Webtagr - Resumen de noticias de tecnología

El pKVM de Android obtiene la certificación SESIP nivel 5: una nueva era para la seguridad móvil

2025-08-18

Google anunció que pKVM (protected KVM), el hipervisor que impulsa el Android Virtualization Framework, ha obtenido la certificación SESIP nivel 5, la primera para un sistema de seguridad de software diseñado para implementaciones a gran escala en electrónica de consumo. Esto permite a Android admitir de forma segura las cargas de trabajo aisladas de alta criticidad de próxima generación, como el procesamiento de IA en el dispositivo que utiliza datos ultra-personalizados, con las máximas garantías de privacidad e integridad. La certificación, realizada por Dekra y conforme a la norma EN-17927, incluye AVA_VAN.5, el nivel más alto de análisis de vulnerabilidades y pruebas de penetración. Este logro sienta una piedra angular para la estrategia de seguridad multicapa de Android y proporciona a los fabricantes de dispositivos una base de firmware robusta y de código abierto.

(security.googleblog.com)

Tecnología Certificación SESIP nivel 5

OSS Rebuild: Reconstruyendo la confianza en los ecosistemas de paquetes de código abierto

2025-07-22

El nuevo proyecto OSS Rebuild de Google tiene como objetivo fortalecer la confianza en los ecosistemas de paquetes de código abierto reproduciendo artefactos upstream. En respuesta al aumento de los ataques a la cadena de suministro, OSS Rebuild automatiza la creación de definiciones de compilación declarativas para PyPI, npm y Crates.io, proporcionando procedencia SLSA que cumple con los requisitos del Nivel 3 de compilación de SLSA sin intervención del editor. Ofrece herramientas de observabilidad y verificación de compilación, junto con definiciones de infraestructura para que las organizaciones ejecuten sus propias instancias. Al reconstruir, generar, firmar y distribuir la procedencia, OSS Rebuild ayuda a detectar varios compromisos de la cadena de suministro, como código fuente no enviado, entornos de compilación comprometidos y puertas traseras ocultas, mejorando la confianza del paquete y acelerando la respuesta a las vulnerabilidades.

(security.googleblog.com)

Desarrollo Seguridad de la cadena de suministro

Millones de Qubits Ruidosos Podrían Romper el Cifrado RSA: Nueva Estimación de Google

2025-05-24

La investigación de Google Quantum AI sugiere que una computadora cuántica con 1 millón de qubits ruidosos podría teóricamente romper el cifrado RSA de 2048 bits en una semana. Esta es una reducción de 20 veces en comparación con su estimación de 2019. Si bien las computadoras cuánticas actuales poseen solo cientos o miles de qubits, este hallazgo subraya la urgencia de migrar a los estándares de criptografía post-cuántica (PQC) para contrarrestar futuras amenazas de la computación cuántica a gran escala. Las mejoras en los algoritmos y en la corrección de errores son clave para esta predicción actualizada, reduciendo significativamente la cantidad de qubits necesarios para romper RSA. El NIST ya ha publicado estándares PQC, recomendando la desaprobación de sistemas vulnerables después de 2030 y su prohibición después de 2035.

(security.googleblog.com)

Tecnología cifrado RSA

Google lanza biblioteca estable de firma de modelos para proteger la cadena de suministro de IA

2025-04-05

El auge de los grandes modelos de lenguaje (LLM) ha puesto de manifiesto la importancia de la seguridad de la cadena de suministro de IA. La manipulación de modelos, el envenenamiento de datos y otras amenazas son preocupaciones crecientes. Para abordar esto, Google, en colaboración con NVIDIA y HiddenLayer, y con el apoyo de la Open Source Security Foundation, ha lanzado la primera versión estable de su biblioteca de firma de modelos. Esta biblioteca utiliza firmas digitales, como las de Sigstore, para permitir a los usuarios verificar que el modelo utilizado por una aplicación sea idéntico al creado por los desarrolladores. Esto garantiza la integridad y la procedencia del modelo, protegiéndolo contra manipulaciones maliciosas durante todo su ciclo de vida, desde el entrenamiento hasta la implementación. Los planes futuros incluyen la extensión de esta tecnología a conjuntos de datos y otros artefactos de ML, construyendo un ecosistema de confianza de IA más robusto.

(security.googleblog.com)

IA Firma de Modelo

Google presenta Sec-Gemini v1: Una nueva era en la ciberseguridad impulsada por IA

2025-04-04

Google ha anunciado Sec-Gemini v1, un modelo de IA experimental diseñado para impulsar los límites de la IA de ciberseguridad. Combinando las capacidades avanzadas de Gemini con conocimiento y herramientas de ciberseguridad en tiempo casi real, Sec-Gemini v1 sobresale en flujos de trabajo clave como el análisis de la causa raíz de incidentes, el análisis de amenazas y la comprensión del impacto de las vulnerabilidades. Supera a otros modelos en benchmarks importantes, mostrando una mejora de al menos el 11% en CTI-MCQ y al menos el 10,5% en CTI-Root Cause Mapping. Google está poniendo Sec-Gemini v1 a disposición gratuita de organizaciones, instituciones, profesionales y ONG seleccionadas con fines de investigación para fomentar la colaboración y el avance de la IA en la ciberseguridad.

(security.googleblog.com)

IA Seguridad IA

El Programa Raíz de Chrome mejora la seguridad de Web PKI con MPIC y análisis de código obligatorios

2025-03-31

El equipo de Google Chrome anunció que su Programa Raíz está haciendo obligatorias dos mejoras de seguridad clave: la Corroboración de Emisión en Múltiples Perspectivas (MPIC) y el análisis de código de certificados. La MPIC mitiga el riesgo de certificados emitidos fraudulentamente debido a ataques BGP al verificar el control de dominio desde múltiples ubicaciones geográficas, mientras que el análisis de código automatiza la detección de errores de certificados, mejorando la seguridad. Ambas son obligatorias para los certificados de confianza pública a partir del 15 de marzo de 2025, fortaleciendo la seguridad y la estabilidad del ecosistema Web PKI y reduciendo la emisión incorrecta de certificados. El equipo de Chrome también planea eliminar los métodos de validación de dominio débiles y explorar activamente soluciones para un mundo de criptografía post-cuántica.

(security.googleblog.com)

Tecnología Seguridad Web Certificados Digitales

Eliminando las Vulnerabilidades de Seguridad de Memoria: Un Compromiso Colectivo con el Diseño Seguro

2025-02-26

Durante décadas, las vulnerabilidades de seguridad de memoria han afectado a la industria tecnológica, costando miles de millones y erosionando la confianza. Los enfoques tradicionales no han sido suficientes. Esta publicación aboga por un cambio fundamental hacia las prácticas de "diseño seguro" para eliminar estas vulnerabilidades. Los avances recientes en lenguajes seguros para la memoria (como Rust) y las tecnologías de hardware (como MTE de ARM) hacen que esto sea alcanzable. Los autores proponen un marco estandarizado para evaluar objetivamente las garantías de seguridad de memoria, incentivando a los proveedores a invertir y, en última instancia, permitiendo que los clientes exijan y recompensen la seguridad, impulsando la adquisición de sistemas más seguros. Esto requiere un marco neutral en cuanto a la tecnología, que admita diversos enfoques, adaptando los requisitos de seguridad en función de las necesidades, con el objetivo final de lograr un mundo digital seguro.

(security.googleblog.com)

Desarrollo diseño seguro

Informe de seguridad de Google Play 2024: Las defensas con IA protegen a miles de millones

2025-02-03

El informe de seguridad de Google Play de 2024 destaca el compromiso de Google con la seguridad de los usuarios y desarrolladores. Utilizando la detección de amenazas con tecnología de IA, políticas de privacidad más estrictas y herramientas mejoradas para desarrolladores, Google Play impidió la publicación de 2,36 millones de aplicaciones que violaban las políticas y prohibió más de 158.000 cuentas de desarrolladores maliciosos. El informe destaca el papel de la IA en la identificación proactiva de malware, la colaboración con los desarrolladores para mejorar la seguridad y la privacidad (limitando el acceso a datos confidenciales, opciones mejoradas de eliminación de datos), y el análisis en tiempo real de Google Play Protect, que identificó más de 13 millones de aplicaciones maliciosas de fuera de Google Play. Las nuevas funciones de protección contra fraudes protegen a los usuarios de estafas y malware. Google también colabora con gobiernos y socios del sector para establecer nuevos estándares de evaluación de seguridad de aplicaciones para un ecosistema de aplicaciones más seguro.

(security.googleblog.com)

Tecnología Seguridad de Aplicaciones IA de Seguridad

Google lanza OSV-SCALIBR: Una potente biblioteca de análisis de composición de software

2025-01-19

Google ha lanzado OSV-SCALIBR, una biblioteca extensible de análisis de composición de software (SCA) para escanear paquetes instalados, binarios independientes y código fuente en busca de vulnerabilidades. Admite numerosos lenguajes de programación y administradores de paquetes, y genera listas de materiales de software (SBOM). OSV-SCALIBR es el motor de SCA principal utilizado internamente por Google y ahora es de código abierto, con planes para integrarlo en OSV-Scanner para una interfaz de línea de comandos más robusta.

(security.googleblog.com)

Desarrollo Seguridad de Software