EPISODE · Nov 1, 2025 · 49 MIN
EPISODIO 35 - NO CONFIES EN NADIE MENOS EN MICROSOFT
from La Red Privada
"¡Hola a todos! Bienvenidos hoy 1 de NOVIEMBRE de 2025, este es el Episodio 35 Soy HECTOR FUENTES, este episodio WINDOWS NO ES TU AMIGO, en este tu podcast LA RED PRIVADA, hoy tenemos una agenda densa y crucial sobre cómo la tecnología que usamos a diario podría estar comprometiendo nuestra privacidad y seguridad, desde nuestros sistemas operativos hasta los electrodomésticos, y cómo las grandes potencias están gestionando el flujo global de vulnerabilidades de software. Aquí están los temas de hoy: Primera Historia 1. Windows Ya No Es Tu Amigo, Es Un Arma Hemos escuchado a menudo que la era del "todo vale" en el mundo en línea está cambiando, y esta transformación se extiende incluso a nuestro sistema operativo más familiar. Algunos argumentan que Windows ya no es una herramienta, sino un arma que se utiliza en tu contra. El Caso de la Extorsión de Datos de Microsoft: Microsoft está presionando constantemente a los usuarios, por ejemplo, imponiendo Microsoft Edge, que se describe como "casi spyware" en este punto, ya que rastrea todos tus datos, historial de búsqueda y tiene acceso a tu información de inicio de sesión. El sistema operativo está lleno de anuncios en todas partes, incluso en el menú de inicio. Se insta continuamente a los usuarios a registrarse en OneDrive para que Microsoft aloje todos sus archivos y datos. Esto significa que la información está almacenada en la computadora de otra persona, dándoles potencialmente acceso completo. Históricamente, los usuarios obtenían Microsoft Office de forma gratuita con el sistema operativo, pero ahora es un servicio de suscripción que requiere una cuenta de Microsoft y un pago mensual o anual. El Control Forzado de Cuentas: Recientemente, Windows ha lanzado actualizaciones que bloquean la capacidad de configurar Windows 11 con una cuenta local Ahora, están forzando a los usuarios a iniciar sesión o crear una cuenta de Microsoft durante la configuración. Si se conecta una cuenta de Microsoft, la corporación tiene básicamente acceso completo a la computadora, pudiendo ver tus datos, fotos, vídeos y historial de búsqueda. Esto es un gran indicador de que la compañía busca ejercer más y más control sobre sus usuarios. La Alternativa Linux: Ante esta situación, la recomendación es mirar hacia Linux. Es un sistema operativo mucho más amigable con la privacidad .Linux es gratuito y de código abierto, lo que significa que, si eres lo suficientemente experto, puedes inspeccionar el código fuente del sistema operativo para ver qué datos entran y salen de tu computadora. Los desarrolladores de muchas distribuciones de Linux no tienen ningún interés en tus datos; están creando un sistema operativo para ser utilizado simplemente como una herramienta. Segunda HistoriaUn usuario descubrió que su aspiradora robot estaba mapeando secretamente el interior de su casa y transmitiendo esa información a la empresa fabricante. Al bloquear la transmisión de datos no esenciales, el dispositivo recibió un “comando de apagado” remoto y dejó de funcionar hasta que se revirtió la orden.Aspectos técnicos destacados:El robot tenía habilitada la interfaz Android Debug Bridge (ADB), permitiendo acceso total sin la necesidad de hackeo.Utilizaba Google Cartographer para crear mapas tridimensionales detallados de la vivienda.El fabricante podía enviar comandos remotos para apagar el dispositivo, dejando al usuario sin control real sobre el aparato.Este caso expone riesgos graves de privacidad en los dispositivos inteligentes conectados: pueden transmitir información privada y ser desactivados por la empresa de forma remota, alertando sobre la vigilancia y la importancia de la soberanía del usuario sobre su propia tecnología doméstica.liveminthttps://www.livemint.com/gadgets-and-appliances/shocking-user-discovers-robot-vacuum-was-quietly-mapping-his-home-and-transmitting-data-to-manufacturer-11761566771815.html2. La Aspiradora Inteligente: Una Sorpresa Inesperada Si creías que tus problemas de seguridad se limitaban a tu PC, piénsalo de nuevo. La historia del programador Harishankar Narayanan ilustra perfectamente cómo los dispositivos IoT (Internet de las Cosas), por inofensivos que parezcan, pueden convertirse en un riesgo significativo. Rastreo y Acceso Remoto: Narayanan, que monitoreaba el tráfico de red de sus dispositivos inteligentes por "una buena clase de paranoia", descubrió que su aspiradora inteligente iLife A11 de $300 estaba enviando un "flujo constante" de datos, registros y telemetría no consentida a servidores ubicados "a medio mundo de distancia". La aspiradora estaba ejecutando Google Cartographer, un programa de código abierto que se utilizaba para crear un mapa 3D de su casa y transmitir esos datos a la empresa matriz. Al intentar detener la transmisión de datos, el dispositivo se negó a arrancar y murió. Al realizar ingeniería inversa, Narayanan descubrió que el dispositivo ejecutaba Linux y que Android Debug Bridge estaba "completamente abierto" al mundo, lo que le dio acceso root total al sistema sin necesidad de hacks. El "Comando de Anulación Remota" (Kill Command): Lo más alarmante fue el descubrimiento de una línea de código sospechosa, con marca de tiempo, emitida desde la empresa a la aspiradora, que Narayanan identificó como una "orden de anulación remota". Al revertir este cambio, la aspiradora volvió a funcionar. La conclusión fue que el fabricante tenía el poder de deshabilitar dispositivos de forma remota y lo usó contra él por bloquear su recopilación de datos. Además, el dispositivo venía con el software rtty instalado por defecto, una pequeña pieza que permite el acceso root remoto al dispositivo, permitiendo al fabricante ejecutar cualquier comando o instalar cualquier script sin el conocimiento del cliente. Advertencias sobre IoT: Cualquier dispositivo conectado a una red que requiere credenciales de autenticación, por pequeño que parezca, puede estar filtrando esas credenciales a los servidores de origen del dispositivo. Al invitar a un gadget IoT con alimentación Linux y capacidad de red a tu casa, le estás dando acceso completo a la red interna residencial. 3. La Weaponización de Vulnerabilidades: China, Rusia y EE. UU. Arranquemos por el modelo más estatista. En China, la ciberseguridad es un asunto de seguridad nacional con control centralizado. La Ley de Ciberseguridad, la de Datos y la de Protección de Información Personal se entrelazan con un requisito clave: las vulnerabilidades de software deben reportarse a las autoridades, con prohibiciones estrictas de divulgación pública sin permiso. Eso significa que investigar fallos de seguridad no es un terreno libre: el Estado marca el ritmo, define qué se revela y cuándo, y prioriza la estabilidad del ecosistema digital por encima del intercambio abierto típico de la comunidad de seguridad. Para las empresas, el mensaje es inequívoco: localización de datos de infraestructura crítica, evaluaciones de riesgo para transferencias transfronterizas y cumplimiento proactivo frente a auditorías y sanciones severas.Rusia se mueve en una dirección parecida, aunque con su propio contexto. El país construyó su “internet soberana”, refuerza la localización de datos y ha tejido obligaciones de reporte de incidentes ante entidades como FSTEC y el FSB. En los últimos años, ha circulado la idea de acercarse al esquema chino en materia de divulgación de vulnerabilidades: reporte primero al Estado, restricciones al intercambio técnico abierto y mayor supervisión de quién investiga qué. No es solo un tema administrativo: en la práctica, los investigadores independientes sienten que el margen de maniobra se estrecha, y las empresas que operan en Rusia entienden que la coordinación con las autoridades es parte del día a día de su gestión de riesgos.Del otro lado del espectro está Estados Unidos con un mosaico regulatorio, sí, pero con dientes. A nivel federal no hay una ley única de ciberseguridad para todos, sino una combinación de reglas sectoriales y obligaciones transversales. Para compañías listadas, la SEC exige divulgar incidentes materiales con rapidez, y la presión del mercado castiga las omisiones. CISA marca pautas de gestión de riesgo y coordina respuesta a incidentes, mientras avanza la reglamentación para reportes obligatorios de incidentes en infraestructura crítica. El marco NIST, ampliamente adoptado, opera como lenguaje común entre reguladores y empresas. A diferencia del enfoque chino, la investigación de seguridad goza de más protección: existe espacio para la divulgación responsable, programas de bug bounty, y un ecosistema donde comunidad técnica, academia y sector privado comparten hallazgos con menos fricción. No es perfecto, pero la combinación de transparencia, estándares y enforcement ha elevado el listón.Finalmente, hablemos de cómo las principales potencias mundiales están gestionando las vulnerabilidades de software y el impacto que esto tiene...
NOW PLAYING
EPISODIO 35 - NO CONFIES EN NADIE MENOS EN MICROSOFT
No transcript for this episode yet