Ataque a plugins de WordPress & Google castiga el back button hijacking - Noticias de Hacker News (14 abr 2026)
Backdoor masivo en plugins WordPress, Google endurece reglas anti-spam, GitHub lanza PRs apiladas y un avance en LLMs más rápidos. 14-abr-2026.
Our Sponsors
Today's Hacker News Topics
-
Ataque a plugins de WordPress
— Un atacante compró un portafolio de plugins y usó actualizaciones confiables para desplegar un backdoor y spam SEO, incluso escondiendo el C2 vía Ethereum. Palabras clave: WordPress, supply chain, plugin takeover, backdoor, SEO spam. -
Google castiga el back button hijacking
— Google Search formaliza como spam una práctica que secuestra el botón de “atrás”, y anuncia sanciones a partir del 15 de junio de 2026. Palabras clave: Google Search, spam policy, back button hijacking, ranking, manual actions. -
Backups en la nube con exclusiones silenciosas
— Usuarios denuncian que Backblaze excluye carpetas como .git y directorios de sincronización sin avisar claramente, reabriendo el debate “sync no es backup”. Palabras clave: Backblaze, exclusiones, OneDrive, Dropbox, confianza, restauración. -
GitHub estrena stacked pull requests
— GitHub suma soporte nativo para PRs apiladas y un flujo más claro para dividir cambios grandes en entregas revisables, con CI y protecciones alineadas. Palabras clave: GitHub, stacked PRs, revisión de código, CI, merge queue. -
Jujutsu: alternativa a Git sin drama
— Jujutsu propone un control de versiones más ergonómico que Git, con adopción gradual gracias a compatibilidad con repositorios Git existentes. Palabras clave: Jujutsu, jj, Git, Mercurial, DX, compatibilidad. -
I-DLM: diffusion LMs que compiten
— I-DLM intenta cerrar la brecha de calidad entre modelos diffusion y autoregresivos, manteniendo paralelismo y acelerando inferencia sin infraestructura exótica. Palabras clave: LLM, diffusion, inferencia rápida, throughput, consistencia. -
OpenDuck y el DuckDB híbrido
— OpenDuck lleva DuckDB a un esquema local-remoto abierto y autoalojable, con consultas híbridas y un protocolo simple para resultados en streaming. Palabras clave: DuckDB, analytics, híbrido, open source, gRPC, Arrow. -
Franklin y la era de los clones
— Una mirada retro a Franklin y sus Apple II compatibles: marketing memorable, disputas legales y el choque temprano entre clonación y propiedad intelectual. Palabras clave: Apple II, clones, copyright, historia PC, publicidad retro.
Sources & Hacker News References
- → DaVinci Resolve 21 Adds Dedicated Photo Page for Still-Image Grading and Workflow
- → NimConf 2026 Set for June 20 With Call for Talk Proposals
- → Google Updates Search Spam Policies to Ban Back Button Hijacking
- → Jujutsu’s `jj` CLI: A Simpler, More Powerful Alternative to Git
- → Backdoor Found Across 30+ WordPress Plugins After Portfolio Sale
- → I-DLM claims diffusion language models can match autoregressive quality while decoding faster
- → User Claims Backblaze Quietly Excluded OneDrive, Dropbox, and Git Folders from Backups
- → GitHub Adds Native Stacked Pull Requests with gh-stack CLI
- → Franklin’s Apple II Clone Ads and the Benjamin Franklin Impersonator Behind Them
- → OpenDuck launches as an open-source, self-hosted alternative for hybrid DuckDB cloud execution
Full Episode Transcript: Ataque a plugins de WordPress & Google castiga el back button hijacking
Un atacante compró plugins populares de WordPress, esperó meses y luego activó un backdoor que se camuflaba incluso detrás de un contrato en Ethereum. Si eso te suena a “demasiado elaborado para ser real”, quédate. Bienvenidos a The Automated Daily, hacker news edition. El podcast creado por IA generativa. Hoy es 14 de abril de 2026. Soy TrendTeller, y en cinco minutos repasamos lo más interesante de Hacker News: seguridad, herramientas de desarrollo, un empujón a los LLMs más rápidos y un poco de historia tech con sabor a los 80.
Ataque a plugins de WordPress
Arrancamos con la historia más inquietante del día: un ataque de cadena de suministro en WordPress a gran escala. Según el análisis de un investigador, alguien compró el portafolio de “Essential Plugin” y usó la confianza del canal de actualizaciones para plantar una puerta trasera en más de 30 plugins con instalaciones muy extendidas. Lo más llamativo es el timing: parte del código malicioso habría entrado en 2025, pero se mantuvo dormido hasta principios de abril de 2026, cuando empezó a activarse de verdad. ¿Y por qué importa? Porque es el recordatorio perfecto de que, en ecosistemas basados en plugins, el riesgo no es solo un bug: es quién controla el mantenimiento. Si un plugin cambia de manos y nadie lo nota, el “update” puede convertirse en el vector de ataque más eficiente. Y aunque WordPress.org cerró decenas de plugins y empujó medidas para frenar el “phone-home”, el daño en algunos sitios ya estaba incrustado en archivos críticos, lo que obliga a revisar y limpiar manualmente. Es el tipo de incidente que reabre el debate sobre transparencia en transferencias de propiedad y señales más visibles para los administradores.
Google castiga el back button hijacking
Seguimos con otra pieza de seguridad, pero esta vez del lado de la web pública: Google Search está añadiendo una política explícita contra el “back button hijacking”, esa trampa que interfiere con el botón de atrás del navegador para que el usuario no pueda volver a donde quería. A veces te manda a páginas que ni visitaste, otras te encadena a recomendaciones o anuncios. Google dice que esto ya violaba sus reglas, pero ahora lo encuadra formalmente como práctica maliciosa dentro de sus políticas anti-spam, con posibilidad de acciones manuales o degradaciones automáticas en el ranking. La parte práctica: habrá un margen antes de aplicar sanciones, y la aplicación empezará el 15 de junio de 2026. El mensaje de fondo para editores y equipos de growth es claro: no basta con “no tocar el historial”; también hay que auditar librerías de terceros, scripts de anuncios y widgets que podrían estar haciendo este tipo de cosas sin que el sitio lo perciba.
Backups en la nube con exclusiones silenciosas
Y ya que hablamos de confianza, pasamos a un tema menos espectacular pero igual de crítico: copias de seguridad. Un usuario veterano de Backblaze cuenta que el servicio habría empezado a excluir silenciosamente carpetas relevantes, pese a la idea de “respaldar todo”. Primero notó que no podía restaurar historial de repos porque se ignoraban carpetas .git. Después, encontró que también se estaban dejando fuera directorios típicos de sincronización como OneDrive o Dropbox. Backblaze lo justifica como una decisión para evitar problemas de rendimiento o respaldos “no deseados” de puntos de montaje y cachés. Pero el punto del usuario es difícil de ignorar: la sincronización no reemplaza al backup. Si te bloquean la cuenta, si borras algo y lo sincronizas, o si tu retención es limitada, puedes quedarte sin salida. Lo que realmente está en juego aquí es la expectativa: si un backup empieza a omitir cosas importantes sin avisar con claridad, la promesa principal del producto se resquebraja. Y en backups, la confianza es el producto.
GitHub estrena stacked pull requests
Cambiamos a herramientas de desarrollo. GitHub presentó soporte nativo para “stacked pull requests”, o PRs apiladas: una forma de dividir un cambio grande en una cadena de PRs pequeñas y ordenadas, donde cada una depende de la anterior. La interfaz ahora muestra el mapa de la pila y permite navegar entre capas para revisar con más contexto. La razón por la que esto importa es bastante humana: los PRs gigantes son un impuesto para todo el equipo. Cuestan de revisar, generan más conflictos y terminan retrasando el merge. GitHub intenta normalizar un flujo más incremental, manteniendo reglas de protección y CI como si cada capa apuntara al destino final. Y además deja entrever hacia dónde van las cosas: hablan de integración con agentes de IA para crear y gestionar estas pilas. No es solo una mejora de UI; es un intento de hacer que “entregar en rebanadas” sea el camino fácil.
Jujutsu: alternativa a Git sin drama
En la misma línea de mejorar la vida diaria del dev, hoy se comenta un artículo sobre `jj`, la CLI de Jujutsu, un sistema de control de versiones distribuido que se presenta como alternativa para quienes ya viven en Git. La promesa es ambiciosa: menos fricción mental sin renunciar a potencia. Lo interesante no es venderlo como “otro VCS”, sino el enfoque de adopción: puede trabajar con un backend compatible con Git, así que alguien puede probarlo sin pedirle al equipo que cambie de herramienta o que migre repositorios. En un mundo donde Git es ubicuo pero no precisamente amable, cualquier propuesta que reduzca complejidad sin romper compatibilidad merece al menos una mirada… aunque sea por curiosidad profesional.
I-DLM: diffusion LMs que compiten
Ahora, investigación en IA. Un grupo presenta “Introspective Diffusion Language Models”, o I-DLM, con un objetivo muy concreto: cerrar la brecha de calidad entre modelos de lenguaje tipo diffusion y los autoregresivos, pero conservando una ventaja clave de diffusion: generar más de un token en paralelo. La lectura de alto nivel es esta: durante años, diffusion para texto ha prometido velocidad, pero muchas veces con peor calidad o con fricciones de despliegue. Aquí proponen entrenamiento y un método de decodificación que, según reportan, logra resultados comparables a modelos autoregresivos del mismo tamaño y mejora el rendimiento cuando hay mucha concurrencia. Si esta línea se consolida, el impacto práctico sería enorme: más throughput en inferencia sin tener que reescribir medio stack de serving, que es donde muchas ideas se quedan atascadas.
OpenDuck y el DuckDB híbrido
Nos vamos al mundo de datos con OpenDuck, un proyecto open source que intenta llevar a DuckDB a un esquema “local + remoto” al estilo de lo que se ha popularizado en el análisis moderno: poder consultar datos en la nube como si fueran parte del catálogo local, y mezclarlo todo en una misma consulta. La importancia aquí es la apertura. En vez de una solución propietaria, OpenDuck apuesta por ser autoalojable y por un protocolo mínimo para ejecutar consultas y devolver resultados en streaming. En la práctica, esto puede acercar un modelo híbrido: lo que conviene corre local, lo pesado se empuja a workers remotos, y el usuario no tiene que cambiar su forma de pensar cada vez que los datos cruzan fronteras. Si te interesa la analítica moderna sin atarte a una sola plataforma, este tipo de iniciativas suelen marcar tendencia.
Franklin y la era de los clones
Cerramos con una cápsula histórica: un repaso a la publicidad de Franklin Computer en los 80 y su línea ACE, compatibles con Apple II. El artículo sostiene que los anuncios eran memorables, pero “malos” en un sentido ético y legal, porque el producto se apoyaba demasiado en copiar propiedad intelectual. Más allá del chisme retro, tiene valor como fotografía de una época: cuando el mercado de PCs estaba explotando, la clonación agresiva podía ser una estrategia comercial real… hasta que los tribunales y el concepto moderno de copyright para software y ROMs empezaron a aterrizar con fuerza. Es un recordatorio de que la industria que hoy damos por sentada se construyó en parte a golpe de imitaciones, demandas y límites que se fueron definiendo sobre la marcha.
Eso es todo por hoy. Si te quedas con una idea, que sea esta: la confianza —en plugins, en buscadores, en backups y hasta en flujos de revisión— es frágil, y cuando se rompe suele hacerlo en silencio. Soy TrendTeller, y esto fue The Automated Daily, hacker news edition. Encontrarás los enlaces a todas las historias en las notas del episodio. Hasta mañana.