Hacker News · 20 de marzo de 2026 · 7:55

Ataques invisibles en Azure Entra & Android endurece el sideloading - Noticias de Hacker News (20 mar 2026)

Tokens OAuth sin logs en Entra, Android limita sideloading, causas del apagón ibérico, k-means GPU, FFmpeg con Vulkan, CSS y valor del suelo urbano.

English Español Français
Ataques invisibles en Azure Entra & Android endurece el sideloading - Noticias de Hacker News (20 mar 2026)
0:007:55

Our Sponsors

Prezi: Crea presentaciones con IA rápidamente Learn more → Descubre el futuro del audio con IA con ElevenLabs Learn more → Crea cualquier formulario, sin código, con Fillout. 50% de créditos adicionales por registrarte Learn more →

Today's Hacker News Topics

  1. Ataques invisibles en Azure Entra

    — Un investigador mostró bypasses ya parcheados que permitían emitir tokens OAuth en Microsoft Azure Entra ID sin generar registros de inicio de sesión, debilitando auditoría y respuesta a incidentes.

  2. Android endurece el sideloading

    — Google plantea verificación obligatoria de desarrolladores para apps instaladas fuera de tienda, con un bypass lento en Opciones de desarrollador; cambia el equilibrio entre seguridad, control de plataforma y privacidad.

  3. Causas del gran apagón ibérico

    — ENTSO-E atribuye el apagón total de España y Portugal de abril de 2025 a factores combinados (oscilaciones, control de tensión/reactiva y desconexiones en cascada), destacando coordinación transfronteriza y reglas adaptadas al sistema eléctrico moderno.

  4. K-means exacto a velocidad GPU

    — El paper Flash-KMeans propone un k-means exacto optimizado para GPU evitando cuellos de memoria y contención, con potencial para clustering en línea dentro de pipelines de IA con latencia real.

  5. FFmpeg impulsa vídeo con Vulkan

    — FFmpeg avanza en aceleración por GPU con shaders de cómputo Vulkan y, además, suma drawvg para overlays vectoriales programables, mejorando automatización y flujos de postproducción.

  6. Precisión de colores en CSS

    — Un análisis sobre minificación de CSS sugiere redondeos ‘imperceptibles’ en espacios como OKLCH para reducir tamaño sin degradar color, evitando errores acumulativos en cálculos y mezclas.

  7. Mapas de valor del suelo urbano

    — Mapas de valoración catastral revelan una concentración extrema del valor del suelo en centros urbanos; nuevas herramientas y visión por computadora ayudan a auditar subvaloraciones y detectar aparcamientos en terrenos valiosos.

Sources & Hacker News References

Full Episode Transcript: Ataques invisibles en Azure Entra & Android endurece el sideloading

¿Te imaginas que alguien consiga un token válido de Microsoft sin que aparezca ni una sola línea en los logs de inicio de sesión? Eso —y lo que dice sobre nuestra confianza en la telemetría— abre el episodio de hoy. Bienvenidos a The Automated Daily, hacker news edition. El podcast creado por generative AI. Soy TrendTeller y hoy es 20 de marzo de 2026. Vamos con las historias clave: seguridad en la nube, cambios de plataforma en Android, resiliencia eléctrica en Europa y varias novedades potentes en GPU y herramientas creativas.

Ataques invisibles en Azure Entra

Empezamos por seguridad en la nube, porque esta noticia toca un nervio sensible: la confianza en los registros. El investigador Nyxgeek publicó dos técnicas —ya corregidas— que permitían obtener tokens OAuth válidos en Azure Entra ID sin que quedara rastro en los sign-in logs. En un caso, el truco pasaba por un parámetro de alcance repetido de forma masiva; en otro, por enviar un User-Agent absurdamente largo. El detalle importante no es el “cómo”, sino el “y ahora qué”: si tu detección de intrusiones se apoya en esos logs como fuente de verdad, un hueco así deja ciegas a muchas organizaciones para identificar password spraying, accesos indebidos y, sobre todo, para reconstruir qué ocurrió después. También deja un mensaje claro: auditar no es opcional, y depender de una única pista —por muy oficial que sea— es una apuesta arriesgada.

Android endurece el sideloading

Siguiendo con control y seguridad, Google está rediseñando el futuro del sideloading en Android. A partir de septiembre de 2026, la idea es que, por defecto, solo se puedan instalar apps fuera de la tienda si el desarrollador está verificado. Y sí: seguirá existiendo una vía para usuarios avanzados, pero deliberadamente escondida y lenta, dentro de las Opciones de desarrollador, con reinicio y una espera de 24 horas. Google lo vende como freno a estafas de ingeniería social, esas en las que alguien te presiona para instalar “ya mismo” una app maliciosa. La discusión interesante es el balance: más protección frente a malware y suplantaciones, pero también más fricción para software legítimo, más dependencia de procesos de identidad, y preguntas incómodas sobre privacidad y sobre quién queda fuera cuando verificarte es difícil por región o situación legal.

Causas del gran apagón ibérico

Ahora, un tema que en Europa se mira con lupa desde 2025: ENTSO-E publicó el informe final del panel de 49 expertos sobre el apagón total del 28 de abril de 2025 en España y Portugal, el más grave en más de dos décadas. La conclusión central es casi una advertencia de ingeniería de sistemas: no fue “una cosa”, sino una combinación de factores que interactuaron mal. Hablan de oscilaciones del sistema, lagunas en control de tensión y potencia reactiva, prácticas de regulación de voltaje no homogéneas y una secuencia de reducciones rápidas de potencia y desconexiones de generación en España que desembocó en un colapso en cascada. ¿Por qué importa hoy? Porque el informe insiste en algo muy actual: en redes interconectadas, un problema local puede amplificarse, y la resiliencia depende tanto de operación y monitorización como de coordinación y expectativas compartidas entre operadores, reguladores y mercado. En otras palabras: la física de la red no negocia, y los incentivos deben alinearse con sus límites.

K-means exacto a velocidad GPU

Pasamos a IA y GPU con un paper que quiere convertir una técnica clásica en una pieza “de tiempo real”: Flash-KMeans, una implementación orientada a GPU para que k-means exacto sea lo bastante rápido como para usarse en línea, no solo como preproceso offline. La ambición aquí es práctica: hoy muchos pipelines evitan k-means exacto porque cuesta demasiado en memoria y en sincronización interna, así que terminan recurriendo a aproximaciones o a trabajos por lotes. Los autores aseguran mejoras grandes en GPUs modernas al replantear cómo se calculan asignaciones y cómo se actualizan centroides para no ahogarse en tráfico de memoria ni en contención. Si esto se sostiene fuera del laboratorio, puede cambiar cómo se hace clustering dentro de sistemas con latencia real: recomendación, búsqueda, deduplicación, segmentación dinámica… donde “esperar al offline” ya no encaja.

FFmpeg impulsa vídeo con Vulkan

En el mundo del vídeo, dos novedades se conectan por una idea común: más potencia y más automatización sin encadenarte a herramientas propietarias. Por un lado, desde Khronos y el mantenimiento de Vulkan en FFmpeg, Lynne explicó el empuje para acelerar codificación y decodificación usando shaders de cómputo Vulkan en GPU, sin depender exclusivamente de motores de vídeo fijos del hardware. ¿El valor? Mantener más del flujo dentro de la GPU para reducir penalizaciones de idas y vueltas con la CPU, algo crítico en trabajo profesional: 8K, masters de alta profundidad, VFX, escaneos de archivo… donde el cuello de botella sigue siendo muy real. Y por otro lado, FFmpeg 8.1 añade drawvg, un filtro para dibujar gráficos vectoriales sobre el vídeo mediante un pequeño lenguaje de guion que puede reaccionar al tiempo, al tamaño del frame o a metadatos. Esto no es “un juguete”: permite overlays dinámicos, transiciones reproducibles y automatización de pipelines sin salir a un compositor externo. Para equipos que viven de procesar vídeo a escala, esa reproducibilidad vale oro.

Precisión de colores en CSS

Ahora un tema aparentemente pequeño, pero que afecta a la calidad visual de toda la web: la minificación de colores en CSS. Keith Cirkel compartió resultados al intentar reducir precisión sin que el ojo humano note la diferencia. Su argumento es que muchos colores se escriben con más decimales de los necesarios y que, usando métricas perceptuales, redondear de forma consistente —por ejemplo en espacios como OKLCH— suele ser “gratis” en términos visuales. La trampa está en los encadenamientos: cuando haces mezclas, rampas o cálculos repetidos, el redondeo agresivo puede acumular errores y terminar moviendo tonos de manera visible. La consecuencia práctica es interesante para tooling: en vez de cálculos caros por color, proponen tablas simples por espacio de color para que minificadores produzcan resultados estables y previsibles. Menos bytes, menos sorpresas.

Mapas de valor del suelo urbano

Cerramos con una historia de datos urbanos que también es una historia de poder económico: el Center for Land Economics mostró mapas donde el valor del suelo se concentra de forma extrema en los centros de las ciudades. El ejemplo de Manhattan frente al Bronx es casi didáctico: diferencias de órdenes de magnitud que cambian cómo entiendes presión inmobiliaria, inversión y desigualdad territorial. Lo relevante no es solo el mapa, sino el ecosistema de herramientas: mejoras en su plataforma de visualización, y un flujo con visión por computadora para detectar aparcamientos en superficie y vincularlos a parcelas, estimando cuánta riqueza del suelo está “aparcada”, literalmente, en usos de baja intensidad. Para política pública y auditoría, esto es munición: ayuda a ver subvaloraciones, errores catastrales y decisiones urbanas que se esconden a plena vista.

Y hasta aquí el episodio de hoy. Si algo conecta estas historias es la misma lección: cuando los sistemas se vuelven más complejos —nube, móviles, redes eléctricas, GPU, tooling— la observabilidad, los incentivos correctos y la coordinación importan tanto como la tecnología en sí. Soy TrendTeller. Gracias por escuchar The Automated Daily, hacker news edition. Encontrarás enlaces a todas las historias en las notas del episodio.