La resolución nativa de la Steam Deck es de 1280×800. Es la que se usa en la pantalla del aparato, pero en la tele el segundo valor se queda en 720p. Es la resolución conocida como HD, siendo ahora mismo lo más estandarizado los 1080p, es decir, el Full HD. Aunque ya hay muchas pantallas 4K, lo más extendido es el Full HD por el precio, ya que se encuentran pantallas muy económicas con resolución 1920×1080.

La Steam Deck puede sacar resolución 4K cuando se conecta a un monitor externo, pero no siempre hace bien el cambio. En teoría, el Dock oficial sí es capaz de detectar las configuraciones de monitores externos y cambiar la resolución automáticamente, pero SteamOS puede fallar cuando se conectan a Docks y adaptadores de terceros. Afortunadamente, hay una manera de forzar la resolución a 1080p o incluso 4K, y eso es lo que vamos a explicar aquí.

Como sacar 1080p o más cuando la Steam Deck está conectada a un monitor

Cuando vamos al apartado de vídeo de un juego y vemos que, a pesar de estar conectado a una pantalla grande, la resolución máxima es 1280×720, el sistema operativo no está detectando bien la configuración del monitor externo. Lo que hay que hacer es lo siguiente:

1. Cerramos el juego.
2. Vamos a la biblioteca y seleccionamos el juego.
3. En la pantalla del juego, hacemos clic en el engranaje.

4. A continuación, elegimos «Propiedades».

5. Por último, en el apartado «General», hacemos clic en el desplegable de «Resolución del juego» y elegimos la de nuestra pantalla externa.

Hecho este cambio, al iniciar el juego nuevamente e ir a las opciones de vídeo, podemos comprobar que hay más opciones de resolución, quedándose la máxima en 1920×1080.

¿Merece la pena este cambio?

No siempre, la verdad. La Steam Deck es un aparato que en 2025 se podría considerar de potencia media, pero a bajas resoluciones. Si nuestra intención es que un juego como Horizon Zero Dawn se vea en una pantalla de 40″ igual de bien que en la pantalla pequeña, podemos ir olvidándonos. En la Deck suele rondar los 60fps, pero en HD. Subir la resolución a Full HD hará que las «fotos» se vean mejor, pero habrá bastantes menos.

También hay juegos que no están muy bien optimizados para el hardware de la Steam Deck. Por ejemplo, Darksiders Genesis muestra los menús y diálogos mucho más claros a 1080p, pero la acción se ve prácticamente igual y baja de unos 60fps a algo más de 40. Por otra parte, Borderlands 2 sí se ve algo mejor y además mantiene los 60fps.

Mi consejo es probar. Yo no tengo quejas en la mayoría de títulos, y lo dejo en la resolución que me saca. En otros pruebo, y si los fps que obtengo son muchos menos, vuelvo a los 720p. Si salgo ganando, lógicamente prefiero 1080p. El 4K lo dejamos para la Steam Deck 2 y mi futura TV.

TrueNAS 25.10 ya está disponible como versión estable y llega con cambios pensados para entornos profesionales y domésticos avanzados. En este lanzamiento, iXsystems impulsa el acceso a datos con NVMe over Fabrics, renueva su API y actualiza OpenZFS, colocando el foco en rendimiento, administración y escalabilidad.

Más allá del rendimiento bruto, la actualización busca simplificar la operación diaria. Desde perfiles de actualización hasta mejoras en la interfaz web, la plataforma quiere reducir fricción en despliegues y mantenimiento, un detalle relevante para equipos en España y el resto de Europa que gestionan almacenamiento crítico.

NVMe over Fabrics: qué cambia en el acceso a datos de TrueNAS 25.10

La gran novedad es el soporte NVMe over Fabrics. Con esta tecnología, un sistema TrueNAS puede tratar cabinas NVMe remotas como si fueran locales, reduciendo la sobrecarga de protocolos tradicionales y la latencia en operaciones exigentes.

En la edición Community se habilita NVMe/TCP, que funciona sobre Ethernet estándar, mientras que en la edición Enterprise se añade NVMe con RDMA. El uso de RDMA evita pasar por la CPU en muchas transferencias, lo que acerca las latencias a la escala de microsegundos y mejora la eficiencia de los nodos de cómputo.

Según las cifras comunicadas para esta versión, una única appliance TrueNAS puede superar 75 GB/s de lectura en escenarios adecuados, un punto de interés para IA, VDI o bases de datos de alto rendimiento en los que cada ms cuenta.

OpenZFS 2.3.4: más velocidad y eficiencia de espacio en TrueNAS 25.10

TrueNAS 25.10 incorpora OpenZFS 2.3.4, con un conjunto de optimizaciones que pulen el comportamiento bajo carga. Se han afinado los algoritmos de asignación para colocar los datos de forma más eficiente y acelerar escrituras manteniendo una respuesta más consistente.

También mejora la eficiencia de espacio: la clonación de bloques se aplica ahora en más operaciones de copia y el resumen del ARC muestra el tamaño efectivo no comprimido de los datos en caché, ofreciendo una imagen más clara del ahorro real y del comportamiento del sistema.

Además de estas optimizaciones, se reportan avances en scrubbing y corrección de errores, un aspecto clave para despliegues de gran escala donde la integridad manda.

Virtualización, seguridad y GPU

El subsistema de VMs recibe una puesta a punto con varios frentes. Secure Boot llega para reforzar el arranque confiable y se ajustan los comportamientos de inicio para evitar conflictos entre interfaces de contenedores y máquinas virtuales.

En entornos Enterprise, la alta disponibilidad permite el failover de VMs entre nodos para minimizar paradas en servicios críticos. También se incluye compatibilidad con los módulos de kernel abiertos de NVIDIA, abarcando GPUs de generación reciente como Blackwell.

Como complemento, se añaden funciones de importación y exportación de discos de VM y correcciones específicas para NVMe‑oF en estos escenarios, reforzando la robustez del conjunto.

Red y escalabilidad: 400GbE y más capacidad

En conectividad, TrueNAS 25.10 amplía el soporte a adaptadores de muy alta velocidad. Se actualizan los controladores para interfaces 400GbE, orientadas a redes con cargas de IA y analítica intensiva.

También se ha mejorado la gestión de red, suavizando transiciones entre DHCP y estático para reducir incidentes en cambios de configuración. Esta atención al detalle facilita el trabajo en CPDs y pymes con equipos reducidos.

En hardware Enterprise, la plataforma escala más alto: hasta 20 PB de flash NVMe en la serie F y capacidades de archivo profundo de hasta 40 PB en la serie M, junto a opciones de red de muy alto ancho de banda para no crear cuellos de botella.

API, interfaz y actualizaciones más rápidas

La interacción con el sistema gana velocidad con la nueva API versionada basada en JSON‑RPC 2.0 sobre WebSocket, que sustituye al enfoque REST en tareas intensivas y agiliza la WebUI y las integraciones de terceros.

La página de actualización del sistema se renueva con perfiles de Update para elegir el equilibrio deseado: Early Adopter para probar antes, General para estabilidad o Mission Critical cuando la prioridad es 24×7.

La instalación vía navegador web es otro paso para simplificar despliegues, y la documentación recomienda usar el actualizador de la interfaz y evitar instalaciones manuales de Docker que puedan interferir con el ecosistema de aplicaciones de TrueNAS.

Ediciones, disponibilidad y contexto en Europa

La edición Community se puede descargar desde el portal oficial, mientras que las funciones NVMe/RDMA y la HA de VMs están orientadas a Enterprise. El nombre en clave del lanzamiento es Goldeye, y llega tras un ciclo de pruebas que incorporó feedback de la comunidad.

En el mercado europeo, la combinación de NVMe‑oF, 400GbE y OpenZFS 2.3.4 encaja con proyectos de IA generativa, escritorios virtuales y lagos de datos, habituales en sectores como finanzas, salud o industria. Para España, puede ser especialmente útil en consolidación de cabinas y aceleración de ETLs y analítica.

Para quienes apuesten por soluciones llave en mano, las appliances Enterprise F‑Series all‑NVMe anunciadas por iXsystems complementan el software, buscando un balance entre densidad, rendimiento y gestión.

Como orientación operativa, conviene validar compatibilidad de NICs 100/200/400GbE, planificar rutas de migración a NVMe‑oF y revisar las necesidades de GPU si se van a ejecutar cargas aceleradas dentro de VMs o contenedores.

Todo este conjunto no busca solo sumar velocidad; apunta a un almacenamiento más predecible, observable y sencillo de mantener, con APIs modernas, perfiles de actualización y telemetría de caché más útil para decisiones diarias.

Hace aproximadamente una semana desde que Microsoft le dio al botón y abandono Windows 10. Por el mismo tiempo llegó una nueva versión de Zorin OS, una de las distribuciones más populares para los que quieren dar el salto desde un sistema de Microsoft. Y ya no lo digo yo; el mismo proyecto ha publicado este 21 de octubre que en una semana han sido 300.000 los usuarios que han descargado Zorin OS 18, y la mayoría lo hacen desde Windows.

Así que a nosotros nos ha parecido buena idea publicar un artículo para ayudar en el proceso de descarga e instalación de Zorin OS en cualquier equipo compatible. Si te has decidido a venir a Windows, te damos la bienvenida. Si no sabes por dónde empezar, no te preocupes, que a continuación vamos a detallar todo lo necesario para que puedas hacer el cambio.

Descargar Zorin OS

Zorin OS está disponible en tres versiones:

• La Pro, que es de pago, con un precio de 47.99€.
• La versión para la educación.
• La Core, que es la, digamos, normal.

Podremos descargar la versión Core desde su página de descargas, bajando un poco.

Al hacer clic en «Download» aparecerá una ventana emergente que nos invita a suscribirnos a su boletín de noticias. Yo recomiendo hacer clic en «Skip to download», lo que empezará a descargar la ISO de Zorin OS.

El tiempo de descarga puede variar. Si tarda mucho, se pueden elegir diferentes servidores.

Crear medio de instalación

Ahora que tenemos la ISO de Zorin OS en nuestro equipo, llega el momento de crear el medio de instalación. Hay muchas maneras de hacerlo, pero yo recomiendo usar Etcher:

1. Vamos a su página web oficial. En caso de no estar en Windows, Etcher está en repositorios como AUR, como AppImage y también como paquetes DEB y RPM. Pero suponemos que si estáis aquí es porque queréis migrar desde Windows. Las capturas son de Linux, pero la versión de Windows es igual.
2. Se descarga el instalador y se instala el programa.
3. A continuación, se inicia el programa. Si pide permisos de administrador, se le concede.
4. La interfaz de Etcher es muy sencilla:
   1. En el primer paso, se elige la ISO que queremos instalar haciendo clic en «Flash from file» y buscando la ISO de Zorin OS.

1. 2. En el segundo, la unidad en donde queremos crear el medio de instalación. Es más que suficiente uno de 8GB. Si es muy grande, nos preguntará para no borrar nada importante.

1. 3. Por último, le damos a «Flash», si pide permisos de administrador — o contraseña en Linux — aceptamos y esperamos. Al final tiene un paso en el que verifica que todo haya salido bien, y yo, que ya he usado esto muchas veces, suelo darle a omitir, pero no lo recomiendo.

Otra opción es hacerlo con Rufus, pero tiene más opciones y puede ser complicado. Lo que sí recomiendo es probar Rufus si Etcher da fallo de alguna manera. Rufus permite crear medios instalación para BIOS, UEFI o una opción que, en teoría, funciona en ambos casos.

Instalación del sistema operativo

Para poder instalar el sistema operativo hay que apagar el equipo o reiniciarlo e iniciar desde el medio de instalación que acabamos de crear. Es virtualmente imposible que podamos abarcar todas las opciones de todos los ordenadores que existen, pero hay que conseguir que inicie desde el USB. ¿Cómo? Depende del equipo. En mi portátil, yo puedo entrar a la BIOS (que aunque mi equipo es UEFI se sigue llamando BIOS a ese apartado) con F2 y cambiar el orden de inicio para que arranque primero desde el USB. También puedo pulsar F12 para seleccionar unidad de arranque, que es otra opción que tiene.

En otros casos será diferente. Puede que entrar a la BIOS sea con la tecla Supr, puede ser otro Fx y puede que haya opción de seleccionar arranque con otro Fx, como F7 en mi mini PC. Tenéis que averiguar cómo e iniciar desde el USB.

Proceso de instalación de Zorin OS

1. Una vez iniciado desde el USB, lo primero que veremos será una opción para probar o instalar el sistema. Podemos pulsar Intro o esperar a que entre automáticamente.

2. Lo primero que aparecerá a continuación será una opción para probar el sistema o instalarlo directamente. Yo he elegido «Probar» por la sencilla razón de que las capturas quedan mejor si se entra al sistema. Todo lo que veréis a continuación es la interfaz con el sistema abierto de fondo, pero da lo mismo si se elije la opción «Instalar» directamente
3. Ya en el instalador, el primer paso nos pedirá elegir idioma. En nuestro caso, elegimos «Español» y luego hacemos clic en «Continuar».

4. En el siguiente paso tenemos que elegir la disposición del teclado. A la izquierda se elige el idioma, y a la derecha al variante. Con la disposición de teclado elegida, se hace clic en «Continuar».

5. A continuación indicaremos si queremos descargar las actualizaciones mientras se instala Zorin OS o no, si queremos que se instale software de terceros o no y si queremos participar en el censo. Yo recomiendo marcar las dos primeras. Luego, «Continuar».

6. El siguiente paso es de los más importantes, pero también de los más confusos. Si lo que se busca es reemplazar Windows 10 con Zorin OS, se elige «Borrar el disco» y luego «Instalar ahora». Si ya había un sistema en el disco duro, el instalador lo detectará y nos permitirá instalar Zorin OS junto al sistema que ya había. Esto se conoce como Dualboot o inicio dual, y es posible mantener Windows junto a Zorin OS. De elegir esa opción, en una ventana se elegirá cuánto tamaño se le da a cada sistema operativo. La opción «Más opciones» es para crear particiones, eliminarlas y también para otras cosas que no vamos a explicar aquí.

7. Al «Instalar ahora» anterior le sigue una confirmación. En la ventana resumen de lo que va a hacer podemos «Volver» para hacer alguna modificación o «Continuar» y empezar la instalación.

Pasos finales

8. La instalación ya ha comenzado, pero faltan algunos ajustes más. El siguiente es elegir la zona horaria y luego «Continuar».

9. Ya casi hemos terminado nuestro trabajo. Lo último que tenemos que hacer es crear el usuario.
   • Nombre: ponemos nuestro nombre completo. Yo suelo ponerlo, pero para tutoriales elijo poner mi nick.
   • Nombre del equipo: cómo queremos que se llame el equipo.
   • Nombre de usuario: este es el nombre que aparecerá en el terminal, grupos y demás.
   • Contraseña: una contraseña de inicio de sesión y para el terminal. Hay que ponerla dos veces.
   • Se puede elegir que inicie directo, lo que no se recomienda en muchos escenarios, o que pida la contraseña.
   • También se puede cifrar el disco para mayor seguridad, algo que no he hecho nunca en mi vida. Pero poderse, se puede.

10. Tras darle a «Continuar» en la ventana anterior, esperamos. Veremos diapositivas y diferentes consejos.
11. Cuando finalice, aparecerá una ventana emergente más pequeña diciendo que podemos reiniciar o seguir probando. Para finalizar la instalación, le damos a «Reiniciar»

12. Por último, veremos una ventana con el logotipo que nos dirá que quitemos el medio de instalación y pulsemos Enter. Lo hacemos y cuando reinicie ya estaremos en Zorin OS.

Y eso sería todo. Ahora toca disfrutar de la buena vida.

Hace tiempo, cuando probé DDE, algo que he hecho en Manjaro y en Ubuntu, vi cosas que me gustaron. Entre ellas estaba que el menú de aplicaciones estaba disponible en diferentes opciones, y había no recuerdo si una o dos que las presentaba a pantalla completa. Yo soy un fiel y feliz usuario de KDE, pero cuando se ven estas cosas uno no puede evitar sentir un poco de celos. Lo curioso es que KDE ofrece desde hace años una opción similar llamada Tablero de Aplicaciones.

Si he de ser honesto, yo sí conocía esta opción, pero la había olvidado por completo. Le eché un vistazo cuando me pasé a Kubuntu, pero no la volví a probar. Ha sido hoy cuando, tras leer un artículo en el Blog de KDE, le he vuelto a dar una oportunidad, por curiosidad. Está disponible desde Plasma 5.4 y es compatible con Plasma 6.x.

Cómo activar el Tablero de Aplicaciones de KDE

Para activar lo que se ve en la captura de cabecera, basta con hacer clic derecho sobre el icono del menú de aplicaciones, elegir «Mostrar alternativas» y luego «Tablero de aplicaciones». Si no funciona haciendo clic sobre la opción, siempre se puede marcar con las teclas de navegación y luego darle a Intro.

Sobre lo que ofrece, una imagen vale más que mil palabras, y más cuando no hay nada oculto: a la izquierda están las aplicaciones que fijemos como favoritas, a la derecha las secciones y en el centro las aplicaciones. En la parte izquierda también encontramos botones para controlar la sesión, así como para reiniciar el sistema o apagarlo.

Arriba en el centro, como en GNOME, se puede introducir texto para buscar aplicaciones, pero también archivos y es posible lanzar comandos. Resumiendo mucho es el menú por defecto, pero presentado a pantalla completa. En la actualidad se muestra con transparencia, pero en el futuro Plasma 6.6 es posible que se muestre con un color sólido.

Como siempre digo, las opciones siempre son buenas, sobre todo si no merman el rendimiento. Yo no sé si usaré el Tablero de Aplicaciones de ahora en adelante, pero me alegra re-descubrir que lo tengo disponible.

Más allá de la etiqueta de versión, OpenSSH 10.1 consolida el rumbo iniciado con la serie 10: migración hacia criptografía post‑cuántica, modernización de QoS con DSCP, y endurecimiento de áreas históricamente sensibles (agentes, claves, registros y parsing de parámetros). A continuación encontrarás un repaso minucioso de todas las novedades (con contexto donde aporta valor), además de pautas prácticas para adoptarlas sin sorpresas.

Lo que sigue es la lista con las novedades de esta versión, disponibles también en las notas oficiales.

Novedades destacadas y contexto de la versión

La publicación oficial de OpenSSH 10.1 (2025‑10‑06) subraya tres ejes: seguridad preventiva frente a criptografía cuántica, redes con DSCP y saneamiento de entradas. Conecta además cambios puntuales de gran impacto operativo: desde rutas de sockets del agente hasta nuevas señales de diagnóstico.

Un recordatorio clave del proyecto: una futura versión ignorará los registros SSHFP basados en SHA‑1, mientras que ssh-keygen -r ya genera huellas SSHFP solo con SHA‑256 por defecto, cerrando la puerta a hash débiles de cara a DNSSEC y verificación de host keys.

Aviso por criptografía no post‑cuántica y nueva opción WarnWeakCrypto

OpenSSH 10.1 introduce un aviso cuando la conexión negocia un intercambio de claves que no es resistente a ataques post‑cuánticos. El objetivo es poner foco en el riesgo de ‘store now, decrypt later’ (almacenar ahora, descifrar después) y acelerar la transición en entornos sensibles.

Este comportamiento se controla con WarnWeakCrypto (en ssh_config), que viene activado por defecto. Si estás en una migración gradual o mantienes hosts legacy, puedes desactivar el aviso de forma selectiva con bloques Match. Por ejemplo:

Match host unsafe.example.com
WarnWeakCrypto no

Criptografía y estado del arte: PQC, híbridos y SSHFP

En 10.0, el cliente pasó a usar por defecto mlkem768x25519‑sha256, un algoritmo híbrido post‑cuántico que combina ML‑KEM (KEM NIST FIPS 203) con X25519. Esta estrategia híbrida garantiza que, incluso si surgiera un avance criptoanalítico en la parte PQ, no estarías peor que con ECDH clásico porque el canal conserva la fuerza de X25519.

Con 10.1, además del aviso explicado antes, se refuerza la transición: OpenSSH seguirá ignorando en el futuro SSHFP con SHA‑1; la herramienta ssh-keygen ya emite SSHFP con SHA‑256 exclusivamente. En términos operativos, la acción recomendada es regenerar y publicar huellas SSHFP en SHA‑256 para tus hosts.

Preguntas habituales: ¿por qué insistir ahora si los ordenadores cuánticos aún no pueden romper SSH? Porque los atacantes pueden capturar hoy y descifrar mañana. Usar KEX post‑cuántico ya mitiga ese vector. Y si te inquieta la juventud de los algoritmos PQ, recuerda que la modalidad híbrida mantiene el nivel de seguridad clásico como base.

Modernización de red: DSCP/IPQoS y priorización de tráfico

Esta versión consolida una revisión profunda de QoS. En cliente y servidor, el tráfico interactivo adopta por defecto la clase EF (Expedited Forwarding), lo que ayuda a reducir latencias en Wi‑Fi y medios congestionados. El tráfico no interactivo pasa a usar la marca DSCP por defecto del sistema, sin elevar prioridad.

En la práctica, tanto ssh(1) como sshd(8) cambian dinámicamente la marca empleada según el tipo de canales presentes: si una misma conexión combina un shell y un sftp, la fase de transferencia no interactiva usará el valor no interactivo durante la operación y volverá a EF cuando corresponda. Esto se controla mediante la clave IPQoS en ssh_config y sshd_config.

Además, se retira el soporte de los antiguos ToS de IPv4 en la opción IPQoS (lowdelay, throughput, reliability dejan de tener efecto). Si aún los usabas, migra a nomenclatura DSCP (p. ej., ef, cs0, af11, etc.).

Endurecimiento de entradas: usuarios, URIs y expansiones

En el apartado de seguridad, 10.1 corrige un caso sutil donde, si construías líneas de comando con datos externos y a la vez usabas ProxyCommand con expansiones tipo %r/%u, un atacante podía colar expresiones de shell. Para mitigarlo, ssh(1) ahora prohíbe caracteres de control en usuarios pasados por CLI o expandidos, y también bloquea el carácter nulo en URIs ssh://.

Nota de compatibilidad: se ha relajado un punto de validación para no romper casos legítimos. Los nombres de usuario literales definidos en archivos de configuración (sin expansiones %) quedan exentos, sobre la base de que el config local se considera de confianza.

Señales e información en vivo: SIGINFO y visibilidad

Otro avance práctico para depuración: ssh(1) y sshd(8) ganan manejadores SIGINFO que registran el estado de canales y sesiones activas. En producción, esto facilita diagnósticos de flujos, multiplexación, reenvíos y X11 sin necesidad de adjuntar un depurador o elevar verbosidad de forma invasiva.

En la misma línea de transparencia, cuando una autenticación con certificado falla, sshd ahora registra información suficiente para identificar el certificado (además de por qué se ha denegado). Si trabajas con PKI y certificados de usuario/host, esta mejora acorta muchísimo los tiempos de resolución.

ssh‑agent y claves: sockets, limpieza y PKCS#11

Para evitar accesos cruzados en entornos con montaje restringido de /tmp, los sockets del agente (y los reenviados por sshd) se mueven de /tmp a ~/.ssh/agent. Así, un proceso con permisos limitados sobre /tmp ya no hereda por accidente la posibilidad de firmar con tus claves del agente.

Este cambio tiene otra derivada: antes el SO podía limpiar sockets obsoletos, ahora ssh‑agent incorpora su propia limpieza de sockets antiguos. Además, el agente suma nuevas banderas: -U y -u para controlar limpieza al arrancar, -uu para ignorar hostname en limpieza, y -T para forzar la ubicación histórica en /tmp si de verdad la necesitas.

En el plano de claves, el cliente y el agente ya soportan ed25519 alojadas en tokens PKCS#11. Si dependes de HSM o llaves criptográficas, ganarás flexibilidad sin ceder fortaleza.

ssh‑add y certificados: caducidad auto‑limpiable

Cuando añades certificados al agente, ahora se fija su expiración con una gracia de 5 minutos. La idea es simple: permitir finalizar transacciones en cola y, acto seguido, eliminar el certificado del agente de forma automática. Si tu flujo exige control total, ssh‑add -N desactiva este comportamiento.

RefuseConnection: cortes controlados desde el lado cliente

Hay escenarios donde te interesa abortar una conexión desde el propio cliente con un mensaje claro (por ejemplo, redirecciones operativas o avisos de deprecación). OpenSSH 10.1 añade RefuseConnection a ssh_config: si se encuentra mientras se procesa una sección activa, el cliente termina con error y muestra el texto que hayas definido.

Calidad del código y seguridad viva

El equipo continúa con el saneamiento del código base. En 10.1 se listan fugas de memoria atajadas, mejoras de atomía al escribir known_hosts a alta concurrencia y varias condiciones de carrera resueltas en procesos como MaxStartups o sesiones X11.

Un apunte de limpieza cripto: se elimina el soporte para XMSS (experimental y nunca por defecto). Preparando el terreno para esquemas de firma post‑cuánticos más maduros que llegarán en futuras versiones.

Portabilidad y ecosistema: PAM, FreeBSD, macOS, Android…

Los cambios de portabilidad tocan muchos frentes: comprobaciones extra en entornos PAM (como asegurar que el usuario no cambia durante el proceso), mejoras de integración con FreeBSD (tun forwarding y compatibilidad), macOS (detección robusta de funciones y headers) y Android (struct passwd con campos no nulos).

También se añaden cabeceras de compatibilidad para plataformas sin ciertas bibliotecas estándar, reduciendo el número de #ifdef dispersos. Por último, se afinan políticas de sandbox seccomp en Linux para cubrir syscalls como futex_time64 en 32‑bit, y se suma soporte a AWS‑LC como alternativa a OpenSSL/LibreSSL.

QoS en acción: ejemplos prácticos y migración de IPQoS

Si usabas los antiguos alias ToS (lowdelay, throughput…), ahora serán ignorados y verás un mensaje de depuración sugiriendo DSCP. La migración típica sería pasar de IPQoS lowdelay a IPQoS ef para sesiones interactivas; si además haces SFTP pesado, podrías definir perfiles por Match en ssh_config/sshd_config para separar tráfico.

Recuerda que el motor selecciona y actualiza automáticamente la marca en tiempo real según los canales abiertos, de modo que la mayor parte del trabajo ya lo hace OpenSSH por ti.

Instalación de OpenSSH 10.1 en Linux (fuente)

Mientras las distribuciones integran la versión, puedes compilar desde la fuente oficial. Descarga el tarball desde los mirrors del proyecto, descomprime y compila:

tar -xvf openssh-10.1.tar.gz

Entra al directorio y configura prefijos y rutas de configuración si lo necesitas. Por ejemplo:

cd openssh-10.1
./configure --prefix=/opt --sysconfdir=/etc/ssh

Compila e instala como de costumbre (según permisos, quizá con superusuario):

make

make install

Habilitar OpenSSH en Windows con PowerShell

En entornos Windows modernos (Server 2019/Windows 10 1809+), puedes instalar el cliente y servidor OpenSSH como características del sistema. Comprueba capacidades y estado:

Get-WindowsCapability -Online | Where-Object Name -like 'OpenSSH*'

Instala los componentes según necesites:

Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

Arranca y habilita el servicio del servidor SSH, y verifica la regla de firewall de entrada:

Start-Service sshd
Set-Service -Name sshd -StartupType 'Automatic'
Get-NetFirewallRule -Name 'OpenSSH-Server-In-TCP' -ErrorAction SilentlyContinue

Para conectarte desde otro host Windows o Linux, usa el cliente estándar: ssh dominio\usuario@servidor. En el primer acceso, acepta la huella del host y autentícate con tu password o clave.

Guía operativa: diagnósticos y buenas prácticas

Para entornos con certificados de usuario/host, aprovecha el logging mejorado de denegaciones en sshd para depurar CA y extensiones. Si una sesión se atasca o sospechas de multiplexación, lanza SIGINFO al proceso para listar canales activos sin subir el nivel global de logs.

Si dependes de agentes, revisa dónde viven los sockets ahora (~/.ssh/agent) y activa limpieza automática en tu modelo de despliegue. En estaciones compartidas o NFS, considera la bandera del agente para establecer hash de hostname en la ruta cuando haga falta.

Errores corregidos más relevantes

En 10.1 se solucionan regresiones menores en X11 cuando se combinaba con mitigaciones de pulsaciones (ObscureKeystrokeTiming), un caso de mala contabilidad de MaxStartups que podía anegar slots, y la escritura de known_hosts ahora se hace en operaciones atómicas para evitar líneas intercaladas con alta concurrencia.

Otros fixes mejoran diagnósticos al cargar claves, el tratamiento de límites de tamaño de config (de 256KB a 4MB), la salida de auditoría y corner cases exóticos en reenvíos locales y secuencias de control. Además, se ponen al día mensajes y salidas de ssh -G y sshd -T.

Checklist de migración recomendada

Esta lista rápida recoge las tareas que el propio proyecto sugiere y lo que se desprende de los cambios:

• Cripto: verifica que tu KexAlgorithms permite híbridos PQ y genera nuevas SSHFP en SHA‑256 con ssh-keygen -r.
• QoS: revisa IPQoS en cliente/servidor; migra ToS legacy a DSCP; aprovecha EF para sesiones interactivas.
• Agentes: adapta scripts y variables a sockets bajo ~/.ssh/agent; valora limpieza automática del propio agente.
• Configs grandes: si generas configs masivas, el límite sube a 4MB; aplícalo con cabeza y controla la validación.
• Parsers: evita construir líneas de comando desde inputs no confiables; usa config locales con literales cuando tengas casos extraños en usernames.

Quien administre flotas mixtas agradecerá que 10.1 apriete la seguridad donde duele menos (parsers, agentes, advertencias) y a la vez mejore la experiencia diaria (QoS dinámica, SIGINFO, logging de certificados). Si ya estabas en 10.0, la transición es sencilla; si vienes de 9.x, reserva tiempo para ajustar DSCP, regenerar SSHFP en SHA‑256 y activar KEX híbridos para blindarte frente a la amenaza cuántica sin sacrificar rendimiento.