Rastreo en Tor por IndexedDB & iOS y mensajes borrados en notificaciones - Noticias de Hacker News (23 abr 2026)
Privacidad rota en Tor y iOS, vigilancia por SS7, una nueva apuesta contra la nube “mal diseñada”, y SQLite con pub/sub durable. 23 abril 2026.
Our Sponsors
Today's Hacker News Topics
-
Rastreo en Tor por IndexedDB
— Mozilla corrigió un fallo de privacidad en Firefox donde el orden de "indexedDB.databases()" generaba un identificador estable; afectaba también a Tor Browser y podía romper "New Identity". Keywords: Firefox 150, CVE-2026-6770, fingerprinting, Tor. -
iOS y mensajes borrados en notificaciones
— Apple lanzó un parche para iOS/iPadOS que evitaba que notificaciones cacheadas conservaran texto de chats “borrados” o efímeros, incluyendo Signal. Keywords: iOS, notificaciones, Signal, forense, privacidad. -
Abuso de SS7 para geolocalizar
— Citizen Lab documentó campañas de vigilancia que explotaban SS7 y, cuando era posible, Diameter, usando acceso a redes de señalización para ubicar teléfonos. Keywords: SS7, Diameter, telecom, vigilancia, geolocalización. -
Crítica a la nube y exe.dev
— David Crawshaw presentó exe.dev y una crítica de fondo: los primitivos de la nube actual encarecen y complican computación, almacenamiento y red, y ni PaaS ni Kubernetes lo arreglan del todo. Keywords: cloud, egress fees, lock-in, VMs, AI agents. -
Pub/sub transaccional encima de SQLite
— Honker propone NOTIFY/LISTEN al estilo Postgres pero en SQLite, con colas y eventos durables dentro de la misma BD para evitar dual-write y reducir infraestructura. Keywords: SQLite, WAL, pub/sub, work queues, transaccional. -
Un compilador de C en Zig
— Un desarrollador recopiló su diario técnico construyendo un compilador de C llamado “paella” en Zig, como proyecto de aprendizaje guiado por una referencia popular. Keywords: Zig, compilador C, aprendizaje, linking, blog. -
Hex dumps con color por defecto
— Una autora defiende que hexdump y editores hex usen color por defecto: ayuda a detectar patrones y anomalías que en monocromo pasan desapercibidos. Keywords: hex editor, color-coding, patrones, usabilidad, bytes. -
Spam de comentarios estilo conversación AI
— Aparece una variante de spam que simula un mini-diálogo creíble, con enlaces camuflados en texto, probablemente generado por AI para engañar moderación y lectores. Keywords: comment spam, AI, SEO, moderación, enlaces. -
Tractores nuevos, sin electrónica moderna
— Ursa Ag atrae a agricultores con tractores nuevos basados en motores diésel noventeros remanufacturados y casi sin electrónica, priorizando reparabilidad frente a bloqueos de software. Keywords: right to repair, agricultura, John Deere, mecánico, mantenimiento.
Sources & Hacker News References
- → David Crawshaw Launches exe.dev to Rebuild Cloud Computing Primitives
- → Ursa Ag Bets on Electronics-Free Tractors to Win Over Repair-Weary Farmers
- → Honker Adds Postgres-Style NOTIFY/LISTEN, Queues, and Streams to SQLite via WAL-Based Push Notifications
- → Blog Post Calls for Default Byte Color-Coding in Hex Editors
- → Apple Patches iOS Bug That Let Forensic Tools Retrieve Deleted Messages From Notification Cache
- → Bloggers Warn of Conversation-Style Comment Spam Hiding Links
- → Jiga pitches AI-driven manufacturing sourcing platform and outlines remote-first, transparent culture amid hiring push
- → Citizen Lab Finds Covert Vendors Exploiting Telecom Signaling to Track Phone Locations
- → Developer Indexes a Zig-Based C Compiler Tutorial Series
- → Firefox and Tor Browser Bug Enabled Cross-Site Tracking via IndexedDB Result Ordering
Full Episode Transcript: Rastreo en Tor por IndexedDB & iOS y mensajes borrados en notificaciones
Bienvenidos a The Automated Daily, hacker news edition. El podcast creado por IA generativa. Hoy es 23 de abril de 2026. Arrancamos con una sorpresa incómoda: un detalle aparentemente inofensivo en Firefox llegó a permitir un tipo de huella digital que podía enlazar tu actividad entre sitios… e incluso debilitar el “New Identity” de Tor mientras el proceso seguía abierto. Vamos a ello.
Rastreo en Tor por IndexedDB
Privacidad y seguridad, primero. Investigadores reportaron una vulnerabilidad en Firefox relacionada con IndexedDB: el simple orden en que el navegador devolvía la lista de bases de datos podía convertirse en un identificador estable durante la vida del proceso. Lo interesante —y preocupante— es que esto no dependía de cookies ni de almacenamiento compartido entre sitios: era un efecto colateral de implementación que terminaba sirviendo como señal de “fingerprinting”. En navegación privada, el rastro podía mantenerse mientras Firefox no se cerrara del todo, y en Tor Browser podía sobrevivir a un reinicio de identidad dentro de la misma sesión. Mozilla ya lo corrigió en versiones recientes, y el mensaje de fondo es claro: a veces el vector de rastreo no está en lo obvio, sino en los bordes.
iOS y mensajes borrados en notificaciones
En una línea parecida, Apple publicó una actualización para iPhone y iPad que cierra un hueco de privacidad: notificaciones que supuestamente debían “desaparecer” podían quedarse guardadas en una base de datos del sistema y, con herramientas forenses, ser recuperadas después, incluso si el mensaje ya no existía en la app. El caso se hizo visible porque afectaba a mensajes de Signal, y porque, según reportes, se aprovechó en contextos de incautación de dispositivos. La relevancia aquí no es solo un bug puntual: es un recordatorio de que las promesas de “mensajes efímeros” dependen también del sistema operativo y de cómo gestiona copias auxiliares como las notificaciones.
Abuso de SS7 para geolocalizar
Y si ampliamos el zoom a infraestructura global, Citizen Lab describió dos campañas de vigilancia que explotaban debilidades de la señalización en telecomunicaciones, con SS7 como viejo conocido y Diameter como “evolución” que no siempre se despliega con las protecciones esperadas. La idea es sencilla y terrible: con acceso a ciertas rutas y acuerdos entre operadores —o a empresas pantalla que parecen operadores— se puede consultar la ubicación de un teléfono. Esto importa porque demuestra que, pese a años de advertencias, el problema sigue vivo: es difícil de detectar, cruza fronteras y no se arregla solo con “actualizar el estándar” si las prácticas y controles de la industria no acompañan.
Crítica a la nube y exe.dev
Pasemos a infraestructura de software. David Crawshaw anunció que está construyendo una nueva plataforma cloud, exe.dev, pero lo más jugoso no es el anuncio en sí: es su crítica a la “forma” de la nube actual. Sostiene que los hyperscalers empujan abstracciones incómodas —máquinas virtuales atadas a tamaños rígidos, almacenamiento remoto lento o restrictivo, y redes con incentivos económicos dominados por el egress y el lock-in— y que capas como PaaS o Kubernetes a menudo solo maquillan ese problema. Su apuesta: separar la compra de capacidad de CPU/memoria del conteo de VMs y acompañarlo de piezas prácticas como proxies con TLS y autenticación, además de priorizar almacenamiento local rápido con replicación. Aunque el proyecto está empezando, el debate importa: si la escritura de software se dispara con agentes de AI, la fricción y el costo del cloud pasan de ser molestia a cuello de botella.
Pub/sub transaccional encima de SQLite
En el mundo “menos infraestructura, más simplicidad”, apareció Honker: una extensión cargable de SQLite y bindings en varios lenguajes que intenta llevar un modelo tipo NOTIFY/LISTEN al estilo Postgres, pero sin meter un broker externo. Lo diferencial es que los eventos, colas de trabajo y streams viven como filas dentro de la misma base de datos; así, publicar un evento y guardar un cambio en la app pueden confirmarse juntos o revertirse juntos. Eso recorta el clásico dolor de cabeza del dual-write, donde una cosa se guarda en la BD y otra en un sistema de colas aparte, y luego hay que reconciliar inconsistencias. No es una solución para todo —apunta a escenarios de una sola máquina con SQLite en modo WAL— pero refleja una tendencia: muchas apps “embebidas” quieren fiabilidad y background jobs sin administrar un zoo de servicios.
Un compilador de C en Zig
Hablando de construir cosas para aprender: un desarrollador recopiló una serie de entradas sobre su primer gran proyecto en Zig, un compilador de C llamado “paella”. No es un manual pulido, es más bien un cuaderno de bitácora guiado por una referencia conocida sobre cómo escribir un compilador. ¿Por qué importa para la comunidad? Porque este tipo de diarios técnicos aterrizan conceptos complejos en decisiones reales: dónde te atascas, qué te sorprende, y cómo pasas de “parsea” a “genera algo enlazable”. Además, Zig sigue ganando tracción como lenguaje de sistemas, y proyectos así ayudan a entender su ergonomía fuera de los ejemplos de siempre.
Hex dumps con color por defecto
Ahora, una idea pequeña pero con impacto en productividad: una desarrolladora defendió que las herramientas de hexdump y los editores hex deberían colorear bytes por defecto. El argumento es casi de sentido común: en una cuadrícula monocroma, detectar patrones, límites o anomalías depende de una atención que se agota rápido; con color, el ojo humano encuentra estructura de inmediato, como ocurre con el resaltado de sintaxis en un editor de código. Lo interesante es que no propone el típico “ASCII vs no ASCII”, sino un esquema más granular para revelar repeticiones y rarezas sin volver ilegible el texto. Es una mejora de usabilidad barata que, en debugging, puede ahorrarte minutos —o horas— de ceguera voluntaria.
Spam de comentarios estilo conversación AI
Del lado menos agradable de la web: Terence Eden contó una nueva variante de spam en comentarios que imita una conversación breve y plausible, con varias respuestas seguidas que parecen usuarios reales interactuando. El truco es social: si parece diálogo, baja la guardia; y en medio, se cuela un enlace a un casino escrito de forma discreta, sin la señal visual típica de un “https://”. Al revisar, todos venían del mismo origen, lo que facilitó bloquearlos, pero la lectura importante es otra: el spam está usando texto de baja sustancia —probablemente generado— para pasar filtros y explotar señales de confianza humanas. Para quienes gestionan comunidades, esto presiona el eterno equilibrio entre moderación estricta y no matar la participación legítima.
Tractores nuevos, sin electrónica moderna
Cerramos con hardware y economía real. Una startup canadiense, Ursa Ag, dice estar recibiendo mucho interés de agricultores en EE. UU. con una propuesta que suena a contracorriente: tractores nuevos construidos alrededor de motores diésel remanufacturados de los 90 y, a propósito, con menos electrónica moderna. El motivo es pragmático: si algo falla en plena siembra o cosecha, poder reparar sin software propietario, sin autorizaciones del concesionario y sin diagnósticos cerrados puede valer más que sensores y pantallas. En el trasfondo está la pelea por el right-to-repair y el hartazgo con equipos cada vez más complejos y caros. Si esta demanda crece, puede empujar a los fabricantes grandes a repensar cuánto “smart” realmente ayuda cuando también aumenta dependencia.
Y hasta aquí el episodio de hoy. Entre fallos sutiles que erosionan la privacidad, debates sobre cómo debería ser la nube, y herramientas que intentan simplificar la vida del desarrollador —o del agricultor—, la constante es la misma: los detalles de diseño terminan definiendo quién tiene control y a qué costo. Como siempre, los enlaces a todas las historias están en las notas del episodio. Nos escuchamos mañana.