Wikipedia veta Archive.today por abuso & F-Droid alerta cambios de Android - Noticias de Hacker News (21 feb 2026)
February 21, 202617m 32s
Audio is streamed directly from the publisher (mcdn.podbean.com) as published in their RSS feed. Play Podcasts does not host this file. Rights-holders can request removal through the copyright & takedown page.
Show Notes
Por favor, apoya este pódcast visitando a nuestros patrocinadores:
- Prezi: Crea presentaciones con IA rápidamente - https://try.prezi.com/automated_daily
- Descubre el futuro del audio con IA con ElevenLabs - https://try.elevenlabs.io/tad
- Invierte como los profesionales con StockMVP - https://www.stock-mvp.com/?via=ron
Apoya directamente a The Automated Daily:
Cómprame un café: https://buymeacoffee.com/theautomateddaily
Temas de hoy: Wikipedia veta Archive.today por abuso - Wikipedia decide deprecar y bloquear Archive.today tras evidencias de DDoS y manipulación de capturas; impacta ~695.000 enlaces en cientos de miles de páginas. F-Droid alerta cambios de Android - F-Droid advierte que los cambios de instalación de apps en Android siguen en agenda y podrían complicar tiendas alternativas; banners y llamado a contactar reguladores. Verificación de LinkedIn con Persona - La insignia de “persona real” de LinkedIn se tramita con Persona; el flujo recopila pasaporte (incluido NFC), selfie y biometría facial, con dudas sobre GDPR y CLOUD Act. Dependabot y falsos positivos en Go - Filippo Valsorda critica Dependabot como generador de ruido en Go; propone usar govulncheck y CI contra dependencias recientes para reducir fatiga de alertas. Divulgación responsable y amenazas legales - Un instructor de buceo descubre cuentas con IDs secuenciales y contraseña por defecto; al reportarlo recibe presión legal y un intento de NDA, pese a que la falla se corrige. Local AI: ggml con Hugging Face - El equipo de ggml y llama.cpp se une a Hugging Face para reforzar el “Local AI”; prometen mantener gobernanza comunitaria y mejorar integración con transformers y empaquetado. Claws: agentes en hardware personal - Andrej Karpathy populariza el concepto de “Claws” como capa de orquestación para agentes LLM locales; aparecen implementaciones pequeñas y auditables como NanoClaw. Facebook y el feed lleno de IA - Un regreso a Facebook tras años muestra un feed dominado por “thirst traps” y contenido aparentemente generado por IA, además de prompts sugeridos cuestionables; señales de degradación del producto. CERN reconstruye el primer navegador - CERN recrea el WorldWideWeb original de 1990 dentro de un navegador moderno; permite experimentar el flujo clásico de abrir URLs y editar documentos como en NeXT.
-https://f-droid.org/2026/02/20/twif.html
-https://thelocalstack.eu/posts/linkedin-identity-verification-privacy/
-https://words.filippo.io/dependabot/
-https://dixken.de/blog/i-found-a-vulnerability-they-found-a-lawyer
-https://simonwillison.net/2026/Feb/21/claws/
-https://pilk.website/3/facebook-is-absolutely-cooked
-https://github.com/ggml-org/llama.cpp/discussions/19759
-https://arstechnica.com/tech-policy/2026/02/wikipedia-bans-archive-today-after-site-executed-ddos-and-altered-web-captures/
-https://worldwideweb.cern.ch/
Transcripcion del Episodio
Wikipedia veta Archive.today por abuso
Empezamos con la historia más impactante por alcance: la Wikipedia en inglés decidió deprecar y, en la práctica, bloquear Archive.today y sus dominios asociados —archive.is, archive.ph, archive.fo, y varios más— tras concluir que el sitio representa un riesgo para los lectores y además no es fiable como archivo.
¿El motivo? En discusiones internas, editores revisaron reportes de que Archive.today fue utilizado para dirigir un ataque DDoS contra el blog Gyrovague. La pieza clave es que, según lo documentado, en una página de CAPTCHA habría habido código malicioso capaz de “aprovechar” a usuarios que visitan el enlace para generar tráfico del ataque. A eso se le sumó algo todavía más delicado para un servicio de archivado: evidencias de que ciertas capturas habrían sido alteradas, incluyendo inserciones de texto con el nombre del blogger atacado dentro de snapshots.
El efecto práctico es enorme: Wikipedia habla de más de 695.000 enlaces repartidos por unas 400.000 páginas que ahora se deberán retirar o reemplazar. Y esto no era un uso marginal: Archive.today se usaba mucho como alternativa para guardar páginas que cambian o para esquivar paywalls. Los reemplazos sugeridos pasan por Internet Archive (archive.org), Ghostarchive, Megalodon, u otras fuentes que no requieran ese tipo de espejo. Más allá del drama, lo relevante aquí es el precedente: si un archivo puede ser vector de ataque y además “toca” el contenido, deja de cumplir el rol básico de prueba y referencia.
F-Droid alerta cambios de Android
Siguiendo con el ecosistema abierto, F-Droid publicó su resumen semanal con un aviso inusual: dicen que el proyecto está “bajo amenaza” por planes de Google sobre cómo se instalan apps en Android. Lo interesante es el componente social: en FOSDEM 2026, el equipo conversó con usuarios que estaban convencidos de que Google ya había cancelado esos cambios, y F-Droid lo atribuye a una mezcla de relaciones públicas y repetición mediática de mensajes tranquilizadores.
Según F-Droid, la realidad es que el plan sigue programado y lo más preocupante es la falta de claridad sobre el famoso “advanced flow” que Google prometió para instalaciones fuera de Play Store. F-Droid dice que no lo han visto materializarse de forma clara en lanzamientos recientes de Android, así que no está claro qué se enviará exactamente ni cuándo.
Como respuesta, F-Droid colocó banners de advertencia tanto en su web como en versiones nuevas de sus clientes, incluido F-Droid Basic, animando a los usuarios a expresar preocupación ante autoridades locales relevantes. Y no están solos: IzzyOnDroid también añade banner, y Obtainium ya muestra un aviso dentro de la app.
En la parte de desarrollo hay novedades concretas: la reescritura de F-Droid Basic sigue avanzando y publicaron la 2.0-alpha3. Trae exportación CSV de apps instaladas, historial de instalaciones, selección de mirrors, una opción para impedir capturas de pantalla, tooltips de interfaz, un nuevo menú en “Mis apps” y orden persistente, además de traducciones y correcciones. Ojo con un detalle práctico: quien esté en F-Droid Basic 1.23.x no recibirá el alpha automáticamente; hay que activar actualizaciones beta manualmente.
El post también menciona tareas internas —recuperándose de arreglos tras una actualización de Debian— y un empujón al ecosistema: recomiendan que apps aún en Java 17 consideren subir a Java 21.
Y en el catálogo: vuelve Buses con versión 1.10 tras dos años; Conversations y Quicksy llegan a 2.19.10+free con mejoras de flujo y tablet, y un cambio llamativo en el “flavor” de Play Store para evitar usar una librería de Google directamente, comunicándose con Play Services por IPC. También hay actualización grande de Dolphin Emulator, Image Toolbox 3.6.1 con arreglos y nuevas herramientas ligadas a IA, Luanti 5.15.1 corrigiendo problemas como parpadeos, muchas actualizaciones del cliente de Nextcloud y Nextcloud Talk, y un cambio de producto notable: ProtonVPN 5.15.70.0 elimina OpenVPN y se queda con WireGuard y Stealth, reduciendo bastante el tamaño de la app. Cierra con números: cinco apps fuera del repositorio, una nueva (NeoDB You) y 287 actualizaciones adicionales.
Verificación de LinkedIn con Persona
Ahora, privacidad e identidad digital: alguien cuenta su experiencia al verificar su identidad en LinkedIn para conseguir la insignia azul de “persona real”. La sorpresa es que el proceso no lo gestiona LinkedIn directamente, sino Persona Identities, Inc., un proveedor de verificación de identidad.
Leyendo políticas y términos, el autor concluye que en apenas tres minutos entregó un paquete de datos muy amplio: imágenes completas del pasaporte —incluyendo lectura del chip NFC—, un selfie en vivo y biometría derivada de geometría facial, además de datos de identificación nacional, contacto y dirección. Y no se queda ahí: también se recogen señales del dispositivo, IP y posible geolocalización, y señales de comportamiento, como detección de “dudas”, o si copias y pegas.
Persona además dice que cruza información contra una “red global” de fuentes de terceros: registros gubernamentales o de IDs, agencias de crédito, utilities, operadores móviles y bases postales, entre otras. El punto más controvertido es el uso del material enviado —fotos de ID y selfies— para “mejorar sus sistemas”, incluyendo entrenamiento de IA, bajo la base legal de “interés legítimo” y no necesariamente con un consentimiento explícito. Ahí el autor plantea dudas de GDPR.
En teoría, LinkedIn recibiría solo resultados limitados: nombre, año de nacimiento, tipo y emisor del documento, resultado de verificación y una imagen del documento difuminada o redactada. Pero Persona sí compartiría datos con proveedores, socios, afiliadas, potenciales adquirentes y, por supuesto, fuerzas del orden.
Otro detalle que levantó alarma: la lista de subprocesadores menciona 17 empresas, 16 en Estados Unidos y una en Canadá, ninguna en la UE, incluyendo AWS y Google Cloud, y también procesadores asociados a IA como Anthropic, OpenAI y Groqcloud. Aunque el almacenamiento pueda estar en Alemania, el argumento es que tanto Persona como su cadena de subprocesadores quedarían bajo el alcance del CLOUD Act estadounidense, con posibilidad de requerimientos sobre datos almacenados fuera, incluso con órdenes de silencio.
La recomendación práctica del autor es clara: si ya te verificaste, ejerce derechos de acceso y borrado, y plantea objeción; y si no lo hiciste, decide si la insignia compensa entregar biometría facial, que por definición es difícil —o imposible— de “cambiar” si algún día se filtra.
Dependabot y falsos positivos en Go
Pasamos a seguridad de software y mantenimiento: Filippo Valsorda publicó una crítica frontal a Dependabot, especialmente en proyectos Go. Su tesis es que Dependabot funciona como una máquina de ruido: abre PRs masivos que crean trabajo mecánico, fatiga y, en última instancia, hacen menos probable que la gente atienda lo importante.
El ejemplo es muy ilustrativo. Valsorda publicó un fix de seguridad en su módulo `filippo.io/edwards25519`: un método, `(*Point).MultiScalarMult`, podía devolver resultados inválidos si el receptor no era el punto identidad. El módulo es muy usado de forma indirecta en el ecosistema —por ejemplo, a través de `github.com/go-sql-driver/mysql`—, pero su argumento es que prácticamente nadie llama a ese método vulnerable en la práctica. Aun así, Dependabot disparó miles de PRs en repositorios que realmente no estaban afectados, y además adjuntó métricas que él considera engañosas: un CVSS v4 “inventado” y un “73% compatibility score” alarmante, pese a que el cambio era literalmente una línea.
Incluso peor: Dependabot alertó al repo de Wycheproof, que ni siquiera importaba el paquete afectado, sino un subpaquete distinto (`.../field`) no vulnerable. Esto los llevó a apagar Dependabot.
La alternativa que propone Valsorda es más sobria y, sobre todo, más precisa: programar dos GitHub Actions. Una corre `govulncheck`, que se apoya en la base de datos de vulnerabilidades de Go y puede filtrar no solo por módulo, sino por paquete y hasta por símbolo, usando análisis estático para decidir si el código vulnerable es alcanzable. La segunda acción ejecuta el test suite contra las versiones más recientes de dependencias, para detectar roturas temprano sin estar empujando upgrades constantes a producción.
Su advertencia final merece quedarse: los falsos positivos generan fatiga de alertas, y cuando el equipo se acostumbra a ignorar avisos, el día que hay que rotar secretos o parchear algo crítico, la señal se pierde en el ruido. Y de rebote, el costo de ese ruido cae sobre mantenedores de open source que ya van justos de tiempo.
Divulgación responsable y amenazas legales
Otra historia de seguridad, pero en el mundo real y con un componente legal incómodo: Yannick Dixken, instructor de buceo y platform engineer, dice que durante un viaje de 14 días cerca de la Isla del Coco, en Costa Rica, encontró una vulnerabilidad crítica en el portal de miembros de una aseguradora de buceo con la que él mismo está asegurado.
El fallo era de manual, pero devastador: cuentas nuevas de estudiantes se creaban con IDs numéricos secuenciales, y todas venían con la misma contraseña por defecto, sin obligación de cambiarla al primer inicio de sesión. Sin rate limiting, sin bloqueo por intentos y sin MFA, el resultado es que bastaba adivinar un ID y probar la contraseña por defecto para tomar cuentas. La exposición incluía datos personales: nombre, dirección, teléfono, email y fecha de nacimiento; incluso de menores.
Dixken dice que verificó con el mínimo acceso necesario y se detuvo. Reportó el 28 de abril de 2025 siguiendo divulgación coordinada: avisó a la organización y también a CSIRT Malta, según la política nacional de divulgación. Puso un embargo de 30 días para que lo arreglaran.
Dos días después, en vez de respuesta técnica, le contestó el bufete de los DPOs: reconocían investigación, hablaban de resetear contraseñas por defecto y planear 2FA, pero también lo reprendían por involucrar autoridades “primero”, insinuaban que divulgarlo podría hacerlo responsable por daños y sugerían que sus acciones probablemente eran delito bajo ley maltesa. Y exigían que firmara ese mismo día una “declaración” con confidencialidad estricta y entrega de pasaporte, algo que él interpretó como un NDA para silenciar el proceso.
Él se negó a firmar confidencialidad, ofreció una versión que solo confirmaba borrado de datos, y la organización endureció la postura citando el artículo 337E del código penal maltés e intentando vetar el uso del nombre en blogs o conferencias.
La parte positiva es que, según el reporte, el problema se corrigió: contraseñas por defecto reseteadas y 2FA en despliegue. La parte que queda abierta es si se notificó a usuarios afectados, algo que el autor cree que sería exigible bajo GDPR. Y deja una lección: muchas empresas dicen querer disclosure responsable, pero cuando llega, lo primero que activan no es ingeniería, sino abogados.
Local AI: ggml con Hugging Face
Ahora vamos con el bloque de “Local AI” y agentes. Primero, una noticia estructural: el equipo fundador detrás de `ggml` y `llama.cpp` anunció que se une a Hugging Face para impulsar el progreso a largo plazo de la inferencia local. El anuncio, firmado por Georgi Gerganov el 20 de febrero de 2026, insiste en que el objetivo es mantener el futuro de la IA “realmente abierto”.
La promesa central es importante para la comunidad: los proyectos de ggml-org seguirán siendo open source y con gobernanza comunitaria en decisiones técnicas y arquitectónicas. La diferencia es que, con recursos de Hugging Face, el equipo podrá mantener y escalar soporte de forma sostenible, a tiempo completo.
En el texto también se reconoce el trabajo previo de ingenieros de Hugging Face en piezas clave: servidor de inferencia y UI, soporte multimodal, implementaciones de arquitecturas, mejoras de compatibilidad GGUF e integración con Hugging Face Inference Endpoints.
¿Y qué viene? Dos prioridades: integración más “de un clic” con `transformers` para mejorar soporte y control de calidad de modelos, y un foco fuerte en empaquetado y experiencia de usuario para que gente no experta pueda desplegar modelos locales sin pelearse con dependencias. El telón de fondo es claro: la inferencia local compite cada vez más con la nube, por costo, privacidad y control.
Claws: agentes en hardware personal
En paralelo, Andrej Karpathy publicó un mini-ensayo sobre por qué se compró un Mac Mini para experimentar con algo que llama “Claws”. Dice que en la Apple Store le comentaron que estos equipos se están vendiendo muchísimo y que “nadie entiende” del todo el pico. Él mismo confiesa que le da cierta desconfianza ejecutar OpenClaw como tal, pero le entusiasma la idea de fondo.
Según Karpathy, “Claws” sería una capa por encima de los agentes LLM: orquestación, scheduling, gestión de contexto, llamadas a herramientas y persistencia. La hipótesis es que el concepto ya está claro, así que empezarán a proliferar implementaciones pequeñas. Y aquí aporta un ejemplo que gusta por una razón muy concreta: NanoClaw, cuyo motor central rondaría las 4.000 líneas de código. Eso lo hace relativamente auditable, modificable y, en teoría, menos opaco. Además, corre todo en contenedores por defecto.
Simon Willison, al enlazar el hilo, apuesta a que “Claw” se está convirtiendo en un término de uso para sistemas de agentes en hardware personal que se comunican por protocolos de mensajería, responden a instrucciones directas y pueden programar tareas. En resumen: más que una app, una categoría emergente dentro del stack de IA local.
Facebook y el feed lleno de IA
Cambiamos de tema a plataformas sociales y contenido generado: un escritor relata su regreso a Facebook tras unos ocho años para buscar un grupo del vecindario… y se encuentra con que ni el grupo aparece, ni el feed se parece a lo que recordaba.
Describe una secuencia muy concreta: después de una publicación de una página seguida —xkcd—, las siguientes diez publicaciones no eran de amigos ni de páginas seguidas. Eran, en su mayoría, “thirst traps” de mujeres jóvenes, muchas con pinta de estar generadas por IA, con captions genéricos y algunas imágenes rozando lo NSFW.
El autor lo compara con el problema de bots en X/Twitter, pero dice que esto es peor porque ocurre en el producto central de Facebook: el News Feed. Además, el feed le sirvió un video “conmovedor” aparentemente generado por IA, memes de relaciones y sketches diseñados como cebo de engagement.
Un punto especialmente criticado es una función de “preguntas sugeridas” por IA de Meta, que en su experiencia proponía prompts sexistas u objetificantes, o preguntas superficiales sobre apariencia y “personalidad”. Y en la parte de detección, menciona pistas típicas: texto ilegible, logos deformados en fotos y comentarios con elogios vacíos del tipo “Beautiful” o “I love you”, que podrían ser usuarios despistados o cuentas automatizadas.
Lo más duro del relato es el cierre: dice que dejó de navegar al encontrarse imágenes de chicas que parecían rondar los 14 años. Más allá de si era un sesgo algorítmico por volver tras años, el reporte retrata un problema serio: cuando el contenido sintético y el engagement bait dominan, la confianza y la seguridad del usuario se erosionan rápidamente.
CERN reconstruye el primer navegador
Y para terminar con un tono más histórico: CERN mantiene un proyecto precioso llamado “2019 WorldWideWeb Rebuild”. Es una reconstrucción del WorldWideWeb original —el primer navegador— que Tim Berners-Lee desarrolló en una máquina NeXT en diciembre de 1990, en CERN, cerca de Ginebra.
Con motivo del 30 aniversario, en febrero de 2019 un grupo de desarrolladores y diseñadores se reunió para recrear esa experiencia, pero dentro de un navegador moderno. La gracia no es solo “ver una captura”: puedes abrir el navegador reconstruido y seguir el flujo original de menús para abrir una URL: “Document” → “Open from full document reference”, introduces la URL y abres. Incluso te recuerdan un detalle de época: hay que hacer doble clic en los enlaces.
También muestran cómo editar un documento y crear enlaces, porque aquel primer navegador era, a la vez, una herramienta de autoría. Y para quien quiera ir más allá, hay secciones con historia, timeline, guías de patrones de interfaz, tipografía NeXT y fragmentos del código original. Un recordatorio útil de que muchas ideas del web actual nacieron en una interfaz mucho más simple… y, aun así, sorprendentemente poderosa.
Suscríbete a fuentes específicas por edición:
- Space news
* Apple Podcast English
* Spotify English
* RSS English Spanish French
- Top news
* Apple Podcast English Spanish French
* Spotify English Spanish French
* RSS English Spanish French
- Tech news
* Apple Podcast English Spanish French
* Spotify English Spanish Spanish
* RSS English Spanish French
- Hacker news
* Apple Podcast English Spanish French
* Spotify English Spanish French
* RSS English Spanish French
- AI news
* Apple Podcast English Spanish French
* Spotify English Spanish French
* RSS English Spanish French
Visit our website at https://theautomateddaily.com/
Send feedback to [email protected]
Youtube
LinkedIn
X (Twitter)
- Prezi: Crea presentaciones con IA rápidamente - https://try.prezi.com/automated_daily
- Descubre el futuro del audio con IA con ElevenLabs - https://try.elevenlabs.io/tad
- Invierte como los profesionales con StockMVP - https://www.stock-mvp.com/?via=ron
Apoya directamente a The Automated Daily:
Cómprame un café: https://buymeacoffee.com/theautomateddaily
Temas de hoy: Wikipedia veta Archive.today por abuso - Wikipedia decide deprecar y bloquear Archive.today tras evidencias de DDoS y manipulación de capturas; impacta ~695.000 enlaces en cientos de miles de páginas. F-Droid alerta cambios de Android - F-Droid advierte que los cambios de instalación de apps en Android siguen en agenda y podrían complicar tiendas alternativas; banners y llamado a contactar reguladores. Verificación de LinkedIn con Persona - La insignia de “persona real” de LinkedIn se tramita con Persona; el flujo recopila pasaporte (incluido NFC), selfie y biometría facial, con dudas sobre GDPR y CLOUD Act. Dependabot y falsos positivos en Go - Filippo Valsorda critica Dependabot como generador de ruido en Go; propone usar govulncheck y CI contra dependencias recientes para reducir fatiga de alertas. Divulgación responsable y amenazas legales - Un instructor de buceo descubre cuentas con IDs secuenciales y contraseña por defecto; al reportarlo recibe presión legal y un intento de NDA, pese a que la falla se corrige. Local AI: ggml con Hugging Face - El equipo de ggml y llama.cpp se une a Hugging Face para reforzar el “Local AI”; prometen mantener gobernanza comunitaria y mejorar integración con transformers y empaquetado. Claws: agentes en hardware personal - Andrej Karpathy populariza el concepto de “Claws” como capa de orquestación para agentes LLM locales; aparecen implementaciones pequeñas y auditables como NanoClaw. Facebook y el feed lleno de IA - Un regreso a Facebook tras años muestra un feed dominado por “thirst traps” y contenido aparentemente generado por IA, además de prompts sugeridos cuestionables; señales de degradación del producto. CERN reconstruye el primer navegador - CERN recrea el WorldWideWeb original de 1990 dentro de un navegador moderno; permite experimentar el flujo clásico de abrir URLs y editar documentos como en NeXT.
-https://f-droid.org/2026/02/20/twif.html
-https://thelocalstack.eu/posts/linkedin-identity-verification-privacy/
-https://words.filippo.io/dependabot/
-https://dixken.de/blog/i-found-a-vulnerability-they-found-a-lawyer
-https://simonwillison.net/2026/Feb/21/claws/
-https://pilk.website/3/facebook-is-absolutely-cooked
-https://github.com/ggml-org/llama.cpp/discussions/19759
-https://arstechnica.com/tech-policy/2026/02/wikipedia-bans-archive-today-after-site-executed-ddos-and-altered-web-captures/
-https://worldwideweb.cern.ch/
Transcripcion del Episodio
Wikipedia veta Archive.today por abuso
Empezamos con la historia más impactante por alcance: la Wikipedia en inglés decidió deprecar y, en la práctica, bloquear Archive.today y sus dominios asociados —archive.is, archive.ph, archive.fo, y varios más— tras concluir que el sitio representa un riesgo para los lectores y además no es fiable como archivo.
¿El motivo? En discusiones internas, editores revisaron reportes de que Archive.today fue utilizado para dirigir un ataque DDoS contra el blog Gyrovague. La pieza clave es que, según lo documentado, en una página de CAPTCHA habría habido código malicioso capaz de “aprovechar” a usuarios que visitan el enlace para generar tráfico del ataque. A eso se le sumó algo todavía más delicado para un servicio de archivado: evidencias de que ciertas capturas habrían sido alteradas, incluyendo inserciones de texto con el nombre del blogger atacado dentro de snapshots.
El efecto práctico es enorme: Wikipedia habla de más de 695.000 enlaces repartidos por unas 400.000 páginas que ahora se deberán retirar o reemplazar. Y esto no era un uso marginal: Archive.today se usaba mucho como alternativa para guardar páginas que cambian o para esquivar paywalls. Los reemplazos sugeridos pasan por Internet Archive (archive.org), Ghostarchive, Megalodon, u otras fuentes que no requieran ese tipo de espejo. Más allá del drama, lo relevante aquí es el precedente: si un archivo puede ser vector de ataque y además “toca” el contenido, deja de cumplir el rol básico de prueba y referencia.
F-Droid alerta cambios de Android
Siguiendo con el ecosistema abierto, F-Droid publicó su resumen semanal con un aviso inusual: dicen que el proyecto está “bajo amenaza” por planes de Google sobre cómo se instalan apps en Android. Lo interesante es el componente social: en FOSDEM 2026, el equipo conversó con usuarios que estaban convencidos de que Google ya había cancelado esos cambios, y F-Droid lo atribuye a una mezcla de relaciones públicas y repetición mediática de mensajes tranquilizadores.
Según F-Droid, la realidad es que el plan sigue programado y lo más preocupante es la falta de claridad sobre el famoso “advanced flow” que Google prometió para instalaciones fuera de Play Store. F-Droid dice que no lo han visto materializarse de forma clara en lanzamientos recientes de Android, así que no está claro qué se enviará exactamente ni cuándo.
Como respuesta, F-Droid colocó banners de advertencia tanto en su web como en versiones nuevas de sus clientes, incluido F-Droid Basic, animando a los usuarios a expresar preocupación ante autoridades locales relevantes. Y no están solos: IzzyOnDroid también añade banner, y Obtainium ya muestra un aviso dentro de la app.
En la parte de desarrollo hay novedades concretas: la reescritura de F-Droid Basic sigue avanzando y publicaron la 2.0-alpha3. Trae exportación CSV de apps instaladas, historial de instalaciones, selección de mirrors, una opción para impedir capturas de pantalla, tooltips de interfaz, un nuevo menú en “Mis apps” y orden persistente, además de traducciones y correcciones. Ojo con un detalle práctico: quien esté en F-Droid Basic 1.23.x no recibirá el alpha automáticamente; hay que activar actualizaciones beta manualmente.
El post también menciona tareas internas —recuperándose de arreglos tras una actualización de Debian— y un empujón al ecosistema: recomiendan que apps aún en Java 17 consideren subir a Java 21.
Y en el catálogo: vuelve Buses con versión 1.10 tras dos años; Conversations y Quicksy llegan a 2.19.10+free con mejoras de flujo y tablet, y un cambio llamativo en el “flavor” de Play Store para evitar usar una librería de Google directamente, comunicándose con Play Services por IPC. También hay actualización grande de Dolphin Emulator, Image Toolbox 3.6.1 con arreglos y nuevas herramientas ligadas a IA, Luanti 5.15.1 corrigiendo problemas como parpadeos, muchas actualizaciones del cliente de Nextcloud y Nextcloud Talk, y un cambio de producto notable: ProtonVPN 5.15.70.0 elimina OpenVPN y se queda con WireGuard y Stealth, reduciendo bastante el tamaño de la app. Cierra con números: cinco apps fuera del repositorio, una nueva (NeoDB You) y 287 actualizaciones adicionales.
Verificación de LinkedIn con Persona
Ahora, privacidad e identidad digital: alguien cuenta su experiencia al verificar su identidad en LinkedIn para conseguir la insignia azul de “persona real”. La sorpresa es que el proceso no lo gestiona LinkedIn directamente, sino Persona Identities, Inc., un proveedor de verificación de identidad.
Leyendo políticas y términos, el autor concluye que en apenas tres minutos entregó un paquete de datos muy amplio: imágenes completas del pasaporte —incluyendo lectura del chip NFC—, un selfie en vivo y biometría derivada de geometría facial, además de datos de identificación nacional, contacto y dirección. Y no se queda ahí: también se recogen señales del dispositivo, IP y posible geolocalización, y señales de comportamiento, como detección de “dudas”, o si copias y pegas.
Persona además dice que cruza información contra una “red global” de fuentes de terceros: registros gubernamentales o de IDs, agencias de crédito, utilities, operadores móviles y bases postales, entre otras. El punto más controvertido es el uso del material enviado —fotos de ID y selfies— para “mejorar sus sistemas”, incluyendo entrenamiento de IA, bajo la base legal de “interés legítimo” y no necesariamente con un consentimiento explícito. Ahí el autor plantea dudas de GDPR.
En teoría, LinkedIn recibiría solo resultados limitados: nombre, año de nacimiento, tipo y emisor del documento, resultado de verificación y una imagen del documento difuminada o redactada. Pero Persona sí compartiría datos con proveedores, socios, afiliadas, potenciales adquirentes y, por supuesto, fuerzas del orden.
Otro detalle que levantó alarma: la lista de subprocesadores menciona 17 empresas, 16 en Estados Unidos y una en Canadá, ninguna en la UE, incluyendo AWS y Google Cloud, y también procesadores asociados a IA como Anthropic, OpenAI y Groqcloud. Aunque el almacenamiento pueda estar en Alemania, el argumento es que tanto Persona como su cadena de subprocesadores quedarían bajo el alcance del CLOUD Act estadounidense, con posibilidad de requerimientos sobre datos almacenados fuera, incluso con órdenes de silencio.
La recomendación práctica del autor es clara: si ya te verificaste, ejerce derechos de acceso y borrado, y plantea objeción; y si no lo hiciste, decide si la insignia compensa entregar biometría facial, que por definición es difícil —o imposible— de “cambiar” si algún día se filtra.
Dependabot y falsos positivos en Go
Pasamos a seguridad de software y mantenimiento: Filippo Valsorda publicó una crítica frontal a Dependabot, especialmente en proyectos Go. Su tesis es que Dependabot funciona como una máquina de ruido: abre PRs masivos que crean trabajo mecánico, fatiga y, en última instancia, hacen menos probable que la gente atienda lo importante.
El ejemplo es muy ilustrativo. Valsorda publicó un fix de seguridad en su módulo `filippo.io/edwards25519`: un método, `(*Point).MultiScalarMult`, podía devolver resultados inválidos si el receptor no era el punto identidad. El módulo es muy usado de forma indirecta en el ecosistema —por ejemplo, a través de `github.com/go-sql-driver/mysql`—, pero su argumento es que prácticamente nadie llama a ese método vulnerable en la práctica. Aun así, Dependabot disparó miles de PRs en repositorios que realmente no estaban afectados, y además adjuntó métricas que él considera engañosas: un CVSS v4 “inventado” y un “73% compatibility score” alarmante, pese a que el cambio era literalmente una línea.
Incluso peor: Dependabot alertó al repo de Wycheproof, que ni siquiera importaba el paquete afectado, sino un subpaquete distinto (`.../field`) no vulnerable. Esto los llevó a apagar Dependabot.
La alternativa que propone Valsorda es más sobria y, sobre todo, más precisa: programar dos GitHub Actions. Una corre `govulncheck`, que se apoya en la base de datos de vulnerabilidades de Go y puede filtrar no solo por módulo, sino por paquete y hasta por símbolo, usando análisis estático para decidir si el código vulnerable es alcanzable. La segunda acción ejecuta el test suite contra las versiones más recientes de dependencias, para detectar roturas temprano sin estar empujando upgrades constantes a producción.
Su advertencia final merece quedarse: los falsos positivos generan fatiga de alertas, y cuando el equipo se acostumbra a ignorar avisos, el día que hay que rotar secretos o parchear algo crítico, la señal se pierde en el ruido. Y de rebote, el costo de ese ruido cae sobre mantenedores de open source que ya van justos de tiempo.
Divulgación responsable y amenazas legales
Otra historia de seguridad, pero en el mundo real y con un componente legal incómodo: Yannick Dixken, instructor de buceo y platform engineer, dice que durante un viaje de 14 días cerca de la Isla del Coco, en Costa Rica, encontró una vulnerabilidad crítica en el portal de miembros de una aseguradora de buceo con la que él mismo está asegurado.
El fallo era de manual, pero devastador: cuentas nuevas de estudiantes se creaban con IDs numéricos secuenciales, y todas venían con la misma contraseña por defecto, sin obligación de cambiarla al primer inicio de sesión. Sin rate limiting, sin bloqueo por intentos y sin MFA, el resultado es que bastaba adivinar un ID y probar la contraseña por defecto para tomar cuentas. La exposición incluía datos personales: nombre, dirección, teléfono, email y fecha de nacimiento; incluso de menores.
Dixken dice que verificó con el mínimo acceso necesario y se detuvo. Reportó el 28 de abril de 2025 siguiendo divulgación coordinada: avisó a la organización y también a CSIRT Malta, según la política nacional de divulgación. Puso un embargo de 30 días para que lo arreglaran.
Dos días después, en vez de respuesta técnica, le contestó el bufete de los DPOs: reconocían investigación, hablaban de resetear contraseñas por defecto y planear 2FA, pero también lo reprendían por involucrar autoridades “primero”, insinuaban que divulgarlo podría hacerlo responsable por daños y sugerían que sus acciones probablemente eran delito bajo ley maltesa. Y exigían que firmara ese mismo día una “declaración” con confidencialidad estricta y entrega de pasaporte, algo que él interpretó como un NDA para silenciar el proceso.
Él se negó a firmar confidencialidad, ofreció una versión que solo confirmaba borrado de datos, y la organización endureció la postura citando el artículo 337E del código penal maltés e intentando vetar el uso del nombre en blogs o conferencias.
La parte positiva es que, según el reporte, el problema se corrigió: contraseñas por defecto reseteadas y 2FA en despliegue. La parte que queda abierta es si se notificó a usuarios afectados, algo que el autor cree que sería exigible bajo GDPR. Y deja una lección: muchas empresas dicen querer disclosure responsable, pero cuando llega, lo primero que activan no es ingeniería, sino abogados.
Local AI: ggml con Hugging Face
Ahora vamos con el bloque de “Local AI” y agentes. Primero, una noticia estructural: el equipo fundador detrás de `ggml` y `llama.cpp` anunció que se une a Hugging Face para impulsar el progreso a largo plazo de la inferencia local. El anuncio, firmado por Georgi Gerganov el 20 de febrero de 2026, insiste en que el objetivo es mantener el futuro de la IA “realmente abierto”.
La promesa central es importante para la comunidad: los proyectos de ggml-org seguirán siendo open source y con gobernanza comunitaria en decisiones técnicas y arquitectónicas. La diferencia es que, con recursos de Hugging Face, el equipo podrá mantener y escalar soporte de forma sostenible, a tiempo completo.
En el texto también se reconoce el trabajo previo de ingenieros de Hugging Face en piezas clave: servidor de inferencia y UI, soporte multimodal, implementaciones de arquitecturas, mejoras de compatibilidad GGUF e integración con Hugging Face Inference Endpoints.
¿Y qué viene? Dos prioridades: integración más “de un clic” con `transformers` para mejorar soporte y control de calidad de modelos, y un foco fuerte en empaquetado y experiencia de usuario para que gente no experta pueda desplegar modelos locales sin pelearse con dependencias. El telón de fondo es claro: la inferencia local compite cada vez más con la nube, por costo, privacidad y control.
Claws: agentes en hardware personal
En paralelo, Andrej Karpathy publicó un mini-ensayo sobre por qué se compró un Mac Mini para experimentar con algo que llama “Claws”. Dice que en la Apple Store le comentaron que estos equipos se están vendiendo muchísimo y que “nadie entiende” del todo el pico. Él mismo confiesa que le da cierta desconfianza ejecutar OpenClaw como tal, pero le entusiasma la idea de fondo.
Según Karpathy, “Claws” sería una capa por encima de los agentes LLM: orquestación, scheduling, gestión de contexto, llamadas a herramientas y persistencia. La hipótesis es que el concepto ya está claro, así que empezarán a proliferar implementaciones pequeñas. Y aquí aporta un ejemplo que gusta por una razón muy concreta: NanoClaw, cuyo motor central rondaría las 4.000 líneas de código. Eso lo hace relativamente auditable, modificable y, en teoría, menos opaco. Además, corre todo en contenedores por defecto.
Simon Willison, al enlazar el hilo, apuesta a que “Claw” se está convirtiendo en un término de uso para sistemas de agentes en hardware personal que se comunican por protocolos de mensajería, responden a instrucciones directas y pueden programar tareas. En resumen: más que una app, una categoría emergente dentro del stack de IA local.
Facebook y el feed lleno de IA
Cambiamos de tema a plataformas sociales y contenido generado: un escritor relata su regreso a Facebook tras unos ocho años para buscar un grupo del vecindario… y se encuentra con que ni el grupo aparece, ni el feed se parece a lo que recordaba.
Describe una secuencia muy concreta: después de una publicación de una página seguida —xkcd—, las siguientes diez publicaciones no eran de amigos ni de páginas seguidas. Eran, en su mayoría, “thirst traps” de mujeres jóvenes, muchas con pinta de estar generadas por IA, con captions genéricos y algunas imágenes rozando lo NSFW.
El autor lo compara con el problema de bots en X/Twitter, pero dice que esto es peor porque ocurre en el producto central de Facebook: el News Feed. Además, el feed le sirvió un video “conmovedor” aparentemente generado por IA, memes de relaciones y sketches diseñados como cebo de engagement.
Un punto especialmente criticado es una función de “preguntas sugeridas” por IA de Meta, que en su experiencia proponía prompts sexistas u objetificantes, o preguntas superficiales sobre apariencia y “personalidad”. Y en la parte de detección, menciona pistas típicas: texto ilegible, logos deformados en fotos y comentarios con elogios vacíos del tipo “Beautiful” o “I love you”, que podrían ser usuarios despistados o cuentas automatizadas.
Lo más duro del relato es el cierre: dice que dejó de navegar al encontrarse imágenes de chicas que parecían rondar los 14 años. Más allá de si era un sesgo algorítmico por volver tras años, el reporte retrata un problema serio: cuando el contenido sintético y el engagement bait dominan, la confianza y la seguridad del usuario se erosionan rápidamente.
CERN reconstruye el primer navegador
Y para terminar con un tono más histórico: CERN mantiene un proyecto precioso llamado “2019 WorldWideWeb Rebuild”. Es una reconstrucción del WorldWideWeb original —el primer navegador— que Tim Berners-Lee desarrolló en una máquina NeXT en diciembre de 1990, en CERN, cerca de Ginebra.
Con motivo del 30 aniversario, en febrero de 2019 un grupo de desarrolladores y diseñadores se reunió para recrear esa experiencia, pero dentro de un navegador moderno. La gracia no es solo “ver una captura”: puedes abrir el navegador reconstruido y seguir el flujo original de menús para abrir una URL: “Document” → “Open from full document reference”, introduces la URL y abres. Incluso te recuerdan un detalle de época: hay que hacer doble clic en los enlaces.
También muestran cómo editar un documento y crear enlaces, porque aquel primer navegador era, a la vez, una herramienta de autoría. Y para quien quiera ir más allá, hay secciones con historia, timeline, guías de patrones de interfaz, tipografía NeXT y fragmentos del código original. Un recordatorio útil de que muchas ideas del web actual nacieron en una interfaz mucho más simple… y, aun así, sorprendentemente poderosa.
Suscríbete a fuentes específicas por edición:
- Space news
* Apple Podcast English
* Spotify English
* RSS English Spanish French
- Top news
* Apple Podcast English Spanish French
* Spotify English Spanish French
* RSS English Spanish French
- Tech news
* Apple Podcast English Spanish French
* Spotify English Spanish Spanish
* RSS English Spanish French
- Hacker news
* Apple Podcast English Spanish French
* Spotify English Spanish French
* RSS English Spanish French
- AI news
* Apple Podcast English Spanish French
* Spotify English Spanish French
* RSS English Spanish French
Visit our website at https://theautomateddaily.com/
Send feedback to [email protected]
Youtube
X (Twitter)