"¡Hola a todos! Bienvenidos hoy 1 de NOVIEMBRE de 2025, este es el Episodio 35 Soy HECTOR FUENTES, este episodio WINDOWS NO ES TU AMIGO, en este tu podcast LA RED PRIVADA, hoy tenemos una agenda densa y crucial sobre cómo la tecnología que usamos a diario podría estar comprometiendo nuestra privacidad y seguridad, desde nuestros sistemas operativos hasta los electrodomésticos, y cómo las grandes potencias están gestionando el flujo global de vulnerabilidades de software. Aquí están los temas de hoy:
Primera Historia
1. Windows Ya No Es Tu Amigo, Es Un Arma Hemos escuchado a menudo que la era del "todo vale" en el mundo en línea está cambiando, y esta transformación se extiende incluso a nuestro sistema operativo más familiar. Algunos argumentan que Windows ya no es una herramienta, sino un arma que se utiliza en tu contra. El Caso de la Extorsión de Datos de Microsoft: Microsoft está presionando constantemente a los usuarios, por ejemplo, imponiendo Microsoft Edge, que se describe como "casi spyware" en este punto, ya que rastrea todos tus datos, historial de búsqueda y tiene acceso a tu información de inicio de sesión. El sistema operativo está lleno de anuncios en todas partes, incluso en el menú de inicio. Se insta continuamente a los usuarios a registrarse en OneDrive para que Microsoft aloje todos sus archivos y datos. Esto significa que la información está almacenada en la computadora de otra persona, dándoles potencialmente acceso completo. Históricamente, los usuarios obtenían Microsoft Office de forma gratuita con el sistema operativo, pero ahora es un servicio de suscripción que requiere una cuenta de Microsoft y un pago mensual o anual. El Control Forzado de Cuentas: Recientemente, Windows ha lanzado actualizaciones que bloquean la capacidad de configurar Windows 11 con una cuenta local Ahora, están forzando a los usuarios a iniciar sesión o crear una cuenta de Microsoft durante la configuración. Si se conecta una cuenta de Microsoft, la corporación tiene básicamente acceso completo a la computadora, pudiendo ver tus datos, fotos, vídeos y historial de búsqueda. Esto es un gran indicador de que la compañía busca ejercer más y más control sobre sus usuarios. La Alternativa Linux: Ante esta situación, la recomendación es mirar hacia Linux. Es un sistema operativo mucho más amigable con la privacidad .Linux es gratuito y de código abierto, lo que significa que, si eres lo suficientemente experto, puedes inspeccionar el código fuente del sistema operativo para ver qué datos entran y salen de tu computadora. Los desarrolladores de muchas distribuciones de Linux no tienen ningún interés en tus datos; están creando un sistema operativo para ser utilizado simplemente como una herramienta.
Segunda Historia
Un usuario descubrió que su aspiradora robot estaba mapeando secretamente el interior de su casa y transmitiendo esa información a la empresa fabricante. Al bloquear la transmisión de datos no esenciales, el dispositivo recibió un “comando de apagado” remoto y dejó de funcionar hasta que se revirtió la orden.
Aspectos técnicos destacados:
- El robot tenía habilitada la interfaz Android Debug Bridge (ADB), permitiendo acceso total sin la necesidad de hackeo.
- Utilizaba Google Cartographer para crear mapas tridimensionales detallados de la vivienda.
- El fabricante podía enviar comandos remotos para apagar el dispositivo, dejando al usuario sin control real sobre el aparato.
Este caso expone riesgos graves de privacidad en los dispositivos inteligentes conectados: pueden transmitir información privada y ser desactivados por la empresa de forma remota, alertando sobre la vigilancia y la importancia de la soberanía del usuario sobre su propia tecnología doméstica.livemint
- https://www.livemint.com/gadgets-and-appliances/shocking-user-discovers-robot-vacuum-was-quietly-mapping-his-home-and-transmitting-data-to-manufacturer-11761566771815.html
2. La Aspiradora Inteligente:
Una Sorpresa Inesperada Si creías que tus problemas de seguridad se limitaban a tu PC, piénsalo de nuevo. La historia del programador Harishankar Narayanan ilustra perfectamente cómo los dispositivos IoT (Internet de las Cosas), por inofensivos que parezcan, pueden convertirse en un riesgo significativo. Rastreo y Acceso Remoto: Narayanan, que monitoreaba el tráfico de red de sus dispositivos inteligentes por "una buena clase de paranoia", descubrió que su aspiradora inteligente iLife A11 de $300 estaba enviando un "flujo constante" de datos, registros y telemetría no consentida a servidores ubicados "a medio mundo de distancia". La aspiradora estaba ejecutando Google Cartographer, un programa de código abierto que se utilizaba para crear un mapa 3D de su casa y transmitir esos datos a la empresa matriz. Al intentar detener la transmisión de datos, el dispositivo se negó a arrancar y murió. Al realizar ingeniería inversa, Narayanan descubrió que el dispositivo ejecutaba Linux y que Android Debug Bridge estaba "completamente abierto" al mundo, lo que le dio acceso root total al sistema sin necesidad de hacks. El "Comando de Anulación Remota" (Kill Command): Lo más alarmante fue el descubrimiento de una línea de código sospechosa, con marca de tiempo, emitida desde la empresa a la aspiradora, que Narayanan identificó como una "orden de anulación remota". Al revertir este cambio, la aspiradora volvió a funcionar. La conclusión fue que el fabricante tenía el poder de deshabilitar dispositivos de forma remota y lo usó contra él por bloquear su recopilación de datos. Además, el dispositivo venía con el software rtty instalado por defecto, una pequeña pieza que permite el acceso root remoto al dispositivo, permitiendo al fabricante ejecutar cualquier comando o instalar cualquier script sin el conocimiento del cliente. Advertencias sobre IoT: Cualquier dispositivo conectado a una red que requiere credenciales de autenticación, por pequeño que parezca, puede estar filtrando esas credenciales a los servidores de origen del dispositivo. Al invitar a un gadget IoT con alimentación Linux y capacidad de red a tu casa, le estás dando acceso completo a la red interna residencial.
3. La Weaponización de Vulnerabilidades: China, Rusia y EE. UU.
Arranquemos por el modelo más estatista. En China, la ciberseguridad es un asunto de seguridad nacional con control centralizado. La Ley de Ciberseguridad, la de Datos y la de Protección de Información Personal se entrelazan con un requisito clave: las vulnerabilidades de software deben reportarse a las autoridades, con prohibiciones estrictas de divulgación pública sin permiso. Eso significa que investigar fallos de seguridad no es un terreno libre: el Estado marca el ritmo, define qué se revela y cuándo, y prioriza la estabilidad del ecosistema digital por encima del intercambio abierto típico de la comunidad de seguridad. Para las empresas, el mensaje es inequívoco: localización de datos de infraestructura crítica, evaluaciones de riesgo para transferencias transfronterizas y cumplimiento proactivo frente a auditorías y sanciones severas.
Rusia se mueve en una dirección parecida, aunque con su propio contexto. El país construyó su “internet soberana”, refuerza la localización de datos y ha tejido obligaciones de reporte de incidentes ante entidades como FSTEC y el FSB. En los últimos años, ha circulado la idea de acercarse al esquema chino en materia de divulgación de vulnerabilidades: reporte primero al Estado, restricciones al intercambio técnico abierto y mayor supervisión de quién investiga qué. No es solo un tema administrativo: en la práctica, los investigadores independientes sienten que el margen de maniobra se estrecha, y las empresas que operan en Rusia entienden que la coordinación con las autoridades es parte del día a día de su gestión de riesgos.
Del otro lado del espectro está Estados Unidos con un mosaico regulatorio, sí, pero con dientes. A nivel federal no hay una ley única de ciberseguridad para todos, sino una combinación de reglas sectoriales y obligaciones transversales. Para compañías listadas, la SEC exige divulgar incidentes materiales con rapidez, y la presión del mercado castiga las omisiones. CISA marca pautas de gestión de riesgo y coordina respuesta a incidentes, mientras avanza la reglamentación para reportes obligatorios de incidentes en infraestructura crítica. El marco NIST, ampliamente adoptado, opera como lenguaje común entre reguladores y empresas. A diferencia del enfoque chino, la investigación de seguridad goza de más protección: existe espacio para la divulgación responsable, programas de bug bounty, y un ecosistema donde comunidad técnica, academia y sector privado comparten hallazgos con menos fricción. No es perfecto, pero la combinación de transparencia, estándares y enforcement ha elevado el listón.
Finalmente, hablemos de cómo las principales potencias mundiales están gestionando las vulnerabilidades de software y el impacto que esto tiene en la ciberseguridad global. El Modelo Chino y Ruso: Rusia está trabajando en una nueva ley que obligaría a los investigadores y empresas de seguridad a reportar todas las vulnerabilidades al estado. Esta legislación sigue un camino similar a la ley ya implementada por el gobierno chino en julio de 2021, conocida como las "Regulaciones sobre la Gestión de Vulnerabilidades de Seguridad de Productos de Red" (RMSV). En Rusia, tres agencias estatales, incluido el principal servicio de inteligencia interna, el FSB, y el Centro Nacional de Coordinación para Incidentes Informáticos, controlarían este nuevo sistema unificado de recepción de informes. Los investigadores que no informen a este sistema estatal unificado ruso se enfrentarían a cargos penales por "transferencia ilícita de vulnerabilidades". Además, se les exigiría proporcionar sus nombres reales en registros públicos, un punto de gran controversia por el riesgo de seguridad que implica. Las reglas chinas (RMSV) exigen que las vulnerabilidades de software se informen al Ministerio de Industria y Tecnología de la Información (MIIT) dentro de las 48 horas de su descubrimiento. También prohíben publicar información o código de prueba de concepto sobre las fallas antes de que haya un parche disponible. La Weaponización de los 0-Days: La preocupación desde antes de que se implementaran las regulaciones chinas era que el gobierno abusaría de estos informes de bugs no parcheados para beneficiar sus propias operaciones ofensivas. El tiempo ha demostrado que esto está sucediendo:el uso de zero-days por parte de grupos de amenazas persistentes avanzadas (APT) chinos ha aumentado drásticamente desde que la ley entró en vigor. Para una organización encargada de operaciones ofensivas, tener más vulnerabilidades es mejor, ya que les permite acumular un arsenal de herramientas para sus operaciones. Esto deja pocas dudas de que China, como participante agresivo en la cibernética, está haciendo todo lo posible para reunir y armar las vulnerabilidades que se descubren continuamente. Ahora parece que Rusia pronto formalizará una estrategia similar. El Contraste con EE. UU.: El sistema que actualmente existe en EE. UU. se basa en la presentación voluntaria de informes a las empresas, con vulnerabilidades que provienen de investigadores que buscan prestigio o dinero, o de empresas de ciberseguridad que observan la explotación en la práctica.
¿Y México? Aquí la historia es otra. Durante años, la ciberseguridad ha vivido en un entramado disperso: códigos penales para delitos informáticos, leyes de telecomunicaciones, normas de protección de datos en el sector público y privado, y esfuerzos sectoriales que no terminan de converger en un marco único. El viraje institucional reciente es mayúsculo: el INAI fue suprimido y sus funciones de acceso a la información y protección de datos pasaron a la nueva Secretaría Anticorrupción y Buen Gobierno, con la promesa de un modelo “más ágil” y un órgano llamado Transparencia para el Pueblo para la parte de acceso a la información. El gobierno ha comunicado este rediseño como una forma de fortalecer derechos con menos burocracia, y medios y organizaciones han documentado tanto el proceso legislativo como sus tensiones institucionales, por ejemplo en notas de Infobae, comunicados en gob.mx y cobertura de avances en el Congreso como la publicada por SinEmbargo. Más allá del reacomodo, la realidad operativa es que México aún no cuenta con una ley general o federal de ciberseguridad que establezca, de forma clara y uniforme, obligaciones de higiene digital, gestión de riesgos, reporte de incidentes y protección de infraestructura crítica.
Lo curioso es que el país no parte de cero. Hay talento, hay marcos de referencia voluntarios, y existe una cultura creciente de cumplimiento en sectores regulados. Lo que falta es un hilo conductor que cierre brechas. Cuando una empresa sufre un ataque de ransomware en Estados Unidos, sabe a qué ventanilla acudir, cómo evaluar la materialidad, cuándo debe notificar a autoridades y clientes y qué estándares de remediación deberá demostrar si el regulador llama a la puerta. En México, las respuestas dependen demasiado del sector, del tamaño de la organización, de su madurez y de la interpretación que hagan sus asesores de un rompecabezas normativo. Esa heterogeneidad se traduce en más superficie de ataque para los criminales y más incertidumbre para los ciudadanos.
Volvamos al contraste. China y Rusia privilegian el control estatal y la seguridad del sistema por encima de la transparencia abierta. Estados Unidos empuja una coreografía de mercado con regulación y estándares, donde la divulgación y la coordinación público-privada son parte de la defensa. México, hoy, navega entre islas: protege datos personales por vías administrativas reconfiguradas, tipifica conductas penales, y depende de guías y buenas prácticas para el resto. Esta posición intermedia ya no alcanza en un entorno donde las cadenas de suministro digitales, los pagos, la salud, la energía y los servicios públicos dependen de la resiliencia cibernética.
¿Qué debería contener una nueva ley mexicana? Primero, claridad sobre quién manda y cómo coordina. La Secretaría Anticorrupción y Buen Gobierno tendrá un papel en datos y transparencia; la política de ciberseguridad, por su naturaleza, exige un centro de gravedad técnico con capacidad de respuesta, intercambio de inteligencia y articulación con estados y sector privado.
Segundo, certeza sobre incidentes: plazos razonables para reportar, umbrales de severidad y un canal único que no castigue la transparencia sino que la incentive con salvaguardas.
Tercero, un suelo mínimo de controles para todos y exigencias reforzadas para sectores críticos, apoyadas en estándares reconocidos internacionalmente, auditables y proporcionales al riesgo.
Cuarto, un marco que proteja la investigación de buena fe y la divulgación responsable de vulnerabilidades, de modo que reportar fallos no sea un acto de valentía sino parte del ciclo normal de calidad y seguridad.
Quinto, mecanismos claros para transferencias internacionales de datos y continuidad operativa, alineados con tratados y compromisos comerciales, porque la economía mexicana es profundamente integrada y cualquier requisito de localización o bloqueo debe justificarse con criterios de riesgo y proporcionalidad.
Nada de esto significa copiar y pegar modelos. El enfoque chino asegura control, pero puede ahogar la colaboración técnica que acelera los parches. El enfoque ruso robustece la supervisión estatal, pero corre el riesgo de aislar ecosistemas. El enfoque estadounidense fomenta transparencia y estándares, pero depende de la capacidad de IMPLEMENTARCION y de una cultura de cumplimiento que no se construye de la noche a la mañana.
México puede diseñar su propio equilibrio: una ley que defina roles, fomente la prevención, exija reportes oportunos, resguarde derechos y habilite a las pymes con apoyos técnicos y fiscales para elevar su postura de seguridad.
La conclusión es directa. Sin una ley de ciberseguridad clara, México seguirá jugando a la defensiva, apagando incendios y confiando en que el siguiente ataque golpee en otro lado. Con una ley bien diseñada, el país puede dar un salto: reducir ventanas de exposición, profesionalizar la respuesta, proteger de verdad los datos personales bajo la nueva arquitectura institucional y blindar la infraestructura crítica que sostiene nuestra vida cotidiana. No se trata de más trámites, se trata de reglas del juego que funcionen en la práctica, para que ciudadanos, empresas y gobierno remen en la misma dirección.
En resumen, ya sea que se trate de un sistema operativo que te obliga a ceder tu privacidad a una megacorporación, o de un electrodoméstico que mapea y puede ser deshabilitado remotamente, o de gobiernos que acumulan vulnerabilidades para operaciones ofensivas, la lucha por el control y la privacidad digital está en constante escalada. Si tu dispositivo personal fuera una casa, en el pasado, podías elegir quién entraba y a qué hora. Hoy, tu sistema operativo y tus dispositivos conectados no solo tienen llaves de repuesto, sino que activamente te obligan a dejarles la puerta abierta y a reportarles exactamente lo que tienes en el interior.
Gracias por acompañarnos. Soy tu anfitrión y esto fue “La Red Privada”. Nos escuchamos en el próximo episodio.
Enlaces:
1. https://www.livemint.com/gadgets-and-appliances/shocking-user-discovers-robot-vacuum-was-quietly-mapping-his-home-and-transmitting-data-to-manufacturer-11761566771815.html
