No faltan acertijos en Olas borrascosas. Pero algunos pueden ser más complicados que otros. Aquí se explica cómo resolver el rompecabezas de cifrado de Misty Coast en Olas borrascosas.

Cómo resolver el rompecabezas de cifrado de la Costa Brumosa de las Olas Borrascosas

Olas borrascosas Se trata de encadenar combos y capturar las almas de los enemigos que derrotes. Pero aquí y allá, es posible que te encuentres con un rompecabezas que promete un dulce botín si logras desentrañar su misterio. Ese es ciertamente el caso del rompecabezas de cifrado escondido al norte de la baliza de resonancia Huanglong-Desorock Highland-Misty Coast. Afortunadamente, este rompecabezas no es tan difícil como podría parecer a primera vista.

Aquí se explica cómo resolver el rompecabezas de cifrado de Misty Coast. Primero, debes tener equipado tu levitador, que obtendrás al completar la misión principal. Puedes equipar tu Levitator abriendo el menú de herramientas presionando el botón «pestaña». El menú Levitador aparecerá en la rueda de herramientas y podrás pasar el cursor sobre él para seleccionarlo.

A continuación, querrás recoger las cuatro reliquias situadas a lo largo del tablero. Cada reliquia tiene dos puntas que indican la dirección en la que iluminará el tablero. Cada reliquia se puede girar presionando el botón ‘t’. Esto es esencial y es lo que me hizo tropezar al principio.

Relacionado: Cómo encontrar cofres ocultos en Wuthering Waves

Querrás seleccionar una reliquia con dos puntas que crean una forma de L y colocarla en la esquina superior derecha. Luego, repite esto con la segunda reliquia en forma de L, pero una fila hacia adentro. Finalmente, selecciona la reliquia con tres puntas para crear una ‘T’ en el rincón de la segunda reliquia. Y, finalmente, seleccionaremos la reliquia con una punta para completar la última línea.

Relacionado: Cómo encontrar el tesoro del exiliado que busca ayuda en Wuthering Waves

He delineado esto en la imagen de arriba, en el orden en que debes colocarlos. Si has hecho esto correctamente, puedes saltar al soporte cercano y abrir el cofre, que te dará una variedad de botín. Incluyendo algunos elementos que aumentan la experiencia y dos fragmentos de madera. Los fragmentos de madera son bastante esenciales, especialmente a medida que avanzas hacia el final del juego. Entonces, ¡vale la pena el esfuerzo! Pero más allá de eso, completar este rompecabezas también te dará un aumento del 1% para completar la región.

Olas borrascosas ya está disponible.

---

Se ha instado nuevamente a la Comisión Europea a revelar más plenamente sus relaciones con empresas tecnológicas privadas y otras partes interesadas, en relación con una pieza controvertida de política tecnológica que podría incluir una ley que exija el escaneo de los mensajes privados de los ciudadanos de la Unión Europea en un intento por detectar Material de abuso sexual infantil (CSAM).

La cuestión es importante, ya que se han expresado preocupaciones acerca de que el lobby de la industria tecnológica influya en la redacción por parte de la Comisión de la controvertida propuesta de escaneo CSAM. Parte de la información retenida se relaciona con la correspondencia entre la UE y empresas privadas que podrían ser proveedores potenciales de tecnología de escaneo CSAM, lo que significa que podrían beneficiarse comercialmente de cualquier ley paneuropea que exija el escaneo de mensajes.

La conclusión preliminar de mala administración de la Defensora del Pueblo de la UE, Emily O’Reilly, se llegó el viernes y se hizo pública ayer en su sitio web. En enero, el Defensor del Pueblo llegó a una conclusión similar: invitó a la Comisión a responder a sus preocupaciones. Sus últimos hallazgos tienen en cuenta las respuestas del ejecutivo de la UE e invitan a la Comisión a responder a sus recomendaciones con una “opinión detallada” antes del 26 de julio, por lo que la saga aún no ha terminado.

Mientras tanto, el proyecto de legislación sobre detección de CSAM sigue sobre la mesa de los colegisladores de la UE, a pesar de una advertencia del propio servicio jurídico del Consejo de que el enfoque propuesto es ilegal. El Supervisor Europeo de Protección de Datos y grupos de la sociedad civil también han advertido que la propuesta representa un punto de inflexión para los derechos democráticos en la UE. Mientras tanto, en octubre, los legisladores del Parlamento Europeo que también se oponen a la dirección de la Comisión propusieron un borrador sustancialmente revisado que apunta a poner límites al alcance del escaneo. Pero la pelota está en el tejado del Consejo, ya que los gobiernos de los Estados miembros aún tienen que decidir su propia posición de negociación para el expediente.

A pesar de la creciente alarma y oposición en varias instituciones de la UE, la Comisión ha seguido respaldando las controvertidas órdenes de detección de CSAM, ignorando las advertencias de los críticos de que la ley podría obligar a las plataformas a implementar escaneos del lado del cliente, con graves implicaciones para los usuarios de la web europeos. ‘ privacidad y seguridad.

La continua falta de transparencia respecto del proceso de toma de decisiones del ejecutivo de la UE cuando redactó la legislación polémica apenas ayuda, alimentando preocupaciones de que ciertos intereses comerciales egoístas puedan haber tenido un papel en la configuración de la propuesta original.

Desde diciembre, el defensor del pueblo de la UE ha estado considerando una queja de un periodista que buscaba acceso a documentos relacionados con la regulación CSAM y el “proceso de toma de decisiones asociado” de la UE.

Después de revisar la información que la Comisión ocultó, junto con su defensa de la no divulgación, el defensor del pueblo sigue poco impresionado con el nivel de transparencia mostrado.

La Comisión publicó algunos datos tras la solicitud del periodista de acceso público, pero retuvo 28 documentos en su totalidad y, en el caso de otros cinco, eliminó parcialmente la información, citando una serie de exenciones para negar la divulgación, incluido el interés público en lo que respecta a la seguridad pública; la necesidad de proteger datos personales; la necesidad de proteger los intereses comerciales; la necesidad de proteger el asesoramiento jurídico; y la necesidad de proteger su toma de decisiones.

Según información difundida por el Defensor del Pueblo, cinco de los documentos vinculados a la denuncia se refieren a “intercambios con representantes de intereses de la industria tecnológica”. No enumera qué empresas mantuvieron correspondencia con la Comisión, pero Thorn, con sede en EE. UU., un fabricante de tecnología de seguridad infantil basada en inteligencia artificial, fue vinculado al cabildeo sobre el expediente en un informe de investigación de BalkanInsights en septiembre pasado.

Otros documentos del paquete que fueron retenidos o redactados por la Comisión incluyen borradores de su evaluación de impacto al preparar la legislación; y comentarios de su servicio jurídico.

Cuando se trata de información relativa a la correspondencia de la UE con empresas de tecnología, el Defensor del Pueblo cuestiona muchas de las justificaciones de la Comisión para retener los datos, encontrando, por ejemplo en el caso de uno de estos documentos, que si bien la decisión de la UE de redactar detalles de la La información intercambiada entre las fuerzas del orden y una serie de empresas no identificadas puede estar justificada por motivos de seguridad pública; no hay ninguna razón clara para que no revele los nombres de las propias empresas.

«No está claro cómo la divulgación de los nombres de las empresas en cuestión podría socavar la seguridad pública, si la información intercambiada entre las empresas y las autoridades ha sido redactada», escribió el Defensor del Pueblo.

En otro caso, el Defensor del Pueblo discrepa con la publicación de información aparentemente selectiva por parte de la Comisión relativa a las aportaciones de los representantes de la industria tecnológica, y escribe que: “A partir de las razones muy generales para la no divulgación que proporcionó la Comisión en su decisión confirmatoria, no está claro por qué consideró la retenida ‘opciones preliminares’ ser más sensibles que aquellos que había decidido revelar al denunciante”.

La conclusión del Defensor del Pueblo en este punto de la investigación repite su conclusión anterior de mala administración por parte de la Comisión por negarse a dar “amplio acceso público” a los 33 documentos. En su recomendación, O’Reilly también escribe: «La Comisión Europea debería reconsiderar su posición sobre la solicitud de acceso con miras a proporcionar un acceso significativamente mayor, teniendo en cuenta las consideraciones del Defensor del Pueblo compartidas en esta recomendación».

Se contactó a la Comisión sobre las últimas conclusiones del Defensor del Pueblo sobre la denuncia, pero al cierre de esta edición no había dado respuesta.

Faruk nació en febrero de 1994, el menor de tres. Era inseparable de su hermano Güven y de su hermana Serap. Crecieron acampando, jugando videojuegos y cocinando juntos. Los amigos siempre destacaron su sentido del humor compartido. Sus padres tenían una imprenta y copistería en la ciudad de Kocaeli, cerca de su casa. Eran musulmanes practicantes que daban a sus hijos nombres significativos: “confianza” (Güven), “espejismo” (Serap) y “el que distingue entre el bien y el mal” (Faruk).

Kocaeli es una ciudad portuaria industrial a unos 100 kilómetros al este de Estambul, rodeada por un tablero de ajedrez de campos de tabaco y remolacha azucarera, plantas petroquímicas y fábricas de papel. Los emperadores romanos vivieron allí una vez, y sus muros de fortaleza en ruinas todavía atraviesan el paisaje. Después del colapso del Imperio Otomano, Kocaeli se convirtió en una ciudad en auge manufacturero, y sus residentes impulsaron a la recién creada República de Turquía hacia la Revolución Industrial.

Cuando nació Özer, la economía turca estaba en picada. Un sistema financiero frágil, un endeudamiento irresponsable y la corrupción política habían desencadenado un breve período de inflación de tres dígitos. La volatilidad de la lira amenazó los ahorros de toda su población. Tanta gente trasladó sus activos internos a depósitos en moneda extranjera que, a finales de año, un sorprendente 50 por ciento de los depósitos bancarios en Turquía estaban en moneda extranjera. El año anterior, esa cifra era sólo del 1 por ciento.

Ese mismo mes en que nació Özer, un orador carismático con una mirada comprensiva y un bigote de escoba comenzó a hacer campaña por las calles de Estambul con una corbata de cachemira. Recep Tayyip Erdoğan arremetió contra la élite secular que había llevado al país al borde del colapso económico. Musulmán devoto, caminaba por las calles de su barrio natal, Kasımpaşa, un distrito pobre donde creció vendiendo simit, o pan de sésamo, prometiendo reformas. En unas elecciones inesperadas, asumió el cargo de alcalde de Estambul.

Casi al mismo tiempo, dos magnates empresariales turcos lanzaron Turkcell, el primer sistema de comunicación móvil del país. (Esto fue un año y medio antes de que se lanzara la misma tecnología en Estados Unidos). En 2003, Erdoğan fue elegido primer ministro, iniciando una década de crecimiento sin precedentes que los observadores extranjeros llamaron la “Revolución Silenciosa” de Turquía. Alejándose de sus predecesores, gobernó a través de la lente de un hombre de negocios, inaugurando un auge inmobiliario masivo en todo el país y, en última instancia, luchando contra la inflación galopante de Turquía. Su retórica proempresarial impulsó a la clase media y encaminó a Turquía hacia la membresía de la Unión Europea.

Özer también captó el espíritu empresarial a una edad temprana. Cuando era un adolescente a mediados de los años, trabajaba en turnos después de la escuela en la imprenta de sus padres. “Desde niño quise hacer mi propio negocio, sin importar el sector que fuera”, dijo. Al final de su segundo año en la escuela secundaria, decidió que seguir estudiando no lo llevaría a ese sueño, por lo que abandonó.

En 2013, el producto interno bruto de Turquía casi se había triplicado, la lira rondaba justo por encima del dólar y el país estaba negociando su ingreso a la UE. BtcTurk, el primer intercambio de cifrado de Turquía (y supuestamente el cuarto del mundo), se estaba preparando para su lanzamiento. Luego, en mayo de ese año, un grupo de activistas se reunió en el parque Gezi de Estambul para protestar contra los planes de convertirlo en un centro comercial con arquitectura de la era otomana. Se enojaron no sólo por la pérdida de espacios verdes sino también por la glorificación del pasado islamista de Turquía en una sociedad que se autodenominaba secular. La policía reprimió brutalmente a los manifestantes, lo que provocó un movimiento a nivel nacional. En cuestión de semanas, más de 3 millones de personas habían participado en las manifestaciones y su frustración ahora abarcaba el creciente autoritarismo del gobierno de Erdoğan. Miles de personas resultaron heridas y al menos cinco murieron. Özer acababa de cumplir 19 años. En los años siguientes, Erdoğan encarceló a un número récord de periodistas y censuró Internet, y los inversores extranjeros retrocedieron.

La próxima vez que se aloje en un hotel, es posible que desee utilizar el cerrojo de la puerta. Un grupo de investigadores de seguridad reveló esta semana una técnica que utiliza una serie de vulnerabilidades de seguridad que afectan a 3 millones de cerraduras de habitaciones de hotel en todo el mundo. Mientras la empresa trabaja para solucionar el problema, muchas de las cerraduras siguen siendo vulnerables a esta técnica de intrusión única.

Apple está teniendo una semana difícil. Además de que los investigadores de seguridad revelaron una vulnerabilidad importante, prácticamente irreparable, en su hardware (más sobre esto a continuación), el Departamento de Justicia de los Estados Unidos y 16 fiscales generales presentaron una demanda antimonopolio contra el gigante tecnológico, alegando que sus prácticas estaban relacionadas con su negocio de iPhone. son ilegalmente anticompetitivos. Parte de la demanda destaca lo que llama la adopción “elástica” de Apple de las decisiones de privacidad y seguridad, en particular el cifrado de extremo a extremo de iMessage, que Apple se ha negado a poner a disposición de los usuarios de Android.

Hablando de privacidad, un cambio reciente en las notificaciones emergentes de cookies revela la cantidad de empresas con las que cada sitio web comparte sus datos. Un análisis de WIRED de los 10.000 sitios web más populares encontró que algunos sitios comparten datos con más de 1.500 terceros. Mientras tanto, el sitio de reseñas de empleadores Glassdoor, que durante mucho tiempo ha permitido a las personas comentar sobre las empresas de forma anónima, ha comenzado a alentar a las personas a usar sus nombres reales.

Y eso no es todo. Cada semana, reunimos las noticias sobre seguridad y privacidad que nosotros mismos no cubrimos en profundidad. Haga clic en los titulares para leer las historias completas. Y mantente a salvo ahí fuera.

Según una nueva investigación, la serie M de chips de Apple contiene una falla que podría permitir a un atacante engañar al procesador para que revele claves secretas de cifrado de extremo a extremo en Mac. Un exploit desarrollado por un equipo de investigadores, denominado GoFetch, aprovecha el llamado prefetcher dependiente de la memoria de datos, o DMP, de los chips de la serie M. Los datos almacenados en la memoria de una computadora tienen direcciones, y los DMP optimizan las operaciones de la computadora al predecir la dirección de los datos a los que es probable que se acceda a continuación. Luego, el DMP coloca “punteros” que se utilizan para localizar direcciones de datos en la memoria caché de la máquina. Un atacante puede acceder a estos cachés en lo que se conoce como ataque de canal lateral. Una falla en el DMP hace posible engañar al DMP para que agregue datos al caché, exponiendo potencialmente las claves de cifrado.

La falla, que está presente en los chips M1, M2 y M3 de Apple, es esencialmente irreparable porque está presente en el propio silicio. Existen técnicas de mitigación que los desarrolladores criptográficos pueden crear para reducir la eficacia del exploit, pero como escribe Kim Zetter en Zero Day, «la conclusión para los usuarios es que no hay nada que puedan hacer para solucionar este problema».

En una carta enviada a los gobernadores de Estados Unidos esta semana, funcionarios de la Agencia de Protección Ambiental y de la Casa Blanca advirtieron que los piratas informáticos de Irán y China podrían atacar “sistemas de agua y aguas residuales en todo Estados Unidos”. La carta, enviada por el administrador de la EPA, Michael Regan, y el asesor de seguridad nacional de la Casa Blanca, Jake Sullivan, dice que los piratas informáticos vinculados a la Guardia Revolucionaria Islámica de Irán y al grupo de piratas informáticos respaldado por el Estado chino conocido como Volt Typhoon ya han atacado los sistemas de agua potable y otras infraestructuras críticas. Los ataques futuros, dice la carta, “tienen el potencial de alterar el vital sustento del agua potable limpia y segura, así como imponer costos significativos a las comunidades afectadas”.

Hay una nueva versión de un malware de limpieza que los piratas informáticos rusos parecen haber utilizado en ataques contra varios proveedores ucranianos de servicios móviles e Internet. Apodado AcidPour por investigadores de la empresa de seguridad SentinelOne, el malware es probablemente una versión actualizada del malware AcidRain que paralizó el sistema satelital Viasat en febrero de 2022, lo que afectó gravemente a las comunicaciones militares de Ucrania. Según el análisis de AcidPour realizado por SentinelOne, el malware tiene «capacidades ampliadas» que podrían permitirle «deshabilitar mejor los dispositivos integrados, incluidas redes, IoT, almacenamiento grande (RAID) y posiblemente dispositivos ICS que ejecutan distribuciones Linux x86». Los investigadores le dicen a CyberScoop que AcidPour puede usarse para llevar a cabo ataques más generalizados.

Volt Typhoon no es el único grupo de hackers vinculado a China que está causando estragos generalizados. Los investigadores de la firma de seguridad TrendMicro revelaron una campaña de piratería realizada por un grupo conocido como Earth Krahang que se dirigió a 116 organizaciones en 48 países. De ellas, Earth Krahang ha logrado violar 70 organizaciones, incluidas 48 entidades gubernamentales. Según TrendMicro, los piratas informáticos obtienen acceso a través de servidores vulnerables conectados a Internet o mediante ataques de phishing. Luego utilizan el acceso a los sistemas objetivo para realizar espionaje y apoderarse de la infraestructura de las víctimas para llevar a cabo más ataques. Trend Micro, que ha estado monitoreando Earth Krahang desde principios de 2022, también dice que encontró “vínculos potenciales” entre el grupo e I-Soon, una empresa china de piratería informática que recientemente quedó expuesta por una misteriosa filtración de documentos internos.

El argumento es uno que algunos críticos de Apple han esgrimido durante años, como lo explica en detalle en un ensayo de enero Cory Doctorow, escritor de ciencia ficción, crítico tecnológico y coautor de Capitalismo de cuello de botella. “En el instante en que se agrega a un usuario de Android a un chat o chat grupal, toda la conversación pasa a SMS, una pesadilla de privacidad insegura y trivialmente pirateada que debutó hace 38 años, el año El mundo de Wayne tuvo su primera presentación cinematográfica”, escribe Doctorow. “La respuesta de Apple a esto es terriblemente hilarante. La posición de la empresa es que si quieres tener seguridad real en tus comunicaciones, debes comprar iPhones a tus amigos”.

En una declaración a WIRED, Apple dice que diseña sus productos para «funcionar juntos a la perfección, proteger la privacidad y seguridad de las personas y crear una experiencia mágica para nuestros usuarios», y agrega que la demanda del Departamento de Justicia «amenaza quiénes somos y los principios que establecen Los productos Apple se destacan” en el mercado. La compañía también dice que no ha lanzado una versión de iMessage para Android porque no podía garantizar que terceros la implementarían de manera que cumpliera con los estándares de la compañía.

«Si tiene éxito, [the lawsuit] obstaculizaría nuestra capacidad de crear el tipo de tecnología que la gente espera de Apple, donde el hardware, el software y los servicios se cruzan”, continúa el comunicado. “También sentaría un precedente peligroso, al facultar al gobierno para tomar mano dura en el diseño de la tecnología de las personas. Creemos que esta demanda es errónea en cuanto a los hechos y la ley, y nos defenderemos enérgicamente contra ella”.

De hecho, Apple no sólo se ha negado a crear clientes de iMessage para Android u otros dispositivos que no sean de Apple, sino que ha luchado activamente contra aquellos que lo han hecho. El año pasado, se lanzó un servicio llamado Beeper con la promesa de llevar iMessage a los usuarios de Android. Apple respondió modificando su servicio iMessage para romper la funcionalidad de Beeper, y la startup lo abandonó en diciembre.

Apple argumentó en ese caso que Beeper había dañado la seguridad de los usuarios; de hecho, comprometió el cifrado de extremo a extremo de iMessage al descifrar y luego volver a cifrar mensajes en un servidor de Beeper, aunque Beeper había prometido cambiar eso en futuras actualizaciones. El cofundador de Beeper, Eric Migicovsky, argumentó que la dura medida de Apple de reducir los mensajes de texto de Apple a Android a mensajes de texto tradicionales no era una alternativa más segura.

«Es un poco loco que estemos en 2024 y todavía no haya una forma fácil, cifrada y de alta calidad para algo tan simple como un texto entre un iPhone y un Android», dijo Migicovsky a WIRED en enero. «Creo que Apple reaccionó de una manera realmente incómoda y extraña, argumentando que Beeper Mini amenazaba la seguridad y privacidad de los usuarios de iMessage, cuando en realidad la verdad es exactamente lo contrario».

Incluso cuando Apple ha enfrentado acusaciones de acaparar las propiedades de seguridad de iMessage en detrimento de los propietarios de teléfonos inteligentes en todo el mundo, solo ha seguido mejorando esas características: en febrero actualizó iMessage para utilizar nuevos algoritmos criptográficos diseñados para ser inmunes al descifrado de códigos cuánticos, y en octubre pasado agregó Verificación de clave de contacto, una función diseñada para evitar ataques de intermediarios que falsifican los contactos previstos para interceptar mensajes. Quizás lo más importante es que se dice que adoptará el estándar RCS para permitir mejoras en la mensajería con los usuarios de Android, aunque la compañía no dijo si esas mejoras incluirían cifrado de extremo a extremo.

Apple está lanzando sus primeras protecciones poscuánticas, uno de los mayores despliegues de tecnología de cifrado resistente al futuro hasta la fecha.

Miles de millones de registros médicos, transacciones financieras y mensajes que nos enviamos entre nosotros están protegidos mediante cifrado. Es fundamental para mantener la vida moderna y la economía global funcionando relativamente bien. Sin embargo, la carrera de décadas para crear computadoras cuánticas enormemente poderosas, que podrían descifrar fácilmente el cifrado actual, crea nuevos riesgos.

Si bien aún faltan años o décadas para la tecnología práctica de la computación cuántica, los funcionarios de seguridad, las empresas de tecnología y los gobiernos están intensificando sus esfuerzos para comenzar a utilizar una nueva generación de criptografía poscuántica. En resumen, estos nuevos algoritmos de cifrado protegerán nuestros sistemas actuales contra cualquier posible ataque basado en la computación cuántica.

Cupertino anuncia hoy que PQ3, su protocolo criptográfico poscuántico, se incluirá en iMessage. La actualización se lanzará en iOS y iPad OS 17.4 y macOS 14.4 después de implementarse previamente en las versiones beta del software. Apple, que publicó la noticia en su blog de investigación de seguridad, dice que el cambio es «la actualización de seguridad criptográfica más importante en la historia de iMessage».

«Reconstruimos el protocolo criptográfico de iMessage desde cero», dice su publicación en el blog, y agrega que la actualización reemplazará completamente sus protocolos de cifrado existentes para fines de este año. No necesita hacer nada más que actualizar su sistema operativo para que se apliquen las nuevas protecciones.

La computación cuántica es un asunto serio. Los gobiernos de Estados Unidos, China y Rusia, así como empresas tecnológicas como Google, Amazon e IBM, están invirtiendo miles de millones en esfuerzos (todavía) relativamente incipientes para crear computadoras cuánticas. Si tienen éxito, las tecnologías podrían ayudar a desbloquear avances científicos en todos los ámbitos, desde el diseño de fármacos hasta la creación de baterías más duraderas. Los políticos también compiten por convertirse en superpotencias cuánticas. Los dispositivos de computación cuántica actuales son todavía experimentales y no prácticos para uso general.

A diferencia de las computadoras que usamos hoy, las computadoras cuánticas usan qubits, que pueden existir en más de un estado. (Los bits actuales son unos o ceros). Significa que los dispositivos cuánticos pueden almacenar más información que las computadoras tradicionales y realizar cálculos más complejos, incluido el potencial de descifrar el cifrado.

«Las computadoras cuánticas, si se implementan de manera confiable y escalable, tendrían el potencial de romper la mayor parte de la criptografía actual», dice Lukasz Olejnik, investigador y consultor independiente en ciberseguridad y privacidad. Esto incluye el cifrado de las aplicaciones de mensajería que miles de millones de personas utilizan cada día. La mayoría de las aplicaciones de mensajería cifrada que utilizan criptografía de clave pública han utilizado algoritmos RSA, Elliptic Curve o Diffie-Hellman.

En respuesta a la amenaza potencial, que se conoce desde la década de 1990, las agencias de inteligencia y seguridad se han pronunciado cada vez más sobre el desarrollo y la implementación de criptografía resistente a los cuánticos. El Instituto Nacional de Estándares y Tecnología de EE. UU. ha sido una fuerza impulsora detrás de la creación de estos nuevos tipos de cifrado. Olejnik dice que las empresas de tecnología se están tomando “muy” en serio la amenaza cuántica. «Mucho más serio que algunos cambios más antiguos, como cambios entre funciones hash», dice Olejnik, y agrega que las cosas se están moviendo relativamente rápido dado que la criptografía poscuántica es todavía «muy joven» y «no hay ninguna computadora cuántica funcional en el horizonte».

La semana pasada, un vídeo del investigador de seguridad StackSmashing demostró un exploit que podría romper el cifrado de la unidad BitLocker de Microsoft en «menos de 50 segundos» utilizando una PCB personalizada y una Raspberry Pi Pico.

El exploit funciona utilizando el Pi para monitorear la comunicación entre un chip TPM externo y el resto de la computadora portátil, una ThinkPad X1 Carbon de segunda generación de aproximadamente 2014. El TPM almacena la clave de cifrado que desbloquea su disco cifrado y lo hace legible, y el TPM envía esa clave para desbloquear el disco una vez que ha verificado que el resto del hardware de la PC no ha cambiado desde que se cifró la unidad. El problema es que la clave de cifrado se envía en texto sin formato, lo que permite que un rastreador como el que desarrolló StackSmashing lea la clave y luego la use para desbloquear la unidad en otro sistema, obteniendo acceso a todos los datos que contiene.

Este no es un exploit nuevo y StackSmashing lo ha dicho repetidamente. Informamos sobre un exploit de rastreo de TPM similar en 2021, y hay otro de 2019 que utilizó de manera similar hardware básico de bajo costo para obtener una clave de cifrado de texto sin formato a través del mismo bus de comunicación de bajo número de pines (LPC) que utilizó StackSmashing. Este tipo de exploit es tan conocido que Microsoft incluso incluye algunos pasos de mitigación adicionales en su propia documentación de BitLocker; La principal innovación nueva en la demostración de StackSmashing es el componente Raspberry Pi, que probablemente sea parte de la razón por la cual medios como La-Tecnologia y Tom’s Hardware lo adoptaron en primer lugar.

El video original es bastante responsable en cuanto a cómo explica el exploit, y esa primera ola de informes al menos mencionó detalles importantes, como el hecho de que el exploit solo funciona en sistemas con chips TPM discretos e independientes o que es muy similar a otros. ataques bien documentados que datan de hace años. Pero a medida que la historia ha circulado y vuelto a circular, algunos informes han excluido ese tipo de matiz, concluyendo esencialmente que el cifrado de la unidad en todas las PC con Windows se puede romper trivialmente con 10 dólares de hardware y un par de minutos de tiempo. Vale la pena aclarar qué es y qué no es este exploit.

¿Qué PC se ven afectadas?

BitLocker es una forma de cifrado de disco completo que existe principalmente para evitar que alguien que robe su computadora portátil saque la unidad, la inserte en otro sistema y acceda a sus datos sin solicitar la contraseña de su cuenta. Muchos sistemas Windows 10 y 11 modernos utilizan BitLocker de forma predeterminada. Cuando inicia sesión en una cuenta de Microsoft en Windows 11 Home o Pro en un sistema con TPM, su unidad generalmente se cifra automáticamente y se carga una clave de recuperación en su cuenta de Microsoft. En un sistema Windows 11 Pro, puede activar BitLocker manualmente, ya sea que use una cuenta de Microsoft o no, haciendo una copia de seguridad de la clave de recuperación como mejor le parezca.

De todos modos, un posible exploit de BitLocker podría afectar los datos personales de millones de máquinas. Entonces, ¿qué importancia tiene este nuevo ejemplo de un viejo ataque? Para la mayoría de las personas, la respuesta probablemente sea «no mucho».

Una barrera de entrada para los atacantes es técnica: muchos sistemas modernos utilizan módulos de firmware TPM, o fTPM, que están integrados directamente en la mayoría de los procesadores. En máquinas más baratas, esta puede ser una forma de ahorrar en fabricación: ¿por qué comprar un chip aparte si puedes usar simplemente una característica de la CPU por la que ya estás pagando? En otros sistemas, incluidos aquellos que anuncian compatibilidad con los procesadores de seguridad Pluton de Microsoft, se comercializa como una característica de seguridad que mitiga específicamente este tipo de ataques llamados «de rastreo».

Esto se debe a que no existe un bus de comunicación externo que pueda detectar un fTPM; está integrado en el procesador, por lo que cualquier comunicación entre el TPM y el resto del sistema también ocurre dentro del procesador. Prácticamente todas las computadoras de escritorio compatibles con Windows 11 de fabricación propia utilizarán fTPM, al igual que las computadoras de escritorio y portátiles modernas y económicas. Revisamos cuatro computadoras portátiles Intel y AMD recientes de menos de $ 500 de Acer y Lenovo, y todas usaban TPM de firmware; Lo mismo ocurre con cuatro computadoras de escritorio de construcción propia con placas base de Asus, Gigabyte y ASRock.

Irónicamente, si está utilizando una computadora portátil con Windows de alta gama, es un poco más probable que su computadora portátil use un chip TPM externo dedicado, lo que significa que podría ser vulnerable.

La forma más sencilla de saber qué tipo de TPM tiene es ir al centro de seguridad de Windows, ir a la pantalla Seguridad del dispositivo y hacer clic en Detalles del procesador de seguridad. Si el fabricante de su TPM figura como Intel (para sistemas Intel) o AMD (para sistemas AMD), lo más probable es que esté utilizando el fTPM de su sistema y este exploit no funcionará en su sistema. Lo mismo ocurre con cualquier cosa en la que Microsoft figure como fabricante de TPM, lo que generalmente significa que la computadora usa Pluton.

Pero si ve otro fabricante en la lista, probablemente esté usando un TPM dedicado. Vi TPM de STMicroelectronics en un Asus Zenbook de gama alta reciente, un Dell XPS 13 y un Lenovo ThinkPad de gama media. StackSmashing también publicó fotos de un ThinkPad X1 Carbon Gen 11 con un TPM de hardware y todos los pines que alguien necesitaría para intentar obtener la clave de cifrado, como evidencia de que no todos los sistemas modernos han cambiado a fTPM, algo que, ciertamente, también había asumido inicialmente. Es prácticamente seguro que todas las computadoras portátiles fabricadas antes de 2015 o 2016 utilizarán TPM de hardware cuando los tengan.

Eso no quiere decir que los fTPM sean completamente infalibles. Algunos investigadores de seguridad han podido vencer los fTPM en algunos de los procesadores de AMD con «2 a 3 horas de acceso físico al dispositivo de destino». Los TPM de firmware simplemente no son susceptibles al tipo de ataque físico basado en Raspberry Pi que demostró StackSmashing.

El objetivo de la función de seguridad Bitlocker de Microsoft es proteger los datos personales almacenados localmente en los dispositivos y, en particular, cuando esos dispositivos se pierden o se ven físicamente comprometidos. Con Bitlocker, no debería importar si pierde su computadora portátil o si alguien pellizca su SSD. Aún no se puede acceder a tus datos.

Excepto que puede y todo lo que se necesita es una Raspberry Pi de $10 y un poco (bueno, mucho) ingenio, según el canal de YouTube Stacksmashing (a través de Hardwareluxx). ¿Cómo es eso? Bueno, se trata del chip TPM o Trusted Platform Module.

Proton Mail finalmente tiene una aplicación de escritorio nativa, que ahora se implementa en versión beta para alguno usuarios en Windows y MacOS.

Por supuesto, el servicio de correo electrónico cifrado ha estado disponible para los usuarios de escritorio desde su creación hace casi una década, primero a través de la web y luego a través de un «puente» que abrió el acceso a las cuentas de Proton Mail a través de clientes de escritorio como Outlook, Thunderbird y Correo de Apple.

Sin embargo, con una aplicación de escritorio dedicada, la empresa matriz Proton está eliminando el navegador y el middleware puente para evitar intermediarios y ofrecer cifrado de correo electrónico de extremo a extremo directamente desde sus propios clientes.

La aplicación de escritorio proporciona acceso sin conexión y está disponible directamente desde el menú Inicio de Windows o la base de MacOS, mientras que también incluye acceso a Proton Calendar, la aplicación de calendario cifrado que Proton lanzó en 2019.

Además de la nueva aplicación, Proton también presentó algunas funciones nuevas que estarán disponibles para los usuarios de Proton Mail tanto en la web como en el escritorio. Estos incluyen el reenvío automático de correo electrónico, que permite a los usuarios premium establecer reglas para reenviar mensajes automáticamente entre cuentas de Proton Mail mientras mantienen el cifrado de extremo a extremo (E2EE).

«Los mensajes enviados entre cuentas de Proton Mail siempre están cifrados de extremo a extremo de forma predeterminada, pero mantener el cifrado de extremo a extremo para los mensajes reenviados a otros usuarios de Proton presentó un gran desafío técnico», dijo el CTO de Proton, Bart Butler, en un comunicado. “Necesitábamos descubrir cómo volver a cifrar mensajes para diferentes destinatarios sin que el servidor pudiera acceder al contenido. Nuestros ingenieros criptográficos han hecho esto posible por primera vez en el correo electrónico cifrado”.

Otras características nuevas incluyen «posponer», que permite a los usuarios configurar recordatorios para tratar correos electrónicos importantes más adelante, y vistas previas de archivos adjuntos, que permiten echar un vistazo a los archivos adjuntos de correo electrónico desde su bandeja de entrada sin tener que abrirlos por completo.

Impulso de privacidad

Fundada en 2014, Proton inicialmente solo ofrecía correo electrónico cifrado, pero la compañía suiza se ha expandido a VPN, un administrador de contraseñas, un calendario y un servicio de almacenamiento en la nube llamado Proton Drive, que también tiene su propia aplicación de escritorio.

Si bien gran parte del discurso de Proton se ha centrado en vender alternativas cifradas a empresas tradicionales de renombre como Gmail, su nueva aplicación en realidad va más allá al brindar soporte nativo directamente al escritorio.

«Si bien muchas personas usan el correo electrónico en el escritorio en un navegador, las aplicaciones de escritorio aún pueden ofrecer ciertas ventajas, como un mejor soporte fuera de línea», dijo el director ejecutivo de Proton, Andy Yen, en un comunicado. «Por esta razón, hemos decidido lanzar una aplicación de escritorio, algo que ni siquiera Gmail ofrece».

Para su fase beta inicial, la nueva aplicación de escritorio Proton Mail solo está disponible para aquellos en el plan Proton Visionary, que solo estaba disponible para usuarios heredados que se registraron temprano en la historia de la compañía. Sin embargo, la compañía volverá a poner a disposición temporalmente los planes Visionary, desde hoy hasta el 3 de enero de 2024.

Proton Mail para escritorio comenzará a implementarse para todos los usuarios a principios de 2024 y, al igual que con sus otras aplicaciones, la compañía confirmó que los nuevos clientes de correo electrónico serán de código abierto “a su debido tiempo”.

Hoy, Meta ha presentado lo que llama «el mayor conjunto de mejoras a Messenger desde su lanzamiento por primera vez en 2011». En primer lugar, el cifrado de extremo a extremo ahora es predeterminado para chats y llamadas privadas en Messenger y Facebook, lo que significa que otros no pueden espiar su comunicación segura, aparentemente ni siquiera Meta. Una vez actualizado, Messenger pedirá a los usuarios que configuren un PIN, en caso de que necesiten recuperar mensajes en un nuevo dispositivo más adelante. El lanzamiento global puede tardar algunos meses en completarse, debido a que la aplicación tiene más de mil millones de usuarios.

El cifrado de extremo a extremo se convirtió en una opción para Messenger en 2016, pero Meta obviamente está intensificando sus esfuerzos de seguridad, una medida sensata dados los otros escándalos recientes de la compañía, especialmente con contenido de depredación infantil. Meta agregó que «ha tardado años en lograrlo porque nos hemos tomado nuestro tiempo para hacerlo bien» y también «para reconstruir las funciones de Messenger desde cero».

Además de un conjunto de nuevas funciones de privacidad, seguridad y control, Messenger obtiene una calidad de imagen mejorada para fotos y videos. Meta dice que actualmente está probando el intercambio de medios HD con un pequeño grupo de prueba, antes de implementarlo «en los próximos meses». Messenger también está recibiendo otras herramientas útiles que aparentemente están inspiradas en WhatsApp, a saber, edición de mensajes (hasta 15 minutos después del envío), opciones de velocidad de reproducción de mensajes de voz, reproducción continua de mensajes de voz fuera del chat o la aplicación, control de recibos de lectura y mensajes que desaparecen ( después de 24 horas; esto ahora está disponible para todos los chats ya que el cifrado de extremo a extremo se ha convertido en un valor predeterminado).