BrunoP.Blog

Blog

Vida real + código

Vida real volviéndose código: experimentos para jugar, proyectos que resuelven problemas reales y guías al grano.

Destacado

Seguridad News

Hackers de Corea del Norte envenenaron 140+ paquetes npm de un framework de IA — el ataque Mastra y qué enseña

Microsoft atribuyó a Corea del Norte un ataque de cadena de suministro que contaminó más de 140 paquetes npm del framework de IA Mastra. El truco: secuestrar la cuenta de un mantenedor e inyectar un paquete-señuelo (easy-day-js, imitando a dayjs) cuyo postinstall descargaba un ladrón de credenciales y wallets. Explico cómo funciona — y cómo blindar tus dependencias.

388 Leer ahora
Seguridad News

Hackers de Corea del Norte envenenaron 140+ paquetes npm de un framework de IA — el ataque Mastra y qué enseña

Microsoft atribuyó a Corea del Norte un ataque de cadena de suministro que contaminó más de 140 paquetes npm del framework de IA Mastra. El truco: secuestrar la cuenta de un mantenedor e inyectar un paquete-señuelo (easy-day-js, imitando a dayjs) cuyo postinstall descargaba un ladrón de credenciales y wallets. Explico cómo funciona — y cómo blindar tus dependencias.

  • npm
  • Supply Chain
  • IA
388 Leer
Seguridad Guía

Cómo hacer backup de tu sitio (y por qué el backup del propio hosting no basta)

Casi todos confían en el 'backup automático' del hosting — hasta el día en que el servidor cae junto con el backup. Explico la regla 3-2-1, qué debe entrar realmente en el backup (archivos + base de datos), cómo automatizarlo y — el paso que casi nadie hace — cómo probar la restauración antes de necesitarla de verdad.

  • Backup
  • Hospedagem
  • WordPress
205 Leer
Dev Proyecto

Crear un sitio profesional sin programar: por qué construí Vitriny (y cómo lo pruebas hoy)

Yo hacía prototipos de sitios por WhatsApp para pequeños negocios — y veía a la mitad desaparecer antes de cerrar. En vez de vender prototipo por prototipo, convertí la idea en una herramienta: Vitriny, un constructor donde clínicas, salones y profesionales crean su propio sitio premium en minutos, sin programar. Cuento la historia, muestro cómo funciona y te dejo la demo para probar ahora.

  • Vitriny
  • Micro-SaaS
  • Sites
273 Leer
Seguridad News

Una falla en LiteSpeed deja que un vecino de tu hosting se vuelva 'root' — y alcance tu sitio (CVE-2026-54420)

CISA confirmó ataques activos contra el plugin LiteSpeed del cPanel: con cualquier acceso FTP o web-shell, el atacante escala a root en el servidor — y en hosting compartido eso significa alcanzar los sitios de todos los 'vecinos', incluido el tuyo. Explico qué es 'tenant breakout', quién está en la mira y un checklist de qué preguntarle a tu hosting (y qué blindar de tu lado).

  • Hospedagem
  • LiteSpeed
  • cPanel
374 Leer
Seguridad Guía

Cómo evitar el spam en formularios sin CAPTCHA (Honeypot y Time-trap)

reCAPTCHA frena a los bots, pero arruina la conversión e incomoda al usuario. Te enseño a proteger tus formularios usando el método Honeypot y Time-trap, con código limpio de copiar y pegar para tu sitio.

  • Segurança
  • Formulários
  • Anti-Spam
591 Leer
Dev Proyecto

¿Cuánto cuesta un prompt? Calculé para 8 modelos de IA y muestro dónde está el dinero

La mayoría elige el modelo de IA por costumbre — y paga de más. Construí PromptTools: pegas el prompt, estima los tokens, compara el costo entre 8 modelos y proyecta el gasto por volumen. Todo en el navegador, sin API, sin registro.

  • PromptTools
  • LLM
  • Custo
461 Leer
Seguridad Proyecto

Cómo saber si tu contraseña es realmente fuerte (la matemática que los 'consejos' ignoran)

Senha123! tiene mayúscula, número y símbolo — y se rompe en segundos. El problema es que los 'consejos de contraseñas' miden la forma, no la fuerza real. PassGuard calcula entropía con detección de patrones humanos (palabra+sufijo, secuencias de teclado, año) y muestra el tiempo de crackeo en tres velocidades de ataque.

  • Senha
  • Segurança
  • Entropia
440 Leer
Dev News

El gobierno de EE.UU. obligó a Anthropic a apagar sus modelos más avanzados — y la lección para quienes construyen con IA

En junio de 2026, el Fable 5 y el Mythos 5 de Anthropic se cayeron por exigencia del gobierno de EE.UU. Si construyes productos con IA, el episodio plantea una pregunta incómoda: ¿qué pasa cuando el modelo del que dependes desaparece? La respuesta técnica es más simple de lo que parece.

  • IA
  • Anthropic
  • Regulação
944 Leer
Seguridad News

Google detectó el primer zero-day creado por IA en un ataque real — qué cambia para quienes tienen un sitio

Google Threat Intelligence reportó algo sin precedentes: un grupo usó IA para encontrar y explotar un zero-day en SQLite en un ataque real. La IA no fue el atacante — fue el acelerador. La ventana entre que aparece una vulnerabilidad y se explota se redujo. ¿Qué cambia en la práctica?

  • Zero-day
  • IA
  • Segurança
224 Leer
Seguridad Guía

Cabeceras de seguridad HTTP: qué hace cada una y cómo activarlas en tu servidor (generador gratis)

HTTPS protege el canal — pero no le dice al navegador cómo comportarse dentro de la página. Clickjacking, XSS y filtraciones de Referer ocurren incluso con el candado verde. Explico las 7 cabeceras que más importan y doy un generador que arma la config lista para Apache o Nginx.

  • HTTP Headers
  • Apache
  • Nginx
898 Leer
Seguridad Guía

Seguridad de sitios: la guía práctica para proteger el tuyo (sin pánico)

La mayoría de los sitios hackeados no cayó ante un genio del mal — cayó por un plugin desactualizado, una contraseña débil o un descuido. Reuní las amenazas que más tumban sitios de PyMEs y un plan por capas para cerrar las puertas, con las guías y herramientas para cada parte.

  • Segurança
  • WordPress
  • LGPD
879 Leer
Herramientas Proyecto

Contrato para freelancer: la plantilla que protege tu pago (gratis, en el navegador)

Me han dejado sin cobrar, hice retrabajo infinito y vi clientes desaparecer a mitad del proyecto — siempre que el acuerdo quedó 'en el chat'. Construí un generador de contratos gratis, 100% en el navegador, con las 4 cláusulas que de verdad protegen el pago del freelancer. Te explico cada una con el dolor real que resuelve.

  • Freelancer
  • Contratos
  • Pagamento
701 Leer
Herramientas Proyecto

Acortar enlaces, generar códigos QR, armar UTMs y link en bio — todo en un solo lugar (gratis)

Escucho siempre el mismo desahogo de quien lleva el marketing: el enlace es enorme y feo, nadie sabe cuántos hicieron clic, la UTM es un lío y el QR del flyer no mide nada. Junté todo en una herramienta gratis — acortar, QR, UTM, link en bio y los clics detrás de cada uno.

  • Link na bio
  • QR Code
  • UTM
638 Leer
Dev News

Despidos en tech en 2026: ¿la IA es realmente la culpable? (y qué debes hacer)

Los despidos en tech en 2026 son reales — más de 150.000 profesionales. Pero la narrativa de 'la IA va a reemplazar a todos los devs' es más compleja de lo que parece. Mi lectura de los datos (Layoffs.fyi, CNBC, Crunchbase) y qué debería hacer un desarrollador ahora.

  • Mercado
  • IA
  • Carreira
447 Leer
Dev Proyecto

Cómo generar un diagrama ER a partir del SQL (sin instalar nada, sin cuenta, con auditoría de seguridad)

Heredé una base de datos sin documentación: schema crudo, sin diagrama, sin saber si había fallas de seguridad o problemas de privacidad. Insight lo resuelve en el navegador — pega el SQL, obtén el diagrama, la auditoría y el código de modelo listo.

  • Banco de Dados
  • SQL
  • ER Diagram
680 Leer
Herramientas Proyecto

Cómo enviar un archivo grande gratis (sin registro, sin límite de email, sin que expire en 7 días)

El email limita a 25MB, WeTransfer pone anuncios y expira en 7 días, WhatsApp comprime todo. Hice AirBridge: Modo Sala (P2P directo entre dispositivos, sin pasar por servidor) y Modo Cofre (enlace temporal que se autodestruye en 60 minutos). Gratis, sin registro.

  • AirBridge
  • Arquivos
  • P2P
811 Leer
Seguridad Proyecto

Cómo gestionar vulnerabilidades sin planilla (el rastreador que calcula severidad por CVSS)

Gestionar hallazgos de pentest en una planilla termina mal: sin prioridad clara, SLA ignorado, responsable perdido, reporte manual. VulnGuard calcula severidad y plazo por CVSS automáticamente, mantiene el workflow de triaje y genera el reporte en PDF. Demo público, sin registro.

  • VulnGuard
  • Pentest
  • CVSS
403 Leer
Herramientas Proyecto

Cómo transcribir audio a texto gratis (Whisper en el navegador, el archivo nunca sale de tu PC)

Transcribir audio manualmente es lento, los servicios que 'suben' tu archivo lo ponen en el servidor de alguien, y la mayoría cobra. AudioWriter corre Whisper directamente en el navegador — el archivo nunca sale de tu computadora. Exporta .txt o .srt con timestamps.

  • AudioWriter
  • Whisper
  • Transcrição
829 Leer
Seguridad News

Un plugin con eval() está secuestrando sitios WordPress: el caso Everest Forms y cómo protegerte

Una falla crítica (CVSS 9.8) en el plugin Everest Forms Pro permite que cualquiera ejecute PHP en tu servidor — y los ataques se dispararon en mayo. El error es de manual: input del usuario entrando directo en un eval(). Te muestro cómo funciona y un checklist de 5 minutos para blindar tu WordPress.

  • WordPress
  • Segurança
  • PHP
346 Leer
Herramientas Guía

Qué son las Skills de IA — y cómo crear la tuya (con 4 skills listas para descargar)

Mucha gente está confundida con las 'skills' de IA. Sin vueltas: qué son, para qué sirven, qué es ese SKILL.md y cómo crear la tuya — y al final 4 skills listas para descargar y usar hoy en Claude Code.

  • Skills
  • IA
  • Claude
760 Leer
Dev Guía

Efectos CSS listos para copiar: glow, border-beam, gradiente animado, texto scramble y más

Una galería viva de efectos CSS que haces clic, ves funcionando y copias el código — sin framework obligatorio. Glow, border-beam, gradiente animado, brillo en hover, texto scramble y aurora. Cada uno es un div y un puñado de líneas.

  • CSS
  • Design
  • Frontend
500 Leer
Dev Interactivo

EA simuló el Mundial y ya 'sabe' quién gana. Desconfié y corrí el mío — 50.000 veces

Cada año EA corre el juego y 'clava' al campeón del Mundial — y a veces acierta de lleno. Me parecía magia hasta que cayó la ficha: es solo estadística repetida MUCHAS veces. Armé un simulador de Monte Carlo en el navegador para que corras miles de Mundiales y veas la chance de cada selección con tus propios ojos.

  • Monte Carlo
  • Probabilidade
  • Futebol
775 Leer
Herramientas Interactivo

Vi 'Tetris' (2023) y terminé en la historia real detrás del juego

El otro día vi la película de Tetris y me fui a dormir viendo piezas caer. A la mañana siguiente ya estaba programando el mío — y descubrí una pelea de miles de millones detrás de ese juego tan simple.

  • Tetris
  • Games
  • História
748 Leer
Dev Interactivo

Caí en una madriguera sobre el Game of Life — y no pude parar

Cuatro reglitas, cero jugadores, y aun así la pantalla cobra vida sola. Pasé una noche entera viendo colonias nacer y morir — y te cuento por qué me fascina tanto.

  • Autômatos
  • Simulação
  • Conway
948 Leer
Seguridad Interactivo

'Ignora las instrucciones anteriores': el ataque que la IA no sabe frenar (y un agente falso para que lo hackees)

Le pedí a una IA que resumiera un correo y el correo tenía un mensaje oculto para el robot — y obedeció. Armé un 'agente de soporte' falso con cupón secreto para que hagas de atacante y sientas por qué la falla es estructural.

  • prompt-injection
  • ia
  • owasp
966 Leer
Dev Interactivo

Convertí el ruido de mi cafetera en música — y armé un sintetizador en el navegador sin dependencias

Una mañana el zumbido de la cafetera me hizo pensar: ¿y si cada sonido del día fuera una nota? El navegador ya es un estudio — sin instalar nada, sin Tone.js — y te enseño a crear sonido desde cero con osciladores.

  • web-audio
  • javascript
  • audio
998 Leer
Dev Interactivo

Mi agente de IA entró en bucle y casi revienta el presupuesto: el 'balde de fichas' que frena la cuenta

Un agente autónomo entró en bucle llamando una herramienta cara y se volvió un DoS financiero contra mí mismo. Te muestro el disyuntor clásico que usa todo sistema serio — visto como un balde de fichas que gotea.

  • rate-limiting
  • token-bucket
  • agentes
858 Leer
Dev Interactivo

Por qué la IA cobra por 'pedazo de palabra': construí un tokenizador en el navegador para que lo veas

Abrí la factura de la API de IA, me asusté y noté que casi nadie entiende qué es un 'token' — la unidad que pagas. Pega cualquier texto y mira, en vivo, cómo el modelo parte tus palabras en pedazos de colores.

  • llm
  • tokenizacao
  • custos
1k Leer
Herramientas Interactivo

Odiaba las regex hasta que tuve que encontrar 4.000 correos en un archivo gigante

Pasé horas filtrando un log a mano hasta que una línea de regex lo resolvió en segundos. Parece hechizo, pero es pura lógica — y te dejo un playground con presets (código postal, teléfono, identificación) para probar ahora.

  • regex
  • ferramentas
  • produtividade
962 Leer
Herramientas Interactivo

Ese texto gris claro precioso que nadie logra leer

Hice sitios 'bonitos' imposibles de leer en el celular bajo el sol — y confieso el error. El contraste no es gusto, es matemática: te muestro la fórmula WCAG en un verificador en vivo que enciende AA/AAA en verde o rojo.

  • acessibilidade
  • cores
  • wcag
1.3k Leer
Dev Interactivo

Cómo una computadora dibuja un laberinto perfecto (sin hacer trampa)

Dibujando laberintos a mano siempre creaba callejones o caminos obvios. La computadora garantiza exactamente un camino entre dos puntos — y te muestro el algoritmo derribando paredes paso a paso, en vivo.

  • algoritmos
  • procedural
  • canvas
1.1k Leer
Dev Interactivo Más leído

El secreto detrás de toda curva suave que has visto en una pantalla

Abrí el logo de un proyecto en el editor vectorial y moví las 'manijas' que controlan las curvas: ¿cómo media docena de puntos forman una curva perfecta? Te dejo un juguete para arrastrar los puntos y ver la magia de De Casteljau.

  • matematica
  • design
  • svg
1.5k Leer