: Liquidez inmediata para los accionistas, sin apuestas en las acciones de Netflix
  • Más rápido: Sin divisiones complicadas, solo hazte cargo de todo
  • Reglamentación más fácil: Paramount + Warner sigue siendo más pequeño que Netflix + Warner
  • Con experiencia: Paramount acaba de comprar Skydance por $ 8 mil millones y sabe cómo funciona

Y luego viene el Tarjeta de Trump (Juego de palabras previsto): La familia de David Ellison son partidarios masivos de Trump. Donald Trump ya lo ha hecho cauteloso Estoy hablando del acuerdo de Netflix, y creo que preferiría un acuerdo de Paramount. En los Estados Unidos en 2025, la influencia política puede marcar la diferencia.

Aquí, también, tengo un video para leer podrido con detalles:

El campo minado antimonopolio

Aquí es donde se vuelve político (y peligroso) porque ambos acuerdos tienen Obstáculos regulatorios masivos.

Escenario de Netflix:

  • Más de 302 millones de suscripciones a Netflix + 130 millones de suscripciones a HBO Max = Potencialmente más de 430 millones de usuarios
  • Eso sería sobre 30% el mercado streaming Estados Unidos (YouTube excluido)
  • Monopolio de contenidos: Netflix tiene una biblioteca con la que nadie puede mantenerse al día.
  • Vientos en contra políticos: Congresistas estadounidenses, el Gremio de Directores de América (DGA) y productores cinematográficos anónimos ya han emitido advertencias
  • Problemas internacionales: En la UE, Netflix se fusionaría con el segundo o tercer competidor más grande de muchos países

Esto Departamento de Justicia de los Estados Unidos Estoy seguro de que se examinará intensamente. Netflix espera entre 12 y 18 meses hasta su aprobación.

Escenario principal:

  • Paramount + Warner aún más pequeño Netflix solo
  • Pero: Aquí, también, hay consolidación en un mercado que ya se está reduciendo
  • Factor de Trump: Podría acelerar los permisos (o no, ¿quién sabe exactamente?)
  • Paramount argumenta que el acuerdo es «Competitivo», Porque no hace que Netflix sea más grande.

¿Ahora qué? ¿Quién gana?

Este es el La pregunta del billón de dólares (literalmente). Warner Bros. Discovery ahora debe decidir:

Oferta de Netflix:

  • Bajo por acción ($27.75)
  • Parte en efectivo, parte en acciones (volatil)
  • Solo Studio + Streaming, Discovery Global sigue siendo independiente
  • Reglamentación de mayor riesgo
  • Período de aprobación más largo (12-18 meses)

Oferta de primer orden:

  • Mayor por acción ($30)
  • 100% Efectivo (seguro)
  • Adquisición completa, sin división
  • Posiblemente más fácil de regular
  • Conexiones políticas (factor Trump)

A primera vista, Paramount es más atractivo para los accionistas: Más dinero, inmediatamente, en efectivo. Pero Netflix ya ha asegurado derechos exclusivos de negociación, y la junta recomienda que los accionistas esperen por ahora.

Paramount tiene la oferta hasta 8 de enero de 2026 Es válido (pero puede ser extendido). El co-CEO de Netflix, Ted Sarandos, dijo: La oferta de Paramount era «plenamente esperada» y uno está «súper seguro» de que su propio trato se está llevando a cabo.

Conclusión: ¡Listos para palomitas de maíz, amigos!

Lo que estamos experimentando aquí es Puro drama de Hollywood Esta vez no está en la pantalla grande, está en el tablero.

El acuerdo de Netflix resultaría en:

  • La plataforma de streaming más grande del mundo
  • Uno de los estudios más legendarios de la historia del cine bajo un mismo techo
  • HBO, DC, Harry Potter, El Señor de los Anillos, Juego de Tronos
  • Más de 430 millones de suscriptores potenciales

Esto es potencia. Enorme, poder concentrado. Al igual que con Spider-Man: Con gran poder viene una gran responsabilidad.

Pero ahora Paramount viene y dice: «¡No tan rápido!» Con una oferta más alta, conexiones políticas y la promesa de preservar la competencia en lugar de destruirla.

La pregunta es: ¿Quién gana? ¿Netflix con el acuerdo estructurado y el dominio del streaming? ¿O Paramount con más dinero en efectivo y viento de cola político?

El siguiente Semanas y meses Vuélvete salvaje. Las autoridades antimonopolio, los sindicatos, los cineastas, los políticos y, por supuesto, los accionistas tendrán voz y voto. ¿Qué hay de nosotros? Observamos cómo se perfila el futuro del cine, la televisión y el entretenimiento.

James Cameron lo puso en pocas palabras: «Es esencial contar con una industria dinámica y competitiva». ambos Los acuerdos harán que la industria sea menos competitiva, no más. La pregunta es solamente: ¿Cuál es el mal menor?

TL;DR

  • Netflix ofreció la semana pasada: 82.700 millones de dólares para Warner Bros. Estudio + streaming
  • Contadores Paramount AHORA: 108 mil millones de dólares para Warner Bros. Descubrimiento, 100% Efectivo
  • El problema: Ambos acuerdos tienen enormes obstáculos regulatorios y oponentes
  • Para nosotros: HBO Max se lanza en Alemania en enero, pero el futuro no está del todo claro
  • James Cameron: Si Netflix es catastrófico, Paramount preferiría
  • La realidad: No importa quién gane, Hollywood cambiará fundamentalmente.

Una cosa es cierta: Después de este acuerdo, Hollywood nunca volverá a ser el mismo. ¿Es bueno o malo? No lo sabremos hasta dentro de unos años. Hasta entonces: Manténgase en sintonía, manténgase crítico, y tal vez ... ir al cine de nuevo? Mientras todavía haya algunos.

El póker para las joyas de la corona de Hollywood entra en prolongación. Y tenemos los mejores asientos en la primera fila. ??

Artículo 3

malware distribuido Notepad++ Updater: ¡Actualice a la versión 8.8.9 ahora!

Eso es malo: El actualizador integrado del popular editor de texto de código abierto Notepad++ ha instalado malware en algunas PC.

Los atacantes pudieron interceptar y manipular el tráfico de actualización para subvertir el software malicioso. El desarrollador Don Ho ha creado las versiones 8.8.8 y 8.8.9 Responde, así que deberías Actualizar instantáneamente manualmente!

¿Qué pasó?

Según Don Ho, los expertos en seguridad han reportado incidentes, donde el tráfico de Internet fue secuestrado por Notepad++. Durante las investigaciones, salió a la luz: El tráfico del actualizador Notepad++ WinGUp fue «redirigido ocasionalmente a servidores maliciosos», lo que dio lugar a la descarga e instalación de archivos ejecutables comprometidos.

El investigador en seguridad informática Kevin Beaumont informa de al menos tres organizaciones con «intereses en el sur de Asia», Fueron atacados de esta manera. Por lo tanto, estos son ataques dirigidos, pero teóricamente cualquier usuario de Notepad ++ podría verse afectado.

¿Cómo funcionó el ataque?

Hasta ahora, el actualizador ha funcionado así: Preguntó la URL. https://notepad-plus-plus.org/update/getDownloadUrl.php y evaluó el archivo XML devuelto. Este XML contiene la URL de descarga para la actualización, que es entonces %TEMP%-carpeta fue guardada y ejecutada.

El problema: Cualquiera que pudiera interceptar y manipular este tráfico (por ejemplo, a través de ataques man-in-the-middle) podría cambiar la URL de descarga y apuntarla a su propio servidor malicioso. Hasta Versión 8.8.7 Notepad++ utilizó un certificado autofirmado cuyo código se almacenó públicamente en GitHub. Esto hizo posible crear actualizaciones manipuladas que fueron aceptadas como legítimas por el actualizador.

Desde v8.8.7, Notepad++ ha estado utilizando un Certificado de GlobalSign, Pero eso por sí solo no impidió los ataques.

¿Qué fue arreglado?

Don Ho respondió rápidamente y lanzó dos actualizaciones seguidas:

Versión 8.8.8:

  • El actualizador WinGUp ahora usa obligatorio github.com como fuente de descarga

Versión 8.8.9 (última versión):

  • Notepad++ y WinGUp ahora comprueban correctamente el Firmas y certificados Instaladores descargados
  • Si la comprobación falla, el proceso de actualización se aborta
  • Medidas más estrictas contra el secuestro de tráfico

Las investigaciones siguen en curso, por cierto; Todavía se analiza cómo se produjo exactamente el secuestro de tráfico en los casos observados.

¿Cómo sabes si estás afectado?

Kevin Beaumont tiene algunos Indicadores de compromiso (IOC) Esto es lo que debes tener en cuenta:

Enlaces sospechosos:

  • Si: gup.exe Enlaces a URL que no sean notepad-plus-plus.org, github.com o release-assets.githubusercontent.com construye

Procesos inusuales:

  • Si: gup.exe Procesos distintos de Explorador.exe o npp*-se inicia el instalador relacionado con Notepad++
  • Los instaladores legítimos han sido firmados con el certificado GlobalSign desde la versión 8.8.8

Archivos sospechosos:

  • Archivos nombrados update.exe o AutoUpdater.exe en el directorio TEMP del usuario
  • Notepad++ en sí no utiliza estos nombres en absoluto!

Si encuentra tales rastros, debe verificar minuciosamente su computadora en busca de malware.

¿Qué tienes que hacer ahora?

Importante: ¡El actualizador integrado aún no encuentra la versión 8.8.9 automáticamente! Herramientas tales como winget Aún no tengo la actualización. Así que tienes que manualmente se activan:

Ir al oficial Sitio web del Bloc de notas++ (notepad-plus-plus.org)

Cargar hacia arriba Versión 8.8.9 manualmente hacia abajo + Instala la actualización

Beaumont recomienda al menos v8.8.8, pero v8.8.9 está aún mejor protegido

Contexto: Bloc de notas ++ con frecuencia en los lugares de interés

Desafortunadamente, el hecho de que Notepad++ esté siendo atacado no es un caso aislado. El software es extremadamente popular y generalizado, un objetivo atractivo para los atacantes. El año pasado, Don Ho tuvo que tomar medidas contra un «sitio web parásito» que se acercaba a la página original del Bloc de notas ++ en los resultados de búsqueda de Google y ofrecía descargas falsas infectadas por virus.

Recuerda: Siempre carga solo Notepad++ Desde el sitio oficial notepad-plus-plus.org abajo!

Artículo 4

Anthropic entrega el Model Context Protocol (MCP) a la nueva Agentic AI Foundation

Desarrollo interesante en el mundo de la IA, lea en heise.de: Antrópico se separa de Modelo de Protocolo de Contexto (MCP) No porque el proyecto haya fracasado, sino por el contrario: La Fundación Linux tiene Agentic AI Foundation (AAIF) (Fundación de IA Agente) MCP continuará como un proyecto de código abierto en manos neutrales. ¡Un movimiento inteligente para el futuro de los agentes de IA!

¿Qué es la Agentic AI Foundation?

Bajo el nuevo paraguas de AAIF, la Fundación Linux está recopilando proyectos de código abierto en torno a la IA basada en agentes. Comenzamos con tres proyectos muy conocidos:

  • Modelo de Protocolo de Contexto (MCP) por Anthropic
  • plataforma de ganso desde el bloque
  • Especificación de Agents.md por OpenAI

El objetivo: Uno base independiente y abierta crear proyectos de IA basados en agentes que puedan desarrollarse de manera transparente, estable y colaborativa. La Fundación Linux se está posicionando como un hogar neutral para una infraestructura de IA «en la que el mundo puede confiar». ¡Diría que es una gran afirmación!

¿Quién está detrás de esto?

La lista de los principales miembros se lee como quién es quién de la industria tecnológica:

Los miembros principales son Amazon Web Services, Anthropic, Block, Bloomberg, Cloudflare, Google, Microsoft y OpenAI

Otros miembros notables (no menos espectaculares) Docker, Hugging Face, IBM, JetBrains, Oracle, Snowflake, SUSE, Kubermatic – ¡y muchos más!

Cabe destacar que aquí competidores directos como Google, Microsoft, OpenAI y Anthropic se sientan juntos en la misma mesa. Esto muestra la importancia de los estándares abiertos para el futuro de los agentes de IA.

¿Por qué Anthropic libera MCP?

Anthropic justifica el traspaso «promover la innovación en el ecosistema de IA basada en agentes». La medida tiene por objeto garantizar que «estas tecnologías facilitadoras sigan siendo neutras, abiertas e impulsadas por la comunidad».

Suena como un acto desinteresado, ¿verdad? Sí, pero también tiene sentido estratégico: Un protocolo neutral, que no está controlado por una sola empresa, tiene una mejor oportunidad de establecerse como un estándar. Y cuando MCP se convierte en el estándar de facto para los agentes de IA, todos se benefician al final, incluido Anthropic.

Importante: ¡Anthropic no se retira por completo! La compañía asegura, Continuar invirtiendo en el crecimiento de MCP a querer. ¡Se preservan el modelo de gobernanza y el papel de los mantenedores! Así que no se trata de deshacerse del proyecto, se trata de llevarlo a un futuro sostenible impulsado por la comunidad.

¿Qué significa esto para el futuro?

El establecimiento de la AAIF podría ser un paso importante para la normalización en el ámbito de los agentes de IA. Actualmente, cada empresa desarrolla sus propios enfoques y protocolos, lo que conduce a la fragmentación y dificulta la interoperabilidad.

Con la AAIF bajo el techo de la Fundación Linux, ahora hay una plataforma neutra, donde diferentes jugadores pueden trabajar juntos. Esto recuerda a otras iniciativas de código abierto exitosas de la Fundación Linux, como la Cloud Native Computing Foundation (CNCF) con Kubernetes.

Nota al margen: Conferencia en línea sobre el desarrollo habilitado para la IA

Si usted está interesado en el tema: El 29 de enero de 2026 Encuentre la conferencia en línea betterCode() GenAI en su lugar. Cubre todos los temas importantes relacionados con el desarrollo de software habilitado para IA: Desde las herramientas adecuadas hasta la IA Agente y la codificación Vibe, pasando por la seguridad y la migración de sistemas heredados con soporte de IA.

conclusión: La entrega de MCP a la AAIF es un movimiento inteligente de Anthropic y podría ser un punto de inflexión para la estandarización de los agentes de IA. Si los grandes jugadores realmente trabajan juntos en lugar de que cada uno cocine su propia sopa, podría acelerar significativamente el desarrollo de los agentes de IA. ¡Estaremos atentos!

Artículo 5

Estados Unidos quiere 5 años de historia en las redes sociales a su llegada: Eso es lo que necesitas saber

Krasser Plan de los EE.UU., leer en golem.de: La Autoridad de EE.UU. Aduanas y Protección Fronteriza (CBP) publicó una propuesta, Podría cambiar enormemente la forma en que ingresas a los Estados Unidos. Millones de viajeros de 42 países. (incluida Alemania) En el futuro, toda su Historial de redes sociales de los últimos 5 años revelar. Esto podría hacer que los viajes a Estados Unidos sean mucho más complicados The New York Times también.

¿Quién se vería afectado?

La propuesta se aplica a todos los países del Programa de exención de visados (ESTA). Estos son países cuyos ciudadanos hasta ahora han podido ingresar a los Estados Unidos sin visa. Estos incluyen:

  • Alemania
  • Francia
  • Japón
  • Y otros 39 países (Rumanía fue eliminada de la lista)

Hasta ahora, era suficiente proporcionar una dirección de correo electrónico, número de teléfono y un contacto de emergencia al presentar una solicitud ESTA. Eso podría cambiar drásticamente.

¿Qué dirán los viajeros en el futuro?

La cantidad de datos que CBP quiere recopilar es enorme:

Redes sociales & Comunicación:

  • Todas las cuentas de redes sociales de la última 5 años
  • Direcciones de correo electrónico de la última 10 años
  • Direcciones IP y metadatos de las fotos subidas

Datos de la familia:

  • Nombres, fechas de nacimiento, lugares de residencia y lugares de nacimiento de padres, parejas, hermanos e hijos

Datos biométricos: En la lista de «campos de datos de alto valor» específicos, el CBP también menciona:

  • Reconocimiento facial, huellas dactilares, ADN y patrones de iris

Importante: ¡Hasta ahora, esto es solo una propuesta! Sin embargo, la dirección parece «clara como el cristal».

Los proteccionistas de datos y la industria del turismo están haciendo sonar la alarma

Se espera que las reacciones sean graves. Bo Cooper El bufete de abogados Fragomen advierte contra un cambio fundamental del sistema: Si bien las auditorías anteriores de las redes sociales verificaron hechos concretos como posibles delitos, el nuevo sistema haría declaraciones en línea. evaluar exhaustivamente, con decisiones a discreción de la Autoridad.

Sophia Cope De la Electronic Frontier Foundation: «Encontrar terroristas y otros delincuentes no ha demostrado ser eficaz». Más bien, tales medidas habrían afectado a la libertad de expresión y la privacidad de los viajeros y sus contactos estadounidenses.

Base jurídica: Órdenes ejecutivas de 2025

La CBP invoca la siguiente justificación:

  • Orden ejecutiva 14161 de enero de 2025 («Proteger a los Estados Unidos de los terroristas extranjeros y otras amenazas para la seguridad nacional y la seguridad pública»)
  • Memorándum de 4 de abril de 2025 sobre la recogida de «datos de referencia» en todos los formularios de las administraciones públicas

Aún más drástico: Control de salida a través de smartphone

Otro punto controvertido que el New York Times no ha abordado: CBP planea Programa piloto de autodeclaración voluntaria de salida (VSRE) en la aplicación de casa móvil de CBP.

Los viajeros deben poder notificar su salida «voluntariamente» mediante: Transmisión de datos biométricos:

En primer lugar, reconocimiento facial, luego geolocalización (para confirmar que estás realmente fuera de los Estados Unidos) y, por último, una llamada «detección de vida» (verifique si se trata de una foto real en vivo).

Los datos transmitidos se comparan con fotos faciales ya almacenadas, creando así un «registro de salida confirmado biométricamente». Oficialmente, esto debería cerrar una brecha de información entre la entrada y la salida.

El sitio web de ESTA está cerrado

Un cambio drástico también es inminente: El El sitio web de ESTA estará completamente deshabilitado para nuevas aplicaciones. En el futuro, las solicitudes deberían exclusivamente a través de la aplicación móvil ESTA presentadas. El sitio web permanece en línea solo como fuente de información y para la consulta de estado.

Exposición de motivos de la CBP: El Centro Nacional de Orientación identificó más de 2,400 fotos de pasaportes defectuosos y más de 8,000 fotografías inválidas que resultaron en coincidencias de reconocimiento facial fallidas. CBP sospecha que los viajeros están explotando deliberadamente esta vulnerabilidad para evitar la verificación automática con imágenes intencionalmente borrosas. La agencia dijo que había identificado cientos de ESTA fraudulentos con datos de pasaportes falsificados.

Nuevos requisitos para las solicitudes ESTA

La aplicación móvil utilizará nuevos métodos de autenticación:

  • Detección de vida (No hay fotos pre-hechas)
  • Reconocimiento facial
  • Escaneo de pasaporte basado en NFC Validación del chip electrónico

También Solicitudes de terceros Las agencias de viajes o los miembros de la familia deben incluir un autorretrato del solicitante en el futuro. El requisito previo de selfie se vuelve opcionalmente obligatorio.

¿Qué sigue?

La autoridad ahora está tomando 60 días de declaraciones públicas por el contrario. Si se aprueba la propuesta, la aplicación podría: dentro de unas pocas semanas o meses tienen lugar.

¡Por lo tanto, la ventana de tiempo para la contradicción es muy corta!

¿Qué significa esto para ti?

Si estas reglas se hacen realidad, debe estar preparado para lo siguiente:

Los viajes a Estados Unidos son mucho más caros

  • Planea más tiempo para la solicitud ESTA
  • Piensa en qué cuentas de redes sociales quieres/necesitas incluir
  • Comprueba si los mensajes antiguos podrían ser problemáticos

La protección de datos se convierte en un problema

  • Su historial completo en línea de los últimos 5 años se encuentra con las autoridades de los Estados Unidos
  • Los miembros de su familia también se ven afectados.
  • Los datos biométricos se recopilan de forma exhaustiva

Smartphone es obligatorio

  • La aplicación ESTA ya no es posible sin una aplicación móvil
  • Control de salida a través de la aplicación con reconocimiento facial y GPS

Denegación de entrada posible

  • Las publicaciones en redes sociales pueden conducir al rechazo
  • La decisión queda a discreción de la autoridad
  • No hay criterios claros en cuanto a lo que es «problemático»

conclusión: Esta propuesta va mucho más allá de los controles de entrada anteriores y podría hacer que los viajes a Estados Unidos sean significativamente más difíciles para millones de personas. Si las medidas realmente aumentan la seguridad o solo interfieren masivamente con la privacidad es controvertido. Los próximos 60 días mostrarán si hay suficiente resistencia para detener o mitigar los planes. Si desea viajar a los EE.UU. en un futuro próximo, usted debe mantener un ojo en el desarrollo!

Artículo 6

Kit de phishing Spiderman: Principales amenazas para los clientes bancarios europeos

Alerta roja para clientes bancarios en Europa: Un nuevo kit de phishing llamado «Spiderman» hace que sea terriblemente fácil para los ciberdelincuentes atacar a los clientes de docenas de bancos europeos. La característica especial: Con solo unos pocos clics ¡Los atacantes pueden crear clones perfectos de píxeles de sitios bancarios! Phishing SaaS sin ninguna habilidad de programación. Deutsche Bank, Commerzbank, ING y muchos más se ven afectados.

¿Qué hace que Spiderman sea tan peligroso?

El kit es un Marco completo todo en uno para ataques de phishing. Proporciona una plataforma profesional para que los ciberdelincuentes lancen campañas de phishing, intercepten credenciales y gestionen datos robados en tiempo real.

Lo realmente aterrador: ¡No se necesitan más conocimientos técnicos! Anteriormente, se necesitaba experiencia en desarrollo web y phishing. Unos pocos clics son suficientes hoy:

  1. Seleccione un banco
  2. Crea el clon perfecto de la página de inicio de sesión
  3. Enviar correo de phishing terminado que se parece al del instituto real

Esta automatización es parte de una tendencia alarmante con herramientas como SpamGPT, MatrixPDF y Atroposia que hacen que los ataques masivos sean cada vez más fáciles.

Ámbito de aplicación: Decenas de bancos, varios países

Mientras que muchos kits de phishing se centran en un solo banco, Spiderman se consolida docenas de mercados financieros europeos en un kit para ataques transnacionales a gran escala.

Bancos afectados (extracto):

  • Deutsche Bank
  • Commerzbank
  • ING (Alemania & Bélgica)
  • Sparkasse
  • Y muchos más

También carteras criptográficas en la mira: Ledger, Metamask y Exodus

Incluso portales gubernamentales ¡Se replican!

El alcance sugiere que el marco ya está Utilizado a gran escala lo hará. Un grupo de Signal vinculado al vendedor de Spiderman tiene alrededor 750 miembros, Esto muestra una comunidad de usuarios grande y activa.

Para la lectura perezosa Jim Love de (minuto 1:30) en el video también tiene un resumen:

El panel de control profesional

Spiderman's Operator Dashboard es terriblemente maduro y cuenta con sesiones de víctimas en tiempo real:

Monitoreo de sesiones en vivo Realiza un seguimiento de cada estado objetivo en tiempo real

Exportación de credenciales con un solo clic puede exportar datos robados con un solo clic

Captura de PhotoTAN Interceptación en tiempo real de códigos OTP (2FA)

Cosecha completa de tarjetas de crédito y datos de identidad

El enfoque flexible y multinivel es especialmente eficaz en el fraude bancario europeo: Las credenciales de inicio de sesión por sí solas a menudo no son suficientes para las transacciones. Es por eso que Spiderman puede entrar después de la primera Activar indicaciones adicionales: Número de tarjeta de crédito, fecha de vencimiento, número de teléfono, código PhotoTAN

Cada sesión se registra con un ID único para que los atacantes puedan mantener la continuidad a lo largo del flujo de trabajo de phishing.

Así es como funciona el ataque

Etapa 1: Seleccione un banco El atacante selecciona el banco o servicio que desea imitar, hace clic en «Index This Bank» y el kit prepara automáticamente una copia de la página de phishing. Desafortunadamente, también se completa con inicio de sesión, contraseña, mensajes de PhotoTAN/2FA y formularios de entrada de tarjeta de crédito.

Etapa 2: La víctima introduce datos Tan pronto como la víctima ingresa el nombre de usuario y la contraseña, los datos inmediatamente enviado al panel del operador.

Etapa 3: Solicitudes en tiempo real El operador puede activar más solicitudes en tiempo real y recuperar los siguientes datos:

  • Nombre de usuario y contraseña
  • Nombre completo
  • teléfono
  • cumpleaños
  • Datos de la tarjeta de crédito
  • Agente de usuario & Metadatos IP

El resultado: Información más que suficiente para adquisiciones de cuentas, ataques de intercambio de SIM, fraude de tarjetas de crédito y robo de identidad.

Funciones avanzadas de segmentación y filtrado

Spiderman viene con un inusualmente detallado Módulo de control de acceso, que optimiza los ataques y dificulta la detección:

Lista blanca de países: Permitir únicamente el tráfico desde determinados países (Alemania, Austria, Suiza, Bélgica, etc.)

Lista blanca de ISP/ASN: Bloquear las visitas a centros de datos conocidos, VPN o redes no deseadas

Filtrado de tipo de dispositivo: Entregar la página de phishing solo para tipos de dispositivos específicos (Desktop, Mobile, Android, iOS)

Control de redireccionamiento personalizado: redirigir a los visitantes no deseados a Google u otro sitio inofensivo en lugar del sitio de phishing

Estos controles antianálisis permiten que el kit: omitir los rastreadores automatizados, los escáneres de seguridad y las herramientas de inteligencia de amenazas, lo que hace que la detección sea mucho más difícil.

Por qué Spiderman es peligroso

1. Consolidación en una interfaz

La mayoría de los kits de phishing se centran en un banco o región. Spiderman reúne a docenas de instituciones en cinco países. Esto aumenta la eficiencia y permite pivotes rápidos entre regiones.

2. Evitar la detección tradicional

Con la lista blanca de ISP, el bloqueo geográfico y el filtrado de dispositivos, Spiderman reduce drásticamente la visibilidad para los profesionales de la ciberseguridad. Muchos productos de detección de phishing están diseñados para escanear exactamente la infraestructura que este kit filtra explícitamente.

3. Fuerte enfoque en el robo de criptografía

Los módulos de captura para frases criptográficas (libro, metamáscara, éxodo) señalan un cambio hacia la banca híbrida + operaciones de fraude criptográfico.

4. La interceptación OTP en tiempo real se convierte en la norma

La inclusión del fototán y la captura de OTP muestra un alto nivel de sofisticación. Los bancos europeos que dependen de la autenticación TAN siguen siendo particularmente vulnerables.

5. La evolución a largo plazo es inevitable.

Debido a que Spiderman es modular, se pueden agregar nuevos bancos, portales y métodos de autenticación. Si los países europeos actualizan sus flujos de banca electrónica, es probable que este kit evolucione en paralelo.

¿Qué puedes hacer?

Para clientes bancarios:

  • Examinar las URL de cerca
    Incluso si la página parece real, la URL se comprueba en la barra de direcciones
  • Nunca siga los enlaces de los correos electrónicos
    Ingrese siempre las URL bancarias manualmente o use marcadores
  • Activa 2FA fuerte
    Pero ten cuidado: PhotoTAN también puede ser interceptado
  • Sospeche de consultas adicionales
    Los bancos no suelen pedir todos los datos de una sola vez
  • Informa de correos electrónicos sospechosos
    Lo mejor es ir directamente a su banco

Para las empresas:

  • Formación para empleados
    La conciencia de phishing es esencial.
  • Filtrado avanzado de correo electrónico
  • Inteligencia de amenazas
    Utilícelo para identificar la infraestructura de Spiderman
  • Arquitecturas de confianza cero

Para los equipos de seguridad:

  • Preste atención a la mecanismos de filtro característicos por Spiderman
  • Utiliza varios entornos de prueba (varios ISP, dispositivos, ubicaciones)
  • Monitorea grupos de señales y foros subterráneos en la distribución de kits

conclusión: Spiderman es uno de los kits de phishing más peligrosos que hemos visto este año. La combinación de estructura profesional, amplia cobertura de objetivos, recopilación de datos en tiempo real y características antidetección lo convierte en una grave amenaza para los clientes bancarios europeos. Con alrededor de 750 usuarios activos en el grupo Signal correspondiente, este kit no es una amenaza teórica, sino que ya está en uso.
En caso de duda, dudar demasiado en lugar de muy poco!

Artículo 7

La brecha de WinRAR se explota activamente: ¡Actualice inmediatamente!

Malas noticias para aquellos que todavía usan versiones antiguas de WinRAR: ¡Una vulnerabilidad de seguridad (que fue parcheada en el verano) ahora es atacada activamente! La vulnerabilidad permite a los atacantes inyectar código malicioso. Si está utilizando WinRAR, debe actualizar inmediatamente a la versión 7.13.

¿Qué pasó?

La agencia de seguridad estadounidense CISA ha identificado la vulnerabilidad WinRAR en su Catálogo de vulnerabilidades explotadas conocidas registrado. Esta es la colección oficial de vulnerabilidades de seguridad que se ha demostrado que están bajo ataque. En otras palabras: Esto ya no es una amenaza teórica, ¡pero los atacantes ya están explotando activamente la brecha!

La vulnerabilidad se conoció a finales de junio cuando WinRAR la cerró en la versión 7.12b1. Sin embargo, muchos usuarios todavía están en la carretera con versiones vulnerables, y eso es exactamente lo que ahora están apuntando.

¿Qué versiones se ven afectadas?

Todas las versiones WinRAR de hasta 7.11 son vulnerables. Esto se aplica no solo a WinRAR en sí, sino también a RAR, UnRAR, Portable UnRAR y UnRAR.dll. Solo a partir de la versión 7.12 Beta 1 se parchea la brecha.

¿Qué hace que la brecha sea tan peligrosa?

La vulnerabilidad (CVE-2025-6218) tiene una puntuación CVSS de 7,8 (alto riesgo) y permite el contrabando de código a través de archivos manipulados. La forma en que funciona es traicionera: Al extraer archivos, se puede hacer que WinRAR use una ruta especificada en un archivo manipulado en lugar de usar la ruta seleccionada por el usuario.

La Iniciativa Zero Day de Trend Micro lo explica con más detalle: El error radica en el manejo de rutas dentro de los archivos de archivo. Una ruta de archivo preparada puede hacer que el proceso migre a directorios no deseados, un ataque de recorrido de ruta clásico. El resultado es malo: Los atacantes pueden ejecutar código malicioso arbitrario en el contexto del usuario actual. Por lo tanto, si descomprime un archivo RAR manipulado, los atacantes podrían ejecutar código arbitrario en su sistema con sus derechos de usuario.

¿Cómo son los ataques?

Desafortunadamente, los detalles no están claros. Ni Rarlabs ni ZDI especifican qué tipos de archivos se ven afectados específicamente. Pero está claro: Los atacantes pueden explotar esto y lo hacen con archivos manipulados. CISA no revela cómo se ven exactamente los ataques, ni en qué medida tienen lugar, ni hay ninguna indicación de cómo averiguar si usted mismo se ve afectado.

Esto lo hace particularmente incómodo: No sabes si ya has sido atacado, y no puedes simplemente comprobarlo. La única solución segura es la actualización.

¿Por qué es esto particularmente crítico?

WinRAR es uno de los programas de paquetes más utilizados para Windows, por lo que es un objetivo atractivo para los atacantes. Millones de usuarios en todo el mundo lo han instalado, a menudo en los ordenadores de la empresa, y muchos de ellos utilizan versiones antiguas. Los pérfidos: Los archivos a menudo se desempaquetan de correos electrónicos o descargas, y los usuarios generalmente confían en estos archivos. Los ataques transversales de ruta son difíciles de detectar.

El hecho de que CISA haya enumerado la brecha definitivamente significa que se están produciendo ataques. El exploit ya podría utilizarse en campañas de phishing, poniendo en riesgo tanto a empresas como a usuarios privados.

Contexto: WinRAR y vulnerabilidades de seguridad

Desafortunadamente, esta no es la primera vez que WinRAR aparece en los titulares con vulnerabilidades de seguridad críticas. Hubo una grave brecha de ejecución de código en 2023 (CVE-2023-40477) y en 2019 se descubrió una vulnerabilidad crítica que pasó desapercibida durante 19 años (CVE-2018-20250). La diferencia esta vez: ¡Esta "nueva" brecha ya está siendo explotada activamente!

Alternativas a WinRAR

Si está pensando en cambiar, hay buenas alternativas de código abierto gratuito. Sí, soy consciente de que hay personas que hasta ahora solo «proban» WinRAR. ¡Pero al menos uno de ellos es conocido por haberlo comprado! Compruébelo usted mismo:

Para todos los demás: 7-Zip soporta la mayoría de los formatos incluyendo RAR y es muy confiable. PeaZip ofrece una interfaz de usuario moderna y muchos formatos, mientras que Bandizip Es particularmente rápido y fácil de usar. Todos estos programas también pueden abrir archivos RAR y se mantienen regularmente.

Para administradores de TI

Si utiliza WinRAR en su empresa, hay mucho que hacer. Como medida inmediata, debe verificar qué versiones están en uso, implementar la versión 7.13 sobre la distribución de su software e informar a los usuarios y solicitar actualizaciones manuales. Durante el monitoreo, debe verificar los registros para detectar operaciones de extracción sospechosas, prestar atención a los procesos inesperados después del desempaquetado del archivo y mantener actualizados sus sistemas EDR / AV.

A largo plazo, vale la pena evaluar si WinRAR sigue siendo necesario considerar la migración a alternativas de código abierto y la implementación de listas blancas de aplicaciones.

Artículo 8

«El infierno está cocinando de nuevo, porque Diablo 4: ¡El Señor del Odio está a la vuelta de la esquina!»

Así que chicos, aférrense a sus cascos cruzados, Blizzard tiene en los Game Awards ¡Noticias entregadas! Con Señor del Odio Esta es la segunda gran expansión para Diablo 4 Esto trae no solo viento fresco (o más bien tormenta sagrada) a Santuario, sino también una clase jugable nueva / antigua: ¡El Paladín!

Sí, lea correctamente: El legendario Paladín está de vuelta y los pedidos anticipados pueden a partir de ahora jugar. El guerrero santo entra en batalla con espada, escudo y poderes divinos. Quién ya está en Diablo 2 Golpeado por las hordas con un "Martillo Bendito" o "Fireman", puede esperar muchas habilidades conocidas, pero también nuevas, especialmente para Diablo 4 Habilidades desarrolladas.

Y la mejor parte: Esto es solo el comienzo. Blizzard confirmó que en abril Una segunda nueva clase por venir. Oficialmente, el estudio todavía está cubierto, pero la comunidad ya está especulando fuertemente sobre el regreso de la Amazonía. Sería un dúo épico comenzar en la nueva era del odio, ¿no?

Nuevas regiones, nuevos sistemas y actividades de ocio!?

Con Skovos También hay un área completamente nueva para explorar (la antigua casa de Lilith e Inarius). Una mezcla oscura de paisajes volcánicos, templos hundidos y ruinas antiguas, pobladas por nuevos enemigos y mazmorras oscuras te espera.

Mucho también se está reelaborando de una manera lúdica:

  • El Árbol de habilidades Consigue nuevas sucursales.
  • Uno Filtro de botín Ayuda con la agricultura dirigida de equipo superior.
  • El Cubos de Horadrim celebra su regreso como una herramienta central de elaboración.

Si te gusta un poco más relajado: Hay ¡Es pesca! ¡Sí, en serio! Ahora puedes lanzar la vara en Santuario (y probablemente ser comido por demonios otra vez...).

Todo en él (y más)

A la publicación el 28 de abril de 2026 da's Señor del Odio en varias ediciones, todas incluyendo la primera expansión Buque de odio. Además, Blizzard lanza una colección completa; Perfecto para aquellos que quieren descubrir el caos del infierno solo ahora. Los recién llegados también obtienen un poco de información aquí:

Ya sea que juegues en PC, Xbox o PlayStation, el crossplay y el progreso multiplataforma vuelven a estar en acción. Entonces, toma tu martillo de fe, pule tu escudo y prepárate: ¡La guerra contra Mephisto se está calentando!

Artículo 9

¿Las redes sociales? ¡Sólo a partir de 16! La mayoría de los alemanes lo apoyan

Bueno, ¿habrías pensado eso? Cada vez más personas en Alemania están a favor de prohibir completamente las redes sociales para niños menores de 16 años. Según una corriente Encuesta del Instituto INSA (para el Foto del domingo) son 60% Los alemanes por eso.

Todo está orientado Australia, Dónde desde 10. Diciembre de 2025 Existe una prohibición de las redes sociales para las personas menores de 16 años.. Instagram, TikTok, Snapchat, YouTube, Facebook, X (anteriormente Twitter), Reddit están todos allí. Si eres menor de 16 años, es posible que ya no tengas tu propia cuenta en estas plataformas. Es un número difícil, ¿no?

¿Estás de acuerdo con los más jóvenes, (no) gran sorpresa?

Emocionante: No son solo las personas mayores las que celebran la idea. Incluso entre los menores de 30 años es un Grupo más grande (40 por ciento) para tal prohibición. Solo el 37% está en contra. Aparentemente, muchos adultos jóvenes ven las desventajas de las redes sociales; presión constante, comparaciones, FOMO y Co.

Políticamente, esto pasa por los partidos: Seguidores de Verdes (71 %)CDU (70 %) y DOCUP (69 %) son especialmente para ello. Incluso en AfD– y FDPLos votantes todavía están alrededor 57%.

Australia es el comienzo

Down Under, el gobierno ya había aprobado la ley en 2024 y ahora es oficial. Diez plataformas deben introducir controles de edad para bloquear a los menores. Técnicamente, por supuesto, este es un gran desafío, y muchos ya se preguntan: ¿Cómo quieres comprobar esto?

La plataforma Reddit En cualquier caso, no tiene dinero y ha ido directamente a la corte. Su argumento: Todo esto los restringe. Libertad de comunicación política uno. Además, Reddit (atención, autodescripción) no es una red social clásica, porque allí el contenido proviene de la propia comunidad. ¿Un movimiento inteligente o más bien un intento desesperado de hablar contigo mismo?

¿Ahora qué?

Si Alemania alguna vez llega tan lejos como Australia está abierta. Pero el estado de ánimo se muestra claramente: Muchos no tendrían ningún problema si las redes sociales para adolescentes se detuvieran por primera vez. Tal vez porque todos quieren que los jóvenes vuelvan a vivir más fuera de línea, o simplemente obtener cosas menos tóxicas en línea.

El consejo de Sun-Tsu Tech de esta semana se ocupa de lo siguiente:
«El que tenga el corazón y la mente preparados, ganará».

Significado: Formación y sensibilización de los trabajadores (el «elemento humano») es la base de cualquier defensa. Incluso la mejor tecnología falla cuando la gente actúa descuidadamente.

Stephan
|
| | | | | | | | |
a la cima | página de inicio | para buscar