martes, septiembre 10, 2024

WhatsApp: Cómo guardar para siempre las fotos de 1 sólo uso "View Once"

Las fotografías de WhatsApp de "View Once", es decir, las imágenes de "1 sólo uso", tienen el riesgo de dar una falsa sensación de seguridad a sus usuarios. Primero porque cualquiera puede hacer una fotografía con otro dispositivo a esa foto, así que no hay garantía que no te la capturen. Segundo porque hay un leak de información con la miniatura que permite que se capture, como expliqué en el artículo:"WhatsApp: El leak de las miniaturas en las fotos de un sólo uso y su reconstrucción con GenAI". Ahora, un investigador ha explicado lo fácil que es guardarlas en tu ordenador.
Al final, es posible capturar el tráfico de WhatsApp y por tanto saber dónde se almacena el fichero cifrado en los servidores de WhatsApp, y conseguir las claves de descifrado para poder descargar la foto, descifrarla y almacenarla.

Nuevo libro de Luis Márquez en 0xWord.

WhatsApp Intelligence es una disciplina que cada día es más importante para los Pentesters, para los equipos Red Team y para los Researchers, por lo que conocer todas estas técnicas son fundamentales. En el libro de WhatsApp Intelligence vamos recopilando todo este conocimiento.

En este caso de las fotos de un sólo uso, el proceso es más sencillo de lo que parece. Basta con tener el cliente de WhatsApp Web y obtener el tráfico con la ubicación de la fotografía, ya que el cliente de WhatsApp Web, a pesar de no mostrar la foto - y ser necesario ver la fotografía en el dispositivo móvil -, el cliente recibe la información completa.

(Con URL de almacenamiento, vector de inicialización y ciperkey)

Lo primero que hay que hacer es ver dónde está la fotografía almacenada en los servidores de WhatsApp, por lo que copiando esa URL podemos descargar el archivo de la foto, pero cifrada en formato .enc (encrypted).
Como se puede ver en la imagen, están la Clave de Cifrado y el Vector de Inicialización necesarios para descifrar la fotografía, así que podemos acceder a la información necesaria para descifrarla.
Para ello, utilizando OpenSSL, el nombre del fichero (en este ejemplo se ha renombrado a WA-image2.enc), y con la Cypher-key y el iv, se puede sacar la fotografía.
Y una vez que la hayamos descifrado - a pesar de que dé error la salida de OpenSSL -, podemos verla, almacenarla y tenerla siempre disponible sin que se haya cumplido la opción de "View Once".

Figura 9: Foto descifrada

Por supuesto, quitar de todos los clientes de WhatsApp en Web o en Desktop de esta información se podría limitar el acceso a la Decypher-Key e IV, pero aún así, con un cliente de WhatsApp en cualquier dispositivo móvil con Jailbreak (iPhone) o Rooted (Android) se podría seguir accediendo a esa información.

Pero como he dicho al principio, lo más importante es que la fotografías de un sólo uso es una falsa sensación de seguridad, porque siempre se puede hacer una foto con otro dispositivo, pero esta demostración tiene un acceso completo al binario de la fotografía, con lo que viene completo hasta el último bit. Puedes ver el proceso completo en el vídeo que ha publicado el investigador.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


Cómo crear un volcado de procesos en GNU/Linux y buscar "leaks" de información

Hacía tiempo que no pasaba por aquí para poder escribir sobre inquietudes tecnológicas o pequeñas pruebas de concepto que pueden surgir en el día a día. Todos conocemos diferentes herramientas de volcado de procesos de memoria. Por ejemplo, Volatility, que es una de mis favoritas por todo lo que ofrece y aporta en el análisis de un volcado de memoria.

Figura 1: Cómo crear un volcado de procesos en GNU/Linux
y buscar "leaks" de información con Volatility

Volatility no es la única herramienta que se tiene, se tienen otras muchas que aportan en mayor o menor medida diferentes posibilidades, otra opción es gcore. Revisando un poco lo que ofrece /proc en los sistemas GNU/Linux se pueden sacar muchas cosas interesantes. Entre ellas, se puede leer directamente de la memoria de un proceso. Casi como si fuera un fichero. No exactamente como en un fichero, pero le estuve dando vueltas. Al final es una forma sencilla de poder leer qué información hay dentro de un proceso.

Figura 2: Linux Exploiting

Se sabe que, en un proceso, hay elementos que están compartidos con otros procesos. Se sabe que hay páginas de memoria que tienen ciertos permisos y otras otros. Aquí es donde hablamos de lectura, escritura, ejecución. Decidí revisar más sobre este tema y preparar una pequeña prueba de concepto con Bash (un ejemplo de lo que se puede hacer con este lenguaje en GNU/Linux).

Gestión del memoria en sistemas GNU/Linux   

Antes de hablar de la prueba de concepto, vamos a pararos a estudiar un poco sobre /proc y lo que ofrece en términos de información sobre los procesos. Sabemos que /proc es un directorio especial, ya que almacena información sobre elementos volátiles (como es la memoria). Lo primero que nos puede llamar la atención es que si hago un ls sobre el directorio podremos visualizar un montón de “carpetas” con números. Estas carpetas son el ID de los procesos que hay en ejecución en la máquina.

Figura 3: /proc en GNU/Linux

¿Qué información se puede sacar de la memoria de un proceso? Cualquier cosa que esté ahí y no esté protegida (y mucha no lo estará). Para esta pequeña prueba de concepto vamos a abrir un mousepad (el bloc de notas al uso en GNU/Linux) y vamos a introducir algo de texto. Todo lo que se escribe debe estar en memoria. De eso no hay duda. Hay que recordar que la memoria es un elemento volátil, por lo que puede pasar que esté, pero con el tiempo no lo esté. En este caso, el proceso del mousepad recibe el PID 2477 por parte del sistema operativo. Vamos a acceder al directorio de /proc/2477, que es el que corresponde al proceso que hemos ejecutado.

Figura 4: /Proc/2477

Aquí encontramos bastante información interesante sobre el proceso, que nos daría para otro artículo, pero vamos a centrarnos en mem y en maps. El fichero mem nos dará acceso directo a la lectura del proceso en memoria, en crudo. Por otro lado, el fichero maps almacena todas las direcciones de lo que hay cargado en memoria sobre el proceso y nos indica las direcciones base y el offset de las páginas. Vamos a revisar un poco el fichero maps:

Figura 5: Cat maps

En este fichero, se puede ver en primer lugar la dirección de memoria dónde comienza y después del guión la dirección dónde finaliza. Esto es un ejemplo, no es todo lo que tiene en memoria el proceso mousepad que hemos ejecutado. Se puede ver dónde comienza la zona de heap (más abajo veríamos la stack), alguna librería cargada, etcétera. Se pueden ver fácilmente los permisos que existen y si son elementos compartidos. 
Este fichero da mucho juego si quieres recorrer la memoria de un proceso buscando información en diferentes zonas de la memoria. Bien, ahora vamos a ver el fichero mem. Si hacemos un cat mem, esto no va a funcionar, ya que es algo especial (y muy cambiable). Si se quiere leer de este fichero, se debe utilizar la herramienta dd para poder hacer una copia de un flujo de bytes. Para ello, se debe ejecutar la siguiente instrucción:

dd if=/proc/PID/mem bs=BLOCK_SIZE skip=$((DIRECCION_BASE))

 count=$((DIRECCION_TOPE – DIRECCON_BASE))

Con esto, copiamos desde la dirección que se le diga (saltamos a esa posición en memoria) y leeremos lo que indique count, que será la resta entre el tope de la página y el inicio. Si probamos a ejecutarlo, esto devolverá un gran flujo de bytes, la mayoría binario que no se podrá imprimir (ni leer). Aquí es donde empezará a tener sentido utilizar un binario como strings para poder filtrar entre lo que es imprimible y lo que no.

Figura 7: Volcado e impresión de bytes

Si aplicamos a esta salida el comando strings, la cosa cambiará mucho, tal y como se puede ver en la imagen, ya que eliminamos lo que no podemos entender de primeras y dejaremos lo que se puede analizar (strings).

Figura 8:  Strings

Para automatizar un poco todo, ya que recorrer el fichero maps a mano puede ser eterno, debido a todas las librerías y zonas de memoria que hay que recorrer en un proceso, pensé en hacer un pequeño script en Bash a modo de prueba (se puede crear una herramienta fácilmente, aunque ya hay algunas escritas en Python bastante interesantes).
El pseudocódigo del script es el siguiente:

Mientras haya líneas que leer en el fichero maps del proceso PID
Hacer
Obtengo dirección base
Obtengo dirección tope
Ejecuto dd para leer de memoria saltando a dirección base y con un count de la resta de tope y base
Aplico filtro de strings
Aplico filtro de elementos que estoy buscando
Fin_Hacer

Para verlo codificado en Bash os dejo la imagen. Es una PoC, muy PoC, ya que ni el PID se le pasa como argumento al script, ni hay un control mínimo de argumentos, pero queda claro que se puede automatizar.

Figura 10:  PoC en Bash

Puede ser interesante detener un proceso antes de hacer la lectura (no se ha dicho, pero lógicamente podrás leer procesos sobre los que tienes privilegios) de la memoria. Para esto se puede ejecutar un kill -SIGSTOP PID, mientras que para volver a ponerlo en marcha hay que ejecutar kill -SIGCONT PID. Hay un detalle en el script y es que hay que ponerle el “0x” a las direcciones que se leen desde el fichero maps, ya que se operará con ellas y debemos convertirlas en hexadecimal. 
En la imagen, se puede ver un ejemplo a mano de la búsqueda de la palabra “user:”. Con el script automatizamos este proceso y logramos buscarlo en cada zona o, incluso, para todos los procesos sobre los que tenemos privilegio.

Figura 12:  Búsqueda a mano de "user"

Con esto, llegamos al final del artículo. Lo mejor es poder entender cómo funciona la memoria y cómo poder leer sobre ella en busca de información jugosa en un Ethical Hacking. ¿Sería sencillo incorporarlo a nuestra mochila de pentester? Sí y, además, tiene un valor añadido como herramienta de post-explotación.

Saludos,

Autor: Pablo González Pérezescritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Contactar con Pablo González

lunes, septiembre 09, 2024

Ven a conocer TU Latch al evento para integradores “Business [LOVE] Tech”: 18 de septiembre en Telefónica

El próximo día 18 de septiembre de 9.30h a 12.30h tenemos el evento Business Tech en el espacio de Universitas en Telefónica, ubicado en Distrito Telefónica para integradores. Una mañana para sentarnos a hablar de tecnología y contaros cómo hemos evolucionado Tu Latch, nuestra solución de Segundo Factor de Autorización (2FAuth) que incluye varias capacidades fundamentales para la gestión de seguridad de identidades en la empresa, como son: Pestillos para 2FAuth, Semillas TOTP para 2FA, Navegación Segura y Latch Web3, así como las herramientas de administración para aportar una capa extra de seguridad a todas las aplicaciones corporativas.

Figura 1: Ven a conocer TU Latch al evento para integradores
“Business [LOVE] Tech”: 18 de septiembre

Ese mismo día yo estaré inaugurando esta charla para integradores junto con mi compañera Yaiza Rubio, Chief Metaverse Officer en Telefónica, para contaros nuestra visión sobre cómo Tu Latch permite hacer cosas únicas, como la capacidad de crear ‘pestillos de seguridad’ que bloquean el acceso a funciones privilegiadas dentro de una aplicación de manera sencilla y efectiva permitiendo gestionar accesos de identidades privilegiadas, y proteger estructuralmente el uso de privilegios en la organizaciones. 
Otras de sus fortalezas es ofrecer autenticación en dos pasos (2FA) utilizando algoritmos TOTP y HOTP de forma centralizada, muy conocida ya. 

Figura 2:  Tu Latch para empresas

También ofrece la opción de ‘Navegación Segura’ que permite verificar la seguridad de las páginas web en las que estén navegando cuando se está conectado a una red WiFi insegura, por medio de una validación de seguridad en paralelo a través de Tu Latch. Ya que una vez detectada una conexión a una página web peligrosa, Tu Latch bloquea la navegación en cualquier red WiFi al que se esté conectado, garantizando la seguridad y privacidad en el ordenador. 
Actualmente, ya está disponible para Android y, próximamente estará también para iOS. En este otro post que publiqué sobre TU Latch también os contaba que permite el control de cuentas privilegiadas con 2 Keys Activation, verificaciones de 4 ojos, o simplemente un segundo factor de autenticación para proteger su cuenta. Si no lo conoces, te recomiendo esta charla que, aunque tiene años, explica muy bien qué es lo que se puede hacer con las APIs de Latch en tus sistemas, servicios y aplicaciones.

Después, nuestro compañero Javi Espinosa, Head of Software de Tu Latch, hará demo “in live” sobre cómo integrar Tu Latch desde el punto de vista de un developer desde cero en 5 minutos de reloj. Imagina por ejemplo cómo configurar una función privilegiada para borrado de back-ups con autorización, pestillos y TOTP o cómo estamos integrando Tu Latch en entornos de Web3. Será un "Deep Dive" sobre cómo integrar la protección de la plataforma Tu Latch en un servicio digital.

Por último, Jaime Grau, del área de Venta Especialista contará el plan comercial y la oferta de incentivos para todos los integradores que queráis trabajar con Tu Latch. Además de tener acceso a la API de Tu Latch, a los plugins que tenemos disponibles, los SDKs, las herramientas de administración, formación, y cómo abordar proyectos de integración conjuntamente.


Si quieres asistir, contacta con nosotros que nuestro equipo de venta especialista pueda recoger tu solicitud de asistencia y enviarte una invitación personalizada. Sea cual sea el sector en el que opere tu empresa, la plataforma Tu Latch puede añadir una capa extra de seguridad a tus servicios digitales.  Si te apetece, yo voy a dar la charla para que puedas descubrir en detalle cómo funciona Tu Latch nos vemos el 18 de septiembre en Universitas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


domingo, septiembre 08, 2024

Movistar Smart WiFi Living App: Conexión Segura, Optimización, Modo WiFi, Red Invitados & Bloquear Dispositivos.

La Living App de Movistar Smart WiFi es una de las que actualizamos regularmente. Además de tener la versión en app de SmartWiFi para Google Play y en la App Store, puedes usarla en tu descodificador, aunque no están el 100% de las características que tienes en la app.

Figura 1: Movistar Smart WiFi Living App: Conexión Segura,
Optimización, Modo WiFi, Red Invitados & Bloquear Dispositivos.

Dentro de la App de SmartWiFi tienes algunas funciones que merece la pena que conozcas y te instales la App, como son el Mapa de Cobertura, el Test de Rendimiento WiFi o la Priorización de Video Llamadas, para que en tu red WiFi puedas hacer que la conexión de Teams, Zoom, WebEx o WhatsApp los equipos vayan mejor.
También tienes los Perfiles de Usuario y las Opciones de Control Parental en SmartWiFi, así que, por supuesto, te recomiendo que te instales la App de Smart WiFi y le saques todo el partido de los servicios que hemos construido sobre la WiFi y sobre la Fibra de Movistar.

Figura 3: En la Living App de Smart WiFi tienes info de todas las funciones de la App

De todos estos servicios que tienes en la App de SmartWiFi tienes información en la Living App de Movistar SmartWiFi. Para ello, en tu Movistar+ de tu descodificador vete a la sección Apps y abre Smart WiFi.

Figura 4: Living App de SmartWiFi en sección Apps.

Allí tendrás acceso a gestionar la conectividad de tu WiFi, pudiendo entre otras cosas acceder a las contraseñas de tus redes WiFi por medio de un QRCode o ver la contraseña directamente en pantalla.

Figura 5: Contraseñas en pantalla o conexión por QRCode

También podrás activar la WiFi de Invitados de tu router si no la tienes activa, y permitir que se conecten a ella las personas que llegan a tu casa sin estar en la misma red que utilizas tú o la domótica de tu vivienda, evitando siempre problemas.

Figura 6: Activación de WiFi de Invitados

Además, puedes configurar Conexión Segura, y proteger todos los dispositivos de tu red, evitando que se conecten a sitios maliciosos. Y puedes ver cuántos dominios han sido bloqueados y por qué en tu red, para saber si tienes buenos o malos hábitos de conexión.

Figura 7: Amenazas bloqueadas con Conexión Segura en tu red WiFi

Poco a poco, en la Living App de SmartWiFi se van añadiendo todas las funciones disponibles también en la app, así que puedes Reiniciar el Router o activar el Modo Gaming, para que priorice los equipos que están jugando y necesitan una menor latencia.

Figura 8: Reiniciar el Rotuer desde la Living App & Modo Gaming

También, como puedes ver en la imagen anterior, se pueden conocer las funciones que no están disponibles nada más que en la app, como son la gestión de Perfiles de Usuario y las Opciones de Control Parental en SmartWiFi, o el Análisis de Cobertura WiFi, que te permitirá saber exactamente qué nivel de señal WiFi tienes en cada instancia de tu casa y si necesitas un Amplificador SmartWiFi o no.

Figura 9: Perfiles de Usuarios y Análisis de Cobertura WiFi

Otras de las opciones que tienes disponibles solo en la App son el Test de Rendimiento WiFi, y la moderna capacidad de Priorizar las vídeo-llamadas de Zoom, Microsoft Teams, Webex o WhatsApp en los equipos de tu red, para que puedas trabajar con la mejor calidad de red.

Figura 10: Test de rendimiento WiFi & Priorización de vídeollamadas

Por último, desde la Living App de SmartWiFi, sí que puedes gestionar la lista de dispositivos de tu red, así como bloquearlos y desbloquearlos, lo que te va a ayudar a que tus hij@s vengan a su hora a cenar, o poder detectar un dispositivo no deseado.

Figura 11: Lista de dispostivos de tu red WiF
 en la Living App de SmartWiFi

Como podéis ver, cada día vamos incrementando el número de servicios en nuestra plataforma de SmartWiFi, que sacan el máximo de la Fibra de Movistar, así que si eres cliente, echa un vistazo a la Living App de SmartWiFi y, sin duda, bájate de la App de SmartWiFi.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


sábado, septiembre 07, 2024

Mis citas para esta semana del 09 al 13 de Septiembre

Ya os anticipé la lista de citas que tengo a la vista para el mes de Septiembre, pero cuando llega el fin de semana y me pongo a preparar la semana siguiente ya os puedo confirmar mejor lo que tengo para esos días.

Figura 1: Mis citas para esta semana del 09 al 13 de Septiembre

La primera semana del mes estuve por Estados Unidos, pero  la segunda semana ya comienzo a tener cosas que podéis ver, asistir o participar. Comenzando este lunes.

09 de Septiembre: Radio con Luis Herrero, Luis Enriquez y José Luis Garci

El lunes  9 de Septiembre, a las 17:00 horasLuis Herrero me ha invitado a estar en su programa "En casa de Herrero" con Luiz Enriquez y José Luis Garci para hablar de cultura y tecnología. Será una experiencia bonita volver a estar en la radio, donde después de estar varios años con Javi Nieves, siempre tengo el gusanillo dentro.
Seguramente colaboré periódicamente, así que si te gusta el cine, la literatura, los cómics, la música y la tecnología, pues puede que te guste. Será en su programa de "En casa de Herrero".

12 de Septiembre: Inauguración del Espacio Gran Vía

Este jueves tenemos un evento bonito por la tarde, con la Inauguración del Espacio Gran Vía, lo que será el nuevo centro de demostración experiencia tecnológica en nuestra flagship de Movistar en Gran Vía 28, donde el corazón será la tecnología, la innovación y el entretenimiento. Yo estaré por allí.

Figura 3: Inauguración del Espacio Gran Vía

12 de Septiembre: Día de la Programación con Brais Moure

Me ha invitado Brais Moure a estar con él en su Día de la Programación que va a hacer en su canal de Twitch (tendré que conectarme por primera vez en mi vida a esa plataforma), para estar un ratito después de la inauguración anterior con Daniela MaissiS4vitarCarlos Azautre, y un largo etcétera en su jornada dedicada a celebrar este día. Tienes toda la info en la web del "Día de la Programación".


Y si no me confundo, esto es lo que tengo cerrado para esta semana, que el resto de las actividades tienen que ver con trabajo, proyectos, y cosas que aún no os puedo contar. Tendréis que esperar un poco para que os pueda ir contando esos proyectos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


viernes, septiembre 06, 2024

Cursor: El primer IDE para developers Súper-Empowered con GenAI (Claude 3.5 Sonnet & GPT-4o

La inteligencia artificial ha transformado el desarrollo de software, y herramientas como ChatGPT o GitHub Copilot han demostrado cómo la IA puede hacer más accesibles y menos propensas a errores las tareas complejas de programación. Sin embargo, el verdadero cambio llega con Cursor, un editor de código que integra la Inteligencia Artificial en el núcleo del proceso de programación. A diferencia de otros editores, Cursor está diseñado desde cero para aprovechar al máximo las capacidades generativas de la IA, prometiendo una revolución en la manera en que los desarrolladores, tanto expertos como principiantes, abordan su trabajo diario.

Cursor es una plataforma que combina un entorno de desarrollo familiar, como Visual Studio Code, con un asistente de IA avanzado. Este editor permite generar, editar y depurar código utilizando comandos en lenguaje natural, lo que simplifica y optimiza el flujo de trabajo de los programadores. Desde su lanzamiento, Cursor ha sido adoptado por profesionales de empresas tecnológicas como Replicate, Midjourney, OpenAI, Perplexity y Shopify.
  
El impacto de Cursor en la comunidad de desarrolladores ha sido notable, generando tanto entusiasmo como cautela. Mientras algunos ven en esta herramienta una revolución en la programación, otros se preguntan cómo afectará a largo plazo las habilidades fundamentales de los desarrolladores. A medida que Cursor gana tracción, surge un debate sobre el futuro de la programación asistida por IA y su posible influencia en el desarrollo de software en los próximos años.

¿Qué es Cursor?

Como ya he dicho, Cursor es un editor de código impulsado por Inteligencia Artificial, diseñado específicamente para integrar la IA en el núcleo del proceso de desarrollo de software. Derivado de Visual Studio Code, Cursor es un fork independiente que incorpora funcionalidades avanzadas de IA para transformar la programación en un proceso más eficiente, intuitivo y accesible. Esta herramienta permite a los desarrolladores interactuar con su código utilizando comandos en lenguaje natural, ofreciendo sugerencias contextuales, generando código automáticamente y optimizando el flujo de trabajo de manera proactiva.

Figura 3: About Anysphere

Cursor es el producto estrella de Anysphere, una startup tecnológica fundada por Michael Truell, Sualeh Asif, Arvid Lunnemark y Aman Sanger. La empresa ha logrado atraer una considerable atención y financiamiento, recaudando en 2023 8 millones de dólares en una ronda semilla respaldada por inversores del ecosistema de OpenAI, y recientemente, en Agosto de 2024, 60 millones de dólares. La filosofía de Anysphere y de Cursor se centra en democratizar el proceso de desarrollo de software, haciéndolo más accesible y eficiente, mientras prioriza la privacidad y la seguridad del código de los usuarios.

Funcionalidades clave

Las funcionalidades clave de Cursor se destacan por su integración con la inteligencia artificial, lo que transforma la experiencia de codificación en un proceso más eficiente y avanzado. Estas son algunas de las funcionalidades más importantes:
  • Autocompletado Inteligente: Esta función ofrece sugerencias predictivas y adaptativas basadas en el contexto del código y los patrones de trabajo del desarrollador. No solo sugiere términos o líneas individuales, sino que es capaz de completar bloques enteros de código, lo que ahorra tiempo y reduce la posibilidad de errores, todo mientras se adapta al estilo de codificación del usuario.
Figura 4: Autocompletado Inteligente  
  • Generación y Edición de Código: Esta funcionalidad permite a los desarrolladores generar código automáticamente a partir de descripciones en lenguaje natural y realizar ediciones inteligentes en el código existente. No solo traduce comandos verbales en código funcional, sino que también optimiza y corrige el código en tiempo real, mejorando su eficiencia y alineándolo con las mejores prácticas.
Figura 5: Generación de código con lenguaje natural
  • Asistencia y Reescrituras Inteligentes: Cursor ofrece asistencia proactiva y reescrituras automáticas del código, detectando y corrigiendo errores mientras el desarrollador escribe. Su capacidad para realizar optimizaciones contextuales y refactorizaciones asegura que el código sea más limpio, eficiente y alineado con los estándares del proyecto, todo mientras se adapta a las preferencias del usuario.
Figura 6: Smart Rewrites y Cursor prediction
  • Inserción de docs: Cursor te permite poder insertar documentación de cualquier framework, librería, etc. que te sea de utilidad en el proyecto, incluso puedes subir tu propia documentación, para posteriormente al realizar preguntas a los modelos de IA tengan como contexto estos documentos.
Figura 7: Use Documentation

Beneficios y limitaciones

Al ofrecer sugerencias proactivas para la re-escritura y optimización del código, la herramienta reduce la incidencia de errores comunes y fomenta la adopción de mejores prácticas de programación. Sin embargo, este beneficio tiene sus límites. A pesar de su capacidad para detectar y corregir errores básicos, Cursor puede tener dificultades cuando se enfrenta a problemas más complejos que requieren un entendimiento profundo del flujo lógico del programa o del contexto específico.

Otra ventaja significativa de Cursor es su capacidad para facilitar el aprendizaje. La herramienta actúa como un tutor, proporcionando explicaciones en tiempo real y sugiriendo mejoras que pueden acelerar la curva de aprendizaje, especialmente para aquellos que están comenzando en la programación o explorando nuevos lenguajes y frameworks

Figura 8: Chat viral enlace localhost

Sin embargo, esta facilidad de uso también conlleva el riesgo de que los usuarios, especialmente los novatos, se vuelvan excesivamente dependientes de la herramienta, lo que podría limitar su capacidad para desarrollar una comprensión profunda de los fundamentos de la programación. De hecho, se hizo viral este chat donde alguien le cuenta a su amigo que, usando Cursor, construyó algo en tiempo récord. Cuando el amigo le pide el link para probarla, le pasa un localhost.

Instalación y precios

Cursor se puede utilizar de manera gratuita, pero está muy limitado. Incluye 2000 auto-completados, y la posibilidad de hacer 50 solicitudes a LLMs premium como Claude 3.5 Sonnet o GPT-4o. Ya con el plan Pro de 20 USD mensuales tenemos autocompletados ilimitados, la posibilidad de hacer 500 solicitudes a estos LLMs premium con rapidez garantizada, e ilimitadas sin garantía de poder ser realizadas con prioridad. Por último, existe un plan Business de 40 USD al mes por usuario, más enfocado a equipos.

Figura 9: Tabla de precios y características incluidas

Conclusiones

El futuro de Cursor promete grandes avances en el desarrollo de software. Se espera la integración de modelos de lenguaje aún más avanzados, mejorando la capacidad de generación y asistencia de código. También se trabaja en optimizar la edición multi-archivo para proyectos complejos, asegurando cambios consistentes en todo el proyecto, y se priorizarán mejoras en seguridad, con un modo de "privacidad total" para proteger el código de posibles filtraciones.

Es normal el uso de GPT o Claude mientras programamos. De la manera en la que se ha ido haciendo es por ejemplo copiar la parte del código que quieres arreglar y llevarla a esta herramienta para que lo optimice, y copiar la respuesta de nuevo a nuestro editor de código. ¿Se optimizará aún más este proceso usando Cursor? Pruébalo con la versión gratuita para comprobar si te puedes adaptar bien a esta nueva forma de trabajar, descárgalo de la página oficial.

Saludos,  

Autor: Javier del Pino, Investigador de Inteligencia Artificial en Ideas Locas

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares