Noticias de KW52.2025

Poco antes de fin de año una última relectura de la semana navideña hasta entre las fiestas (22.12-28.12.2025), como es habitual 9 novedades de tecnología e informática, esta vez con opinión, canela y azúcar.

Artículo 1

Vista previa legal 2026: Enfoque en el cumplimiento de la IA y la seguridad de TI

Bonito resumen en la revista iX al final del año: El año 2026 marca la transición de la legislación a la aplicación práctica en la legislación de TI. Aunque faltan nuevos proyectos importantes, la atención se centra en los reajustes (paquete global digital) y las decisiones judiciales fundamentales.

Los temas más importantes de un vistazo:

Reglamento de IA (Ley de IA): Desde 2 de agosto de 2026 La mayoría de las disposiciones de la Ley de IA se aplican, en particular, a los sistemas de alto riesgo. Las empresas ahora deben establecer estructuras de gobernanza, aunque el paquete Ómnibus Digital podría ampliar algunos plazos hasta 2027/28 para aliviar la carga sobre la economía.

Derechos de autor de AI &: Tras la sentencia de GEMA contra OpenAI, se espera un procedimiento de apelación innovador para 2026. La cuestión clave es si el entrenamiento de modelos de IA constituye una infracción de derechos de autor o entra dentro de una excepción legal.

Ley de Datos: A partir de septiembre de 2026, se aplicarán las obligaciones. Suministro de datos. Los fabricantes de productos conectados (IoT) deben garantizar técnicamente que los usuarios puedan acceder fácilmente a sus datos y llevarlos con ellos a otros proveedores.

Seguridad informática (NIS2 & CRA): 2026 es el primer año completo bajo el nuevo Ley de aplicación de la NIS2. Significativamente más empresas están ahora bajo la supervisión del BSI y tienen que cumplir con estrictas obligaciones de riesgo e información. Además, en otoño de 2026, los primeros requisitos de información de la Ley de Ciberresiliencia (CRA).

Identidad digital (eIDAS 2.0): De aquí a 2026, los Estados miembros de la UE deben: Cartera de identidad digital oferta. Los ciudadanos pueden usarlo para administrar digitalmente tarjetas de identificación o certificados en sus teléfonos inteligentes y firmarlos legalmente.

Plataformas & Soberanía: Bajo DSA y DMA, se esperan sanciones iniciales contra las grandes compañías tecnológicas. Hay una tendencia en la contratación pública Comprar Europea La soberanía y la intercambiabilidad en la nube se convierten en importantes criterios de adjudicación.

Este video de VamiSec resume la información más importante:

Conclusión: 2026 es el año de Auditoría de cumplimiento. Los gerentes de TI deben adaptar las arquitecturas existentes a las nuevas categorías regulatorias para evitar multas y riesgos de responsabilidad.

¿Fin del diluvio de banderas? Lanzamiento del primer «agente de consentimiento» reconocido

Artículo por heise.de. Una pieza importante del rompecabezas para la autodeterminación digital entra en la prueba práctica: Con la herramienta Consentimiento Es el primer servicio para la gestión de consentimientos de cookies disponible en Alemania, que ha sido reconocido oficialmente por la Autoridad Federal de Protección de Datos.

Los detalles del inicio:

Liberación silenciosa: El plugin del navegador está actualizado Disponible a través de un enlace previo en la Chrome Store. El lanzamiento oficial y la lista de Firefox y Safari tendrá lugar el 26 de enero de 2026.

Cómo funciona: Los usuarios establecen sus preferencias de privacidad una vez de forma centralizada en el plugin del navegador. El agente los transmite automáticamente a los sitios web visitados, lo que debería eliminar los molestos clics manuales en los banners de cookies.

El obstáculo: Para que el sistema funcione, los operadores de sitios web también deben desempeñar un papel. Dado que muchas soluciones de consentimiento existentes aún no procesan voluntariamente las señales de los complementos del navegador, el equipo detrás de Consenter ofrece su propio banner compatible para sitios web.

Antecedentes científicos: El proyecto fue financiado por el Ministerio Federal de Investigación y desarrollado bajo la dirección del Prof. Dr. von Grafenstein (UdK Berlín). El objetivo es combatir la «fatiga del consentimiento» y permitir una verdadera soberanía digital.

Por qué esto es importante para los tomadores de decisiones de TI: El Consenter proporciona una evaluación de riesgos automatizada para herramientas de terceros. Los operadores de sitios web que implementan el sistema reciben una especie de evaluación de impacto independiente sobre la protección de datos. Esto no solo puede hacer que el cumplimiento sea más seguro desde el punto de vista jurídico, sino que también puede aumentar la aceptación de los usuarios a través de una mayor transparencia.

Artículo 3

Premio indie a los costes de uso de la IA: 'Clair Obscur - Expedition 33' pierde título

Lee sobre Reddit. El estudio francés Sandfall Interactive poco después del éxito en el Indie Game Awards 2025 Devuelve dos títulos. La razón es una violación de las estrictas directrices para el uso de la inteligencia artificial.

Antecedentes de la decisión:

Política de tolerancia cero: El Indie Game Awards Solo permite nominaciones para juegos que se han desarrollado completamente sin herramientas de IA. Sandfall Interactive había asegurado en el proceso de solicitud que cumpliría con este requisito.

El indicador «Kauderwelsch»: Poco después del lanzamiento, los jugadores descubrieron texturas generadas por IA (texto ilegible en una columna publicitaria). A continuación, el estudio admitió en una entrevista que había utilizado «un poco de IA» para texturas de marcadores de posición que habían permanecido accidentalmente en la versión de venta.

Las consecuencias: El juego posteriormente pierde los premios como Juego Indie del Año (Va ahora a Príncipe azul) y el Premio al Juego de Debut (deberá abordarse) Lo siento, estamos cerrados).

Distinción importante: El título general multiplataforma «Juego del Año» del Los Premios del Juego puede mantener el juego, porque allí el uso de la IA no conduce a la exclusión.

Pertinencia para las industrias informática y creativa: El caso pone de relieve la creciente brecha en la evaluación de la IA: Si bien se convierte en estándar en la industria AAA como una herramienta de eficiencia, a menudo se considera tabú en la escena indie. Para los desarrolladores, esto significa: La transparencia sobre la pila de tecnología se está convirtiendo cada vez más en un riesgo legal y reputacional en las presentaciones de premios y marketing.

Artículo 4

Aceleración de hardware para BitLocker: Más velocidad para las unidades NVMe

Microsoft ha anunciado un importante cambio de arquitectura para el cifrado de Windows. Con el BitLocker acelerado por hardware La compañía aborda las pérdidas de rendimiento que hasta ahora han sido particularmente notables en SSD NVMe extremadamente rápidos y tareas computacionalmente intensivas (edición de video, juegos). Esto se implementará con las próximas generaciones de CPU en 2026.

Los aspectos técnicos más destacados:

Descarga de criptografía: El trabajo de cifrado se transfiere de la CPU principal a una CPU dedicada. Motor de criptografía SoC (Sistema en Chip). Esto ahorra en promedio, según Microsoft 70 % Ciclos de CPU y protege la batería.

Teclas protegidas por hardware: Las claves de cifrado están "envueltas" en el lado del hardware. El objetivo es prohibir completamente las claves de BitLocker de la caché y la memoria de la CPU en el futuro para protegerlas de los ataques de lectura.

Algoritmo: Uso de dispositivos compatibles por defecto XTS-AES-256.

Disponibilidad y requisitos:

Programas informáticos: El requisito previo es la actualización de Windows 11 de septiembre de 2025 (versión 24H2) o la nueva versión 25H2.

Hardware: Comenzando con los próximos dispositivos de Intel Categoría: Procesadores de Panther Lake (Core Ultra Serie 3). Otros fabricantes seguirán.

Comprobación: Sobre el pedido estado de management-bde el mensaje de comando puede utilizarse para comprobar si está activa la «aceleración de hardware».

Nota importante para los administradores: hardware BitLocker desactivado, cuando las directivas de grupo (GPO) aplican algoritmos obsoletos o incompatibles (como AES-CBC). Microsoft recomienda cambiar las políticas a XTS-AES-256 para aprovechar los beneficios de rendimiento.

Artículo 5

Llamada de parche urgente: Vulnerabilidad en MongoDB

Lea en Bleepingcomputer.com: MongoDB advierte a los administradores de una vulnerabilidad grave (CVE-2025-14847) en la gestión del almacenamiento, lo que requiere una acción inmediata.

Los hechos más importantes:

El riesgo: Un error en el zlibLa implementación del servidor permite a los atacantes remotos no autenticados leer la memoria no inicializada (memoria acumulada). El ataque no es muy complejo y no requiere la interacción del usuario.

Posibles consecuencias: Según los expertos en seguridad, en el peor de los casos, la brecha podría llevar a los atacantes a tomar el control de los sistemas afectados.

Versiones afectadas: La lista es larga e incluye casi todas las versiones comunes (de v4.4 a v8.2), así como todas las versiones de las series v4.2, v4.0 y v3.6.

Medidas de emergencia:

Actualización: Actualizado a las versiones 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 o 4.4.30.

Solución alternativa: Si una actualización no es posible inmediatamente, el compresión zlib desactivada lo será. Esto se hace iniciando mongod o mongos con la opción, zlib Explícitamente desde el networkMessageCompresores Excluido.

Clasificación de la seguridad informática: Como MongoDB es una de las bases de datos NoSQL más utilizadas del mundo (más de 62,000 clientes, incluidas muchas compañías Fortune 500), esta brecha es un objetivo atractivo para los ataques automatizados. Los administradores deben priorizar la grabación de parches debido a la ejecutabilidad remota sin autenticación.

Artículo 6

39C3: Fuertes críticas a la ePA porque las deficiencias de seguridad siguen sin resolverse

Un año después de la introducción del registro electrónico de salud (ePA), la investigación de seguridad se está moviendo a 39. El Congreso de Comunicación del Caos es un registro aleccionador. La investigadora Bianca Kastl advierte que siguen existiendo problemas estructurales clave.

Las principales críticas:

Identidades inciertas: El principal problema radica en los procedimientos de autenticación de la infraestructura telemática. Kastl critica que los procesos de verificación de identidad son propensos a errores organizacionales y permiten el abuso, que no se puede corregir con pequeñas correcciones.

Falta de transparencia: La comunicación del Ministerio Federal de Sanidad (campaña «ePA, nasicher!») está clasificada como eufemística. La evidencia crítica de los expertos sería ignorada o relativizada.

Responsabilidad difusa: La responsabilidad de los riesgos de seguridad se desplaza de un lado a otro entre políticos, autoridades y actores. Al final, las personas aseguradas asumen todo el riesgo (por ejemplo, en caso de fuga de datos o acceso incorrecto).

Advertencia sobre la cartera de identificación de la UE: Por lo que se refiere a la cartera de identificación de la UE de propiedad estatal prevista (véase eIDAS 2.0), Kastl advierte contra la posibilidad de volver a cometer los mismos errores estructurales, pero con un impacto mucho mayor en la soberanía digital.

Heise estaba en el sitio y también tiene material de video en línea:

Artículo 7

La revolución de Gmail: Dirección de correo electrónico finalmente cambiable (sistema de alias)

Después de más de 20 años, Google está aflojando una de sus reglas más estrictas: Los usuarios ahora pueden usar su principal @gmail.comCambie su dirección sin tener que abrir una nueva cuenta. Esto es especialmente una bendición para aquellos que usan un «pecado juvenil» como nombre de correo electrónico (por ejemplo, partido-maus2005@) le gustaría cambiar por una dirección de buena reputación.

Así es como funciona el nuevo sistema:

Función automática de alias: Si cambia su dirección, la dirección anterior no se eliminará. Ella permanece como alias permanentemente asociado con su cuenta.

Sin pérdida de datos: Todos los correos electrónicos, fotos, archivos de unidad e inicios de sesión permanecen. Todavía recibe correos que se envían a la dirección anterior, pero aparece en el exterior con el nuevo nombre.

Inicio de sesión flexible: Aún puedes iniciar sesión en los servicios de Google con ambas direcciones (antiguas y nuevas).

Restricciones: * El cambio es solo una vez cada 12 meses posible.

El total es máximo tres cambios de dirección Por cuenta permitida.
En algunos sistemas profundamente arraigados (como las entradas de calendario antiguas), la dirección original aún puede ser visible.

Característica adicional «Correo electrónico blindado»: En paralelo, Google está desplegando el llamado "Correos electrónicos ocultos" fuera. Esto le permite crear alias temporales para boletines informativos o suscripciones a aplicaciones (similares a la «dirección de correo electrónico oculta» de Apple). Estos reenvían mensajes a su buzón principal, pero mantienen en secreto su dirección real y, por lo tanto, protegen contra el spam.

Por cierto, la función de alias en sí misma no es nueva en absoluto, solo el cambio de la «dirección principal», que se convierte así en una dirección de alias.

Artículo 8

39C3: La Alianza pide el Día de la Independencia Digital

Lea en golem.de: El 39. El Congreso de Comunicación del Caos (39C3) tiene una amplia alianza en torno a la Club de Computadoras del Caos (CCC) y Wikimedia Reino Unido Se ha lanzado una nueva iniciativa contra el dominio de las grandes empresas tecnológicas.

Di.Día: Desde 4 de enero de 2026 El Día de la Independencia Digital se celebra cada primer domingo del mes. El objetivo es reducir la influencia de las plataformas estadounidenses en los procesos democráticos y la privacidad.

Intercambio de partes & Talleres: Hackerspaces en más de diez ciudades organizan talleres para ayudar a pasar de WhatsApp a Signal, de Chrome a Firefox o de Windows a Linux.

Soporte destacado: El autor Marc-Uwe Kling Promover la acción en el Congreso. El objetivo es dejar atrás el «capitalismo de vigilancia» y promover la soberanía digital a través de «partidos de cambio» (también fuera de línea).

Cambio de recetas: En la página de la campaña Di.Día Los usuarios encontrarán instrucciones concretas sobre cómo exportar datos y migrar de forma segura a alternativas gratuitas.

Artículo 9

Fuga de datos en WIRED: Los hackers liberan millones de datos de los usuarios

Bleepingcomputer.com: Un ciberdelincuente con el seudónimo «Lovely» tiene una base de datos de la reconocida revista estadounidense WIRED filtrado. La filtración es parte de un gran ataque a la compañía de medios Condé Nast, Según la amenaza del hacker, un total de hasta 40 millones de registros de diversas publicaciones (incluyendo Vogue, El neoyorquino y Feria de la vanidad) podría estar en circulación.

Detalles del incidente:

Ámbito de aplicación: La base de datos WIRED publicada contiene aprox. 2,37 millones de registros.

Contenido: Se filtraron direcciones de correo electrónico, identificaciones internas y marcas de tiempo. Algunos suscriptores también incluyen nombres claros, direcciones físicas, fechas de nacimiento y números de teléfono. Las contraseñas no parecen estar incluidas directamente en texto plano, pero los datos ya han sido verificados en comparación con otros registros de robo de información.

Antecedentes: El hacker afirma que había advertido previamente a Condé Nast sobre vulnerabilidades de seguridad en vano durante un mes. Como la empresa no reaccionó, ahora publicó los datos como una «pena». Sin embargo, los expertos en seguridad no clasifican al perpetrador como un investigador ético, sino como un chantajista clásico.

Situación actual: Los datos ya se han puesto en servicio. ¿He sido Pwned arreglado. Los usuarios pueden comprobar allí si su dirección de correo electrónico se ve afectada.

Importancia para la seguridad informática: Este caso muestra nuevamente el riesgo de ataques de relleno de credenciales y phishing. Dado que la base de datos contiene información que se remonta a 1996, los usuarios a largo plazo también están en riesgo. Los departamentos de TI deben crear conciencia entre los empleados que han utilizado correos electrónicos corporativos para suscripciones privadas a títulos de Condé-Nast.

Como ya se anunció la semana pasada, su colega Sun-Tsu está en unas merecidas vacaciones de Navidad y se está divirtiendo en la LAN retro. Lo haré corto: Ven a vernos en el nuevo año en la frescura antigua!