Attestation y bloqueo de dispositivos & Malware en Obsidian y plugins - Noticias de Hacker News (11 may 2026)

Por favor, apoya este pódcast visitando a nuestros patrocinadores: - Invierte como los profesionales con StockMVP - https://www.stock-mvp.com/?via=ron - Consensus: IA para la investigación. Obtén un mes gratis - https://get.consensus.app/automated_daily - Descubre el futuro del audio con IA con ElevenLabs - https://try.elevenlabs.io/tad Apoya directamente a The Automated Daily: Cómprame un café: https://buymeacoffee.com/theautomateddaily Temas de hoy: Attestation y bloqueo de dispositivos - GrapheneOS alerta sobre la expansión de la attestation en hardware con Play Integrity y App Attest, y cómo puede convertirse en un filtro para bancos, gobiernos y la web, reforzando el duopolio Apple/Google. Malware en Obsidian y plugins - La campaña REF6598 usa ingeniería social y un “vault” compartido de Obsidian para activar plugins troyanizados que instalan el RAT PHANTOMPULSE, con C2 apoyado en transacciones de Ethereum para resistir bloqueos. Cadena de suministro: sátira realista - Un informe satírico ilustra cómo una pequeña brecha en un paquete popular puede escalar por dependencias transitivas entre npm, Rust y Python, reflejando riesgos reales de supply chain y automatización en CI. IA local vs IA en la nube - Una crítica a la moda de añadir funciones de IA llamando APIs cloud: más dependencia, más riesgo de privacidad y más puntos de fallo, cuando muchas tareas de resumen o clasificación pueden ejecutarse en el dispositivo. Vibe-coding y deuda técnica - El caso de k10s muestra el lado B del ‘vibe-coding’ con agentes: se gana velocidad al inicio, pero la arquitectura se degrada, crece el acoplamiento y aparecen fallos de concurrencia difíciles de depurar. LLMs locales en Mac M4 - Pruebas en un MacBook Pro M4 con 24GB revelan que los LLMs locales ya sirven para trabajo interactivo, pero aún tropiezan en tareas largas y frágiles; la clave es ajustar expectativas y usar endpoints locales. Terminal con GPU y 3D - Ratty propone un terminal con renderizado por GPU y gráficos 3D en línea, una señal de que el terminal podría evolucionar hacia interfaces más visuales sin abandonar flujos de trabajo de texto. Afinador con acelerómetro móvil - Un afinador en el navegador convierte el acelerómetro del móvil en sensor de vibración para detectar la afinación sin micrófono, útil en entornos ruidosos y como ejemplo de sensores web bien aprovechados. James Burke y ciencia televisiva - Un clip de 1978 de James Burke en ‘Connections’ sigue fascinando por su explicación clara y puesta en escena; recuerda el valor de contar tecnología como una cadena de ideas conectadas. - Ratty Terminal Emulator Promises GPU Rendering and Inline 3D Graphics - GrapheneOS warns Apple and Google device attestation is spreading to the web and locking out alternatives - unix.foo - After Seven Months of AI ‘Vibe-Coding,’ Developer Archives k10s and Rewrites It for Better Architecture - Open Culture Revisits James Burke’s One-Take Rocket Launch Moment in "Connections" - Qwen 3.5-9B Emerges as a Practical Local LLM Choice on a 24GB M4 Mac - Web App Uses Phone Accelerometer to Tune Guitar Strings - Obsidian Shared Vaults Used in Social Engineering Campaign to Deploy PHANTOMPULSE RAT - James Shore Warns AI Coding Speedups Fail Without Lower Maintenance Costs - Satirical Report Mocks a Multi-Ecosystem Supply-Chain Attack That ‘Resolves’ by Accident Transcripcion del Episodio Attestation y bloqueo de dispositivos Arrancamos con una advertencia seria desde GrapheneOS: Apple y Google están ampliando la “attestation” basada en hardware, a través de Play Integrity y App Attest. Sobre el papel se vende como seguridad, pero el argumento es que, en la práctica, sirve para decidir quién puede usar una app o un servicio según el dispositivo y el sistema operativo. El punto delicado es el desplazamiento: de “proteger cuentas” a “exigir un sello de aprobación” para cosas tan básicas como pagos, identidad digital o verificación de edad. Y si esa lógica se extiende a la web —con mecanismos que empujan a validarte con un teléfono iOS o Android— el riesgo es convertir plataformas abiertas en jardines vallados, con consecuencias directas para competencia, accesibilidad y derechos digitales. Malware en Obsidian y plugins En la misma línea de confianza y control, investigadores de seguridad describen una campaña dirigida, REF6598, que usa algo tan cotidiano como Obsidian para colar malware. El gancho es social: contacto por LinkedIn, conversación que pasa a Telegram, y luego una invitación a colaborar en un “vault” compartido. El giro está en los plugins: al habilitar sincronización de extensiones de la comunidad, se activan versiones troyanizadas que terminan desplegando un nuevo RAT llamado PHANTOMPULSE. Lo más llamativo es su resiliencia: obtiene pistas de su servidor de mando y control leyendo datos en la blockchain de Ethereum, lo que complica el derribo. Moraleja práctica: la colaboración y los plugins son potentes, pero también amplían la superficie de ataque, sobre todo en perfiles con dinero o acceso privilegiado. Cadena de suministro: sátira realista Y para bajar la tensión sin dejar el tema, circula un “informe de incidente” satírico sobre una catástrofe de supply chain que empieza con una metida de pata humana —phishing tras perder una llave de 2FA— y termina en una propagación masiva por dependencias minúsculas y automatizaciones de CI. Aunque el tono sea de parodia, el mensaje es incómodamente real: el software moderno es una telaraña entre ecosistemas, y los puntos débiles suelen estar en cuentas de mantenedores, paquetes transitivos y actualizaciones automáticas. El chiste final es que el problema se “arregla” por accidente… y precisamente por eso funciona como espejo de lo difícil que es gobernar seguridad a escala en gestores de paquetes. IA local vs IA en la nube Pasamos a IA, pero desde un ángulo menos ruidoso y más útil: una crítica bastante directa a la costumbre de “meter IA” llamando a APIs en la nube para cualquier cosa. La idea central es simple: si tu app dependía de tu código y ahora depende de un proveedor externo, de su facturación, de sus límites, de su latencia y de sus caídas, has convertido una mejora de UX en un sistema distribuido con muchos puntos de fallo. Y además cambias el pacto de privacidad: enviar texto del usuario a terceros te obliga a pensar en retención, auditoría, cumplimiento y riesgos de filtración. Lo interesante es el contrapunto: cada vez más dispositivos —sobre todo móviles— pueden hacer tareas como resumir, clasificar o reescribir localmente, sin sacar los datos del aparato. No es que la nube no sirva; es que hay que reservarla para cuando de verdad aporte algo imprescindible. Vibe-coding y deuda técnica Esa discusión enlaza con otra historia que suena muy actual: un desarrollador decidió archivar y reescribir su panel TUI para Kubernetes, k10s, tras meses construyéndolo en sesiones de “vibe-coding” con un agente. Al principio, la sensación fue de velocidad brutal: pantallas nuevas y funciones a toda prisa. Pero el coste llegó después: arquitectura difusa, un “objeto dios” que lo controla todo, estados que se pisan entre vistas, atajos de teclado en conflicto y bugs de concurrencia que aparecen y desaparecen. Lo relevante aquí no es culpar a la IA, sino entender el patrón: los agentes tienden a optimizar la siguiente entrega, no la mantenibilidad. Y cuando el software crece, eso se paga. La lección: si usas agentes, necesitas límites claros de diseño y reglas de propiedad del código; de lo contrario, acabas reescribiendo igual, solo que más tarde. LLMs locales en Mac M4 Para rematar el bloque de productividad, otro análisis pone un marco económico sobre la mesa: los agentes de programación solo “ganan” a largo plazo si bajan el coste de mantenimiento, no si solo suben la cantidad de código producido. Porque el mantenimiento se acumula: bugs, actualizaciones, refactors, compatibilidad. Si duplicas el output pero el código es más difícil de cuidar, el subidón inicial se evapora y luego te quedas con una losa permanente. Incluso si el código fuese igual de mantenible, el simple hecho de tener más superficie incrementa trabajo futuro. Lo importante aquí es el criterio: medir éxito por mantenibilidad, no por líneas generadas ni tickets cerrados. Terminal con GPU y 3D Y si te preguntas por el estado real de los modelos locales, hay una experiencia concreta probando LLMs en un MacBook Pro M4 con 24GB: sí, se puede trabajar con modelos decentes de forma ágil, especialmente en modo interactivo, con el humano guiando de cerca. La conclusión no es “adiós nube”, sino “ojo con las expectativas”: los modelos locales todavía sufren en tareas largas y complejas, pero son atractivos para offline, para reducir dependencia de proveedores y para experimentar con flujos de trabajo usando endpoints compatibles con APIs conocidas. En resumen: útiles como herramienta de apoyo, no como piloto automático. Afinador con acelerómetro móvil Cambiamos de tema con una rareza que apunta a futuro: Ratty, un emulador de terminal que presume de renderizado por GPU y hasta gráficos 3D en línea. Más allá del ‘wow’, lo que importa es la señal: el terminal, ese símbolo del texto puro, podría ganar capacidades visuales sin abandonar su eficiencia. Si estas ideas cuajan, podríamos ver depuradores, visualizaciones o dashboards más ricos dentro de flujos de trabajo tradicionales, en lugar de saltar siempre al navegador o a una app pesada. James Burke y ciencia televisiva Otra idea pequeña pero ingeniosa: un afinador de guitarra en el navegador que, en vez de usar el micrófono, usa el acelerómetro del móvil. Pegas el teléfono al cuerpo de la guitarra, haces vibrar una cuerda y el sistema detecta la frecuencia por vibración física. Es interesante por dos razones: funciona mejor en ambientes ruidosos, y demuestra cómo los sensores del móvil —bien usados— pueden abrir herramientas prácticas sin instalar nada, solo con permisos de movimiento. Story 10 Cerramos con una nota cultural que también es tecnológica: un artículo vuelve a un clip de apenas 80 segundos de James Burke en la serie ‘Connections’ de 1978, una toma cuidadosamente sincronizada con un lanzamiento de cohete detrás. No es nostalgia vacía: recuerda una forma de explicar tecnología conectando ideas aparentemente lejanas, desde objetos cotidianos hasta hitos como la carrera espacial. En tiempos donde abundan los fragmentos rápidos, es un buen recordatorio de que la claridad y el contexto siguen siendo una ventaja competitiva. Suscríbete a fuentes específicas por edición: - Space news * Apple Podcast English * Spotify English * RSS English Spanish French - Top news * Apple Podcast English Spanish French * Spotify English Spanish French * RSS English Spanish French - Tech news * Apple Podcast English Spanish French * Spotify English Spanish Spanish * RSS English Spanish French - Hacker news * Apple Podcast English Spanish French * Spotify English Spanish French * RSS English Spanish French - AI news * Apple Podcast English Spanish French * Spotify English Spanish French * RSS English Spanish French Visit our website at https://theautomateddaily.com/ Send feedback to [email protected] Youtube LinkedIn X (Twitter)