Inicio Blog Página 2734

El Grupo Lantania registra su primer programa de pagarés en el MARF por 50 millones

0

El Mercado de Renta Fija de BME (MARF) ha admitido a negociación un programa de pagarés de empresa del Grupo Lantania por un importe de 50 millones de euros. Los pagarés, que se emitirán bajo este programa, tendrán nominales unitarios de 100.000 euros y vencimientos que podrán oscilar entre los 3 días y los 24 meses de plazo máximo. Este programa es el primero que la compañía registra en el MARF, lo que le permitirá acceder a inversores cualificados y diversificar sus fuentes de financiación a corto plazo.

AFI ha participado como Asesor Registrado, mientras que Banco Santander es la Entidad Coordinadora del programa. Además del propio Banco Santander, Banco Sabadell actuará como Entidad Colocadora de los pagarés. Pérez-Llorca Abogados ha sido el asesor legal para esta operación.

EthiFinance Rating ha otorgado a Grupo Lantania una calificación a largo plazo de BB con tendencia estable. Esta evaluación reafirma la estabilidad y solvencia del grupo en sus operaciones y proyectos.

Grupo Lantania es un conglomerado español especializado en infraestructuras, gestión de proyectos de agua, energía y edificación. En el área de infraestructuras, la compañía se destaca por la ejecución de proyectos que abarcan una amplia gama de actividades, desde la construcción de autovías, líneas ferroviarias de alta velocidad y convencionales, hasta estaciones de ferrocarril, obras de urbanización, viaductos y túneles, entre otros proyectos de ingeniería civil.

En el sector del agua, Lantania aborda todo el ciclo integral, desde la captación, potabilización, distribución y depuración, hasta la devolución del agua depurada a los cauces naturales. Este segmento se ha fortalecido con servicios de desalación, que incluyen diseño, aprovisionamiento, construcción, operación y mantenimiento de plantas de desalación a nivel global.

En cuanto a la energía, Lantania engloba proyectos de energías renovables y participa en el diseño, construcción y mantenimiento de infraestructuras de generación, transmisión y distribución de energía. También maneja proyectos de alta tensión, subestaciones y líneas de transmisión.

En edificación, el grupo participa en una amplia variedad de construcciones tanto residenciales como no residenciales, en ámbitos públicos y privados.

Al cierre de 2023, Grupo Lantania alcanzó una cifra de negocios de 375 millones de euros y obtuvo un EBITDA de 12,5 millones. La compañía dispone de una cartera de obra en curso valorada en más de 700 millones de euros y activos superiores a los 200 millones de euros. Con presencia en 11 países, Lantania cuenta con una plantilla de más de 1.000 trabajadores y está integrada por siete empresas: Lantania, Lantania Aguas, Traviesas y Prefabricados de Aragón, DSV Constructora y Ferroviaria, Gestilar Construcciones, Balzola e Indania. Además, la compañía aplica en todas sus operaciones los principios del Pacto Mundial de las Naciones Unidas.

Este Es El Truco Viral Del Salvaslip En La Puerta Del Armario Que Revoluciona Todos Los Hogares De España

0

En los últimos días, un nuevo truco casero ha encendido las redes sociales y ha revolucionado los hogares de toda España. Se trata del sorprendente uso de un salvaslip en la puerta del armario, una idea ingeniosa que ha captado la atención de miles de usuarios y está facilitando la vida cotidiana de muchas personas.

El truco, que rápidamente se ha vuelto viral, consiste en colocar un salvaslip en la parte interior de la puerta del armario para evitar que esta cierre con un golpe brusco. De esta manera, se logra una amortiguación eficaz que, además de proteger la estructura y evitar ruidos molestos, prolonga la vida útil de los muebles.

Se ha observado un incremento significativo de publicaciones en plataformas como TikTok e Instagram donde usuarios demuestran la efectividad de este método. «Nunca pensé que algo tan sencillo podría solucionar un problema que llevaba años molestándome», comentó María González en su cuenta de Instagram, mostrando el antes y después de usar el salvaslip en su armario.

El truco no solo ha capturado la atención de los usuarios comunes sino también de expertos en mantenimiento del hogar. La ingeniera de interiores, Ana Díaz, asegura que esta medida es una buena alternativa temporal. «Si bien es un arreglo sencillo y económico, es importante que la gente recuerde que no sustituye una reparación adecuada si el problema es más serio, como un desajuste de las bisagras», explicó.

Incluso los fabricantes de productos de higiene femenina se han visto sorprendidos por esta nueva moda. Al respecto, una portavoz de una conocida marca de salvaslips comentó: «Nos alegra ver que nuestros productos pueden ser útiles en formas tan creativas e inesperadas. Este fenómeno demuestra una vez más la capacidad de la comunidad para encontrar soluciones innovadoras a problemas cotidianos».

Sin embargo, no todos los comentarios han sido positivos. Algunos usuarios señalan que aunque la solución es ingeniosa, no es la más estética. «Es verdad que el ruido se ha reducido, pero ver un salvaslip en la puerta del armario cada vez que la abro no es precisamente agradable», confesó Javier Pérez, otro usuario activo en redes sociales.

A pesar de las opiniones divididas, este truco continúa ganando popularidad. Por ahora, parece que el salvaslip en la puerta del armario ha llegado para quedarse, ofreciendo una solución rápida y económica a un problema tan común en muchos hogares españoles. ¿Será este el comienzo de una nueva tendencia en bricolaje casero? Solo el tiempo lo dirá.

Antiguo Establo para Ovejas Convertido en Casa de Vacaciones en Cáceres: Un Refugio Familiar con Encanto

0

En Cáceres, un antiguo establo para ovejas ha sido transformado en una deslumbrante casa de vacaciones, ofreciendo a las familias una mezcla perfecta de modernidad y encanto rural. Este proyecto de renovación ha capturado la atención de locales y turistas, quienes acuden en gran número para experimentar la singularidad de esta nueva atracción entre las montañas de Extremadura.

La conversión de este establo, que durante décadas sirvió como refugio para ovejas en la zona, ha sido dirigida por un equipo de arquitectos locales que se especializan en la rehabilitación de edificaciones históricas. El resultado es una simbiosis impresionante de lo antiguo y lo moderno: las paredes de piedra originales han sido cuidadosamente restauradas, mientras que el interior ofrece todas las comodidades de una vivienda contemporánea.

La casa de vacaciones cuenta con amplias habitaciones, un salón acogedor con chimenea y una moderna cocina totalmente equipada. Los grandes ventanales permiten la entrada de abundante luz natural y ofrecen espectaculares vistas panorámicas de los paisajes circundantes. En la decoración se han utilizado mobiliarios y elementos decorativos que honran la historia del lugar, combinados con toques modernos que aseguran el confort de sus visitantes.

El entorno rural contribuye enormemente a la experiencia. Los visitantes pueden disfrutar de actividades al aire libre como senderismo, paseos en bicicleta y excursiones por la naturaleza. Además, la ubicación en Cáceres permite fácil acceso a algunos de los lugares históricos y culturales más importantes de la región.

Los propietarios, una pareja que heredó el terreno de sus antepasados, decidieron emprender el proyecto como una manera de preservar el legado familiar y ofrecer algo único al creciente mercado del turismo rural. «Queríamos crear un lugar que conectara a la gente con la historia del campo, pero de una manera que también les ofreciera todo lo que esperaban de una casa moderna,» comentó uno de los propietarios.

El éxito de esta transformación ha inspirado a otros en la comunidad a considerar proyectos similares, lo que podría significar un renacimiento para otras estructuras históricas en desuso. Los futuros desarrollos tienen el potencial de revitalizar la economía local y atraer aún más turistas a la región de Extremadura.

La casa de vacaciones en el antiguo establo ya ha recibido numerosas reservas para los próximos meses, indicando que esta combinación de historia y lujo tiene un atractivo considerable. Los visitantes no solo están buscando un lugar para alojarse, sino una experiencia única que les permita desconectar del estrés diario y reconectar con la naturaleza y la historia. En ese sentido, el proyecto ha marcado un precedente importante para el turismo en la región.

Samsung Electronics Muestra Estilo de Vida Conectado y Nueva Línea Integrada en EuroCucina 2024

0

Samsung Electronics ha anunciado la presentación de sus nuevos productos de cocina y estilo de vida premium como parte de su esfuerzo continuo por un hogar conectado en EuroCucina 2024. Este evento, que se lleva a cabo en Milán del 16 al 21 de abril en Rho Fiera Milano, es uno de los más grandes a nivel internacional en el ámbito de la cocina. Samsung aprovechará esta plataforma para mostrar cómo la conectividad entre múltiples electrodomésticos y las características innovadoras de sus nuevos productos incorporados cambiarán la vida cotidiana en el hogar.

«Estoy emocionado de mostrar a los asistentes lo que hemos creado en EuroCucina, siguiendo el evento de lanzamiento global ‘Welcome to BESPOKE AI’ hace dos semanas», comentó Moohyung Lee, EVP y Jefe del Equipo de Experiencia del Cliente de Digital Appliances (DA) Business en Samsung Electronics. «Creemos que la conectividad entre los electrodomésticos elevará la vida de los consumidores a un nuevo nivel. Además, queremos que los clientes encuentren útiles las diversas características de los nuevos productos incorporados en su vida diaria. Espero que los visitantes en el stand disfruten estos nuevos cambios que Samsung trae a EuroCucina».

El stand de Samsung en EuroCucina invita a los visitantes a descubrir zonas principales que consisten en la zona Bespoke AI y la Cocina Incorporada Premium. En esta última, Samsung planea presentar tres nuevos productos incorporados que se ajustan a los estilos de vida europeos y están llenos de características innovadoras.

La experiencia en el stand de Samsung comienza en la zona Bespoke AI, que demuestra la expansión de la conectividad, no solo en la cocina sino también en el resto del hogar, haciendo la vida de los usuarios más sencilla e intuitiva, requiriendo menos intervención. La experiencia mejorada se realiza a través de múltiples pantallas, como el AI Family Hub y AI Home, componentes clave en esta conectividad. Estas pantallas permiten a los electrodomésticos conectarse y controlar otros dispositivos, ofreciéndoles a los usuarios una mayor conveniencia a través del ecosistema SmartThings.

Por ejemplo, SmartThings 3D Map View ofrece una perspectiva tridimensional del hogar que localiza los electrodomésticos Samsung conectados en toda la casa, facilitando operaciones como apagar dispositivos conectados y verificar su consumo de energía. SmartThings Energy Away mode apaga automáticamente los electrodomésticos específicos cuando los usuarios están fuera de casa. Además, introducen soluciones de ahorro de energía, como Optimal Charging y Optimal Scheduling, para gestionar eficientemente el consumo energético de dispositivos y electrodomésticos.

Adicionalmente, en la zona Cocina Incorporada Premium, Samsung presenta tres nuevos productos que aseguran su presencia en el mercado de electrodomésticos incorporados. El primer producto, el Congelador Inferior de Montaje Ancho Incorporado (BRB6500D), permite a los usuarios reducir su consumo de energía gracias a la compatibilidad con Wi-Fi y SmartThings AI Energy Mode. Este modelo también cuenta con el sistema Twin Cooling para mantener los alimentos frescos por más tiempo.

La Inducción Anyplace, que permite cocinar en cualquier lugar de la placa gracias a sus 22 bobinas rectangulares, se muestra como una innovación que proporciona una mayor superficie de cocción. Esta placa incluye características como Detección Inteligente de Sartenes y Anti-Scratch Glass, que la hacen duradera y fácil de mantener.

El nuevo Lavavajillas Energéticamente Eficiente de Samsung también muestra su última innovación en eficiencia energética y conectividad con SmartThings. Este modelo, con etiquetas de energía A/B, utiliza el sistema WaterJet Clean para una limpieza intensiva y opera a un bajo nivel de ruido. Además, SmartThings AI Energy mode permite a los usuarios monitorear y ahorrar energía, ajustando los ciclos de lavado y temperatura de manera optimizada.

Samsung continúa su empeño en mantener la calidad y mejorar los resultados de sus productos desarrollando tecnologías innovadoras como AI Ecobubble y el Filtro y Ciclo de Menos Microfibras. Además, está colaborando activamente en proyectos ligados a SmartThings Energy para eventualmente crear un Hogar de Cero Emisiones, sincronizando estos proyectos con programas como Demand Response para una gestión energética eficiente.

Con estas demostraciones y colaboraciones en EuroCucina 2024, Samsung reitera su compromiso de trabajar hacia un futuro más sostenible y conectado, brindando a los consumidores soluciones que hacen la vida diaria más cómoda y eficiente.
vía: Sala de Prensa de Samsung.

BME Da la Bienvenida a PKF Attest y Abbaco Markets como Nuevos Partners del Entorno Pre Mercado

0

El Entorno Pre Mercado (EpM) de BME ha recibido hoy a dos nuevos partners, PKF Attest y Abbaco Markets, por lo que ya son 28 los partners de esta iniciativa de BME que busca ayudar a las empresas a incorporarse a los mercados financieros. A lo largo de su historia, 41 compañías han pasado por el EpM y siete de ellas han dado ya su salto al mercado, a BME Growth. En este entorno, los partners juegan un papel relevante para ayudar a las empresas a prepararse para su incorporación a la Bolsa.

PKF Attest es una firma multidisciplinar de servicios profesionales para empresas e instituciones y, actualmente, una de las diez mayores de España con más de 700 profesionales y presente en 11 ciudades. Desde 2010 pertenece a la red de firmas PKF presente en más de 150 países. En Mercado de Capitales, apoya a sus clientes durante el proceso de incorporación y permanencia en Bolsa a través de los servicios de Asesor Registrado, Proveedor de Liquidez, Entidad Colocadora, Relación con Inversores y Auditoría.

Por su parte, Abbaco Markets busca con su incorporación al Entorno Pre Mercado fortalecer su labor de fomento del mercado de valores como vía alternativa de financiación en la estrategia de crecimiento de las pymes. Este compromiso permite a la compañía ofrecer un apoyo integral para capacitar a estas empresas en el proceso de convertirse en sociedades cotizadas.

Con estas nuevas incorporaciones, el Entorno Pre Mercado continua preparando a las compañías mediante su programa de formación práctica y entrenamiento. La convocatoria del EpM para recibir nuevas compañías e inversores sigue abierta y es continua.

Puede encontrar más información sobre el Entorno Pre Mercado en este enlace.

Ejecutando Código del Núcleo en un Pixel 8 con MTE Habilitado

En noviembre de 2023, se identificó una vulnerabilidad significativa en las unidades de procesamiento gráfico (GPU) Arm Mali, específicamente en la serie Pixel 7 y Pixel 8 de Google. Esta vulnerabilidad, catalogada como CVE-2023-6241, fue reportada a Arm el 15 de noviembre y se corrigió en la versión r47p0 del controlador Mali, disponible públicamente desde el 14 de diciembre de 2023. Posteriormente, la actualización de seguridad de marzo de Android también abordó este problema.

La vulnerabilidad permitiría a una aplicación maliciosa de Android obtener una ejecución arbitraria de código en el kernel y acceso root en el dispositivo. Afecta principalmente a dispositivos que utilizan la función Command Stream Frontend (CSF) de las GPUs Mali. La gravedad del problema radica en que es un error lógico en la unidad de gestión de memoria de la GPU, capaz de esquivar la Extensión de Etiquetado de Memoria (MTE), una potente mitigación contra la corrupción de memoria que debutó en el Pixel 8.

El investigador encargado de descubrir la vulnerabilidad demostró cómo aprovechar este fallo para ejecutar código arbitrario en el kernel del Pixel 8 desde una aplicación de usuario no confiable. El exploit, verificado incluso con el MTE del kernel habilitado, señala un importante desafío para esa tecnología supuestamente robusta contra la corrupción de memoria.

La MTE está diseñada para mejorar la seguridad de la memoria mediante la introducción de etiquetas en las direcciones de memoria para detectar accesos inválidos. Esta tecnología, integrada desde la versión v8.5a de la arquitectura Arm, parece insuficiente frente a ciertos tipos de ataques. La ejecución lógica errónea permite no solo eludirla, sino también aprovechar debilidades estructurales en la gestión de memoria GPU.

El fallo en la GPU Mali se relaciona con problemas anteriores, como el GHSL-2023-005, en el que exploits previos lograron obtener acceso no autorizado mediante manipulaciones en el tamaño físico y virtual de las regiones de memoria administradas por el controlador de la GPU. En ese caso, la gestión de la memoria JIT (Just In Time), que depende de comandos software y hardware administrados por la CPU del dispositivo, se vio comprometida.

En resumen, CVE-2023-6241 explota una carrera entre la asignación y la liberación de memoria en la GPU, permitiendo alterar estados esperados de mapeo de memoria. Este fenómeno se desencadena principalmente cuando se gestionan simultáneamente tareas de asignación y liberación de memoria, utilizando comandos GPU en piloto automático.

El exploit resultante efectivamente deja regiones de memoria accidentalmente mapeadas a direcciones ya liberadas, permitiendo el acceso a páginas de memoria previamente liberadas, lo que supone un alto riesgo de seguridad. Esta técnica involucra manipular las tablas de páginas globales (PGD) de los contextos de GPU para redirigir el acceso y, últimamente, modificar casi cualquier dirección de memoria del kernel, incluyendo código y datos del sistema.

Este incidente subraya la importancia de evaluar y mitigar continuamente posibles vulnerabilidades en coprocesadores y sus controladores, especialmente en un entorno donde la seguridad del sistema operativo es cada vez más robusta. La explotación de potenciales lagunas en los módulos de hardware muestra un futuro donde los ataques pueden dirigirse a componentes menos vigilados, pero igualmente críticos.
vía: GitHub Security

Transforma tu Hogar en una Villa de Lujo: Leroy Merlin lo Hace Posible sin Obras por Menos de 7 Euros

0

Leroy Merlin ha dado un paso adelante en la renovación del hogar al ofrecer una solución innovadora que permite transformar el aspecto del suelo sin necesidad de realizar obras. El gigante de la mejora del hogar ha lanzado una colección de baldosas vinílicas autoadhesivas que pueden instalarse de manera fácil y rápida, revolucionando la manera en que los consumidores abordan la renovación de sus pisos.

Estas baldosas, que se venden por menos de 7 euros cada una, están diseñadas para imitar con gran precisión una variedad de materiales de lujo, como la madera o el mármol, proporcionando un acabado sofisticado y moderno a cualquier espacio. Los clientes no solo se beneficiarán del ahorro significativo en comparación con las opciones tradicionales de renovación de suelos, sino que también podrán disfrutar de la facilidad de instalación, que no requiere ni habilidades especializadas ni herramientas complejas.

«Queremos que nuestros clientes tengan acceso a soluciones prácticas y accesibles para mejorar sus hogares», comentó un representante de Leroy Merlin. «Nuestro nuevo producto no solo ofrece una estética de alta gama, sino que también simplifica el proceso de renovación, permitiendo que cualquier persona lo haga por sí misma en muy poco tiempo».

Además de la apariencia premium, las baldosas vinílicas autoadhesivas de Leroy Merlin son altamente duraderas y resistentes al desgaste, lo que las convierte en una opción ideal para áreas de alto tráfico como cocinas, baños y salones. Están fabricadas con materiales respetuosos con el medio ambiente, lo que añade un valor extra a su propuesta.

El lanzamiento de este producto ha generado un gran entusiasmo entre los clientes, muchos de los cuales ya han compartido en redes sociales sus experiencias positivas. Desde fotos que muestran espectaculares antes y después, hasta comentarios elogiosos sobre lo sencillo que fue completar la renovación, el consenso general es que Leroy Merlin ha acertado con su última innovación.

Esta iniciativa subraya el compromiso continuo de Leroy Merlin con la accesibilidad y la calidad, factores clave que siguen siendo el núcleo de su filosofía empresarial. Con esta nueva línea, la empresa reafirma su liderazgo en el mercado de mejoras para el hogar, demostrando que el lujo y la asequibilidad no tienen por qué estar reñidos.

En tiempos donde el enfoque en el hogar es más relevante que nunca, Leroy Merlin continúa ofreciendo soluciones que permiten a sus clientes crear espacios de ensueño con esfuerzo mínimo y un presupuesto ajustado.

Nueva exhibición ‘Equilibrio Encontrado’ de Samsung se presentará en la Semana del Diseño de Milán 2024

0

Samsung Electronics ha anunciado hoy que celebrará su exhibición de diseño en el Fuorisalone 2024 de la Semana del Diseño de Milán, del 16 al 21 de abril. La exposición estará ubicada en Le Cavallerizze, dentro del prestigioso Museo Nacional de Ciencia y Tecnología Leonardo da Vinci en Milán, Italia. Durante el evento, el Centro de Diseño Corporativo de Samsung presentará la exposición «Newfound Equilibrium», que mostrará la filosofía de diseño centrada en el usuario de la compañía, conocida como “Samsung Design Identity 5.0: Essential∙Innovative∙Harmonious.”

“El diseño debe considerar plenamente la experiencia humana y los principios de diseño de Samsung logran esto,” declaró TM Roh, presidente y jefe del Centro de Diseño Corporativo de Samsung Electronics. “Con nuestra filosofía de diseño centrada en el ser humano, buscamos crear un futuro que armonice con las vidas de nuestros clientes a través de la innovación con propósito.”

La exposición “Newfound Equilibrium” en la Semana del Diseño de Milán 2024 presentará una visión inspiradora para un futuro mejor que abarca el equilibrio entre las personas y la tecnología. Para impactar a los asistentes, la exhibición contará con arte mediático que despertará los sentidos, especialmente la vista, el oído y el olfato.

Anclando la experiencia multisensorial, la instalación inmersiva guiará a los visitantes a través de cinco espacios que expresan la identidad de diseño de Samsung de manera esencial, innovadora y armoniosa, mediante una composición reflexiva de luz, sonido e interacciones digitales. Los cinco espacios, titulados “Essence,” “Innovation,” “Harmony,” “Infinite Dream,” y “New Dawning,” se comunican con los visitantes a través de pantallas, sensores y luz. A medida que los visitantes se acercan a las pantallas, elementos translúcidos se transforman en formas y texturas específicas, y las figuras más allá de la ventana parecen acercarse a los observadores, permitiéndoles sumergirse en el sueño de un futuro infinito que se aproxima.

A través de colaboraciones con los artesanos cerámicos de MUTINA y los expertos en chapas de madera de ALPI, el frigorífico Bespoke y el AirDresser también han sido reimaginados considerando la coexistencia de las personas y la tecnología.

La exposición “Newfound Equilibrium” de Samsung se encuentra en Via Olona, 6 bis, Milán y ofrece entrada gratuita en los siguientes horarios:

– De 10 a.m. a 7 p.m. (16-18 de abril)
– De 10 a.m. a 8 p.m. (19-20 de abril)
– De 10 a.m. a 6 p.m. (21 de abril)

Para obtener más noticias, fotos y videos, visita Samsung Newsroom y Samsung Design durante la Semana del Diseño de Milán 2024.
vía: Sala de Prensa de Samsung.

Las empresas de BME Growth aumentan su facturación un 28% anualizado en la última década

0

Las compañías cotizadas en la Bolsa de las pymes incrementan desde 2013 su EBITDA anualizado un 20% anualizado y su plantilla, un 30%.

Cotizar en los mercados financieros ayuda a crecer más rápido a las empresas y a generar más empleos. Así lo atestiguan los datos relativos a la variación de la facturación, el EBITDA y la plantilla de las compañías de BME Growth en la última década. A pesar de que en este tiempo las compañías se han enfrentado a un contexto complicado con una pandemia, una subida del coste de financiación tras el cambio de las políticas monetarias de los bancos centrales y conflictos geopolíticos, las empresas de la Bolsa de las pymes siguen creciendo, con datos a cierre de 2023.

El conjunto de las empresas de BME Growth, han conseguido durante los últimos 10 años una tasa de crecimiento anual compuesta (CAGR%) en su facturación del 28%. Este crecimiento se ha ralentizado durante el 2023 debido a que algún sector como el de energías renovables, que tiene un peso significativo dentro de la facturación agregada de la Bolsa de las pymes, ha atravesado un año complicado. Si se excluye este sector de la muestra, la facturación agregada del mercado ha crecido a un ritmo interanual del 16%, en lugar de un 4%, impulsada en buena parte por el crecimiento de otros sectores más tradicionales como es el inmobiliario, que también representa un peso importante dentro de este mercado.

Si se desciende dentro de la cuenta de resultados agregada, se puede observar una evolución similar en lo que se refiere a la rentabilidad del total del mercado, medido por la evolución de sus márgenes EBITDA. El EBITDA en su conjunto muestra un CAGR del 20%. En 2023 sigue creciendo a una tasa superior al 12%.

Por último, y como es característico en una tipología de compañías que es el motor de la creación de empleo en España, el número de trabajadores empleados por las pymes de BME Growth han registrado durante esta década un crecimiento anualizado de más del 30%. Se confirma así que las empresas pequeñas y medianas suponen una pieza clave en la economía española, con cerca de 42.000 puestos de trabajo.

Un total de 41 empresas de BME Growth participarán en la 20º edición del Foro Medcap, que se celebrará del 28 al 30 de mayo. Puedes consultar el programa del evento aquí.

Investigación En Seguridad Sin Salir De GitHub: Desde El Escaneo De Código Hasta CVE Con Codespaces Y Reporte Privado De Vulnerabilidades

¡Hola estimados lectores! ¿Alguna vez os habéis preguntado cómo realiza investigación de seguridad el GitHub Security Lab? En este artículo, aprenderás cómo aprovechamos productos y características de GitHub como el escaneo de código, CodeQL, Codespaces y la notificación privada de vulnerabilidades. Para cuando terminemos, habrás dominado el arte de configurar rápidamente un entorno limpio y temporal para el descubrimiento, verificación y divulgación de vulnerabilidades en software de código abierto (OSS).

Al explorar el contenido de este artículo, notarás que cubrimos una amplia gama de herramientas de GitHub. Si tienes comentarios o preguntas, te animamos a participar en nuestras discusiones de la comunidad. Ten la certeza de que este artículo está diseñado para ser accesible a lectores independientemente de su familiaridad previa con las herramientas mencionadas. ¡Así que embarquémonos en este viaje juntos!

El concepto de un «objetivo interesante» puede tener diferentes significados para cada uno de vosotros basado en el objetivo de vuestra investigación. Para encontrar un «objetivo interesante» y también para que esto sea divertido, tendrás que establecer algunos filtros primero, a menos que realmente quieras sumergirte en cualquier cosa. Desde el lenguaje en el que está escrito el proyecto, hasta la superficie que revela (¿es una aplicación? ¿un marco de trabajo?), cada aspecto es importante para tener un objetivo claro.

Muchas veces, necesitamos buscar extensamente el uso de un método o biblioteca específico. Ya sea para obtener inspiración para usarlo, o para vulnerarlo, la búsqueda de código de GitHub está ahí para nosotros. Podemos usar esta característica para buscar en todos los repositorios públicos de GitHub con filtros de lenguaje, ruta y expresiones regulares.

Por ejemplo, generalmente uno de estos aspectos es la cantidad de personas que usan el proyecto (es decir, los que se verían afectados si ocurriera una vulnerabilidad), lo cual es proporcionado por la red de dependencias de GitHub, pero no termina allí: también nos interesa la frecuencia con la que se actualiza el proyecto, la cantidad de estrellas, los contribuidores recientes, etc. Afortunadamente para nosotros, algunas mentes muy inteligentes en la Open Source Security Foundation (OpenSSF) ya han hecho un trabajo considerable en este tema.

La OpenSSF creó el Open Source Project Criticality Score, que «define la influencia e importancia de un proyecto. Es un número entre 0 (menos crítico) y 1 (más crítico)». Para obtener más información sobre los detalles del algoritmo de puntuación, se pueden encontrar en el repositorio ossf/criticality_score. Unos meses después del lanzamiento, Google recopiló información para los 100 mil repositorios de GitHub más importantes y la compartió en una hoja de cálculo.

En el GitHub Security Lab, estamos continuamente analizando proyectos OSS con el objetivo de mantener el ecosistema de software seguro, enfocándonos en proyectos de alto perfil en los que todos dependemos y confiamos. Para encontrar estos, basamos nuestras listas de objetivos en la puntuación de criticidad de OpenSSF.

Publicamos nuestra revisión de código de Frigate en la que explotamos una deserialización de datos controlados por el usuario usando el cargador por defecto de PyYaml. Es un gran proyecto para usar como ejemplo en este artículo, dado sus más de 1,6 millones de descargas del contenedor Frigate en el momento de escribir y la facilidad del proceso de configuración.

Una vez que hemos identificado nuestro objetivo, bifurquemos el repositorio.

Cuando el escaneo de código está “conectado” con una herramienta de análisis estático como CodeQL de GitHub, es cuando sucede la magia. CodeQL es el motor de análisis de código estático desarrollado por GitHub para automatizar verificaciones de seguridad. CodeQL realiza análisis semántico y de flujo de datos, «permitiéndote consultar el código como si fuera datos». La curva de aprendizaje de CodeQL al principio puede ser algo empinada, pero vale la pena el esfuerzo ya que sus bibliotecas de flujo de datos permiten una solución para cualquier tipo de situación.

Con la configuración predeterminada de CodeQL ya encontrarás problemas impactantes. Sin embargo, si eres un equipo de seguridad como el GitHub Security Lab, puedes preferir utilizar un conjunto diferente de modelos de auditoría y consultas que tengan una baja tasa de falsos negativos, o modelos personalizados impulsados por la comunidad para tu objetivo específico o metodología. Con eso en mente, recientemente publicamos nuestros CodeQL Community Packs, y usarlos es tan fácil como una línea en tu archivo de flujo de trabajo.

Pocos minutos después, los resultados se muestran en la pestaña de Seguridad; ¡veámoslo más de cerca!

Mientras que podrías pensar que ejecutar CodeQL localmente sería más fácil, el escaneo de código proporciona mecanismos adicionales integrados para evitar alertas duplicadas, priorizarlas o descartarlas. También, la cantidad de información proporcionada por una sola página de alerta puede ahorrarte mucho tiempo. Esta vista responde a algunas preguntas clave instantáneamente: qué, dónde, cuándo y cómo. Para ver todo el flujo, haz clic en «Mostrar caminos».

Ahora que estamos seguros acerca de la explotabilidad del problema, podemos pasar a la fase de explotación.

Codespaces es la solución de GitHub para entornos de desarrollo instantáneos y personalizables en la nube basados en Visual Studio Code. Usaremos Codespaces como nuestro entorno de explotación debido a su naturaleza segura (aislada) y efímera, ya que estamos a un clic de crear y eliminar un espacio de código. Aunque esta característica tiene su propia facturación, usaremos las 120 horas núcleo gratuitas al mes.

Una vez que hemos validado la vulnerabilidad y construido una prueba de concepto (PoC), podemos usar el reporte privado de vulnerabilidades para comunicarnos de manera privada con los mantenedores de Frigate.

Informar vulnerabilidades en proyectos de código abierto nunca ha sido un tema fácil por muchas razones: encontrar una forma privada de comunicarse con los mantenedores, obtener su respuesta y ponerse de acuerdo en tantos temas que una vulnerabilidad cubre es bastante desafiante en un canal de texto. Eso es lo que el reporte privado de vulnerabilidades (PVR) soluciona: un único lugar privado e interactivo en el que investigadores de seguridad y mantenedores trabajan juntos para hacer su software más seguro y sus consumidores más conscientes.

En el entorno técnico actual, GitHub sirve como un recurso valioso para los investigadores de seguridad. Con herramientas como el escaneo de código, Codespaces y la notificación privada de vulnerabilidades integradas en la plataforma, los investigadores pueden identificar y abordar eficazmente las vulnerabilidades de principio a fin.

Esta estrategia integral no solo facilita la investigación, sino que también mejora la comunidad global de ciberseguridad. Al ofrecer una plataforma segura, colaborativa y eficiente para detectar y enfrentar amenazas potenciales, GitHub empodera tanto a profesionales de seguridad experimentados como a investigadores en ciernes. Es el destino ideal para impulsar la seguridad y mantenerse al día con el panorama de amenazas en constante cambio. ¡Feliz codificación e investigación!
vía: GitHub Security