El mito de la informática segura

Durante dos semanas en el verano de 2001, un pequeño programa de ordenador conocido como el gusano Code Red se hurgó en un agujero de seguridad en el software de los servidores de Microsoft e infectó cientos de miles de ordenadores en todo el mundo. En cuanto a los virus informáticos, Code Red era bastante benigno (desfiguraba sitios web, pero no corrompía ni destruía directamente los archivos), pero aun así causó un gran daño. Muchas empresas perdieron el uso de sus redes; algunas tuvieron que desconectar sus sitios web. La factura total de limpiar el desastre se estima en la enorme cantidad de 2.600 millones de dólares.

Si es como la mayoría de los altos ejecutivos, probablemente solo tenga un vago recuerdo del gusano Code Red o de alguno de los otros virus o ataques de hackers que han asolado las redes corporativas en los últimos años. De hecho, probablemente no preste mucha atención a la seguridad digital en general. Sabe que es un problema, uno potencialmente enorme, pero evita involucrarse directamente en su solución. Por un lado, la seguridad digital es extraordinariamente complicada y requiere todo tipo de conocimientos técnicos especializados. ¿Qué ejecutivo ocupado tiene tiempo de aprender los entresijos de los ataques de «desbordamiento de búfer», por ejemplo? Por otro lado, la mayoría de las brechas de seguridad en realidad se originan en personas con información privilegiada, con empleados negligentes o vengativos. La prevención requiere muchos regaños, algo que a la mayoría de los ejecutivos no les gusta hacer. Por último, la seguridad digital es invisible; sabe que solo lo ha conseguido cuando no pasa nada. Así que hay pocos payoff personales por un trabajo bien hecho. Es poco probable que los inversores y los directores le den una palmada en la espalda y le digan: «¡Me alegro por usted! No ha habido infracciones de seguridad graves en los últimos tres años». En todo caso, fruncirán el ceño y dirán: «¿Volver a desperdiciar dinero, como lo hizo en el año 2000? ¿Por qué no deja que ese dinero caiga al fondo?»

Por lo tanto, no sorprende que los altos directivos transfieran rutinariamente la responsabilidad de la seguridad digital a sus técnicos o a los consultores contratados para «hacer que la organización sea impermeable». Pero un enfoque en condiciones de igualdad es extremadamente imprudente dado lo mucho que está en juego. Según estimaciones del sector, las brechas de seguridad afectan al 90% de las empresas cada año y cuestan unos 17 000 millones de dólares. Las medidas de protección son caras; la empresa media puede gastar fácilmente entre el 5 y el 10% de su presupuesto de TI en seguridad. Y lo que es más importante, las brechas de seguridad pueden tener implicaciones empresariales de gran alcance. Pueden generar disrupción en las operaciones, alejar a los clientes y empañar la reputación. Los directores de empresa, no solo los directores técnicos, son los que tendrán que hacer frente a las consecuencias de una violación de la seguridad, por lo que son ellos los que deben encabezar las medidas preventivas y con rapidez. El hecho aleccionador es que las amenazas a la seguridad —ya sean por parte de empleados descontentos o de ciberterroristas— están aumentando en número.

La buena noticia es que los directores generales no tienen que conocer los aspectos más arcanos de los sistemas de TI de su empresa para establecer medidas preventivas cruciales. A diferencia de los directores de TI, que pueden participar directamente en los juegos del gato y el ratón que se juega con los posibles intrusos, los directores de empresa deberían centrarse en la conocida tarea de gestionar el riesgo. Su función debería consistir en evaluar el valor empresarial de sus activos de información, determinar la probabilidad de que se vean comprometidos y, a continuación, adaptar un conjunto de procesos de reducción del riesgo a las vulnerabilidades concretas. Ese enfoque, que considera la seguridad informática como un desafío operativo más que técnico, es similar a un programa de control de calidad clásico, ya que intenta evitar los problemas en lugar de solucionarlos e implica a todos los empleados, no solo al personal de TI. El objetivo no es hacer que los sistemas informáticos sean completamente seguros (eso es imposible), sino reducir el riesgo empresarial a un nivel aceptable.

Las amenazas

Las amenazas a la seguridad digital vienen en muchas formas y tamaños, pero básicamente se dividen en tres categorías.

Ataques a la red se libran a través de Internet. Pueden reducir el rendimiento de la red, degradar el correo electrónico y otros servicios en línea y provocar millones de dólares en daños, todo ello sin infringir el funcionamiento interno de un sistema de TI. Los ataques de denegación de servicio (DoS), por ejemplo, deshabilitan los ordenadores al inundarlos con una abrumadora cantidad de mensajes. A medida que los ordenadores intentan responder a cada uno de los miles de mensajes, sus recursos se consumen y, a menudo, se bloquean. En febrero de 2000, los ataques de DoS contra objetivos tan destacados como Yahoo, eBay, CNN y el FBI causaron daños estimados en más de 100 millones de dólares.

En febrero de 2000, los ataques de DoS contra objetivos tan destacados como Yahoo, eBay, CNN y el FBI causaron daños estimados en más de 100 millones de dólares.

Los ataques de DoS son fáciles de organizar y difíciles de defender. La persona promedio puede descargar un programa de ataque de Internet en menos de diez minutos. Y los ataques aún más sofisticados, como un ataque de denegación de servicio distribuido (DDoS), que secuestra ordenadores y los utiliza para lanzar nuevos ataques de DoS, pueden iniciarlos personas con conocimientos técnicos modestos. Afortunadamente, las nuevas herramientas de software empresarial pueden frustrar la mayoría de los ataques a la red y, aunque sus sistemas se estropeen, el daño rara vez es permanente.

Intrusiones se diferencian de los ataques a la red porque, de hecho, penetran en los sistemas de TI internos de la organización. ¿Cómo lo hacen los intrusos? Es más fácil de lo que piensa. Los nombres de usuario son generalmente predecibles: el nombre de usuario de John Smith suele ser jsmith, por ejemplo. En cuanto a las contraseñas, la gente utiliza con frecuencia los cumpleaños, los nombres de los niños o incluso la «contraseña». Y por increíble que parezca, muchos graban sus contraseñas en sus monitores para no olvidarlas. (Vale la pena señalar que la mayoría de las intrusiones las cometen personas con información privilegiada). Incluso las personas que crean contraseñas difíciles de adivinar suelen dárselas a una persona que suena oficial y que se hace pasar por un ingeniero de redes de la empresa. A veces, los intrusos ni siquiera necesitan robar las contraseñas; pueden entrar por errores en el código del software.

Una vez dentro de una red, los intrusos disfrutan de los mismos derechos de acceso y control sobre los sistemas y los recursos que los usuarios legítimos. Pueden robar información, borrar o alterar datos, desfigurar sitios web o hacerse pasar por representantes de la empresa. En un caso, un intruso publicó un comunicado de prensa sobre un déficit de beneficios, lo que provocó la caída del precio de las acciones de la empresa. Y los intrusos pueden utilizar lo que se denomina software de rastreo para escuchar a escondidas las conversaciones de la red y adquirir más contraseñas. Como el tráfico fluye entre las empresas, un rastreador también puede encontrar contraseñas en otras redes.

Uno de los problemas más difíciles que se derivan de la intrusión es averiguar qué se hizo exactamente. Los hackers se esfuerzan por cubrir sus huellas. Pueden hacer cambios sutiles en un sistema, abrir «puertas» oscuras que permitan a otros hackers acceder de forma secreta en el futuro o alterar ligeramente los datos de formas difíciles de detectar. También pueden depositar bombas de relojería, fragmentos de código aparentemente inocuos que están programados para explotar en el futuro. Y muchos intrusos dejan programas (con nombres como «Diablo» y «Ejecutor») que les permiten utilizar los ordenadores de la empresa para lanzar otros ataques.

Si bien puede resultar caro para las empresas descubrir qué cambios, si los hay, se han realizado, es absolutamente crucial. Se impone una penalización muy alta de relaciones públicas por no saber algo importante sobre sus sistemas informáticos o, lo que es peor, por dar falsas garantías sobre la seguridad de sus sistemas.

El último tipo de amenaza, código malicioso , se compone de virus y gusanos. Aunque los expertos no están de acuerdo en cuanto a las definiciones precisas, una buena regla general es que los virus necesitan ayuda para replicarse y propagarse (dependen de usuarios ingenuos para abrir un archivo adjunto de correo electrónico, por ejemplo), mientras que los gusanos lo hacen automáticamente. Ambos tipos de códigos maliciosos se mueven mucho más rápido que los hackers humanos. Es más, sus objetivos pueden ser aleatorios, lo que hace imposible predecir dónde atacarán después. El SQL Slammer, que se produjo en enero de 2003, atacó indiscriminadamente y derribó el servicio telefónico finlandés, así como más de 13 000 cajeros automáticos de Bank of America. Y dado que los gusanos y los virus se utilizan a menudo para lanzar otros ataques, su potencial de destrucción es enorme. El gusano Code Red, por ejemplo, no solo invadió los sistemas vulnerables, sino que también depositó un programa para lanzar ataques de DoS contra otros ordenadores.

Está claro que los ataques digitales, especialmente cuando se utilizan en combinación, pueden hacer que una empresa se ponga de rodillas. Tenga en cuenta el daño causado por un empleado del banco descontento. Durante un fin de semana festivo, lanzó un ataque de denegación de servicio contra una red interna que conectaba importantes sistemas bancarios con los bancos de datos de la empresa. Sabiendo que el personal de TI tendría las manos ocupadas restaurando la comunicación entre los sistemas y los dispositivos de almacenamiento, trasladó la batalla a un segundo frente. Sabía qué software de servidor web utilizaba la empresa y sabía (o sospechaba) que sus parches de seguridad no estaban actualizados. Investigó las vulnerabilidades del software y, a continuación, descargó programas creados por la comunidad de hackers para aprovechar esos defectos. Modificó el sitio web del banco para desviar las visitas a un sitio pornográfico.

Tras crear otro desvío, el atacante empezó a causar daños más graves. Sabía qué bases de datos bancarias contenían información de los clientes y sospechaba que las aplicaciones de las bases de datos no estaban «reforzadas», es decir, ajustadas para que solo quedaran en funcionamiento los servicios necesarios. El atacante utilizó un servicio que se ejecutaba innecesariamente para dañar las bases de datos y destruir los datos de los clientes.

El martes por la mañana, el banco estaba sumido en el caos. Como no se podía confiar en la integridad de sus sistemas, el banco quedó reducido a una operación de lápiz y papel. Aunque se recuperó de la mayoría de las interrupciones técnicas en cuatro días hábiles, seis meses después siguió trabajando para recuperar la confianza de los clientes.

El enfoque operativo

Las empresas necesitan técnicos inteligentes que estén al tanto de las amenazas y defensas digitales emergentes, por supuesto, pero los técnicos no deberían tomar las decisiones. Los directores generales deben tomar la iniciativa en la creación de procesos que reduzcan la probabilidad de que un ataque tenga éxito y mitiguen los daños. La mayoría de las organizaciones ya cuentan con al menos algunos de estos procesos, pero rara vez los desarrollan y gestionan de una manera coherente y coherente. Aquí hay ocho en los que su empresa debería estar trabajando.

Identifique los activos digitales de su empresa y decida cuánta protección se merece cada uno.

No contrata guardias armados para impedir el uso ocasional de fotocopiadoras con fines no comerciales, ni guarda el dinero de su empresa en un archivador. Usted protege cada recurso corporativo en proporción a su valor. El mismo principio se aplica a la seguridad digital.

Para empezar, primero tiene que averiguar cuáles son sus activos digitales (no siempre son obvios). Un equipo de altos directivos de toda la empresa debería hacer un inventario de los datos y sistemas, evaluar el valor de cada uno para la empresa y decidir cuánto riesgo puede absorber la empresa por cada activo. Eso le dirá el nivel de protección que garantiza cada uno. Un banco, por ejemplo, podría asignar la mayor protección a la base de datos que almacena la información financiera de sus clientes. Para una empresa farmacéutica, podrían ser los servidores de investigación los que contienen datos sobre compuestos farmacológicos prometedores. Los servidores web internos que contienen información general sobre los programas de prestaciones probablemente garanticen una menor protección.

El siguiente paso es revisar las personas, los procesos y las tecnologías que respaldan esos activos, incluidos los proveedores y socios externos. Cuando termine con eso, tendrá un plan que identifica con precisión cuáles son sus activos digitales, cuánta protección se merece cada uno y quién es responsable de protegerlos.

Defina el uso adecuado de los recursos de TI.

Todas las empresas tienen políticas que explican el uso adecuado de los recursos. Por ejemplo, los empleados saben qué tipo de cosas se pueden cargar a las cuentas de gastos. Pero el uso de los sistemas informáticos de la empresa a menudo no está claro. Los gerentes deben preguntarse: «¿Quién debería tener acceso remoto a la red corporativa? ¿Qué medidas de seguridad deben existir antes de que los empleados puedan conectarse a la red corporativa desde una ubicación remota?» No son preguntas técnicas; son preguntas sobre personas y procesos que le ayudarán a identificar los comportamientos normales en determinados trabajos y lo que los empleados deben y no deben hacer en sus sistemas (por ejemplo, compartir contraseñas).

Como incluso la mejor política de seguridad no será efectiva si los usuarios y los socios comerciales la ignoran, es importante que las empresas expliquen los motivos de las limitaciones que imponen al uso del ordenador.

Controle el acceso a sus sistemas.

No permite que cualquier persona de la calle entre y utilice las máquinas de fax de su empresa o participe en una sesión de estrategia. En un sentido relacionado, necesita una forma de impedir que algunas personas entren en sus sistemas informáticos y dejar entrar a otras. Necesita sistemas que determinen quién tiene acceso a información específica. Y necesita una forma de garantizar que las comunicaciones críticas no se escuchen por casualidad.

Ciertas tecnologías (los firewalls, los sistemas de autenticación y autorización y el cifrado) se utilizan para cumplir estos requisitos, pero solo son tan buenas como la información que las alimenta. Deberían configurarse para reflejar las decisiones que tomó al definir sus activos más importantes y decidir quién tenía acceso a ellos. Por supuesto, los gerentes no técnicos no realizarán el trabajo de configuración propiamente dicho, pero informarán al proceso con preguntas como «¿Cómo evitamos que los proveedores accedan a los datos de la nómina?»

Del mismo modo que las empresas vigilan sus equipos y suministros realizando auditorías programadas y comprobaciones aleatorias, también deberían supervisar el uso de sus sistemas de TI. Las herramientas de supervisión y detección de intrusiones registran de forma rutinaria la actividad de los ordenadores en las redes de la empresa y destacan los patrones de actividad sospechosa, los cambios en el software o los patrones de comunicación y acceso. Algunas empresas desactivan las funciones de supervisión de la actividad porque pueden reducir el rendimiento de la red, pero eso es una falta de visión excesiva; el coste de no saber lo suficiente sobre una violación de seguridad es mucho, mucho mayor.

Insista en proteger el software.

Todas las operaciones bien gestionadas indican a sus proveedores de materiales exactamente qué especificaciones deben cumplir. Del mismo modo, las empresas deberían exigir niveles de seguridad razonables a los vendedores de software. Mire la redacción de este contrato entre General Electric y la empresa de software GMI:

_Garantía de integridad del código_1

GMI garantiza y declara que el software GMI, aparte del software clave, no contiene ni contendrá ningún programa, rutina, dispositivo, código o instrucción (incluido el código o las instrucciones proporcionados por terceros) u otra función no revelada, como, entre otras, una bomba de relojería, virus, bloqueo de software, dispositivo desplegable, lógica maliciosa, gusano, troyano, error, defecto o trampilla (incluido el año 2000), que es de acceder, modificar, eliminar, dañar, deshabilitar, desactivar, interferir o dañar de otro modo el software GMI, cualquier ordenador, red, dato u otra información almacenada electrónicamente, o programa o sistema informático (en conjunto, «procedimientos de desactivación»). … Si GMI incorpora al software de GMI programas o rutinas suministrados por otros vendedores, licenciantes o contratistas (distintos del software clave), GMI obtendrá garantías comparables de dichos proveedores. … GMI se compromete a notificar a GE inmediatamente después del descubrimiento de cualquier procedimiento de desactivación que esté o pueda estar incluido en el software de GMI y, si se descubre o se sospecha razonablemente que hay procedimientos de desactivación en el software de GMI, GMI, como total responsabilidad y único recurso de GE por el incumplimiento de la garantía de esta sección 7.3, se compromete a tomar medidas inmediatas, por su cuenta, para identificar y erradicar (o equipar a GE para identificar (y erradicar) dichos procedimientos de inhabilitación y llevar a cabo cualquier recuperación necesaria para subsanar cualquier impacto de dichos deshabilitar procedimientos.

Cuando las cláusulas herméticas como estas se hagan comunes en los contratos de software, los defectos explotables pasarán a ser poco frecuentes.

Ganancias frente a seguridad

En los últimos años, los directores ejecutivos han sentido una presión extraordinaria para que sus beneficios sigan avanzando «hacia la esquina noreste». El gasto en seguridad

…

Si su empresa desarrolla software, asegúrese de que sus desarrolladores siguen prácticas seguras de codificación y pruebas. Los que no lo están pueden estar costando a su empresa grandes sumas de dinero. Un proveedor multinacional de bases de datos estima que lanzar un parche importante (una solución para un problema en el código ya desplegado) le cuesta a la empresa 1 millón de dólares y publica hasta 12 al mes. Pero el 80% de estos parches serían innecesarios si la empresa eliminara solo un tipo común de error de codificación conocido como «desbordamientos de búfer».

Proteger la pequeña y mediana empresa

Los procesos que defendemos en este artículo pueden parecer que están fuera del alcance de las pequeñas y medianas empresas, pero si se simplifican de forma inteligente, no

…

Sepa exactamente qué software se ejecuta.

Es sorprendente la cantidad de empresas que no siguen esta regla tan obvia. Hacer un seguimiento de las versiones y correcciones que se han aplicado es tan fundamental para la gestión de la seguridad digital como mantener un inventario preciso de los activos físicos lo es para la gestión de la planta.

No estamos diciendo que sea fácil: las configuraciones del software cambian todo el tiempo. Tal vez un programa no se ejecute correctamente, o un cliente importante exija un cambio, o un proveedor de software publique un nuevo parche, la lista puede ser interminable. Pero sean cuales sean los motivos, es crucial documentar todas las modificaciones. De esa forma, si sus ordenadores son hackeados, tendrá registros actualizados para determinar cuándo y dónde atacó el hacker. Y si procesa al intruso, dispondrá de análisis forense digital para establecer una cadena de pruebas.

También debe asegurarse de contar con un proceso que permita a su personal de TI realizar cambios rápidamente. Procrastinar la actualización de los parches facilita la entrada a los piratas informáticos. Los gusanos Code Red y SQL Slammer afectaron solo a las empresas que aún no habían corregido los defectos conocidos de su software. Las correcciones estaban disponibles en el proveedor durante más de un mes en el caso de Code Red y más de seis meses en el caso de SQL Slammer.

Vigilar de cerca los cambios en las configuraciones tiene una importante ventaja adicional: le permite comprometerse realmente con la mejora continua. Como sabe cualquier director de operaciones con experiencia, es imposible identificar y erradicar la causa raíz de un problema si no tiene instantáneas claras de sus operaciones a lo largo del tiempo. La disciplina operativa que implica el seguimiento de los cambios de configuración dará sus frutos a largo plazo. Como descubrieron muchas empresas con los programas de gestión de la calidad y seguridad industrial, la percepción de las compensaciones entre la seguridad y la productividad suele ser incorrecta. Los problemas de seguridad pueden impulsar simplificaciones operativas que también generen dividendos en términos de eficiencia.

Prueba y punto de referencia.

Los profesionales de la seguridad tienen la mala costumbre de empezar con una auditoría de seguridad drástica, un intento simulado de derrotar las defensas de la empresa. Pero las empresas deberían ahorrar dinero porque los resultados de una «prueba de penetración» son siempre los mismos: los malos pueden entrar. Lo que realmente necesita saber es: ¿Qué tan fácil fue? ¿Qué sistemas o programas estuvieron comprometidos o expuestos? Las respuestas a esas preguntas dependen de la calidad de sus planes operativos y de lo bien que los ejecute. Básicamente, cuando los malos entren, y usted sabe que lo harán, querrá que miren a su alrededor y se den cuenta de que no hay mucha diversión ni beneficios para que se vayan en busca de mejores perspectivas.

Confiar demasiado en las auditorías es problemático por la misma razón que confiar en las inspecciones para mejorar la calidad: descubrir el problema después de los hechos no impide que se produzca en el futuro. Sin embargo, es aconsejable contratar auditores de seguridad externos de forma periódica para comparar sus estándares y prácticas de seguridad con los más avanzados del sector, una vez que cuente con prácticas operativas sólidas. La evaluación comparativa puede identificar nuevos puntos débiles, sugerir mejoras y ayudarlo a decidir la cantidad de protección que desea comprar.

Ensaye su respuesta.

Cuando se infringe la seguridad, toda la organización entra en crisis y los directivos tienen que tomar decisiones difíciles con rapidez. Es útil contar con procedimientos que guíen el diagnóstico del problema, eviten las decisiones precipitadas y especifiquen quién debe participar en las actividades de resolución de problemas. También ayuda haber practicado; ensayar permite a los responsables de la toma de decisiones actuar con más confianza y eficacia durante los hechos reales. Si sabe, por ejemplo, la rapidez exacta con la que puede capturar imágenes de las unidades de disco, si tiene un software de respaldo listo para su implementación o cuánto tiempo se tardará en reconstruir un sistema, estará en mejores condiciones de tomar decisiones bien pensadas y deliberadas.

Analice las causas fundamentales.

Siempre que se detecte un problema de seguridad, la organización debe realizar un análisis detallado para descubrir la causa principal. Las herramientas que se necesitan no son diferentes de las que se utilizan durante años en los programas de control de calidad. Incluyen diagramas de espina de pescado, procesos de ocho pasos y ciclos de planificar, hacer, comprobar y actuar. Toyota, líder mundial en fabricación de calidad, utiliza un enfoque llamado «Los 5 porqués» para llegar al fondo de los problemas de producción y calidad. Para ponerlo en un contexto de seguridad digital, la investigación podría sonar así:

• ¿Por qué el firewall no detuvo la entrada no autorizada? Porque el atacante tenía una contraseña autorizada.

• ¿Por qué el atacante tenía una contraseña autorizada? Porque un empleado reveló su contraseña a alguien que se hacía pasar por otro empleado de la empresa.

• ¿Por qué el empleado reveló su contraseña? Porque no se dio cuenta del peligro que implicaba hacerlo.

• ¿Por qué el empleado no se dio cuenta del peligro? Porque no había visto ningún boletín de seguridad que abordara el tema.

• ¿Por qué el empleado no había visto el boletín de seguridad? Porque había un problema en el proceso de distribución.

Toyota ha descubierto que las respuestas a las preguntas finales casi siempre tienen que ver con las insuficiencias del diseño de un proceso, no con personas, máquinas o tecnologías específicas. El uso de herramientas como esta para investigar los incidentes de seguridad digital impulsa mejoras operativas continuas que, en última instancia, reducen el riesgo.

El resultado final

Las empresas no pueden darse el lujo de responder a todas las amenazas a la seguridad con la misma agresividad. Incluso si pudieran, no tendría sentido desde el punto de vista empresarial. En cambio, los directivos tienen que determinar qué riesgos tienen más probabilidades de materializarse y cuáles podrían causar el mayor daño a la empresa, y luego gastar su dinero en lo que crean que será más útil. No es un cálculo que se haga solo una vez, por supuesto, ya que siempre surgen nuevas amenazas y nuevas capacidades. Pero el proceso de pensar en ellos no cambia.

Los directivos tienen que determinar qué riesgos tienen más probabilidades de materializarse y cuáles podrían causar el mayor daño a la empresa y, luego, gastar su dinero en lo que sea más útil.

Esto no quiere decir que la lógica de la gestión del riesgo no sea complicada. Para algunas empresas, de hecho, puede resultar muy complicado. Las actitudes de los directivos ante el riesgo suelen ser complejas y hay que reconocer esa arruga psicológica. Otra complicación se debe a la dificultad de estimar los costes y las probabilidades. No todos los riesgos se pueden contrarrestar con medidas de gestión bien definidas. A veces, ninguna acción posible puede abordar un riesgo grave en particular. Otras veces, abordar un riesgo grave cuesta prohibitivamente.

Lo importante es darse cuenta de que cada caso tiene que ver con hacer concesiones comerciales. Si se ven desde una perspectiva operativa, las decisiones sobre la seguridad digital no son muy diferentes de otras decisiones de costo-beneficio que deben tomar los directores generales. No hay razón para dejarse abrumar por la tecnología implicada o las costosas soluciones rápidas que los expertos quieren vender. Las herramientas que utiliza en otras áreas de su negocio son buenos modelos de lo que tiene que hacer en este ámbito aparentemente más difícil.

1. Fuente: www.freeedgar.com