Ataques invisibles en Azure Entra & Android endurece el sideloading - Noticias de Hacker News (20 mar 2026)

Empezamos por seguridad en la nube, porque esta noticia toca un nervio sensible: la confianza en los registros. El investigador Nyxgeek publicó dos técnicas —ya corregidas— que permitían obtener tokens OAuth válidos en Azure Entra ID sin que quedara rastro en los sign-in logs. En un caso, el truco pasaba por un parámetro de alcance repetido de forma masiva; en otro, por enviar un User-Agent absurdamente largo. El detalle importante no es el “cómo”, sino el “y ahora qué”: si tu detección de intrusiones se apoya en esos logs como fuente de verdad, un hueco así deja ciegas a muchas organizaciones para identificar password spraying, accesos indebidos y, sobre todo, para reconstruir qué ocurrió después. También deja un mensaje claro: auditar no es opcional, y depender de una única pista —por muy oficial que sea— es una apuesta arriesgada.

Siguiendo con control y seguridad, Google está rediseñando el futuro del sideloading en Android. A partir de septiembre de 2026, la idea es que, por defecto, solo se puedan instalar apps fuera de la tienda si el desarrollador está verificado. Y sí: seguirá existiendo una vía para usuarios avanzados, pero deliberadamente escondida y lenta, dentro de las Opciones de desarrollador, con reinicio y una espera de 24 horas. Google lo vende como freno a estafas de ingeniería social, esas en las que alguien te presiona para instalar “ya mismo” una app maliciosa. La discusión interesante es el balance: más protección frente a malware y suplantaciones, pero también más fricción para software legítimo, más dependencia de procesos de identidad, y preguntas incómodas sobre privacidad y sobre quién queda fuera cuando verificarte es difícil por región o situación legal.

Ahora, un tema que en Europa se mira con lupa desde 2025: ENTSO-E publicó el informe final del panel de 49 expertos sobre el apagón total del 28 de abril de 2025 en España y Portugal, el más grave en más de dos décadas. La conclusión central es casi una advertencia de ingeniería de sistemas: no fue “una cosa”, sino una combinación de factores que interactuaron mal. Hablan de oscilaciones del sistema, lagunas en control de tensión y potencia reactiva, prácticas de regulación de voltaje no homogéneas y una secuencia de reducciones rápidas de potencia y desconexiones de generación en España que desembocó en un colapso en cascada. ¿Por qué importa hoy? Porque el informe insiste en algo muy actual: en redes interconectadas, un problema local puede amplificarse, y la resiliencia depende tanto de operación y monitorización como de coordinación y expectativas compartidas entre operadores, reguladores y mercado. En otras palabras: la física de la red no negocia, y los incentivos deben alinearse con sus límites.

Pasamos a IA y GPU con un paper que quiere convertir una técnica clásica en una pieza “de tiempo real”: Flash-KMeans, una implementación orientada a GPU para que k-means exacto sea lo bastante rápido como para usarse en línea, no solo como preproceso offline. La ambición aquí es práctica: hoy muchos pipelines evitan k-means exacto porque cuesta demasiado en memoria y en sincronización interna, así que terminan recurriendo a aproximaciones o a trabajos por lotes. Los autores aseguran mejoras grandes en GPUs modernas al replantear cómo se calculan asignaciones y cómo se actualizan centroides para no ahogarse en tráfico de memoria ni en contención. Si esto se sostiene fuera del laboratorio, puede cambiar cómo se hace clustering dentro de sistemas con latencia real: recomendación, búsqueda, deduplicación, segmentación dinámica… donde “esperar al offline” ya no encaja.

En el mundo del vídeo, dos novedades se conectan por una idea común: más potencia y más automatización sin encadenarte a herramientas propietarias. Por un lado, desde Khronos y el mantenimiento de Vulkan en FFmpeg, Lynne explicó el empuje para acelerar codificación y decodificación usando shaders de cómputo Vulkan en GPU, sin depender exclusivamente de motores de vídeo fijos del hardware. ¿El valor? Mantener más del flujo dentro de la GPU para reducir penalizaciones de idas y vueltas con la CPU, algo crítico en trabajo profesional: 8K, masters de alta profundidad, VFX, escaneos de archivo… donde el cuello de botella sigue siendo muy real. Y por otro lado, FFmpeg 8.1 añade drawvg, un filtro para dibujar gráficos vectoriales sobre el vídeo mediante un pequeño lenguaje de guion que puede reaccionar al tiempo, al tamaño del frame o a metadatos. Esto no es “un juguete”: permite overlays dinámicos, transiciones reproducibles y automatización de pipelines sin salir a un compositor externo. Para equipos que viven de procesar vídeo a escala, esa reproducibilidad vale oro.

Ahora un tema aparentemente pequeño, pero que afecta a la calidad visual de toda la web: la minificación de colores en CSS. Keith Cirkel compartió resultados al intentar reducir precisión sin que el ojo humano note la diferencia. Su argumento es que muchos colores se escriben con más decimales de los necesarios y que, usando métricas perceptuales, redondear de forma consistente —por ejemplo en espacios como OKLCH— suele ser “gratis” en términos visuales. La trampa está en los encadenamientos: cuando haces mezclas, rampas o cálculos repetidos, el redondeo agresivo puede acumular errores y terminar moviendo tonos de manera visible. La consecuencia práctica es interesante para tooling: en vez de cálculos caros por color, proponen tablas simples por espacio de color para que minificadores produzcan resultados estables y previsibles. Menos bytes, menos sorpresas.

Cerramos con una historia de datos urbanos que también es una historia de poder económico: el Center for Land Economics mostró mapas donde el valor del suelo se concentra de forma extrema en los centros de las ciudades. El ejemplo de Manhattan frente al Bronx es casi didáctico: diferencias de órdenes de magnitud que cambian cómo entiendes presión inmobiliaria, inversión y desigualdad territorial. Lo relevante no es solo el mapa, sino el ecosistema de herramientas: mejoras en su plataforma de visualización, y un flujo con visión por computadora para detectar aparcamientos en superficie y vincularlos a parcelas, estimando cuánta riqueza del suelo está “aparcada”, literalmente, en usos de baja intensidad. Para política pública y auditoría, esto es munición: ayuda a ver subvaloraciones, errores catastrales y decisiones urbanas que se esconden a plena vista.