Últimas noticias

A continuación se incluye la lista de reproducción dedicada a NVDA del canal Tecnotutoriales accesibles y más con Jocelyn (anteriormente Jocelyn tiflovlogs y más) en YouTube. Se irá actualizando automáticamente conforme vayan apareciendo más vídeos.
Puedes acceder a los vídeos más antiguos a través del botón desplegable «Lista de reproducción» que encontrarás entre los controles del reproductor.

Nota: Esta es la lista de reproducción del nuevo canal del mismo autor. La que aparecía anteriormente, correspondiente al canal Jocelyn tiflovlogs y más, ha sido reemplazada por la nueva en esta página a petición del autor.

Teniendo en cuenta el éxito alcanzado por el modelo de comisión organizadora en el anterior encuentro, en NVDA.es acabamos de abrir el plazo de presentación de candidaturas para formar parte de uno de los cinco puestos disponibles en la Comisión Temporal para la Organización del V Encuentro en Español de Usuarios y Desarrolladores de NVDA. Puedes acceder al formulario aquí, a las bases reguladoras y, como siempre, a toda la información actualizada en NVDA.es/inicio/encuentro. La presentación de candidaturas estará abierta hasta el 24 de abril.
El proceso una vez presentada la candidatura es sencillo. Aunque en el formulario se solicita una reseña del perfil personal y profesional, es posible que tengamos que mantener contigo una entrevista para poder valorar mejor tu solicitud. Una vez completemos esta fase, el 30 de abril publicaremos las listas provisionales. En ellas tu solicitud podrá resultar admitida, retenida o excluida. Si está admitida y no se formulan alegaciones, serás nombrado miembro directamente; si se retiene quedarás en una lista de espera, que se ordenará por prioridad para cubrir futuras vacantes, y si se excluye tendrás derecho a conocer el motivo para alegar lo que consideres. Además, en el proceso se reservan tres plazas prioritarias para certificados en el programa NVDA Expert.
Si te interesa participar en la organización del evento de referencia de NVDA en español no lo dudes, inscríbete y sé la voz de la comunidad. ¡Te esperamos!

Tal y como ha anunciado NV Access en esta publicación y en esta otra, ya se encuentran disponibles las versiones 2021.3.5 estable y 2022.1 beta 3 para su descarga. Tanto si pruebas la beta como si eres usuario de versiones estables, se recomienda actualizar por el canal que te corresponda. Puedes hacerlo desde el menú Ayuda, eligiendo la opción «Buscar actualización».
De nuevo, estas actualizaciones se centran en la seguridad. Concretamente, solucionan un fallo por el que un usuario podía modificar permanentemente la pronunciación de símbolos en el perfil del sistema sin iniciar sesión en el equipo. Ahora, el diálogo de pronunciación de símbolos está deshabilitado cuando NVDA se ejecuta en modo seguro. En la beta, además, se incorporan las traducciones más recientes.
Después de actualizar cualquier software, es buena idea reiniciar el equipo. De esa forma, garantizamos que el sistema puede actualizar archivos que previamente no se podían modificar. Antes de informar de cualquier fallo tras instalar la actualización, reinicia.
Si deseas descargar esta actualización manualmente, puedes obtener la versión 2021.3.5 desde nuestra página de descargas. Por su parte, aquí te dejamos el enlace directo a NVDA 2022.1 beta 3.
Consulta la entrada que hicimos sobre la beta 1 para saber más sobre las novedades de NVDA 2022.1.
¡Feliz viernes!

  • Autores: Ibrahim Hamadeh y Belala Toufik, con la colaboración de Cary-rowen
  • Versión actual: 3.2.6 estable
  • Compatibilidad con NVDA: de 2021.1 a 2026.1
  • Descargar
  • Ver código fuente en GitHub

Este complemento se puede usar para extraer enlaces del texto seleccionado o del portapapeles, mostrarlos en una lista dentro de un diálogo, y abrirlos con varios navegadores si estos se encuentran en tu pc.

Modo de uso

  • Primero, debes asignar gestos para el complemento en el diálogo Gestos de entrada.
  • Puedes hacerlo yendo al menú NVDA, Preferencias, Gestos de entrada, categoría Open Link With.
  • Hay dos gestos sin asignar:
    1. Un gesto para mostrar enlaces del texto seleccionado.
    2. Un gesto para mostrar los enlaces del portapapeles.
  • Ahora ya tienes la opción de obtener y mostrar enlaces, ya sea del texto seleccionado o el portapapeles.
  • Pulsa el atajo del complemento que has configurado.
  • Si los hay, se mostrarán los enlaces en un cuadro de lista dentro de un diálogo.
  • Elige un enlace, y pulsa intro para abrirlo con el navegador predeterminado.
  • O por el contrario, tabula hasta el navegador con el que quieras abrirlo, y pulsa intro.
  • Recuerda que tienes la opción de cerrar el diálogo tras activar un enlace. Puedes configurarla desde el diálogo de opciones de Open Link With en el menú Preferencias.

Cambios para 2.5

  • El complemento se desactiva en modo seguro.
  • Se actualiza la última versión probada a 2022.1 para cumplir con la API de complementos más reciente.

Cambios para 2.4

  • Ahora hay dos gestos sin asignar para el complemento.
  • Uno para mostrar enlaces del texto seleccionado, y otro para mostrarlos desde el portapapeles.
  • Se usan los archivos de plantilla de complemento más recientes.
  • Se actualiza el manifest.ini con versión mínima y última probada.

Cambios para 2.2

  • Garantiza la compatibilidad con Python 3.

Cambios para 2.0

  • Se accede a los navegadores estándar desde el registro, y no desde la unidad C.
  • Se ha añadido un diálogo de opciones de configuración para el complemento en el menú Preferencias, de tal forma que existe una opción para cerrar el diálogo al activar un enlace.
  • Se añade Edge a los navegadores disponibles si el sistema es Windows 10.
  • Se añade un panel de opciones para encajar con NVDA 2018.2 y versiones posteriores.

Cambios para 1.0

  • Versión inicial.

No no, por increíble que parezca, esto no es una errata. Esperábamos el lanzamiento de la beta 1 para hoy, tal y como anunciamos en nuestra última recopilación de actualizaciones de complementos, pero NV Access nos ha sorprendido liberando dos betas en un breve intervalo de tiempo. Por lo tanto, en vez de hacer dos entradas, vamos a limitarnos a una que reúna todo lo imprescindible, ¿no?
El aviso aparecía hace sólo unos minutos en esta publicación de NV Access. Ya está disponible la beta 2 de NVDA 2022.1 para cualquiera que tenga interés en probar las novedades que van a llegar a la próxima versión de NVDA antes de que se libere de forma estable y proporcionar comentarios, sugerencias e información de problemas a resolver.
Esta versión incluye importantes mejoras en UIA para Microsoft Office. Si tienes Microsoft Office 16.0.15000 o una versión posterior en Windows 11, NVDA usará UI Automation por defecto para acceder a los documentos de Microsoft Word. Esto se traduce en una notable mejora de rendimiento en comparación con el modelo de acceso por objetos anterior.
Hay mejoras en los controladores de pantallas Braille como el anotador Seika, Papenmeier y el controlador universal Hid Braille. Además, se incluyen correcciones de fallos en Windows 11 para aplicaciones como la calculadora, la consola, la terminal, el correo y el panel de emojis.
Espeak-NG y LibLouis se han actualizado, añadiendo nuevas tablas en japonés, alemán y catalán.
Consulta aquí el documento de cambios más reciente en español
En la beta 2, ya no se anuncian los números de columna de diseño cuando se usa UI Automation en Word, ya que esto provoca errores fatales en algunas versiones de Office.
Recuerda que, al tratarse de una beta, esta versión no está pensada para ejecutarse en entornos de producción. Además, se trata de la primera versión del ciclo de 2022, por lo que rompe la compatibilidad con todos los complementos que no estén preparados. Los autores de complementos deberán probar sus desarrollos con esta nueva beta, y liberar actualizaciones que declaren en el manifest la compatibilidad con 2022.1.
Si dispones del complemento Selector del canal de actualizaciones, puedes actualizar desde una versión estable yendo al menú Ayuda y seleccionando la opción Buscar actualización. Para ello, el canal debe estar configurado en «Estable, rc y beta». Si no tienes este complemento y quieres probar la beta, a continuación va su enlace directo de descarga.
Descargar instalador de NVDA 2022.1 beta 2
¡Feliz lunes!

¡Hola, comunidad!
Tras una sucesión de liberaciones estables de urgencia en las que se corrigen fallos de seguridad, se acerca la beta de NVDA 2022.1, ya etiquetada en el repositorio del código fuente, pero aún sin publicar. Como veremos en esta recopilación de actualizaciones, algunos desarrolladores de complementos también se han centrado en corregir vulnerabilidades para que sus complementos no reabran los agujeros ya cerrados. ¡Comencemos!

Complementos oficiales

Los siguientes complementos pueden actualizarse automáticamente tanto desde Add-on Updater como desde el complemento Tienda NVDA.es:

  • Emoticons 14.7 y Place Markers 19.0.1: estos complementos ya no funcionarán en pantallas seguras. Además, incluyen traducciones actualizadas.
  • Weather Plus 8.8: el complemento ya no cargará diálogos de abrir o guardar si NVDA se ejecuta en modo seguro.
  • Read Feeds 13.0.2-dev: esta actualización, sólo disponible en versión de desarrollo, contiene correcciones de seguridad.
  • Focus Highlight 6.4: dicen que más vale tarde que nunca, ¿no? Este complemento agrega compatibilidad con NVDA 2021.1.
  • Sound Splitter 22.02.1: soluciona un problema por el que el sonido seguía dividido cuando se deshabilitaba o desinstalaba el complemento.
  • Windows App Essentials 22.02.1: vuelve a anunciar la barra de estado tras las últimas actualizaciones del bloc de notas en Windows 11. Esta actualización no se ha distribuido por los canales oficiales, por lo que Add-on Updater ofrecerá regresar a la versión 22.02.

Después de la liberación de NVDA 2022.1 beta 1, todos los complementos de Joseph Lee se actualizarán a la versión 22.03 por el canal oficial. También es posible que pronto veamos Search With 2.0, entre otros.

Complementos no oficiales

Si ha habido movimiento en la comunidad internacional desde la última vez que hablamos de actualizaciones, el resto de comunidades no se quedan atrás, especialmente la nuestra. Las siguientes actualizaciones pueden instalarse automáticamente desde la tienda:

  • Audacity Access Enhancement 2.6.2: las versiones 2.6.1 y 2.6.2 se centran en corregir fallos.
  • Youtube Channel Manager 1.2: la versión 1.1 solucionó un error que permitía duplicar canales en la base de datos, y agregó nuevas traducciones. En la versión 1.2 se corrige un fallo que se produce si Bluetooth Audio está instalado.
  • Tienda para NVDA 0.7.1: en la versión 0.7 se solucionó un problema con los filtros, se añadieron nuevos intervalos de búsqueda de actualizaciones, una sección de registro de cambios a la documentación y la posibilidad de no buscar actualizaciones de un complemento. La versión 0.7.1 gestiona adecuadamente la recarga de complementos, aplica correcciones de seguridad y añade la posibilidad de traducir la descripción de todos los complementos.
  • ZPortapapeles 0.3.1: añadida traducción al árabe. Mejorado el código que impide la ejecución en pantallas seguras.
  • TCA System Utilities 04b7: nueva función para entrar al uefi del sistema. Funciones para activar o desactivar la cámara y limpieza de caché DNS. Retoques en interfaz y documentación, y modificación del código para evitar un posible conflicto con otros complementos.
  • Unicode Ascii 1.13 y DLE Checker 1.3.2.1: modificación del código para evitar un posible conflicto con otros complementos.
  • WhatsApp Desktop 2.2206.9: Vuelven a funcionar los comandos para grabación de mensajes de voz, conmutación de enfoque entre lista de mensajes y cuadro de edición, adjuntar archivos, funciones del modo de selección, y otras cosas que se habían estropeado en la última versión de la aplicación.
  • NAO 2022.1.2: posibilidad de abrir y guardar documentos con formato, caché para no repetir reconocimientos e ir más deprisa, se almacena en la caché la última posición de lectura, autolimpieza de la caché, limpieza manual de la caché en el menú Herramientas, se pueden reconocer ficheros en las carpetas comprimidas del explorador, mejorada la comprobación de ficheros inválidos, compatibilidad mejorada con el explorador de archivos, el motor OCR conserva el ajuste de idioma aunque este cambie a lo largo del documento, cola OCR para reconocer desde varias fuentes, la tecla avance página en la última página de un documento va al final y verbaliza el número de línea, traducción al rumano, actualizada la traducción al chino simplificado, se usa la carpeta temporal de Windows para acelerar la conversión de ficheros y aumentar la velocidad en copias portables.
  • ZRadio 0.5.6 y ZUtilidades 0.2.5: se gestiona adecuadamente la recarga de complementos, y se impide la ejecución en pantallas seguras.

Recuerda que es muy importante que mantengas actualizados tus complementos, ahora más que nunca. No permitas que se queden abiertos agujeros de seguridad que NVDA por sí solo ya ha resuelto. En cuanto hayas instalado todas las actualizaciones, copia tu configuración a las pantallas seguras para sobreescribir versiones antiguas de los complementos que pudiera haber allí. Para ello, en las opciones generales de NVDA, pulsa el botón «Utilizar opciones actualmente guardadas durante el inicio de sesión y en pantallas seguras (requiere privilegios de administrador)» y responde que sí a las preguntas que aparezcan.
¡Feliz fin de semana! Y si hoy celebras San José, el día del padre o ambos, ¡muchas felicidades!

NV Access ha anunciado hace unos minutos la publicación de NVDA 2021.3.4. Al igual que las versiones 2021.3.2 y 2021.3.3, esta versión corrige fallos de seguridad relacionados con las pantallas seguras no descubiertos hasta el momento. desde la organización líder del desarrollo de NVDA se aconseja a todos los usuarios que actualicen a esta nueva versión, que está declarada como estable y, por lo tanto, es apta para entornos de producción.
En concreto, y según la información facilitada, se han solucionado los tres agujeros siguientes:

  • Posibilidad de abrir una consola Python a través del inspector de interfaz gráfica de WX (WX GUI Inspector).
  • Posibilidad para un usuario con privilegios de administrador de capturar el registro en modo depuración (se ha deshabilitado la posibilidad de reiniciar NVDA en modo depuración desde pantallas seguras)
  • Posibilidad de contaminar el perfil público del sistema (el utilizado en las pantallas seguras) con gestos y entradas de diccionario inesperados (se han deshabilitado los diálogos de gestos de entrada y diccionarios en pantallas seguras).

Dado que es una actualización menor y de emergencia, el documento qué hay de nuevo en español todavía no se ha actualizado. Los cambios vendrán reflejados en la traducción incluida con futuras versiones de NVDA.
Tras actualizar cualquier software, siempre es buena idea reiniciar el equipo. Reinicia yendo al diálogo Apagar, seleccionando «Reiniciar» y pulsando intro. Al actualizar el software pueden cambiar archivos que están en uso. Esto implica inestabilidad y comportamientos extraños que suelen solucionarse reiniciando. Reiniciar es lo primero que debes hacer si notas algo raro después de actualizar.
Si ya tienes NVDA puedes actualizar desde el menú NVDA>Ayuda>Buscar actualización o desde el diálogo que NVDA te mostrará cuando busque actualizaciones automáticamente. Si todavía no tienes NVDA o la actualización automática te da cualquier problema, visita la página de descarga de NVDA en esta web para obtener el archivo .exe, desde donde también podrás crear una copia portable y ejecutar esta versión de forma temporal sin instalarla.

Este complemento permite gestionar los canales favoritos de la plataforma Youtube con atajos de teclado y con una interfaz invisible y sencilla.

Atajos del complemento

  • NVDA + i griega; Activa y desactiva la interfaz invisible

Atajos disponibles en la interfaz invisible

  • escape; cierra la interfaz virtual y devuelve los atajos de teclado a su función por defecto.
  • Flecha derecha; se mueve al canal siguiente.
  • Flecha izquierda; se mueve al canal anterior.
  • Flecha abajo; se mueve al siguiente video del canal con el foco.
  • Flecha arriba; se mueve al anterior video del canal con el foco.
  • inicio; Se mueve al primer video del canal con el foco.
  • fin; verbaliza la posición, el nombre del canal, y el número de visualizaciones del video.
  • n; abre el diálogo para añadir un nuevo canal.
  • o; abre el link del video en el navegador por defecto.
  • r; Abre el link de audio en un reproductor web personalizado.
  • c; copia el link del video al portapapeles.
  • d; obtiene los datos del video y los muestra en una ventana de NVDA
  • b; Activa el diálogo de búsqueda en la base de datos.
  • Control + b; Activa el diálogo de búsqueda general.
  • f5; Busca si existen videos nuevos en el canal con el foco.
  • s; Activa la ventana de configuración del canal con el foco.
  • g; Activa la ventana de opciones globales.
  • Suprimir; elimina el canal con el foco, y en la ventana de resultados elimina la columna y vuelve a la vista de canales.
  • control + shift + suprimir; Elimina la base de datos.
  • f1; activa la ayuda de comandos.

Añadir canales

Para añadir un nuevo canal a la base de datos, tan solo hay que abrir la interfaz virtual con el atajo para dicha acción, por defecto; NVDA + i griega. Y pulsar la letra n.
La ventana solicita 2 campos. Un nombre de canal, y la dirección URL del mismo. En este último caso, el complemento permite el ingreso de los siguientes formatos URL:

  • link de un video, que suele tener el siguiente formato: https://www.youtube.com/watch?v=IdDelVideo
  • Link de un canal: https://www.youtube.com/channel/IdDelCanal

Por lo que una forma de conseguirlo es abriendo algún video en la página de Youtube a través del navegador, pulsar alt y la letra d para abrir la barra de direcciones, y copiar la URL con control + c, la cual ya va a estar seleccionada por defecto.
También pueden añadirse canales desde la lista de resultados globales. Para ello tan solo basta con realizar la búsqueda, situarse sobre el video del canal a añadir y pulsar la tecla n.
Esto va a activar el diálogo para ingresar los datos del canal, los cuales van a ser completados automáticamente con el link y el nombre tomados desde Youtube.

Actualizador automático:

El complemento permite marcar canales como favoritos, y activar la verificación de novedades con un rango estipulado de tiempo.
Para marcar o desmarcar un canal como favorito:

  1. Activar la interfaz virtual con el gesto asignado, por defecto, NVDA + i griega.
  2. Seleccionar el canal deseado con flechas izquierda o derecha.
  3. Activar la ventana de configuración de canal con la letra s.
  4. Marcar la casilla correspondiente y pulsar sobre el botón para guardar la configuración.

La verificación de novedades en los canales favoritos está desactivada por defecto. Para modificarlo hay que seguir los siguientes pasos:

  1. Activar la interfaz virtual con el gesto asignado, por defecto, NVDA + i griega.
  2. Activar la ventana de configuración global con la letra g.
  3. tabular hasta la lista de opciones, y seleccionar con flechas arriba y abajo el rango deseado.
  4. Pulsar sobre el botón para guardar las configuraciones.

Al encontrar novedades, el complemento emitirá un sonido durante la actualización y un mensaje al finalizar la misma.

Búsqueda de videos en la base de datos:

El complemento permite buscar por palabras clave entre los videos de los canales agregados a la base de datos:

  1. Activar la interfaz virtual con el gesto asignado, por defecto, NVDA + i griega.
  2. Activar la ventana de búsqueda con la letra b.
  3. Escribir una palabra o frase de referencia.
  4. pulsar intro o el botón iniciar la búsqueda.

Si no se encuentran resultados, se avisa a través de un mensaje y no se modifica la interfaz virtual.
En el caso de encontrar videos que se correspondan con los datos ingresados, se avisa a través de un mensaje y se activa la interfaz de resultados.
Para navegar en ella, lo pueden hacer con flechas arriba y abajo. Están disponibles los mismos comandos que en la interfaz de canales; r para el reproductor web personalizado, o para abrir en el navegador, etcétera.
Para volver a la interfaz de canales hay que pulsar la tecla suprimir en la interfaz de resultados, lo que eliminará esa columna y devolverá la lista de canales y videos.

Búsqueda global:

Para realizar una búsqueda global fuera de la base de datos hay que hacer lo siguiente:

  1. Activar la interfaz virtual con el gesto asignado, por defecto, NVDA + i griega.
  2. Activar la ventana de búsqueda con el atajo control + b.
  3. Escribir una palabra o frase de referencia y seleccionar la cantidad de resultados a mostrar.
  4. pulsar el botón iniciar la búsqueda.

Si no se encuentran resultados, se avisa a través de un mensaje.
cuando se encuentran resultados, estos se agregan a la lista principal, la cual podemos recorrer con flechas arriba y abajo.
Aquí también tenemos los mismos atajos que en la búsqueda por base de datos. O para abrir en el navegador, r para el reproductor web, c para copiar el link, etcétera.
Si alguno de los videos está en un canal que quiera agregarse a la base de datos, al pulsar la letra n sobre esta lista va a activarse el diálogo de nuevo canal con los campos de nombre y url ya completos. Estos campos pueden editarse si así lo prefieren.
Al igual que en las búsquedas en la base de datos, para volver a la lista de canales tan solo hay que pulsar suprimir para eliminar los resultados y volver a la interfaz de canales.

Nota: NVDA ha recibido una nueva actualización, la 2021.3.3, pocas horas después de esta. El contenido de la publicación es idéntico.
Tan solo unos días después de la resolución de varios fallos de seguridad (que detallamos en una publicación al respecto), NV Access ha anunciado la publicación de NVDA 2021.3.2 para corregirlos. Como es habitual, desde la organización líder del desarrollo de NVDA se aconseja a todos los usuarios que actualicen a esta nueva versión, que está declarada como estable y, por lo tanto, es apta para entornos de producción.
Actualización: Horas después se ha publicado la 2021.3.3, que es idéntica a la 2021.3.2 pero corrige un error por el que esta última se identificaba como 2021.3.1 en lugar de como 2021.3.2. Ahora ya debería figurar como 2021.3.3 en cualquier contexto. Si actualizaste a la 2021.3.2, deberás actualizar nuevamente.
En concreto, esta nueva versión soluciona dos fallos de seguridad para los que se requiere acceso al equipo con NVDA, ya sea presencialmente o mediante un control remoto que funcione en pantallas seguras:

  • Escalamiento de privilegios desde pantallas seguras mediante la apertura de un intérprete de comandos, a través del administrador de complementos, de la ayuda contextual, etc., tal y como explicábamos en nuestra pasada publicación, enlazada más arriba.
  • Acceso al contenido del escritorio y ventanas abiertas desde la pantalla de bloqueo con el navegador de objetos, no detallada en nuestra publicación.

Dado que es una actualización menor y de emergencia, el documento qué hay de nuevo en español todavía no se ha actualizado, aunque la versión original sí lo ha hecho. Los cambios vendrán reflejados en la traducción incluida con futuras versiones de NVDA.
Tras actualizar cualquier software, siempre es buena idea reiniciar el equipo. Reinicia yendo al diálogo Apagar, seleccionando «Reiniciar» y pulsando intro. Al actualizar el software pueden cambiar archivos que están en uso. Esto implica inestabilidad y comportamientos extraños que suelen solucionarse reiniciando. Reiniciar es lo primero que debes hacer si notas algo raro después de actualizar.
Si ya tienes NVDA puedes actualizar desde el menú NVDA>Ayuda>Buscar actualización o desde el diálogo que NVDA te mostrará cuando busque actualizaciones automáticamente. Si todavía no tienes NVDA o la actualización automática te da cualquier problema, visita la página de descarga de NVDA en esta web para obtener el archivo .exe, desde donde también podrás crear una copia portable y ejecutar esta versión de forma temporal sin instalarla.

Si te gusta nuestro contenido, plantéate hacer una donación o adquirir productos de nuestra tienda. Las donaciones y compras son la principal garantía de continuidad de la Asociación Comunidad Hispanohablante de NVDA.

Nota: Desde el 22 de febrero de 2022, todas las referencias en esta entrada deben entenderse realizadas a la recién publicada versión 2021.3.2, que incluye la solución a estos y otro fallo de seguridad, que permitía leer contenidos del escritorio desde pantallas seguras con la navegación por objetos.
Cuando pensamos en el desarrollo de un lector de pantalla, nos imaginamos que se centra exclusivamente en mejorar su integración con el sistema operativo, dar compatibilidad con una aplicación específica o añadir una nueva característica que facilite la vida a las personas ciegas. Lo que nunca nos podríamos imaginar es que un lector de pantalla puede comprometer la seguridad del sistema de una manera que ni los expertos en ciberseguridad de hoy en día ni los hackers (por suerte) tienen en cuenta, y que existen desarrolladores preocupados por esa seguridad, pero ha sido el caso de NVDA durante los últimos años.
Para comenzar la historia que compartimos en esta entrada, debemos remontarnos tres meses atrás. El 14 de noviembre de 2021, un colaborador de la comunidad internacional abrió la incidencia 13056, en la que avisaba de una vulnerabilidad que permite a un atacante escalar privilegios y ejecutar programas desde una pantalla segura si NVDA está en ejecución. Por pantallas seguras entendemos las siguientes:

  • El diálogo de confirmación del control de cuentas de usuario.
  • La pantalla de bloqueo de Windows, pero sólo en el momento que nos solicita la contraseña o el pin para desbloquear la sesión.
  • El diálogo que se muestra al pulsar la combinación control+alt+suprimir.
  • Y la última y más importante: la pantalla de inicio de sesión de Windows.

Esta vulnerabilidad se explota asignando un atajo para abrir rápidamente el gestor de complementos y copiando la configuración para que pueda usarse en pantallas seguras. Tras pulsar el atajo asignado en una pantalla segura, el administrador de complementos se carga, a pesar de que no aparece en el menú NVDA y no debería poder cargarse. Desde ahí, el botón Instalar carga un diálogo de apertura de archivos, que abre un inmenso abanico de posibilidades al atacante. En versiones de Windows anteriores a Windows 11, al pulsar el botón Obtener Complementos, es Internet Explorer el que se abre, ofreciendo todavía más posibilidades.
El mismo día que se abrió la incidencia 13056, como esta no cumplía todos los requisitos del protocolo explicado en la documentación para colaborar con NVDA, el mismo usuario abrió la incidencia 13059. Dicha incidencia pasó a formar parte de la enorme montaña que tiene NV Access de incidencias abiertas y, por increíble que parezca, quedó olvidada hasta hace unos días, cuando llegó la incidencia 13353 abierta por otro usuario. En ella, la vulnerabilidad que se expone es más fácil de alcanzar que la anterior, ya que no requiere preparación previa. Basta con abrir las opciones de NVDA desde una pantalla segura, pulsar la tecla f1 en cualquiera de los controles para cargar la ayuda contextual, e Internet Explorer se abre mostrando la guía de usuario. A partir de ahí, de nuevo, un atacante puede hacer lo que quiera. Al igual que en el caso anterior, como Internet Explorer ya no está como programa independiente en Windows 11, los usuarios de esta versión de Windows no se ven afectados.
Las incidencias, por suerte, ya han sido cerradas, y los cambios propuestos se han integrado en el núcleo de NVDA. Si todo va bien, la versión 2022.1 ya no tendrá estas vulnerabilidades, y la próxima actualización alpha que llegue por el canal de desarrollo, tampoco. Sin embargo, esto no es suficiente. Los usuarios de versiones estables continúan expuestos a estas dos vulnerabilidades, y seguirán así durante varias semanas. La exposición es baja, ya que requiere acceso físicamente al equipo del usuario, pero se dispara si tenemos configurados complementos como NVDA Remote para que se conecten a un servidor automáticamente al arrancar.
Mientras NVDA 2022.1 llega, nuestro compañero Héctor Benítez ha desarrollado un parche, en colaboración con miembros de nuestro equipo. Este parche se distribuye en forma de complemento, y su única finalidad es cerrar los dos agujeros de seguridad explicados anteriormente. Por ello, carece de interfaz y configuración, y su documentación es bastante simple.
El parche es de duración limitada, y dejará de ser necesario tan pronto como NVDA 2022.1 sea liberado. Por tanto, no tendrá presencia en la tienda de complementos ni en esta web en forma de ficha, como sí están los otros. Pulsa este enlace para descargarlo.
Su instalación se parece mucho a la de cualquier complemento. Una vez lo instales y reinicies NVDA, sin embargo, debes enviarlo al lugar donde tiene que hacer su trabajo: las pantallas seguras. Para ello, sigue estos pasos:

  1. Pulsa NVDA+control+g para abrir las opciones generales de NVDA, o utiliza el menú NVDA, Preferencias, Opciones.
  2. Busca el botón «Utilizar opciones actualmente guardadas durante el inicio de sesión y en pantallas seguras (requiere privilegios de administrador)» y púlsalo.
  3. NVDA mostrará un mensaje indicando que se han encontrado complementos y preguntando si quieres copiarlos también. Responde que sí.
  4. Si aparece, acepta la advertencia del control de cuentas de usuario.
  5. Espera a que finalice la copia de la configuración. A partir de ese momento, estarás protegido.

Entendemos que no todo el mundo dispone de la versión estable más reciente de NVDA, y que en ciertos entornos la actualización de software no es instantánea. Por ello, el parche admite un rango de versiones que va desde la 2020.4 a la más actual, 2021.3.1.
La seguridad es un factor clave que siempre tenemos en cuenta cuando revisamos complementos de terceros en esta comunidad. Al fin y al cabo, NVDA lleva una plataforma Python con buena parte de la biblioteca estándar por debajo, bastantes módulos de terceros, y abre a los usuarios la posibilidad de utilizarla con total libertad. Nunca imaginamos que las peores vulnerabilidades iban a encontrarse a la vista de todos, y que no había que instalar nada para explotarlas.
Ahora que has visto un ejemplo real de una vulnerabilidad de seguridad en NVDA, ¿entiendes por qué siempre te pedimos al final de nuestras entradas que te mantengas al día?
¡Feliz fin de semana!