Siempre soñé con que me pagaran por escribir y mantener open source. En enero de 2025, eso se hizo realidad cuando me uní al equipo de authentik, un Identity Provider open source moderno que soporta SAML, OAuth2/OIDC, LDAP, RADIUS y más. En este tiempo aporté nuevas funcionalidades, mejoras de UX, corrección de bugs, documentación y mantenimiento de dependencias.

authentik une varias de mis pasiones: el open source, la seguridad y la experiencia de usuario. Mi experiencia con IdPs era bastante limitada, más bien por un background en consultoría de seguridad y pentesting. De protocolos había implementado OAuth2 en un par de proyectos, incluyendo una integración de autenticación OAuth2.0 entre un sistema legacy y BigCommerce en Snap Kitchen, pero trabajar en el núcleo de un Identity Provider era territorio nuevo. Y resultó ser exactamente donde quería estar :)

El mejor proceso de hiring que viví

Antes de hablar de código, quiero hablar del proceso de contratación, porque dice mucho sobre la cultura del equipo. Fue el mejor que viví en mi carrera: Completé un Google form, una entrevista con el CEO (Fletcher Heisler), otra con el CTO (Jens Langhammer), y listo, me propusieron un contrato de 4 semanas de prueba para ver cómo trabajábamos juntos. Mi CV, mi GitHub y las entrevistas demostraban que la experiencia estaba. Nada de pruebas de LeetCode que no tienen nada que ver con el trabajo real.

Mi tarea de prueba fue un feature request que la comunidad venía pidiendo desde 2022.

Email OTP: mi primer desafío y prueba de fuego

El Email Authenticator Stage, un sistema completo de autenticación multifactor por correo electrónico, fue mi tarea de ingreso. El issue llevaba abierto desde 2022 y era una funcionalidad muy solicitada: no todos los usuarios tienen acceso a apps de TOTP o a llaves de seguridad, y el email es una alternativa accesible que muchas organizaciones necesitan.

El desarrollo incluyó el stage completo (una app de Django), la integración con el flow engine de authentik, la UI en Lit.js, la documentación y los tests. Fueron varias semanas desde el primer commit hasta tenerlo estable (+3,286 -18). Pero el desafío mayor fue entender todo el sistema y cómo cada parte se conecta con otra, por suerte tuve muchísimo feedback y ayuda de parte del equipo.

Y como no podía ser de otra manera, pagando derecho de piso, rompí el envío de mails desde authentik 🤦🏻‍♂️. Había un bug de serialización en el email stage que no sucedía en dev, solo en entornos de producción cuando la tarea se serializaba para enviar al worker, pero sacamos un patch bastante rápido y la crisis fue resuelta.

A raíz de esto me convertí no oficialmente en el "email guy" y tuve que resolver varios bugs relacionados con el envío de correos. El más divertido fue otro bug de serialización en el email stage que me tomó varias iteraciones: el problema aparecía cuando el nombre del remitente contenía caracteres en cirílico, un caso edge sutil que rompía la serialización de formas inesperadas.

Algunos features que implementé

Password Uniqueness Policy: seguridad enterprise

Implementé una política de unicidad de contraseñas (enterprise), que permite a los administradores configurar que los usuarios no puedan reutilizar contraseñas anteriores. Es una funcionalidad estándar en entornos corporativos donde las políticas de compliance exigen la rotación de contraseñas sin repetición.

La cantidad de contraseñas anteriores contra las que se compara es configurable. Los hashes de contraseñas anteriores se almacenan de forma segura en la base de datos de authentik y la política se integra directamente en el flujo de cambio de contraseña, de forma transparente para el usuario.

OAuth2/OIDC Back-Channel Logout: probablemente el feature más complejo

Este fue probablemente el feature más complicado en el que trabajé, y con mucho impacto. authentik ya contaba con uno de los mejores soportes OAuth2/OIDC del mercado, pero faltaba el back-channel logout, una especificación bastante nueva que permite que cuando un usuario cierra sesión, se notifique automáticamente a todas las aplicaciones conectadas para que invaliden sus sesiones. Un cierre de sesión verdaderamente global.

Lo que hizo este desarrollo especialmente desafiante fue lo nuevo del estándar: la gran mayoría de los IdPs no lo soportaban al momento de la implementación, incluidos big players como Okta. Esto también significó que probarlo con aplicaciones reales fue difícil, porque pocas lo soportan del lado del Service Provider. Lo probamos con Matrix Synapse y con Keycloak (que también es un excelente IdP open source), entre otros.

Escribimos un post con los detalles de la implementación.

Passkey Autofill: cuando UX y seguridad se encuentran

Entre las cosas que más me gustaron de trabajar en authentik fue poder implementar features que mejoran la experiencia de usuario sin sacrificar seguridad. El Passkey Autofill es un ejemplo perfecto de esto. Implementé el soporte para WebAuthn Conditional UI, más conocido como passkey autofill. Esto permite que en el stage de identificación el navegador sugiera automáticamente las passkeys disponibles, similar a como el autocompletado sugiere contraseñas guardadas, pero para passkeys.

Lo uso en mi día a día en mi propia instancia de authentik y creo que es uno de esos features donde UX y seguridad hacen que la vida del usuario sea más fácil y más segura al mismo tiempo. El login passwordless con passkey autofill es extremadamente conveniente.

Un aprendizaje interesante de este feature fue el problema de descubrimiento. WebAuthn es el nombre técnicamente correcto del estándar, pero la mayoría de los usuarios no sabe qué es. Lo que sí conocen son "passkeys", "security keys", "Yubikeys" o "FIDO2". Es un problema real de la industria: la cantidad de términos y acrónimos hace que los usuarios no encuentren lo que buscan. Trabajé bastante en la documentación y en lo que se podría considerar SEO para asegurar que los usuarios pudieran encontrar estas funcionalidades con los términos que realmente usan.

Más allá del código: documentación, UX y algunos detalles que importan

No todo el trabajo que importa aparece en las release notes. Dediqué bastante tiempo a mejoras pequeñas que surgieron de ver cómo los usuarios realmente usaban el producto: búsqueda case-insensitive porque la gente no siempre recuerda cómo escribió algo, links a la documentación en contexto porque nadie debería tener que buscar en Google desde adentro de la UI, mensajes de error más claros que guíen al usuario. El caso del passkey autofill me lo enseñó claramente: el feature estaba, pero si el usuario no lo encuentra porque lo llama "passkey" y vos lo llamás "WebAuthn", es casi como si no existiera.

También estoy orgulloso de las contribuciones a la documentación, porque sin buenos docs los usuarios no pueden usar las funcionalidades. Un feature de seguridad que nadie usa por ser complicado o por no tener documentación, simplemente no sirve. En Authentik aprendí muchísimo sobre cómo escribir documentación técnica, gracias a la calidad de la documentación del proyecto y al equipo (¡gracias, Tana!).

La parte invisible: mantenimiento y estabilidad

Una parte importante del trabajo fue el mantenimiento de dependencias: más de 330 actualizaciones de paquetes Python durante el año (dependabot no funcionaba muy bien al principio con uv como package manager). También trabajé en varios upgrades de Django (5.0 -> 5.1 -> 5.2) que necesitaron mucho trabajo, inclusive forkear algunas dependencias para poder avanzar.

También fui release manager de las versiones 2025.4 y 2025.12, pero esto merece un post aparte.

El proceso: rigor, transparencia y colaboración

El proceso de code review en authentik es riguroso y colaborativo. Casi todo sucede en GitHub, por practicidad y por transparencia hacia la comunidad, aunque a veces necesitamos llamadas 1:1, pair programming o discusiones con todo el equipo.

La seguridad es innegociable, al igual que las buenas prácticas. Varios pull requests toman semanas de review riguroso pero amigable. Tuve PRs rechazados, algunos fueron prototipos (un PR es la mejor forma de vender una idea al equipo) y otros chocaron con problemas que ocurrieron en el pasado con approaches similares. No conocer el "lore" de authentik fue un desafío al principio, pero eso es parte del aprendizaje.

Al ser un proyecto open source, cualquiera puede aportar en los PRs. Suelo pedirles colaboración a los usuarios afectados para probar los parches, ya sea en los issues de GitHub o en el Discord de la comunidad. Varios de mis compañeros actuales fueron contratados de la comunidad porque conocían el producto y lo usaban diariamente en sus homelabs o en sus trabajos.

El equipo y la experiencia más allá del código

No puedo hablar de mi experiencia en authentik sin hablar del equipo. Son personas extremadamente talentosas técnicamente y con una calidez humana real, una combinación que no siempre se da en la industria. Sentir que uno puede seguir aprendiendo todos los días no tiene precio.

En 2025 tuve la oportunidad de representar a authentik como sponsor en DEFCON y DjangoCon, atendiendo el stand junto a varios compañeros. En la DjangoCon además di una lightning talk sobre back-channel logout, presentando en vivo el feature en el que había trabajado. Estar del otro lado, explicándoles a otros desarrolladores por qué esto importa y viendo sus reacciones, fue una experiencia muy distinta a escribir el código.

El momento más especial fue el company retreat en Francia, donde nos encontramos presencialmente por primera vez. Cada uno de un lugar distinto del mundo, y hasta ese momento toda nuestra colaboración había sido remota. Ponerle cara y personalidad a las personas con las que venís trabajando día a día cambia la dinámica por completo.

Lo que aprendí

Contribuir a authentik me dio la oportunidad de trabajar en un stack completo y diverso: Python con Django en el backend, TypeScript con Lit.js en el frontend y Go en los outposts. Aprendí mucho sobre protocolos de identidad (OAuth2, SAML, WebAuthn), sobre cómo diseñar sistemas de autenticación flexibles a través del flow engine, y sobre algo que no es tan técnico pero igual de importante: pensar a futuro. Una solución tiene que ser buena en el tiempo y no solo para resolver el problema actual. Nada de quick patches.

El trabajo en open source te obliga a pensar en la documentación, en los edge cases, en la retrocompatibilidad y en que tu código va a ser leído y usado por personas que no conocés. Eso, yo creo que te hace un mejor desarrollador.

¿Y ahora?

Lo que sí, a corto plazo, gracias a authentik, voy a dar una charla con Fletcher, mi jefe, en San Francisco, California, en la conferencia de seguridad BSidesSF. Está de más decir que estoy muy emocionado por eso.

Si bien es imposible saber todo lo que depara el futuro, todos los indicios son bastante positivos. Sobre todo, el sentirse realizado con el trabajo que uno hace es extremadamente satisfactorio. Sé que estoy exactamente donde quiero estar :)

¿Querés contribuir?

Si estás pensando en contribuir a authentik, mi consejo es simple: usá el producto. Aprendé cómo funciona, identificá qué se podría mejorar para tu caso de uso. Los mejores contribuidores y varios de mis compañeros empezaron exactamente así.

Podés encontrar el proyecto en GitHub, unirte al Discord de la comunidad y empezar a explorar los issues abiertos. Y si la identidad, la seguridad y el open source son tu combinación ideal, como lo son para mí, quizás este sea tu próximo proyecto.

¿Cuánto gana realmente un dev en Paraguay? Es la pregunta del millón (o de los 14 millones de guaraníes, según estos datos). Hasta ahora, la respuesta dependía de anécdotas, rumores de pasillo y algún que otro post en LinkedIn.

El difunto blog ProyectosBeta se propuso cambiar eso con la Encuesta de Desarrolladores de Paraguay 2024. En abril, casi 400 devs respondieron preguntas sobre sus salarios, cómo trabajan, qué tecnologías usan, y hasta qué lenguajes odian. Los datos están, así que me puse a analizarlos.

Spoiler: si trabajás remoto para el exterior, probablemente estés ganando el triple que tu colega que va a la oficina todos los días. Pero hay más matices que eso, y algunos resultados sorprenden.

Hallazgos Principales

El dato que más salta: trabajar para el exterior paga 3 veces más que hacerlo para una empresa local. No es novedad para nadie en el rubro, pero ahora hay números que lo respaldan.

Ojo, todo esto es con los datos de la encuesta, el análisis tiene limitaciones que al final del post se explican.

Gráfico 1: Distribución de Salarios Mensuales

Cantidad de desarrolladores en cada rango salarial, ordenado de menor a mayor.

Observaciones

• El rango más frecuente es 7-9M Gs. seguido de 5-7M Gs.
• Existe una distribución bimodal: un grupo grande en rangos medios (5-12M) y otro grupo más pequeño en rangos altos (24M+)
• Solo el ~5% de los encuestados gana más de 50M Gs. mensuales
• El salario mínimo (≤2.5M) representa menos del 3% de las respuestas

El mercado tech paraguayo tiene una base salarial sólida comparada con otros sectores. Sin embargo, existe una brecha significativa entre los salarios locales y los que se obtienen trabajando para el exterior.

Gráfico 2: Modalidad de Trabajo

El remoto ganó. Casi el 40% trabaja desde casa (o desde donde quiera), y si sumás el híbrido, más de la mitad no va a una oficina todos los días.

La pandemia aceleró esto y tiene sentido: si podés trabajar remoto, podés acceder a empleadores del exterior. Y ya vimos lo que eso significa para el bolsillo.

Gráfico 3: Salario por Modalidad de Trabajo

Acá está el gráfico que afecta si vas a la oficina todos los días:

El remoto paga el doble que el presencial. Ojo: esto no significa que trabajar desde casa mágicamente duplique tu sueldo. Lo que pasa es que el remoto te abre la puerta a empresas de afuera, y ahí está la diferencia real.

Gráfico 4: Salario por Tipo de Empleador

Este es el gráfico clave. Mirá la diferencia:

25 millones vs 8 millones de mediana. Tres veces más. Ahí está el elefante en la habitación del mercado tech paraguayo.

Implicaciones

Existe una clara oportunidad de mejora salarial para quienes puedan acceder a empleadores del exterior. Las habilidades de inglés y la capacidad de trabajar en zonas horarias diferentes son factores diferenciadores clave.

Gráfico 5: Salario Mediano por Modalidad × Empleador

Este heatmap cruza modalidad de trabajo con tipo de empleador. Cada celda muestra la mediana salarial y el n (cantidad de personas en esa combinación).

Lo que se ve claro: el empleador pesa más que la modalidad. Mirá la columna "Exterior" — todos los valores son altos sin importar si es remoto, híbrido o presencial. En cambio, la columna "Local (PY)" tiene valores bajos en las tres modalidades.

Ojo con las celdas con n bajo (como presencial+exterior con n=1): no son representativas. Las combinaciones con más datos son remoto+exterior (n=70) y presencial+local (n=128).

Gráfico 6: Heatmap Salario vs Experiencia

La diagonal que se forma confirma lo obvio: más experiencia = más plata. Los devs con 3-5 años están mayormente en el rango 5-12M, y los que superan los 27M casi todos tienen 10+ años encima.

Pero hay puntos fuera de la diagonal. Juniors ganando como seniors. ¿Cómo? Ya sabés la respuesta: exterior.

Gráfico 7: Modalidad de Trabajo por Rango Salarial

Otra forma de ver lo mismo: en los rangos bajos domina el presencial, en los altos domina el remoto. En el rango de más de 50M, el remoto es más del 80%.

El híbrido se mantiene parejo en todos los niveles, como un término medio que no termina de definirse.

Gráfico 8: Dashboard Resumen

Un resumen visual de todo. Lo que más me llamó la atención es la progresión por nivel:

• Trainee: ~4M Gs.
• Junior: ~6M Gs.
• Mid-senior: ~10M Gs.
• Senior: ~13M Gs.
• Staff/Principal: ~18-22M Gs.

El salto de Mid a Senior es donde más se nota la diferencia. Después de eso, la curva se aplana un poco.

Gráfico 9: Top 10 Lenguajes de Programación

SQL primero. Tiene sentido: casi todos tocamos bases de datos en algún momento. Pero siendo puristas en cuanto a lenguajes de programación, el top 3 queda:

1. JavaScript
2. Java
3. Python

Java y PHP siguen teniendo presencia fuerte, especialmente en empresas locales con sistemas de hace años. TypeScript ya superó a PHP, si todavía no lo aprendiste, quizás sea momento.

Gráfico 10: Top 10 Frameworks

React arrasa en frontend. Spring domina el backend Java, Django el de Python, Laravel el de PHP. JQuery sigue apareciendo, hay mucho código legacy(pero que funciona) dando vueltas.

Vue tiene su nicho pero no le hace sombra a React. Angular quedó más relegado de lo que esperaba.

Gráfico 11: Lenguaje Favorito vs Más Odiado

Este es el gráfico más divertido. Python gana como el más querido, nadie se sorprende. Pero Java aparece segundo en favoritos Y primero en odiados. Es el lenguaje más polarizante: o lo amás o lo odiás.

JavaScript también divide aguas. PHP tiene sus haters de siempre. Y Genexus... bueno, si alguna vez tuviste que mantener un sistema legacy en Genexus, entendés por qué aparece ahí.

Gráfico 12: Stack por Tipo de Empleador

Acá hay data útil si estás pensando en qué aprender:

• TypeScript es mucho más usado en empresas del exterior (55% vs 25% local)
• PHP es más común en empresas locales y freelance
• JavaScript domina en todos los segmentos pero más en exterior
• Python es más usado que Java, especialmente en el exterior
• Java tiene uso similar en local y exterior

Implicaciones

Si querés trabajar para el exterior, priorizá TypeScript sobre JavaScript puro. Las empresas locales aún usan mucho PHP y Java. Los freelancers tienen stacks más variados.

Gráfico 13: Nivel Asignado vs Autopercibido

Este me pareció interesante. Crucé el nivel que la empresa le asigna a cada dev con el nivel que ellos creen tener.

• La mayoría (70%) está de acuerdo con su nivel asignado
• Casi 1 de cada 5 cree que merece un nivel más alto
• Los Juniors son los que más se sienten subestimados (muchos se autoperciben Mid-senior)
• Los Seniors tienen alta coincidencia con su autopercepción
• Muy pocos se sienten sobrestimados

Implicaciones

Existe una brecha de percepción principalmente en niveles junior y mid-senior. Las empresas podrían mejorar la comunicación sobre criterios de nivelación. Los desarrolladores que se sienten subestimados podrían buscar oportunidades donde su nivel sea mejor reconocido.

Conclusiones

Para desarrolladores

1. El trabajo remoto paga significativamente más - Si buscás mejorar tu salario, considerá transicionar a remoto
2. Empleadores del exterior = 3x más salario - Invertir en inglés y habilidades de comunicación remota tiene alto ROI
3. La experiencia importa, pero no es todo - Podés acelerar tu crecimiento salarial accediendo a mercados internacionales

Para empresas locales

1. Competir por talento es difícil - Los salarios del exterior son inalcanzables para la mayoría de empresas locales
2. El trabajo híbrido puede ser un diferenciador - Ofrece flexibilidad sin perder completamente el talento al mercado remoto
3. Invertir en desarrollo de carrera - Si no podés competir en salario, competí en crecimiento profesional y cultura

Para el ecosistema

• El mercado tech paraguayo está madurando pero existe una fuga de talento hacia empleadores del exterior.
• Se necesitan más empresas locales que puedan competir en compensación o que ofrezcan equity/beneficios alternativos
• La educación formal parece menos relevante que la experiencia práctica y las habilidades técnicas

Limitaciones del Análisis

Antes de sacar conclusiones definitivas, es importante entender las limitaciones de estos datos.

Esta encuesta fue respondida voluntariamente por desarrolladores que participan activamente en comunidades tech online. Esto significa que ciertos perfiles pueden estar subrepresentados: desarrolladores en empresas tradicionales, el sector público, o quienes simplemente no frecuentan estas comunidades digitales. Los 394 encuestados no necesariamente reflejan al "desarrollador promedio" de Paraguay, sino a un segmento específico del ecosistema.

Otra limitación importante es la falta de datos geográficos. No sabemos si los encuestados trabajan en Asunción, Ciudad del Este, o el interior del país. Es probable que existan diferencias salariales significativas entre la capital y otras ciudades, pero este análisis no puede capturarlas.

Los salarios fueron reportados en rangos (por ejemplo, "Entre 7.000.001 a 9.000.000 gs") en lugar de valores exactos. Para los cálculos de promedios y medianas, utilizamos el punto medio de cada rango, lo cual introduce cierta imprecisión. Además, al ser datos auto-reportados, algunos encuestados pueden haber redondeado, exagerado o subestimado sus ingresos reales.

Un punto crítico es que las variables están confundidas entre sí. Cuando decimos que "el trabajo remoto paga más", no podemos separar si es la modalidad en sí la que genera mejores salarios, o si simplemente quienes trabajan remoto tienden a hacerlo para empleadores del exterior (que pagan en dólares). Lo mismo ocurre con la experiencia: un desarrollador senior que gana bien podría estar ganando más por su seniority, por trabajar remoto, por su stack tecnológico, o por una combinación de todos estos factores. Este análisis muestra correlaciones, no causalidades.

Finalmente, estos resultados tienen una generalización limitada. Reflejan la situación de un grupo específico de desarrolladores paraguayos en abril de 2024. No se pueden extrapolar a otros países, a otros momentos en el tiempo, ni siquiera a la totalidad del mercado tech paraguayo. Las tendencias aquí presentadas son indicativas, no verdades absolutas.

Con estas consideraciones en mente, los datos siguen siendo valiosos para entender tendencias generales y tomar decisiones informadas, siempre que se interpreten con la cautela apropiada.

¿Y si hacemos una encuesta nueva este año? ¿Qué preguntas creés que faltan? Dejá tu respuesta en los comentarios

Metodología

• Fuente: Encuesta DevPy 2024 (ProyectosBeta)
• Respuestas: 394 desarrolladores
• Período: Abril 2024
• Análisis: Python (Pandas, Matplotlib)
• Gráficos: 13 visualizaciones estáticas

Los datos de este análisis provienen de la Encuesta de Desarrolladores de Paraguay 2024 de ProyectosBeta. Los gráficos fueron generados con Python.

Trabajo como desarrollador en authentik, un Identity Provider open-source muy utilizado. Y bueno, resulta que encontré una vulnerabilidad que terminó siendo mi primer CVE: CVE-2025-64708.

¿Qué es un CVE?

CVE (Common Vulnerabilities and Exposures) es un sistema estándar para identificar y catalogar vulnerabilidades de seguridad. Cada vulnerabilidad recibe un identificador único (como CVE-2025-64708) que permite a investigadores, desarrolladores y administradores de sistemas hablar del mismo problema sin ambigüedades. Cuando una vulnerabilidad recibe un CVE, queda registrada en bases de datos públicas como la del NIST, lo que facilita el seguimiento y la coordinación de parches a nivel global.

Que una organización publique un CVE no es algo malo, al contrario, es señal de transparencia en su proceso de seguridad. Significa que la organización tiene mecanismos para identificar y corregir vulnerabilidades de forma responsable, en lugar de esconderlas. Las empresas que nunca publican CVEs no necesariamente tienen software más seguro; muchas veces simplemente no tienen un proceso de disclosure o prefieren no ser transparentes.

¿Qué pasaba?

El tema era con las invitaciones expiradas. En versiones anteriores, las invitaciones se consideraban válidas aunque ya hayan vencido. El sistema dependía de tareas en segundo plano para limpiar las invitaciones viejas.

En un escenario normal, esto podía tardar hasta 5 minutos porque la limpieza estaba programada para correr cada 5 minutos. Pero si había muchas tareas en la cola, podía tardar más todavía.

O sea que alguien con un link de invitación vencido podía usarlo durante esa ventana de tiempo. Aunque sea poco probable que se explote esa vulnerabilidad, dadas las condiciones que se deben dar, no está bien que se pueda.

Los datos técnicos

• CVE ID: CVE-2025-64708
• CVSS Score: 5.3 - 5.8 (MEDIUM)
• CWE: CWE-613 (Insufficient Session Expiration)
• Vector: Red, sin autenticación requerida

El fix

Como trabajo en el proyecto, pude coordinar directamente con el equipo. La solución salió en las versiones:

• 2025.8.5
• 2025.10.2

El commit: 6672e6a

Para los que no pueden actualizar todavía, hay un workaround con un expression policy:

return not context['flow_plan'].context['invitation'].is_expired

Cómo maneja authentik la seguridad

authentik se toma la seguridad muy en serio y sigue las reglas de responsible disclosure. El proceso es bastante claro:

1. Se reporta la vulnerabilidad por email a security@goauthentik.io o a través del portal de advisories de GitHub.
2. El equipo de seguridad intenta reproducir el problema y pide más información si es necesario.
3. Se asigna un nivel de severidad usando el calculador CVSS de NVD.
4. Se crea un fix y si es posible, el reporter lo testea.
5. El fix se backportea a otras versiones soportadas y se crea un workaround si es posible.
6. Se envía un anuncio con la fecha de release y el nivel de severidad al menos 24 horas antes del release (normalmente se da más tiempo para que los usuarios puedan planificar la actualización).
7. Se publica la versión corregida.

Aunque no hay bounties monetarios, authentik reconoce a los investigadores publicando una entrada en la página de Security Advisory con el nombre o alias del reporter.

Lo que aprendí

Conseguir mi primer CVE fue una experiencia muy buena. Algunas cosas que rescato:

1. Las vulnerabilidades no siempre son rebuscadas: A veces son problemas de timing como este, nada del otro mundo.
2. Estar adentro del proyecto ayuda: Conocer el código te permite ver cosas que de afuera capaz no notás.
3. El proceso de disclosure es importante: Aunque sea tu propio proyecto, hay que seguir el proceso correcto para que los usuarios tengan tiempo de actualizar.

Referencias

CVE-2025-64708 | authentik

Reported by @melizeche

authentik logo

• NVD - CVE-2025-64708
• GitHub Security Advisory - GHSA-ch7q-53v8-73pc
• Security Policy de authentik

Esto es algo en lo que trabajé durante los Sprints de PyCon US 2025. Es parte de una guía más completa, pero quería compartirlo en algún lado mientras tanto. Originalmente publicado en inglés: Event MVP: Minimum “requirements” for organizing a community event

Los eventos online pueden ser prácticos, pero los eventos presenciales son esenciales para construir comunidad. Hay muchos tipos de eventos que podés organizar, y no necesitan ser complicados ni "perfectos" para ser efectivos.

No necesitás mucha gente para que un evento sea un éxito, generalmente las comunidades y los eventos empiezan chiquitos y crecen de forma orgánica.

Algunos ejemplos de eventos son:

• Meetups de comunidad: Encuentros casuales para hacer networking, compartir novedades y tirar ideas.
• Noches de charlas / Lightning Talks: Miembros de la comunidad comparten conocimiento en charlas cortas (5–20 min).
• Café y charla / Horarios abiertos: Encuentros informales regulares, virtuales o presenciales.
• Talleres: Sesiones prácticas (ej: intro a Git, frameworks de testing, contribuir a OSS).
• Grupos de estudio: Encuentros regulares para aprender una herramienta, framework o lenguaje juntos.
• Sesiones de coworking: Juntarse en una cafetería o un lugar similar para trabajar.

Organizar un evento no es necesariamente complicado, pero puede llevar tiempo—por eso tener un checklist ayuda, especialmente para dividir tareas.

✅ Ejemplo de Checklist para un Meetup Presencial con Charlas

• Definir la fecha y hora (buscá el día de la semana que mejor le funcione a tu comunidad).
• Conseguir un lugar — empresas de tecnología locales o universidades a veces pueden hostear el evento.
• Llamado a charlas — preguntá en grupos de tech, por DM, etc.
• Ser persistente — hacé seguimiento y reconfirmá charlas, talleres u otras actividades.
• Crear el evento en meetup.com; podés duplicar un evento anterior.
• Hacer un flyer (podés reutilizar diseños de eventos pasados o usar canva.com):
  • Logo
  • Fecha
  • Hora
  • Lugar
  • Charlas, talleres, actividades
  • Link del evento en Meetup
• Publicar en redes sociales (incluí tanto el flyer como los detalles del evento).
• Compartir el evento en otros grupos o comunidades de IT.
• Mandar recordatorios del evento en tu grupo cada algunos días — especialmente el día anterior y el día del evento.

Template para Twitter/Telegram/Discord/etc

💻🐍 @{{ Nombre de la Comunidad }} Meetup {{mes}} {{año}}
📅 Viernes {{dd}}/{{mm}}
⌚ {{hh}}:{{mm}}hs
📌 {{ lugar }}

★ {{persona1}}: "{{Título charla 1}}"
★ {{persona2}}: "{{Título charla 2}}"

¡Entrada libre!
Ubicación e inscripción:
https://bit.ly/.......

Para diferentes tipos de eventos, el checklist probablemente va a ser diferente. Una buena idea es revisar el checklist después de tu evento, y si hubo lecciones aprendidas o cosas para mejorar la próxima vez, actualizarlo.

✨ Tips Adicionales para Organizar Eventos

• Empezá simple y mantené los costos bajos — tanto de tiempo como de plata. Por ejemplo, el café y la comida pueden mejorar la experiencia, pero no son esenciales. No los incluyas en tus eventos a menos que los costos se cubran fácil, como con un sponsor.
• Celebrá los pequeños logros. Agradecé a los voluntarios y speakers, y destacá lo que salió bien. Eso motiva a más gente a involucrarse la próxima vez.
• Mantené una lista de lugares donde hiciste eventos, junto con la persona de contacto. Puede ser útil para planificar eventos futuros o si alguien más tiene que organizar el próximo.
• ¡Sacá fotos! Guardar recuerdos está bueno y podés usar las fotos para promocionar eventos futuros. Solo asegurate de tener permiso de la gente en las fotos antes de compartirlas públicamente.
• Invitá a los asistentes a dar una charla en el próximo evento o a ayudar a organizarlo.
• Pedí feedback sobre qué podrías mejorar para el próximo evento.
• Empezá y terminá con comunidad. Dejá tiempo antes/después del evento para que la gente charle. La comunidad muchas veces crece en los espacios entre las actividades programadas.
• Documentá todo. Creá carpetas o documentos compartidos para checklists, templates, presupuestos, flyers, etc. Te va a ahorrar un montón de tiempo a vos y a otros cuando organicen eventos futuros.

¿Tenés algún tip o sugerencia para agregar a esta guía? Dejá un comentario 🙌

This is something I worked on during the PyCon US 2025 Sprints. It's part of a more comprehensive guide, but I wanted to share it somewhere in the meantime. It will also be translated into Spanish later.

Good news! There are no hard requirements or one "correct" way to organize an event. But planning ahead can improve your event and your experience as an organizer. 

In-person events help build community. There are many types of events you can organize, and they don’t need to be complicated or “perfect” to be effective. 

You don’t need a lot of people for an event to be a success, usually communities and events start little and they grow organically. 

Some examples of events are:

• Community Meetups: Casual gatherings for networking, sharing updates, and brainstorming.
• Talk Nights / Lightning Talks: Community members share knowledge in short talks (5–20 min).
• Coffee Chats / Open Hours: Regular informal virtual/in-person hangouts.
• Workshops: Hands-on sessions (e.g., intro to Git, testing frameworks, contributing to OSS).
• Study Groups: Regular meetups to learn a tool, framework, or language together.
• Coworking sessions: Meet in a local coffee store or somewhere similar to work.

Organizing an event isn’t necessarily complicated, but it can take time—so having a checklist is helpful, especially to divide tasks.

✅ Example Checklist for an In-Person Meetup with Talks

• Set the date and time (Find the day of the week that works best for your community).
• Find a venue — local tech companies or universities can sometimes host the event.
• Call for talks — ask in tech groups, via DM, etc.
• Be persistent — follow up and reconfirm talks, workshops, or other activities.
• Create the event on meetup.com; you can duplicate a previous event.
• Make a flyer (you can reuse designs from past events or use canva.com):
  • Logo
  • Date
  • Time
  • Venue
  • Talks, workshops, activities
  • Meetup event link
• Post on social media (include both the flyer and event details).
• Share the event in other IT groups or communities.
• Send reminders of the event in your group every few days — especially the day before and the day of the event.

Template for Twitter/Telegram/Discord/etc

For different types of events, the checklist will probably be different. A good idea is to review the checklist after your event, and if there were any lessons learned or things to improve for next time, update it accordingly.

✨ Additional Tips for Organizing Events

• Start simple and keep costs—both time and money—low. For example, coffee and food can enhance the experience, but they’re not essential. Don’t include them in your events unless the costs are easily covered, such as through a sponsor.
• Celebrate small wins. Thank volunteers and speakers, and highlight what went well. It encourages more people to get involved next time.
• Keep a list of venues where you've hosted events, along with the contact person. This can be useful for planning future events or if someone else needs to organize the next one.
• Take pictures! Keeping memories is great and you can use the pictures to promote future events. Just make sure you have permission from the people in the photos before sharing them publicly.
• Invite attendees to give a talk at the next event or to help organize it.
• Ask for feedback on what you could improve for the next event.
• Start and end with community. Give time before/after the event for people to talk. Community often grows in the gaps between the scheduled activities.
• Document everything. Create shared folders or documents for checklists, templates, budgets, flyers, etc. It'll save you and others tons of time when organizing future events.

Do you have any tips or suggestions to add to this guide? Please leave a comment 🙌

Con el anuncio de parte de Cloudflare de un nuevo servicio de resolución de DNS y viendo benchmarks que solo tomaban en cuenta el ping al servidor se me ocurrió hacer una comparativa local de rendimiento de distintos servicios de DNS.

¿Pero qué es DNS? ultrasimplificado

Todo sitio o servicio que "existe" en Internet tiene asignada una dirección IP, como las direcciones IP son difíciles de recordar se creó el DNS (Domain Name System) que sin dar muchas vueltas es una especie de "guía telefónica" de Internet; es el responsable de saber que nombre de dominio pertenece a cual dirección IP, por ejemplo melizeche.com apunta al IP 173.230.137.131.
Para más(y mejor) info está la Wikipedia :)

El problema

Generalmente si uno no especifica que servidor DNS utilizar tu proveedor de internet te asigna uno automáticamente, cosa que no suele ser la mejor opción debido a posibles fallas del mismo proveedor o inclusive pueden ser utilizados para censurar sitios de internet. En Paraguay hay un nefasto antecedente de esto de parte de Copaco.

everywhere twitter everywhere resistance
walls from istanbul#direntwitter #resisttwitter #TurkeyBlockedTwitter pic.twitter.com/JEoUyOkDv2

— Biçda (@bicda) March 21, 2014

Además otros servidores de DNS pueden ofrecer otros servicios como bloqueo de publicidad o mejores condiciones de privacidad; la mayoría del tráfico DNS no está cifrado lo que facilita el tracking por parte del proveedor u otros actores "maliciosos".

Las opciones

Debido a la importancia de los servidores DNS con el tiempo fueron surgiendo distintas opciones. Empresas como Google, Cisco, IBM, entre otras lanzaron sus servicios de DNS cada uno con distintas prestaciones y/o promesas.

Pero sin mas preambulos los servicios de DNS que vamos a testear son:

• Google Public DNS
• Cloudflare 1.1.1.1
• OpenDNS
• IBM Quad9
• DNS de Tigo Paraguay (186.16.16.16)

Benchmark

El problema con algunos "benchmarks" que vi en estos días es que solo lo hacían con ping cosa que no es suficiente porque no toma en cuenta el tiempo que tarda en procesar el request por eso opté por una metodología diferente. Además los resultados dependen mucho del país o región donde se realice.

Normalmente bastaría con utilizar el comando dig de *nix para obtener el tiempo que tarda un request pero para obtener un mejor resultado es necesario hacer varios request además para esto necesitamos un poco más de precisión.

Metodología

1. Elegir targets distintos para mayor variedad(Sitio nacional, sitio de alto tráfico y un sitio no muy solicitado).
2. Hacer varias peticiones DNS a los distintos servidores usando bash/zsh y dig.
3. Capturar los paquetes de red con Wireshark.
4. Medir la diferencia de tiempo entre el request y la respuesta.
5. Sacar el promedio.

Targets:

• www.abc.com.py
• instagram.com
• melizeche.com

Script:

El script solicita la resolución de cada dominio de forma intercalada unas 5 veces y por cada servidor DNS haciendo una pausa de 200ms entre cada request (el script e extremadamente mejorable pero es lo que salió en el momento ¯\_(ツ)_/¯)

for dns in "8.8.8.8" "9.9.9.9" "186.16.16.16" "1.1.1.1" "208.67.222.222"; do
    for x in 1 2 3 4 5; do
        for url in "instagram.com" "www.abc.com.py" "melizeche.com"; do
            dig $url @$dns && sleep 0.2; 
        done; 
    done; 
done;

Captura

El uso de Wireshark ya escapa del alcance de este post pero básicamente se pueden usar los filtros dns, ip.src, ip.dst para ver los resultados que nos interesan.

Delta

En Wireshark podemos marcar un evento o paquete como referencia temporal lo que nos permite fácilmente obtener la diferencia entre el request y la respuesta

Exportar y promedio

Wireshark permite exportar a CSV y con eso se facilita el procesamiento de los datos, utilicé Google Spreadsheets para que sea más fácil de compartir. En el siguiente link se pueden encontrar todos los datos en crudo y los cálculos utilizados.

DNS Test - Hoja de cálculo

Resultados

No sorprende que el servidor de menor tiempo de respuesta sea el de Tigo dado que es el proveedor local y el request no sale de la red interna, igual más arriba ya citamos los posibles inconvenientes de usar un DNS local.

Algo interesante es el caso de Cloudflare: Hasta en su propio sitio dicen que es 28% más rápido, pero al menos desde Paraguay la cosa es distinta, comparando con Google el servicio de Cloudflare es 5.3X más rápido.

Conclusión

Introducción

Contexto

El 14 de abril de 2017 el grupo de hackers conocido como The Shadow Brokers publicó su último leak del "arsenal" del Equation Group de la NSA^[1] (Es una historia larga, aquí hay una cronología). Lo llamativo de este leak fue la gran cantidad de exploits para casi todas las versiones de Windows del tipo Remote Code Execution que se aprovechan de vulnerabilidades catalogadas como Zero-Day, es decir que no eran de conocimiento público ni del fabricante.^[1:1]

Aparte de los exploits también se filtraron herramientas para poder utilizarlos como FUZZBUNCH (que sería el equivalente de Metasploit de la NSA) lo que facilita a que mucha gente pueda realizar este tipo de ataques sofisticados sin mayores dificultades^[1:2] y es acá donde se complica realmente, porque para la mayoría de las personas la NSA no figura en su posible modelo de amenazas pero al democratizarse sus herramientas es como que le hayan dado una mano a otros actores que sí puedan tener motivos.

Otro punto muy importante es que aunque muchas de las vulnerabilidades ya hayan sido solucionadas otras no lo fueron porque ya son de versiones de Windows sin soporte(XP, Server 2003, Vista) y hay que sumar la falta de costumbre del usuario y/o administrador de sistemas de mantener actualizado el software.

Ethernalblue y Doublepulsar

En el siguiente cuadro podemos observar exploits del leak con los sistemas operativos vulnerables a estos:

Claramente saltan a la vista ETHERNALBLUE y ETHERNALROMANCE como los más exitosos, pero solo el primero permite explotar las vulnerabilidades en las versiones más actuales sin requerir ningun tipo de autenticación.

ETHERNALBLUE explota una vulnerabilidad en el protocolo SMB utilizado para compartir archivos y dispositivos en red lo que habilita a instalar un implante/backdoor.

DOUBLEPULSAR^[1:3] es el backdoor que permite inyectar y ejecutar cualquier DLL(Dynamic Link Library) en un proceso, comprometiendo la computadora para cualquier propósito que desee el atacante.

Para ponerlo en términos sencillos digamos que; ETHERNALBLUE es quien abre el camino, y DOUBLEPULSAR es el que lo mantiene abierto.

Con estos puntos aclarados podemos pasar a la parte interesante:

Estudio de la situación actual en Paraguay

Es imposible saber exactamente cuantos sistemas fueron explotados en todo el país dado que no todas los computadoras están expuestas a Internet directamente (por suerte) pero si podemos analizar los sistemas que si lo están, y es exactamente lo que hice.
Para esto primero es necesario escanear todo el rango direcciones de IP públicas asignadas a Paraguay, para ver que cuales están escuchando conexiones del protocolo SMB, el siguiente paso es utilizar un script para detectar si es que esas direcciones ya fueron explotadas con DOUBLEPULSAR.

ACLARACIÓN: En esta investigación no se accedió a ningún sistema, se notificó a los responsables de los mismos y se está trabajando con algunos ellos para ayudar a solucionar.

Metodología aplicada

Rango de IPs

Los rangos de direcciones IP son públicos y LACNIC como organización encargada de asignarlos provee los rangos en el siguiente link FTP.

Escaneo de puertos

Por motivos de acompañamiento a los afectados esta sección no será detallada ahora y se actualizará mas adelante con la metodología utilizada.

Detección de servidores vulnerados

La empresa Countercept desarrolló un script en Python que detecta si un servidor ha sido explotado por DOUBLEPULSAR, se puede descargar desde este repositorio:
https://github.com/countercept/doublepulsar-detection-script

La documentación se encuentra en el repositorio pero el comando utilizado para este estudio es:

python detect_doublepulsar_smb.py --file <ip_list.txt> --threads 2

Obs: Por defecto el script selecciona --threads 10, es recomendado reducir la cantidad de hilos para no saturar ninguna red.

Resultados

Teniendo en cuenta los rangos de IP que Paraguay tiene asignado:

• 1.083.648 direcciones IP escaneadas en busca de servidores que escuchen conexiones en el puerto del protocolo SMB.

• 458 hosts escuchando en el puerto del protocolo SMB.
  

• 26 hosts que fueron vulnerados con DOUBLEPULSAR

• 194 hosts en los cuales no se detecto una que haya sido vulnerado

• 237 hosts no se pudieron comprobar debido a errores de red(Connection reset by peer, Connection timed out)

Observaciones

• Es muy probable que existan mas hosts escuchando conexiones en el puerto SMB pero que no se hayan detectado debido al tipo de escaneo de puertos pasivo a fin de no saturar, por lo tanto el número real de infecciones podría ser mayor.
• Los 194 hosts donde no se detectaron que hayan sido vulnerados no significa que por esto están seguros, si no se instalan las actualizaciones de seguridad o no se mitiga de alguna manera pueden ser victimas de ETHERNALBLUE u otro exploit.

Conclusión

Es imposible saber si las infecciones de DOUBLEPULSAR son recientes o si fueron explotadas por el Equation Group(al menos desde el 2011 tenían estos exploits), en este caso lo más probable es que sean infecciones recientes ya que la dificultad de infectarlas no es muy elevada debido a que son computadoras con Windows que están compartiendo recursos en Internet, cosa que en la mayoría de los casos es una mala practica, existiendo soluciones como usar una VPN para acceder a estos recursos.

26 hosts explotados por un malware de la NSA quizás suene a poco pero si consideramos que esa cifra es el 5.7% de las direcciones escaneadas nos puede dar un pantallazo de la situación actual, además el leak es reciente, lo que hace probable que vayan aumentando los casos con el pasar del tiempo.

Aunque Microsoft haya solucionado las principales vulnerabilidades(MS17-010) para sus SO con soporte hay otros que nunca van a recibir el parche de seguridad, además como se mencionó anteriormente muchas veces hay una falta de politica de actualizaciones de seguridad o simplemente irresponsabilidad de parte de los administradores de sistemas.

La amenaza principal probablemente no está en los sistemas vulnerables expuestos a Internet sino en las miles de redes internas que están a un "Wifi sin contraseña", un empleado desleal o a una mala configuración de ser vulneradas.

La seguridad de la información no es algo que se pueda comprar directamente, no existen las balas de plata, solo a través del asesoramiento adecuado, la implementación de buenas practicas y educación al usuario se puede lograr una mejor seguridad.

Notas

tl;dr creando un bot de twitter que sea el pelotudo promedio

Cuando uno entra a la sección de comentarios del sitio de un diario normalmente se termina riendo de lo absurdo de estos y/o perdiendo toda la fe en la humanidad, o al menos, lastimosamente eso es lo que me sucede a mi. No es que espere iluminarme pero a veces uno busca algún aporte o punto de vista diferente pero en la mayoría de los casos, y aunque el artículo trate sobre el virus del Zika o cualquier otro tema lo que sucede es algo similar a esto:

[UFOstronismo y demás sinsentidos]

Entonces ya sabiendo que no voy a poder entender el razonamiento de los comentaristas decidí "masoquistamente" tratar reproducirlo con la ayuda de 53.373 comentarios de noticias de ABC y cadenas de Márkov.

¡Cuantos comentarios y cadenas de qué?

Sí, de Márkov :P

Bueno, vamos por partes. Sin dar vueltas veamos la definición de Wikipedia:

En la teoría de la probabilidad, se conoce como cadena de Márkov a un tipo especial de proceso estocástico discreto en el que la probabilidad de que ocurra un evento depende solamente del evento inmediatamente anterior. Esta característica de falta de memoria recibe el nombre de propiedad de Markov.
Recibe su nombre del matemático ruso Andréi Márkov (1856-1922).

Haciendo una burda síntesis podríamos decir que dado un estado actual se puede calcular la probabilidad del estado siguiente. Esto tiene muchas aplicaciones desde Meteorología a Inteligencia Artificial; por ejemplo, el algoritmo PageRank de Google utiliza cadenas de Márkov.

¿Y qué tiene que ver esto con un comentarista o a que viene este post?

Ok voz en off en cursiva, ya estamos llegando a eso.

El lenguaje no es algo que se pueda reproducir fácilmente en un modelo matemático(al menos no con este enfoque) sobre todo porque tiene muchas reglas gramática y semántica por lo que sería muy difícil sacar un resultado que sea coherente, pero...
¡Esa es la buena noticia!
Si queremos imitar a un comentarista promedio las reglas gramaticales, semánticas y especialmente coherencia no son cosas que necesitemos! :D
Lo único que se necesita es "alimentar" al algoritmo con datos reales, es decir con comentarios de medios digitales y elegí ABC por ser el sitio de noticias nacionales con mas visitas (asumo que más comentarios también) según el ranking de Alexa.
Con esto podemos ir eligiendo una palabra o frase y se pueden completar las siguientes de acuerdo a la probabilidades según nuestros datos (el conjunto de comentarios).

Scraping de datos

Luego de una corta investigación vi que el scraping como tal por suerte no era necesario; la recolección, minería o como lo quieran llamar se puede obtener llamando al API de Facebook, es decir sin ni siquiera "gastar" el ancho de banda de ABC, solo pasando la URL deseada como parámetro, por ejemplo:
https://graph.facebook.com/comments?id=http://abc.com.py/1447680.html&limit=500&fields=message
El hecho que la url corta sea prácticamente numérica facilitó muchísimo el trabajo. Con esta información crear un script (ver código) que descargue los comentarios y los guarde en una base de datos no fue muy difícil, la parte complicada fue no pasarse de los limites del API de Facebook para consultar aproximadamente 3 meses de noticias.

Resultado: 53.373 comentarios

Más que suficientes para lo que necesitamos.

¡Uff muchas vueltas y muchos tecnicismos donde está el bot?

Voz en off en cursiva cuando tenés razón, tenés razón.

A quién le interese la parte técnica, el código está en un repositorio de GitHub con unas breves instrucciones de uso; preguntas, sugerencias y/o modificaciones son totalmente bienvenidas.

Sin más preambulos les presento a

@ComentaristaABC

El bot está programado para tuitear cada dos horas y tuitéa este tipo de cosas incoherentes:

RECORDEMOS QUE SE PUDRAN EN LA CONVOCATORIA A LA MAYOR PREOCUPACIÓN RADICA EN QUE LOS MIEMBROS DEL MERCOSUR(NO SIRVE PARA NADA ANDATE BASURA

— Comentarista de ABC (@ComentaristaABC) febrero 2, 2016

SE PUBLICAN COMENTARIOS CATASTRÓFICOS REFERIDOS AL ESPOSO DE UNA EDUCACIÓN MACHISTA QUE LESIONA LA DIGNIDAD DE LAS BINACIONALES

— Comentarista de ABC (@ComentaristaABC) febrero 3, 2016

Pero a veces hasta tiene más sentido que los comentaristas reales

Y QUÉ MIERDA EL MUNDO SERÁ COSMOPOLITA COMO DEJARON LA AVENIDA SACRAMENTO QUE HOY DICE SER UNA ZONA CON INUNDACIONES REPENTINAS

— Comentarista de ABC (@ComentaristaABC) febrero 2, 2016

ADEMÁS LA ANDE ES UN CAOS,CUANDO APARECE LA "EMPRESA Y""POR SU PARTE, HASTA EL CANSANCIO IBAN A ACOMODAR POR EL HECHO ADEMAS DE SUS LEYES, C

— Comentarista de ABC (@ComentaristaABC) febrero 2, 2016

ROBO FUE EN UN PAÍS DONDE NO TENGAN NI UN SOLO HUEVO, HITLER CASI DOMINO EL MUNDO, SOLO QUE DEBERÍA HACER ABC, SI NO EXISTO, ¿COMO VOY A OTR

— Comentarista de ABC (@ComentaristaABC) febrero 2, 2016

HOLA KAPE DECI NA QUE ESA CASA DONDE VIVIA COMO ESCLAVA SEXUAL A LOS CLUBES QUE PASO, UNA PAREJA TAN JOVEN, FUERZA A MI HOGAR,, JAJAJAJAAJAJ

— Comentarista de ABC (@ComentaristaABC) febrero 2, 2016

También puede responder tuits basandose en las primeras 3 palabras que le escribas por ejemplo:

@ComentaristaABC Lino Oviedo

— Marce Elizeche Landó (@melizeche) febrero 3, 2016

@melizeche LINO OVIEDO QUIENES ROBARON LAS ELECCIONES DEL COMITE CENTRAL DE LA POLICÍA NACIONAL Y TUS RUTAS Y LUEGO IRA DETENIDO A LA MANO

— Comentarista de ABC (@ComentaristaABC) febrero 3, 2016

Pero si tengo que elegir uno solo como la prueba de que el bot realmente es un comentarista de ABC me quedo con este tuit:

@melizeche ZURDOS ASQUEROSOS, HAY QUE SEGUIR SOLVENTANDO PARA SUS DESAYUNOS Y EL COLEGIO AMERICANO A ENSUCIAR EL NOMBRE DE MORIA

— Comentarista de ABC (@ComentaristaABC) febrero 2, 2016

Simplemente sublime.

Para más adelante hay muchas cosas que se pueden mejorar, desde usar otro algoritmo a cortar mejor las palabras pero vamos a ver que tal funciona. También en estos días voy a liberar el dataset de los 53.373 comentarios por si alguien necesita una base de datos de incoherencias.

Ahora solo resta escribirle para ver que nos cuenta nuestro nuevo amigo amante de las mayúsculas ;)

Hace un buen tiempo que estaba queriendo retomar el blog con artículos referentes a seguridad de la información, sobre todo con algunos sucesos de suplantación de identidad ocurridos la semana pasada (Mal llamado "hackeos" por la prensa) pero ese tema prefiero dejarlo para otro post debido a algo que surgió el día de ayer.

Hace varios meses la telefónica Tigo lanzó una app de consulta y carga de saldo (Paquetes de sms, datos, etc...) llamada Tigo Shop la cual aparte ofrece beneficios por instalarla. Como muchos usuarios tampoco me fijé en los permisos que requería la app (Craso error), ya sea por desatento o por la confianza que uno suele tener tenía a una empresa conocida, y la instalé.

Recientemente no se si por curiosidad o por costumbre revisé los permisos que pide Tigo Shop y encontré que pide mucho más de lo que realmente necesita para funcionar correctamente (Obs: Usé la app varios meses antes de percatarme de esto).

Básicamente la app puede acceder a tu ubicación geográfica, ver tus contactos, enviar y leer SMS, modificar/ver tus fotos y archivos, ver cuentas asociadas a tu teléfono (Facebook, Twitter, Google, etc), ver que aplicaciones se están ejecutando entre otras cosas más que son totalmente innecesarias para una app que sirve de consulta y compra de saldo, y que no tiene funcionalidades relacionadas a ubicación GPS, directorio de contactos ni a fotos y archivos (Lo único que realmente necesitaría es conectarse a internet para interactuar con la telefónica).
Este tipo de práctica es propia de los malwares.

A continuación podemos ver la captura de pantalla de la tienda Google Play donde muestra los permisos que solicita esta app, marqué en rojo los que considero que están demás y presentan un abuso a la privacidad de los usuarios (Más abajo desgloso uno a uno).

Si estás un poco mareado al respecto a los permisos en Android básicamente son una protección para que apps malintencionadas no accedan a tus recursos/información, algunos son necesarios de acuerdo a la naturaleza de la app. Citando^[1]:

Android define un esquema de permisos para proteger ciertos recursos y características especiales. Toda aplicación que acceda a estos recursos está obligada a declarar su intención de usarlos. En caso de que una aplicación intente acceder a un recurso del que no ha solicitado permiso, se generará una excepción de permiso y la aplicación será interrumpida inmediatamente.

Si querés saber más sobre los permisos de Android podes leer "¿Cómo funcionan los permisos y seguridad de los datos en Android?"

Conversando/denunciando con Tigo

Volviendo al caso de Tigo Shop una vez que vi esto decidí hacer público y preguntar a Tigo (en una serie de tweets) el porqué de estos permisos que nada tienen que ver con las funcionalidades de la app, aquí dejo el primer tweet:

La app de Tigo Shop puede acceder atu geolocalizacion, a tus contactos, a tus fotos y a las aplicaciones instaladas🚫 pic.twitter.com/7g2eIQMGVZ

— Marce Elizeche Landó (@melizeche) July 27, 2015

Ingresá aca para ver el resto de la Conversación/Timeline con @TigoParaguay de una forma ordenada.

Como se ve en el Storify primero Tigo se confunde de app y dice que la ubicación GPS es necesaria para los usuarios de distintas operadoras (?), luego que los permisos de ubicación y de llamadas son para registrar inconvenientes en la app y en la red celular (1, 2) y referente a que la app tenga permisos de leer todos tus contactos guardados Tigo dice que es para poder "enviar como recomendación a tus contactos" (3) siendo que la app no tiene esa función en ningún lugar visible. De la explicación el único que considero válido es el permiso de ID de dispositivo que Tigo justifica que es para iniciar sesión automáticamente (4) cosa que es totalmente factible.

Luego Tigo admite que no necesita los permisos de SMS ni de acceso a Fotos y Archivos, y podemos rescatar la "promesa" de parte de ellos de solicitar que se eliminen estos dos permisos(SMS y archivos), un avance positivo pero no suficiente.
Reitero que Ubicación, Identidad y Contactos son totalmente innecesarios y me responde que es para localizar la zona si hay intermitencias de señal(1, 2)(?).

Para más como manifestaron usuarios que compraron su teléfono de Tigo, la app Tigo Shop no se puede desinstalar (solo en los casos que el telefono haya venido con el firmware personalizado de Tigo, sino si se puede desinstalar)

Configuración-> aplicaciones-> buscar Tigo Shop y desactivar es lo que nos queda @TigoParaguay @melizeche pic.twitter.com/A5pw31SNBp

— Felipe Goroso S. (@FelipeGoroso) July 27, 2015

Es decir, Tigo Shop puede acceder a tus fotos, contactos, ubicación, aplicaciones que estás ejecutando, cuentas, SMS y además en algunos casos no se puede desinstalar?
Hay una palabra para este tipo de software:
"MALWARE" y si queremos ser específicos entraría en la categoría de Spyware.

Pero en el hipotético caso que Tigo esté recolectando esta información ¿Para que puede servirle a una telefónica tu ubicación, quienes son tus contactos, que cuentas de redes usas o que aplicaciones tenés instaladas?
La respuesta: Data Mining, para "venderte mejor".

Conclusión

Esta no es una aplicación de testeo de calidad de señal, no tiene sentido a que acceda a tu ubicación, no sabemos en que momento manda la ubicación, no sabemos para que pide permiso para acceder a tus fotos y archivos, no sabemos para que necesitan revisar tus contactos ni tampoco por que necesitan leer tus SMS o que cuentas de servicios tenemos asociadas en el teléfono.
Tendríamos que confiar ciegamente en Tigo, que ellos solo usan estos datos (ubicacion, cuentas conocidas, contactos, fotos) para "corrección de errores" del funcionamiento de la app y de la red y, si así lo hiciera, como requisito mínimo debería poner algún disclaimer diciendo para que exactamente utilizan la información recolectada (a escondidas del usuario actualmente). Si necesitan recolectar información sensible lo mínimo que se tienen que hacer es solicitar el consentimiento del usuario como lo hacen otros programas (Ejemplo de Firefox).

Las empresas tienen que empezar a tomar en serio la privacidad e intimidad de los usuarios, hay datos personales o sensibles que no se debe almacenar si no hay una justificación real, uno nunca sabe en manos de quien puede terminar esta información.

Si Tigo no está recolectando toda esta información debería eliminar todos estos permisos innecesarios de sus apps lo antes posible y aclarar que fue lo que sucedió, sino al menos pedir consentimiento y que el usuario sea quien decida si compartir o no estos datos con terceros.

Anexo: Desglosando los permisos de Tigo Shop

• Dispositivo e historial de aplicaciones
• recuperar aplicaciones en ejecución

Totalmente innecesario que Tigo sepa que aplicaciones estás ejecutando, es una violación a la privacidad.

• Identidad
• buscar cuentas en el dispositivo

Según Tigo es para identificar la cuenta de Google y mandar notificaciones push a la cuenta, tiene sentido este permiso solo que en los meses que usé la app nunca recibí una sola notificación push

• Contactos
• leer tus contactos

Totalmente abusivo, no existe justificación ya que la app no tiene funciones visibles de interactuar con el directorio de contactos, violación a la privacidad importante.

• Ubicación
• ubicación precisa (según el GPS y la red)

Totalmente innecesario para la app, si utilizan como "testeo de calidad de red" están recolectando esta información sin consentimiento del usuario.

• SMS
• recibir mensajes de texto (SMS)
• leer tus mensajes de texto (SMS o MMS)
• Enviar mensajes SMS

Innecesario, ni siquiera utilizan para la Autenticación de 2 pasos(2FA), invasión a la privacidad que puedan leer tus SMS o mandarlos desde tu número.

• Fotos/Medios/Archivos
• modificar o eliminar el contenido del almacenamiento USB
• Leer el contenido del dispositivo USB

Abusivo, no hay justificación para esto, además de que pueda acceder a fotos y videos, en teoría podría recolectar datos de otras aplicaciones almacenados como por ejemplo el backup de base de datos de WhatsApp (Conversaciones)

• Información de la conexión Wi-Fi
• ver conexiones Wi-Fi

OK, necesario.

• ID del dispositivo e información de llamadas
• leer la identidad y el estado del dispositivo

Justificable, pero permitiría almacenar el número, IMEI, IMSI e inclusive el número de télefono con el que se esté teniendo una llamada activa.

• Otros
• Recibir datos desde Internet
• ver conexiones de red
• acceso completo a la red

OK, totalmente necesarios.

• Impedir que el dispositivo entre en modo de suspensión

No hay riesgo de privacidad, pero quizas innecesario.

Obviamente con todo lo expuesto recomiendo la desinstalación de esta app, al menos hasta que solucionen estos problemas.

La idea de este post (y de los siguientes relativos a seguridad) no es resaltar los errores cometidos sino concientizar sobre temas básicos de seguridad, solo informándose uno puede llegar a protegerse.

¿Que pasó con <El Otro Blog> ?

Ya lo tenía abandonado hace mucho y por cuestiones de costos ya no tenía mucho sentido que se mantuviera en su propio dominio, después de mucho migré el blog de wordpress.com a Ghost en un servidor propio y cambié a un subdominio de mi sitio. Pude migrar todos los datos gracias a wp2ghost, una utilidad para convertir archivos de backup de wordpress a backup de ghost, funciona muy bien, excepto algunas cuestiones mínimas de formato(Quizás los posts viejos no se vean taan bien pero lo importante es que siguen online).

Lo negativo de todo esto son los enlaces que se van a romper porque que apuntan al dominio viejo pero igual se puede acceder al contenido a través de https://esotroblog.wordpress.com/

Espero que este esfuerzo me inspire un poco mas para retomar esto.

Escribo este post a modo de contar que estuve haciendo últimamente y el avance de algunos proyectos geniales en los cuales estoy trabajando.

tl;dr -> Hace unas semanas estoy en Santiago de Chile como parte del Fellowship entre TEDIC y la Fundación Ciudadano Inteligente que tiene como objetivo el desarrollo del proyecto Parlamento Abierto, una plataforma de monitoreo ciudadano de las actividades del Congreso paraguayo, para así saber quienes son los legisladores, sus CVs, sus proyectos de ley, como votan, ademas de proveer herramientas de comunicación entre ciudadanía y parlamento. La idea es que Parlamento Abierto sea una herramienta para informar a la gente de lo que pasa dentro del Congreso, porque desde mi punto de vista sin información disponible no puede haber libertad.  Si, así de interesante es este proyecto, del cual tengo el privilegio de estar como Coordinador y Desarrollador principal.

Para empezar dando un pantallazo general les cuento algo sobre la FCI. La Fundación Ciudadano Inteligente es una organización que apuesta a fortalecer la democracia promoviendo la transparencia y la participación ciudadana a través del uso innovador de las tecnologías de la información, desarrollando proyectos como:

• VotaInteligente: Un espacio de información y comunicación entre los ciudadanos y los candidatos a representantes en cualquier tipo de elección.
• Inspector de Intereses: Herramienta para identificar y denunciar conflictos de intereses parlamentarios.
• Del Dicho al Hecho: Plataforma para dar seguimiento al cumplimiento de promesas electorales.

Esta cooperación con la FCI es el primer paso para desarrollar "Parlamento Abierto", utilizando varias herramientas del proyecto Poplus, proyecto Open Source creado principalmente por MySociety (Inglaterra), OpenNorth(Canada), FCI(Chile) y varios colaboradores alrededor del mundo con el fin de proveer de herramientas cívicas modulares que se puedan adaptar a la realidad de cualquier país.

La primera semana de trabajo arrancamos viendo algunos de los componentes de Poplus que usaríamos, empezando por PopIt, que es un sistema que permite almacenar y compartir información sobre personas, organizaciones y cargos. PopIt se usaría para almacenar los datos de cada legislador para así poder ser usado por los otros componentes o inclusive aplicaciones externas ya que tiene un API para acceder a estos datos.

Ejemplo de los datos

Para obtener la información necesaria hizo falta programar un "scraper" que básicamente es un script que busca y recupera información especifica de sitios web, en este caso fueron los sitios del Senado y de Diputados para obtener la lista de los legisladores, cosa que se pudo hacer sin mayor dificultad y actualmente estos datos están cargados en una instancia de PopIt.

También empezamos a familiarizarnos con Bill-It que es un sistema de gestión de documentos orientado a darle seguimiento a los proyectos de ley. Bill-It es uno de los componentes mas importantes ya que permite trackear los proyectos del parlamento y asociarlos con los legisladores (Info que provee PopIt).

Datos de ejemplo

La recopilación de esta información está en proceso debido a la complejidad innecesaria del Sistema de Información Legislativa del congreso, se pudieron extraer varios proyectos pero no todos por el momento pero con un poco mas de esfuerzo y dedicación ya va a salir dentro de poco.

No quiero extenderme demasiado en un solo post para no cansar demasiado y eso que aun no conté nada sobre WriteIt y otros componentes que estamos usando ni lo que fue la Conferencia PoplusCon pero eso viene en el próximo post.