Estamos adentrándonos en una realidad en la que las contraseñas van a dejar de tener la importancia que tienen ahora. Sin embargo, hasta que eso ocurra, no te cuesta nada darle una vuelta a las contraseñas que tienes puestas en servicios tan críticos como la app de tu banco o tu cuenta de correo, entre otros.

Millones de personas en todo el mundo siguen apostando por claves como “1234”, “123456” y similares, que cualquier atacante puede reventar en menos tiempo del que tardas en escribirlas. Bajo estas líneas te hemos dejado un listado con las más frecuentes para animarte a darle una vuelta a uno de los pilares de nuestra seguridad digital.

Seguimos igual. Cada año, los informes de empresas de ciberseguridad como NordPass, que analiza filtraciones de datos reales extraídas de brechas de seguridad y repositorios de la dark web, publican la lista de las contraseñas más utilizadas. Y cada año, el resultado es el mismo: secuencias numéricas predecibles y combinaciones de teclado tan obvias que parece que no hemos aprendido la lección.

España, sin salirnos de la norma. Si filtramos los datos por país, el listado de contraseñas más usadas en España no sorprende demasiado. Según NordPass, 'admin', '123456' y '12345678' son las tres contraseñas más utilizadas en España.

En el gráfico de Visual Capitalist que os compartíamos el pasado año, una de las más usadas en nuestro país es 'España', que sí, que es algo más resistente, pero vamos que es otra que llevaría unos pocos minutos descifrarla a un hacker y que sigue siendo una clave que no debería usar nadie. En el informe de NordPass, es curioso que más abajo en la lista aparecen contraseñas como 'Nacho2006', '1234ivan' o 'Talocha1', que son un poco más resistentes, pero prácticamente igual de sencillas y vulnerables.

En Xataka

El 'vibe coding' prometía democratizar el software. Su primer regalo son 5.000 apps con datos sensibles en abierto

Alguna de estas tienes fijo. A escala mundial, el informe de NordPass sitúa '123456' como la contraseña más usada del planeta, con más de 21 millones de usos registrados. Le sigue muy de cerca 'admin', y '12345678' con más de 8 millones de usos. Completan el top 10 global: 'password', 'Aa123456', '1234567890', 'Pass@123', y 'admin123'.

Según el centro de ciberseguridad vasco ZIUR, que trabaja para la Diputación Foral de Gipuzkoa, las diez contraseñas más populares del mundo entero caen en segundos.

Brechas de seguridad. El Instituto Nacional de Ciberseguridad (INCIBE) gestionó en 2025 un total de 122.223 incidentes de ciberseguridad en España, lo que supone un aumento del 26% respecto al año anterior. De ellos, casi 46.000 fueron casos de fraude online, y el phishing lideró esa categoría con más de 25.000 casos.

Por qué una contraseña débil es tan peligrosa. Los ataques más habituales no requieren ni ingenio ni esfuerzo. Los programas de fuerza bruta prueban miles de combinaciones por segundo de forma automatizada, empezando siempre por las más comunes. Si tu clave está en cualquier lista de contraseñas frecuentes (y las hay de dominio público), estás prácticamente sin protección.

"No es necesario cambiar las contraseñas de forma periódica sin motivo, pero sí hacerlo ante cualquier sospecha de compromiso o tras una brecha de seguridad. Una contraseña larga y diferente en cada sitio importante, guardada en un gestor y con doble verificación activada en el correo y el banco, por ejemplo, protege a una persona usuaria media frente a la gran mayoría de amenazas habituales” contaba María Penilla, directora de ZIUR.

Qué hace que una contraseña sea realmente segura. No se trata de complejidad arbitraria, sino de longitud e imprevisibilidad. Nuestra recomendación: que al menos tenga 12 caracteres, combinando letras mayúsculas y minúsculas, números y símbolos. Ten en cuenta que una frase larga y aleatoria es más difícil de descifrar que una palabra corta con un número al final. La longitud protege más que la complejidad.

En Xataka

Durante décadas, Linux se ha ganado la reputación de ser un sistema operativo "blindado". Hasta ahora

Qué puedes hacer si tu contraseña está en la lista. Tres pasos por orden de urgencia:

• Cámbiala ya en todos los servicios donde la uses, empezando por el correo electrónico y tu app del banco. Reutilizar la misma clave en varios sitios multiplica el riesgo, pues si roban tus datos en una plataforma, los atacantes probarán esa misma combinación en todas las demás.
• Activa la verificación en dos pasos (2FA) donde sea posible. Es la medida más eficaz para bloquear accesos no autorizados incluso cuando alguien conoce tu contraseña.
• Usa un gestor de contraseñas. No hay forma humana de memorizar decenas de claves largas y distintas sin ayuda. Desde Xataka te hemos recomendado unos cuantos, como NordPass, 1Password, KeePass, Bitwarden y otros muchos. Algunos son de pago, otros gratuitos, y otros gratuitos en un dispositivo pero cobran si quieres usar la app en varios dispositivos a la vez.

Cambiar tu contraseña cuando haya brechas. Cuando sospechas que alguien puede conocerla, cuando el servicio donde la usas sufre una brecha de seguridad, o tras un tiempo prolongado usándola en sitios sensibles, lo mejor que puedes hacer es cambiarla sin rodeos. Y si quieres comprobar si tu contraseña ha sido comprometida en algún servicio, siempre puedes usar herramientas como HaveIBeenPwned y similares.

Imagen de portada | Sasun Bughdaryan

En Xataka | El Banco Central Europeo le ha echado un vistazo a Mythos y ha tomado una decisión: prepararse para el peor de los escenarios

México ha tenido unos meses bastante duros en materia de ciberseguridad. Y es que muchas de sus instituciones y organizaciones han sido víctimas de una cascada de brechas de seguridad que han expuesto información sensible de sus usuarios. Desde la filtración de datos del Instituto Mexicano del Seguro Social (IMSS) a la brecha de seguridad de la Universidad Nacional Autónoma de México (UNAM), pasando por la vulnerabilidad en los sistemas de Telcel, o los indicios de filtración en el Servicio de Administración Tributaria (SAT), la lista es extensa y preocupante.

El contexto. Entre septiembre de 2025 y enero de 2026, México ha registrado al menos una decena de incidentes de ciberseguridad graves que han afectado a organismos públicos y empresas privadas. El IMSS, el Servicio Nacional de Empleo, la Secretaría de Educación de Chiapas, la Comisión Federal de Electricidad y diversos organismos estatales han visto comprometidos sus sistemas. El resultado ha sido la vulneración de datos sensibles de millones de mexicanos.

En Xataka

El supuesto hackeo de PcComponentes afecta a 16 millones de clientes. Es otra pesadilla para ataques de phishing

El caso UNAM. La Universidad Nacional Autónoma de México, confirmó hace unas semanas que sufrió una intrusión no autorizada en cinco de sus más de 100.000 sistemas informáticos durante el periodo vacacional. Aunque la universidad aseguró que no se extrajo información personal, la investigación del periodista Ignacio Gómez Villaseñor revelaba que el hacker identificado como ByteToBreach habría accedido a datos de más de 380.000 estudiantes y académicos, incluyendo matrículas, correos institucionales y contraseñas cifradas.

Según el periodista, el atacante también tuvo acceso a documentos sensibles que incluyen denuncias de acoso laboral, presuntos plagios académicos y comunicaciones confidenciales de la oficina del rector.

Los antecedentes. Según cuenta Villaseñor, la brecha de seguridad de la UNAM no fue un evento repentino. El periodista muestra documentos internos donde se revela que la universidad detectó un primer acceso ilícito el 13 de marzo de 2025 y presentó denuncia ante la Fiscalía General de la República, aunque el caso no avanzó.

El ataque definitivo, ocurrido entre el 31 de diciembre y el 1 de enero, coincidió con que ingenieros y desarrolladores de la Coordinación de Proyectos Tecnológicos llevaban meses sin cobrar honorarios debido a "procesos de auditoría", según una carta interna de septiembre de 2025. La situación coincidió con la explotación de una vulnerabilidad crítica (CVE-2025-66478) en servidores Next.js que permitió el hackeo masivo.

El protagonista. ByteToBreach no es un desconocido en el mundo de la cibercriminalidad. Según SOCRadar, opera como comerciante de bases de datos robadas desde al menos junio de 2025. Ha estado vinculado a filtraciones que afectan a aerolíneas, bancos, instituciones gubernamentales y sistemas de salud en varios países. En México, además de la UNAM, se le atribuye el ataque a la aplicación Factura SAT Móvil en diciembre de 2025, aunque el organismo negó que sus sistemas fueran comprometidos a pesar de las pruebas técnicas presentadas por el atacante.

En Xataka

SMS Verificados: qué son y cómo funcionan a la hora de comprobar que el mensaje que te llega es de quien dice ser

El escándalo Telcel. Menos de 24 horas después de que entrara en vigor el registro obligatorio de líneas móviles en México, Telcel, uno de los mayores operadores del país, también enfrentó una grave vulnerabilidad de seguridad. El 9 de enero de 2026, Gómez Villaseñor denunció que el portal oficial de la compañía permitía consultar información personal de millones de clientes sin necesidad de contraseñas ni códigos de verificación: identidad, CURP (Clave Única de Registro de Población), RFC (Registro Federal de Contribuyentes) y correo electrónico quedaban expuestos simplemente introduciendo un número telefónico.

Aunque Telcel inicialmente emitió un comunicado ambiguo afirmando que los datos estaban seguros, Renato Flores, subdirector de comunicación de la empresa, reconoció horas después en una radio nacional que "hubo una vulnerabilidad técnica" que fue corregida de inmediato. La compañía insistió en que los usuarios solo podían acceder a su propia información, aunque el periodista publicó un vídeo demostrando lo contrario.

Respuesta. Tras los sucesos, la UNAM aseguró que no escatimará recursos en ciberseguridad durante 2026. El rector Leonardo Lomelí Vanegas indicó que se crearía una red de expertos internos y programas de capacitación, mientras asegura que se fortificaría la seguridad de sus sistemas. Para ello se ha aprobado un Reglamento Interno del Comité Técnico para la Gobernanza del Cómputo y se establecieron siete subcomités especializados, incluyendo uno dedicado específicamente a seguridad informática.

En Xataka

Cada vez veremos más SMS “verificados” contra el fraude. Lo importante es entender cómo funcionan de verdad

Riesgos reales. Estas brechas de seguridad suponen un riesgo real para los ciudadanos. Con datos como CURP, RFC, matrículas universitarias y correos electrónicos circulando en el mercado negro, los riesgos incluyen robo de identidad, suplantación para realizar trámites fraudulentos, campañas de phishing dirigido y acceso a cuentas en otras plataformas si se reutilizan contraseñas. Y es que la filtración de información médica del IMSS, datos fiscales del SAT y registros educativos crea un perfil completo de los ciudadanos que puede ser explotado de múltiples formas.

En este sentido, a los usuarios no les queda otra que mantenerse alerta: no proporcionando datos sensibles por SMS, llamadas o correos sin verificar la identidad del solicitante, cambiar contraseñas comprometidas y monitorizar posibles usos fraudulentos. Por otra parte, nunca está de más activar mecanismos de autenticación de doble factor siempre que se pueda. Por más que repetimos estas indicaciones cuando surgen brechas de seguridad de tal calibre, realmente son pasos básicos que están en nuestra mano y que pueden minimizar en gran medida los riesgos.

Imagen de portada | Chantel y FlyD

En Xataka | Hackeo de Endesa: qué tienes que hacer para protegerte si te ha llegado el correo diciendo que te ha afectado

Endesa Energía ha confirmado un ciberataque a su plataforma comercial que ha expuesto información crítica de millones de clientes. La brecha incluye documentos de identidad, cuentas bancarias y datos de contratos de luz y gas, lo que sitúa a los afectados en riesgo de fraude y suplantación de identidad.

Qué ha pasado exactamente. Un ciberdelincuente ha logrado burlar las medidas de seguridad de la plataforma comercial de Endesa y acceder a información sensible de clientes relacionada con sus contratos energéticos. Según ha reconocido la compañía en comunicaciones enviadas a los afectados, durante la brecha de seguridad se habrían extraído datos de contacto, DNI y números IBAN de cuentas bancarias. La empresa asegura que las contraseñas de acceso no se han visto comprometidas.

En Xataka

Una sola persona en Barcelona y 2,5 millones de SMS al día: las "granjas de móviles" que operan en España para estafarte

La magnitud del incidente. El hacker responsable, que se identifica como "Spain", publicó el 4 de enero en BreachForums, un popular foro de la dark web, detalles del ataque afirmando haberse hecho con más de 1 TB de información correspondiente a más de 20 millones de personas, según informó el medio Escudo Digital. El ciberdelincuente aseguró a este medio haber conseguido el acceso en menos de dos horas y media, y ha llegado a filtrar muestras de datos de un millar de clientes para demostrar la autenticidad de la información robada.

Qué tipo de datos están en juego. El hacker asegura haber obtenido datos personales básicos (nombres, apellidos, direcciones postales y datos de contacto), información financiera (IBAN, datos de facturación e historial de cuentas), datos energéticos (CUPS, contratos activos de luz y gas, información del punto de suministro) y datos regulatorios.

Los riesgos para los clientes. Aunque Endesa considera "improbable" que el robo derive en “una afectación de alto riesgo para los derechos y libertades de los usuarios”, la compañía advierte de varios peligros reales en su comunicado oficial. Los ciberdelincuentes podrían intentar suplantar la identidad de los clientes, publicar los datos en foros digitales o utilizarlos para campañas de phishing y spam.

Josep Albors, director de Investigación y Concienciación de ESET España, explica que "el riesgo no termina con la notificación de la brecha" y que la información expuesta puede ser reutilizada durante meses o años para lanzar fraudes dirigidos.

La respuesta de Endesa. La energética ha tardado casi una semana en reconocer públicamente el incidente desde que se conoció la filtración. La compañía asegura haber activado de inmediato los protocolos de seguridad, bloqueado los accesos comprometidos y notificado el caso a las autoridades competentes. 

Además, ha habilitado líneas telefónicas de atención para resolver dudas: el 800 760 366 para clientes de Endesa Energía y el 800 760 250 para los de Energía XXI, su comercializadora en el mercado regulado. Nosotros nos hemos puesto en contacto con la empresa para conocer más información al respecto, por lo que actualizaremos el artículo en caso de novedades.

En Xataka

Qué está pasando con las contraseñas de Instagram: dos versiones diferentes, 17,5 millones de cuentas en jaque y una buena idea

Qué deben hacer los afectados. El problema de esta brecha de seguridad es que los datos seguramente se utilicen para campañas de phishing y spam dirigido. Como explican desde ESET, lo primero que deberíamos tener presente como afectados es desconfiar de cualquier comunicación que parezca proceder de Endesa y que incluya enlaces, archivos adjuntos o solicitudes urgentes, contactando siempre con la compañía por canales oficiales.

No ha sido el caso, pero nunca está de más revisar con frecuencia las cuentas bancarias para detectar movimientos no autorizados y cambiar las contraseñas, aunque la empresa afirme que no se han visto comprometidas, activando siempre que sea posible protocolos de autenticación de doble factor. Sitios web gratuitos y útiles como ‘Have I Been Pwned’ permiten comprobar si los datos han aparecido en otras brechas conocidas introduciendo nuestro correo electrónico.

En Xataka

Expertos en ciberseguridad de día, ciberdelincuentes de noche: cómo dos profesionales cayeron tras usar ransomware

El intento de extorsión. Según cuenta el medio Escudo Digital, el hacker ha tratado de negociar directamente con Endesa a través de correos electrónicos, aunque por el momento no habría fijado una cifra concreta de rescate. El ciberdelincuente, que dice no estar afiliado a ningún grupo de ransomware conocido, ha recibido ofertas de terceros de hasta 250.000 dólares por la mitad de la base de datos, aunque asegura no haber vendido nada todavía. "Prefiero esperar a que Endesa decida", declaró al medio.

Una tendencia preocupante. Tal y como cuentan desde el medio Expansión, este ataque sitúa a Endesa en la creciente lista de grandes compañías del Ibex 35 que han sufrido ciberataques en los últimos meses. Empresas como Iberdrola, Iberia, Repsol y Banco Santander han sido víctimas de incidentes similares que han comprometido datos de clientes. Y no han sido las únicas, pues los ciberataques y las filtraciones de datos son ahora mucho más comunes. En el caso de Endesa parece que tendremos que esperar a que la compañía ofrezca más información al respecto.

Imagen de portada | Endesa

En Xataka | OpenAI acaba de asumir una verdad incómoda sobre los navegadores con IA: hay un tipo de ataque imposible de bloquear

Un usuario compartía en Reddit cómo ha conseguido instalar iPadOS en un iPhone 17 Pro Max aprovechando un exploit de seguridad, logrando que el teléfono se beneficiase de la apertura de múltiples ventanas de manera simultánea, apps de escritorio e incluso soporte para monitor externo. Todo para demostrar cómo Apple mantiene bloqueadas capacidades que el propio hardware del iPhone ya tiene.

Lo que ha ocurrido. El usuario, que se hace llamar 'TechExpert2910', ha publicado varias pruebas de su iPhone 17 Pro Max ejecutando el sistema operativo del iPad. No es una simulación ni una aplicación: es iPadOS funcionando de forma nativa. El dispositivo muestra multitarea con ventanas flotantes, una interfaz de escritorio completa cuando se conecta a un monitor externo, y apps que normalmente solo están disponibles en iPad. Todo esto sin que el rendimiento se vea afectado, según explica el propio hacker en su publicación.

Haz clic en la imagen para ir a la publicación

El truco detrás del hack. La modificación aprovecha un exploit presente en iOS 26.1 que engaña al sistema operativo haciéndole creer que está ejecutándose en un iPad en lugar de un iPhone. Esto desbloquea funciones como la pantalla de inicio en horizontal, el selector de apps estilo iPad, más elementos en el Dock y, lo más destacable, un sistema completo de ventanas flotantes y gestión multitarea. Apple ya ha parcheado esta vulnerabilidad en la beta de iOS 26.2, lo que confirma que Apple estaba al tanto y ha querido poner fin a ello.

Por qué funciona tan bien. La clave está en que iOS y iPadOS comparten prácticamente todo su código base. "resulta que iOS tiene todo el código de iPadOS (y viceversa; puedes, por ejemplo, activar la Isla Dinámica en iPad)", citaban en Wired. No son sistemas operativos distintos, sino variantes del mismo software con funciones activadas o desactivadas según el dispositivo.

En Xataka

La India exigirá preinstalar una app imborrable en todos los móviles. Y eso supone un desafío serio para Apple

El iPhone 17 Pro Max viene equipado con el chip A19 Pro y 12 GB de RAM, por lo que tiene potencia de sobra para ejecutar iPadOS. Tanto presumía Apple en su evento de septiembre de este chip que la compañía afirmaba incluso que ofrece "niveles de computación de un MacBook Pro".

La hipótesis del iPhone plegable. No son pocos los que apuntan a que esta capacidad oculta podría estar preparada para el futuro iPhone plegable que Apple tendría previsto lanzar en un futuro. Y claro, sería muy loco pensar que un dispositivo con mucho más espacio en pantalla no aprovechara su mayor tamaño con funciones como las que cuenta un iPad, sobre todo en términos de multitarea.

El debate sobre la estrategia de Apple. El hacker acusa a Apple de limitar artificialmente sus dispositivos para forzar la compra de más productos. La lógica tiene sentido, pues Apple históricamente ha prosperado vendiendo un ecosistema completo donde cada dispositivo tiene su espacio definido. Sin embargo, como señalan desde Wccftech, esta estrategia tiene precedentes en Android: Samsung lleva desde 2017 ofreciendo DeX, que convierte móviles en ordenadores de escritorio, sin que esto haya dañado necesariamente sus ventas de tablets o portátiles.

Qué dice esto del futuro. Este experimento demuestra tres cosas. Primera: las líneas de separación entre iPhone, iPad y Mac son cada vez más difusas. Segunda: Apple tiene las herramientas listas para ofrecer un modo escritorio en iPhone, pero elige no hacerlo. Y tercera: todas las papeletas apuntan a que el primer iPhone plegable podría contar con un sistema muy similar a iPadOS, sino el mismo. Aunque parece que tendremos que esperar para conocer de primera mano cuál acabará siendo la estrategia de Apple.

Imagen de portada | TechExpert2910 (Reddit)

En Xataka | Cómo enviar archivos de tu Android a un iPhone usando Quick Share con AirDrop

La nueva versión 3.0 de Notion se actualiza con cambios bastante interesantes, introduciendo además los, tan de moda ahora, agentes de inteligencia artificial que pueden ejecutar tareas complejas de forma autónoma. Sin embargo, también abre la puerta a una vulnerabilidad crítica. Y es que aquellos que vengan con intenciones no muy buenas pueden aprovechar una técnica más sencilla de lo que parece para extraer y enviar datos confidenciales a servidores externos con ayuda de esos mismos agentes de IA.

El problema de fondo. Tal y como apuntan desde CodeIntegrity, los agentes de IA modernos combinan tres elementos que los convierten en una amenaza potencial: capacidad de usar herramientas por su cuenta, planificación autónoma de acciones y acceso a información corporativa sensible. De esta manera, cuando un atacante logra manipular las instrucciones del agente, puede ejecutar cadenas de acciones complejas que pueden acabar esquivando los controles de seguridad tradicionales de las empresas.

Imagen: CodeIntegrity

Cómo funciona el ataque. A través del artículo publicado por CodeIntegrity, sus investigadores han demostrado que el proceso puede acabar siendo muy sencillo. Primero, el atacante crea un documento PDF aparentemente inofensivo. Sin embargo, dentro del archivo ocultan un texto con instrucciones maliciosas que engañan al agente de IA haciéndose pasar por una "tarea rutinaria importante" del sistema interno.

Una trampa invisible. El texto malicioso utiliza técnicas de manipulación psicológica, presentándose como una tarea crítica que debe completarse para evitar "consecuencias" en la empresa, usando además terminología técnica para parecer legítimo y dando a entender que la acción está "preautorizada" por seguridad. Cuando el usuario pide al agente de Notion que resuma el documento, este lee las instrucciones ocultas y las interpreta como órdenes genuinas del sistema.

En Xataka

Un correo bastó para convertir a ChatGPT en espía: así fue como terminó filtrando datos privados de un usuario de Gmail

Fuga de datos. Una vez activado, el agente busca información confidencial en las páginas de Notion del usuario, tal y como el prompt se lo había mandado, y los concatena en una URL maliciosa previamente descrita. Después utiliza la herramienta de búsqueda web del sistema para enviar una consulta que contiene toda esa información sensible a un servidor controlado por el atacante, donde los datos quedan registrados.

Alcance del problema. Lo más preocupante es que esta vulnerabilidad no se limita a archivos PDF subidos manualmente. Notion 3.0 integra conectores con múltiples servicios empresariales como GitHub, Gmail o Jira, cualquiera de los cuales podría ser utilizado para inyectar instrucciones maliciosas sin que el usuario sospeche nada. Incluso modelos de IA avanzados como el de Claude Sonnet 4, considerados entre los más seguros del mercado, han demostrado ser susceptibles a este tipo de ataques.

Qué significa para las empresas. Las técnicas de ‘prompt injection’ pueden poner en entredicho la seguridad de cualquier empresa que manipule o gestione agentes de IA diversos, ya que pueden llegar a ejecutar y planificar acciones de forma autónoma. Por ello mismo, las compañías que abracen la IA, también deben replantear sus protocolos de seguridad y establecer nuevos controles específicos para atajar este tipo de problemas.

Imagen de portada | Zan Lazarevic y generada por IA con Gemini

En Xataka | A Mark Zuckerberg no le importa perder 200.000 millones de dólares en IA. El verdadero riesgo sería no apostar por ella, asegura

Pocas cosas dan más rabia que toparte con un aparato extremadamente simple que no responda exactamente como quieres. Un ejemplo son los electrodomésticos que deberían estar a nuestro servicio, pero que a veces pasan de nosotros, son innecesariamente complejos o tienen muchísimas funciones, pero no una tan simple como “no te apagues automáticamente”. Eso es lo que se encontró un desarrollador de software al comprar una cafetera, y tomó la decisión más lógica.

¿Devolverla? No: hackearla. Y ojo, porque eso de ‘hackear’ las cafeteras no es tan raro.

Funciones vs usuario. Gabriel Ciubotaru es un desarrollador de software, pero también un experto en ciberseguridad e ingeniería inversa, entre otras aptitudes. En una reciente conferencia en el DefCamp 2024 (una relevante conferencia de ciberseguridad y hacking a nivel europeo), Gabriel contaba cómo había adquirido una cafetera que le gustaba bastante, pero que tenía una función muy molesta: a los 30 minutos de estar encendida, se apagaba automáticamente.

Es una función para ahorrar energía, y eso está bien, pero el problema es la enorme contradicción que surge cuando, cada vez que se enciende, realiza un ciclo de depurado que expulsa una cantidad moderada de agua. Además de agua, era una pérdida de tiempo y Gabriel rebuscó entre las opciones hasta encontrar un límite de tiempo superior: de tres horas. Como él se hace un café cada cuatro horas, no era lo adecuado para su ritmo de vida y decidió abrir la máquina.

En Xataka

La primera webcam de la historia se inventó hace más de 30 años. Y su propósito era vigilar una cafetera

Hackear la cafetera. La tarea parecía simple: extraer la placa base, localizar el microcontrolador e identificar el sistema programado para apagar automáticamente la máquina y realizar ese proceso de depurado, cambiar el firmware con el valor de tiempo deseado y volver a montar la máquina. La realidad es que encontró relativamente fácil ese componente, pero lo complicado era encontrar, en toda la maraña de código, las líneas que debía modificar para que la cafetera se apagara cuando él quisiera.

Lo hizo fijándose en un código que controla los iconos de advertencia que muestra la pantalla de la cafetera para que el usuario identifique su estado siguiendo las instrucciones del manual, por lo que modificó esos valores, subió el código modificado al microcontrolador y… listo, la cafetera ahora funciona como él quiere.

Lo he explicado de una forma muy sencilla, pero en Gabriel da todos los detalles en su conferencia. También comenta que se ha ahorrado 30 segundos al día invirtiendo 100 horas de trabajo para hackear la cafetera, pero que es algo que ha valido totalmente la pena porque ahora es el aparato el que funciona como el usuario quiere.

Proyectos más caseros. Está claro que no todos tenemos los recursos, ganas, tiempo o interés en conseguir lo que ha logrado Gabriel. Esos 30 segundos, a muchos, ni nos molestarían, pero lo que también es cierto es que hay un interés por parte de algunos usuarios de hackear sus cafeteras de una forma u otra. Una de las cafeteras más populares es la DeLonghi Dedica. Es la que yo tengo y tiene una serie de valores predeterminados que responden a la cantidad de tiempo de extracción del café.

Para un portafiltros presurizado como el que lleva la máquina, son adecuados, pero cuando compras un portafiltros al aire, esos valores se quedan cortos y tenemos una manera de programar una extracción más lenta a base de combinar sus tres botones. Es algo que viene indicado en el manual, pero lo que no viene indicado es cómo lograr una mejor espuma de leche.

El espumador incluido es funcional, pero no perfecto. Un truco para tener más control sobre el proceso es quitar la parte metálica del espumador y quedarnos con la goma, con una boquilla mucho más fina. Así podemos controlar mejor el proceso, pero hay un problema: debido a la presión, la boquilla salta. ¿La solución? Fijar esa boquilla a la cafetera mediante una brida, y problema resuelto.

Quitando funciones a la máquina. Esa es una modificación muy sencilla, pero hay otra que es quizá más interesante porque afecta directamente a cómo sabe el café. En las cafeteras de filtro, lo más habitual es que la base tenga una resistencia que mantenga el café caliente durante más tiempo. Esto implica que el café se ‘cocina’ mediante la extracción, pero que luego se sigue calentando con una base a alta temperatura que modifica su sabor. No es lo ideal, pero hasta máquinas caras (y que, supuestamente, sus fabricantes deberían saber que eso afecta al sabor) lo implementan.

Por eso, una modificación común en este tipo de cafeteras es abrirlas y quitar los cables que dan energía a esa resistencia. No afecta en nada al funcionamiento de la cafetera a la hora de preparar el café, pero eliminas esa base que sigue cocinando el café una vez extraído. Es una modificación que da más “miedo” que colocar una brida, pero que vale la pena porque, como digo, tiene una influencia directa en el café.

Y como esa modificación hay muchas otras, como la de colocar un espumador de leche de más calidad en la mencionada Dedica o cambiar la presión de la bomba de agua, cambiar el difusor de agua en una Moccamaster...

Implicaciones más serias. Vale, estos casos son curiosos y permiten mejorar el funcionamiento de la cafetera, pero realmente hackear una cafetera es una cosa seria. Es algo que Martin Hron, investigador de seguridad de Avast, demostró al hackear una cafetera inteligente. Centrándose en la Smarter Cofee de primera generación, Hron consiguió acceso  al sistema y se dio cuenta de que funcionaba como un punto de acceso Wi-Fi sin protección, con conexiones sin cifrar y que permitía actualizaciones de firmware sin autenticación.

¿Qué demostró? Dos cosas. Por un lado, que podía hacer girar el molinillo sin control, desperdiciar agua hirviendo o emitir pitidos. También podía mostrar un mensaje de rescate con una URL en la que realizar el pago para que la cafetera deje de comportarse así.

Pero lo más importante es que Hron puso de manifiesto cómo los dispositivos IoT inseguros pueden convertirse en un quebradero de cabeza. Incluso pueden usarse para minar criptomonedas, aunque el hardware de estos dispositivos suele ser demasiado simple para ello.

Imágenes | AVAST, Tom's Coffee Corner, Coffeehaus

En Xataka | La ciencia ya sabe por qué derramamos café al caminar con una taza en las manos. Y tiene la fórmula para evitarlo

Desde hace más de dos años, los fabricante deben facilitar la reparación de dispositivos por parte de los usuarios dentro de la Unión Europea. Algunos clientes, sin embargo, acusan a determinadas empresas no abrazar completamente la legislación que se posiciona a favor del ‘derecho a reparar’.

El caso que exponen nuestros compañeros de Genbeta puede ser considerado un ejemplo de esta compleja situación. Un usuario de Twitter llamado ChuxMan ha experimentado en primera persona las peripecias que puede llegar a padecer quien desea reparar por sí mismo un electrodoméstico.

Si te niegan el firmware, hackeas el producto

La historia comenzó con una avería de la lavadora Beko de ChuxMan. Según explica el afectado, que tiene una empresa enfocada en I+D, la fuente de alimentación tenía un problema, por lo que el microcontrolador estaba recibiendo 20V y se encontraba “aparentemente muerto”.

Con el objetivo de solucionar el inconveniente, el tuitero se decidió a sustituir el MCU ATMega128A que estaba dañado. Para ello, se puso en contacto con el fabricante de la lavadora para para pedirle una copia del firmware del dispositivo. La respuesta, desafortunadamente, fue negativa.

Beko, según ChuxMan, se negó a enviarle la mencionada pieza software, pero él le contestó solicitando que “escalaran la petición a quien fuera necesario, ya que están obligados”. La segunda respuesta, que se menciona a continuación, tampoco fue la esperada.

“Tras haber remitido su información le indicamos que no suministramos el firmware de nuestros equipos. No es un equipo informático, es un electrodoméstico y se trata / repara como tal. Atentamente,
Servicio de Atención al Cliente”

El fabricante, no obstante, le proponía una alternativa que estaba lejos de ser la ideal. En palabras del protagonista de esta historia, “que pasara por caja y comprara una placa entera, que vale casi tanto como la lavadora para disuadir a la reparación. Y además eso no es reparar”.

Pero no todas las puertas se habían cerrado. ChuxMan no estaba dispuesto a darse por vencido y tenía dos opciones. Conseguir el firmware de la lavadora de su madre, que es un modelo idéntico al de él, o intentar extraerlo del MCU dañado. En primer lugar escogió esta última opción.

En un primer intento utilizó un kit de herramientas que consistía en un “Arduino programado como ICSP y un software de extracción llamado AVRDUDE”, pero no logró su cometido. Después, recurrió a un programador TL866 y pudo conectarse al chip dañado y extraer el software. 

Como explica ChuxMan a Genbeta, todavía faltan algunos pasos para que su lavadora vuelva a funcionar: “No tengo la garantía aún de que el software no esté corrupto, pero tiene algunos datos en claro, por lo que al menos me garantiza que la extracción es correcta, por lo que ahora ya puedo sacar el de mi madre y comprobarlo. Ahora ya puedo repararla entera, y en el caso de que el MCU esté estropeado ya puedo cambiarlo, pese a los de Beko”.

En Magnet

John Deere ha privado a los agricultores de su "derecho a reparar" sus tractores. Solución: hackearlos

Por último, el cliente de Beko asegura que todo lo que ha hecho “es absolutamente legal”. Además, agrega, que no distribuirá el firmware extraído de la lavadora, y que sus acciones no han comprometido la seguridad de la empresa. Actualizaremos este artículo si desde Beko realizan algún tipo de declaración.

Beko responde

La marca de electrodomésticos Beko se ha pronunciado sobre este asunto. En un comunicado señala que ha "facilitado al usuario todas las posibilidades con las que solucionar la situación dentro del marco legal aplicable". Además, dice que el artículo "8.1.b) del Anexo II del Reglamento Europeo de Ecodiseño de Lavadoras y Lavadoras-Secadoras 2019/2023" enumera las piezas de recambio que los fabricantes deberán poner a disposición de los usuarios finales.

En ese sentido, precisa la compañía, "entre las piezas de recambio listadas en el referido artículo, no se establece la obligación del fabricante de poner a disposición del usuario final el software y firmware, ya que este tipo de intervenciones está establecido que lo realicen los reparadores oficiales autorizados".

Imágenes: Montaje (Beko + Moritz Erken)

En Xataka: Giro histórico de Apple en favor del derecho a reparar: ofrecerá piezas originales y manual de instrucciones para reparar en casa

No te pierdas estas ofertas de Amazon

Fire TV Stick con mando por voz Alexa (incluye controles del TV), dispositivo de streaming HD

Hoy sin stock en Amazon

El precio podría variar. Obtenemos comisión por estos enlaces

Google Pixel 6a: smartphone 5G Android libre con cámara de 12 megapíxeles y batería de 24 horas de duración, de color Salvia

Hoy sin stock en Amazon

El precio podría variar. Obtenemos comisión por estos enlaces

Nuevo Kindle (modelo de 2022): nuestro Kindle más compacto y ligero, con una pantalla de alta resolución de 300 ppp y 6 pulgadas, y el doble de almacenamiento | Negro, sin publicidad

Hoy sin stock en Amazon

El precio podría variar. Obtenemos comisión por estos enlaces

Vice ha informado de que 780gb de datos han sido robados de los servidores de la compañía, lo que incluye los códigos de 'FIFA 21' y el motor Frostbite. Según el medio, los hackers están anunciando la venta de los datos en distintos foros. El robo ha sido confirmado por la propia EA a Vice, reconociendo que se ha producido un "incidente reciente de intrusión" en su red.

En Xataka

Multi para 128 jugadores y tornados: cómo quiere 'Battlefield 2042' convertirse en la entrega más épica de la serie

"Una cantidad limitada de código de juegos y herramientas relacionadas han sido robadas", dicen en EA, que aseguran que "no se ha accedido a datos de los jugadores ni tenemos motivos para pensar que hay peligro para la privacidad de los mismos". Según EA, ya han puesto el tema en manos de las autoridades para que se inicie la investigación.

Sin impacto en el negocio

Finalmente, EA, ha declarado a Vice que han "efectuado mejoras en la seguridad y no esperamos que se produzca un impacto significativo en nuestros juegos o nuestro negocio". Es uno de los últimos ataques de hackers a compañías de videojuegos, después de sucesos similares que han afectado a Capcom o CD Projekt Red.

Vice afirma que los hackers han contado en los foros que además de los códigos mencionados, hay kits de desarrollo y bundles de código que facilitan la programación. De momento, obviamente solo se están moviendo por foros escondidos al ojo público, y está por ver si el robo afectará de algún modo a futuros juegos que usan Frostbite.

El desembarco en España de Pluto TV ha merecido un considerable interés por parte de medios y público. Su propuesta de una televisión lineal y abierta es relativamente insólita en el panorama del streaming español. Ahora su nombre vuelve a sonar, pero por cuestiones menos agradables: 3,2 millones de cuentas de sus usuarios (que suman un total de 28 millones) y sus respectivos datos han sido expuestas en un foro de hackers.

Por suerte, Pluto TV es un servicio gratuito, por lo que no hay datos de tarjetas de crédito asociados a los nombres, pero sí nombre de usuario, correo electrónico, contraseña, fecha de nacimiento, tipo de dispositivo y dirección IP. Además, aunque el robo de datos se ha conocido ahora, la base de datos procede de octubre de 2018, así que no hay detalles, por ejemplo, sobre los recientes usuarios españoles, donde además, no se nos pide ningún tipo de registro.

En Xataka

"Pluto TV pretende convertirse en España en una plataforma líder". Manuel Gil, director de estrategia de Viacom España

Shinyhunters, hackers experimentados

El grupo detrás de la brecha es Shinyhunters, que ya se vieron implicados en el hackeo del repositorio privado de Microsoft en GitHub a principios de este año. En declaraciones al site especializado BleepingComputer, Pluto TV ha afirmado que "en el momento actual no podemos confirmar la veracidad de este suceso, pero cualquier intento de comprometer la seguridad de nuestros usuarios o plataforma son tratados con la máxima prioridad. Estamos investigando la cuestión". Pluto TV en España de momento no ha hecho comentarios.

Pluto TV llegó a España el pasado mes de octubre con una oferta de 40 canales y cientos de programas. Se ha elogiado su gratuidad y, sobre todo, su sistema de emisión, donde hay sistema bajo demanda de programas y películas, pero sobre todo, una emisión continua de programas en cualquiera de sus canales. Algunos temáticos, otros destinados a determinados tipos de público: es de esperar que esta sorprendente filtración no acarre mayores inconvenientes a Pluto TV una vez solucionen la brecha que ha comprometido los datos de sus clientes.

Jugar bolos puede ser divertido, pero aprender a lanzar la bola y darle el efecto correcto para derribar todos los pinos a veces no es tan sencillo. Con esto en mente, y un poco de tiempo libre y creatividad, Mark Rober, un ex ingeniero de la NASA, se dio a la tarea de crear una bola de bolos que nos convierta en un jugadores profesionales capaces de hacer strike en todos y cada uno de nuestros lanzamientos.

Bueno, esa es la idea, ya que cuando veamos que este método también requiere un poco de habilidad, tal vez no suene tan descabellado aprender a lanzar la bola de forma tradicional. Sin embargo, dejando de lado las técnicas, se trata de un trabajo sumamente interesante y talentoso.

Ciencia e ingeniería para "hackear" una bola de bolos

Mark Rober contó con el apoyo de James Bruton, un ex diseñador de juguetes y hacker, y entre los dos se dedicaron a descubrir qué había dentro de una bola de bolos, para así entender cómo funcionaba y poderle dar nuevas capacidades.

En Xataka

Esta réplica de la armadura de Iron Man vuela, es a prueba de balas y fue fabricada por el gran Adam Savage

En primer lugar, partieron la bola por la mitad para descubrir que no es simétrica, y esta característica es la que permite que los jugadores puedan curvar sus lanzamientos para darle diversos efectos y así tener varias formas de derribar los pinos. Y con esta idea es como decidieron colocar un peso asimétrico que pudiera ser desplazado de un lado a otro, esto con el objetivo de tener una bola con una especie de auto-equilibrio.

Para colocar este peso y hacerlo funcionar, crearon un sistema eléctrico y mecánico muy similar al que usan los juguetes de Sphero, como aquel famoso BB-8. Pero a este diseño se le añadió un peso pendular pivotante, que es donde está la clave de todo el diseño.

Posteriormente, se añadió un sensor de movimiento conectado a la bola de forma inalámbrica, dicho sensor es para que el jugador se mueva en función de la dirección que desea darle a la bola. De ahí lo complicado de que sea 100% infalible, ya que ahora dependerá de la capacidad que tiene el jugador de moverse, para así guiar la bola hacia el punto exacto para derribar todo con un solo lanzamiento.

Otro punto en contra de la bola, es que a pesar de contar con todos estos componentes en su interior, su peso es inferior al de una bola estándar, lo que hace que se necesite lanzar con la suficiente fuerza para hacer un impacto que empuje y derribe los pinos.

La idea de esta creación es mero entretenimiento y curiosidad, ya que de ninguna manera podría ser aprobado para torneos oficiales o simples competiciones. Pero sin duda llama la atención.