Así sobreviví al CEH

Ya, por fin, he sobrevivido al CEH (Vamos que he aprobado xD) Los que seguís este blog todos los días visteis que ayer no hubo entrada y esos es por que estaba estudiando y haciendo un montón de test para enfrentarme al CEH. Pensad que ya lo había cateado una vez y no se podía volver a repetir.

Así que os voy a recomendar algunas cosas que me han ayudado un montón: 

• Este CheatSheet, imprimíroslo y llevadlo con vosotros 24x7:
• https://docs.google.com/document/d/1FyWBEiVcfeVaXxDnNd45Gfsp6Rdl8EZXidlS7MPgsi4/edit
• SkillSet para hacer un mogollón de tests y encima refuerza los temas que lleves peor según calificación: 
• https://www.skillset.com/
• Mas test pero a la mínima que os lo hagáis dos veces ya os sabréis las respuestas:
• http://www.gocertify.com/quizzes/ceh/ceh1.html
• CEH también tiene su propio Reddit, echadle un ojo de vez en cuando. Así sabréis lo que esta apareciendo en los exámenes. 
• https://www.reddit.com/r/CEH/
•  Y para terminar, os recomiendo todas las preguntas prácticas de este PDF, canela en rama:
• http://www.thelonecoder.com/pdfs/CEH-practise-312-50.pdf 

Muchas gracias tambien a todos los que me conocéis y compartisteis: información, discutisteis sobre que versión entraba y me apoyasteis. Lo aprecio mucho.  Si, hoy estoy orgulloso de mi. 

Sed Buenos ;)

Tres... Dos... Uno... Choof

Como muchos ya sabréis hoy me he examinado del CEH (Si, de ese certificado que tanto os he spameado) y bueno... la verdad es que no se como empezar; podría ponerle todas las escusas que se me ocurrieran ahora pero si estoy publicando esto es para que veáis que todos lo que publicamos cosas en nuestros blogs no somos genios o lo queremos aparentar, o al menos para que yo sea una excepción a partir de hoy.

Si, hoy he suspendido el CEH (lo siento, pero se ha de escribir tanto de lo bueno como de lo malo y hoy me apetecía contarlo) y como aun tengo frescas las preguntas que debería haberme sabido os voy a recomendar como hacer frente a este examen tan tedioso o al menos recordarle al Albert del futuro lo que se tendrá que mirar.

Para empezar, si hubiera hecho caso a la entrada que hizo [@kinomakino] en su blog INSEGUROS sobre [Como conseguir el CEH v8 y no morir en el intento] y lo hubiera acompañado de la información del CEH que os dejé por [aquí], seguramente hubiera acertado todas las que no me sabia sobre leyes, por ejemplo. 

Por otra parte, si después me hubiera repasado las preguntas que venían en el "preparatorio", que os dejé [aquí], seguramente hubiera aprobado ya que habían preguntas exactamente iguales. 

No hay ninguna escusa que valga y soy consciente de ello así que como acción de mejora intentare explicar bien cada entrada del blog ya que por lo que podido ver dejo muchas cosas al aire. 

Sed Buenos ;)

Pack.- CEHv8

Como ya os indiqué hace unos días, la [sección ###Aprende### de esta página] es un recopilatorio de todas esas entradas que yo creo que os pueden servir para aprender un poco.

Así que como hoy he estado estudiando para la certificación CEH, de la que tengo el examen este próximo martes,  creo que nos puede venir bien a todo tener las entradas que hice hace ya meses a mano y en la nueva sección. 

Pack.- CEHv8: 

######################################################

• Ethical Hacker Quiz.- Learn and Fun == Epic Win!
• El CEH Cada Día Mas Cerca. Road To CEH.- ¿Hacker y Hacktivismo?

1. Road To CEH.- ¿Qué hace un Hacker? 
2. Road To CEH.- Ataque A Un Sistema
3. Road To CEH.- Penetration Testing
4. Road To CEH.- Reconocimiento y Footprinting
5. Road To CEH.- Amenazas de un Footprinting 
6. Road To CEH.- Fases de la Metodologia del Footprinting (Parte 1)
7. Road To CEH.- Fases de la Metodologia del Footprinting (Parte 2)
8. Road To CEH.- Fases de la Metodologia del Footprinting (Parte 3)
9. Road To CEH.- Fases de la Metodologia del Footprinting (Parte 4)
10. Road To CEH.- Fases de la Metodologia del Footprinting (Parte 5)
11. Road To CEH.- Escaneo De Redes
12. Road To CEH.- Scaneo De Redes (Parte 2)
13. Road To CEH.- Scaneo De Redes (Parte 3)
14. Road To CEH.- Scaneo De Redes (Parte 4) 
15. Road To CEH.- Scaneo De Redes (Parte 5)
16. Road To CEH.- Escaneo De Redes (Parte 6)
17. Road To CEH.- Enumeración
18. Road To CEH.- Enumeración (Parte 2)
19. Road To CEH.- Enumeración (Parte 3)
20. Road To CEH.- Malware (Parte 2)
21. Road To CEH.- Malware (Parte 3)
22. Road To CEH.- Malware (Parte 4)
23. Road To CEH.- Malware (Parte 5)
24. Road To CEH.- Malware (Parte 6)
25. Road To CEH.- Malware (Parte 7)
26. Road To CEH.- Malware (Parte 8)
27. Road To CEH.- Ingeniería Social.
28. Road To CEH.- Ingeniería Social. (Parte 2)
29. Road To CEH.- Ingeniería Social. (Parte 3)
30. Road To CEH.- Ingeniería Social. (Parte 4)
31. Road To CEH.- Ingeniería Social. (Parte 5)
32. Road To CEH.- Ingeniería Social. (Parte 6)
33. Road To CEH.- Denegación de Servicio.
34. Road To CEH.- Denegación de Servicio.(Parte 2)
35. Road To CEH.- Denegación de Servicio (Parte 3)
36. Road To CEH.- Denegación de Servicio (Parte 4)
37. Road To CEH.- Denegación de Servicio (Parte 5)
38. Road To CEH.- Hijacking De Sesión 
39. Road To CEH.- Hijacking De Sesión (Parte 2)
40. Road To CEH.- Hijacking De Sesión (Parte 3)
41. Road To CEH.- Hijacking De Sesión (Parte 4) 
42. Road To CEH.- Hijacking De Sesión (Parte 5)

• Toda La Documentación Para el CEHv8

######################################################

Sed Buenos y ahora me toca estudiar a mi xD

Toda La Documentación Para el CEHv8

Como ya sabéis algunos el día 13 de octubre tengo programado el examen del CEH, así que me he de poner las pilas y realizar test o leer contra mas información mejor. Desde aquí muchas gracias a [K2r4y] que ha compartido conmigo mucha información. Adames, para todos los que también estáis en este proceso, aquí tenéis toda la documentación de la versión 8 del CEh que el blog [Hackplayer] compartió hace unos días.

Temario:

• CEHV8 Module 01 Introduction to Ethical Hacking.pdf
• CEHv8 Module 02 Footprinting and Reconnaissance.pdf
• CEHv8 Module 03 Scanning Networks.pdf
• CEHv8 Module 04 Enumeration.pdf
• CEHv8 Module 05 System Hacking .pdf
• CEHv8 Module 06 Trojans and Backdoors.pdf
• CEHv8 Module 07 Viruses and Worms.pdf
• CEHv8 Module 08 Sniffing.pdf
• CEHv8 Module 09 Social Engineering.pdf
• CEHv8 Module 10 Denial of Service.pdf
• CEHv8 Module 11 Session Hijacking.pdf
• CEHv8 Module 12 Hacking Webservers.pdf
• CEHv8 Module 13 Hacking Web Applications .pdf
• CEHv8 Module 14 SQL Injection.pdf
• CEHv8 Module 15 Hacking Wireless Network
• CEHv8 Module 16 Hacking Mobile Platforms.pdf
• CEHv8 Module 17 Evading IDS, Firewalls, and Honeypots.pdf
• CEHv8 Module 18 Buffer Overflow.pdf
• CEHv8 Module 19 Cryptography.pdf
• CEHv8 Module 20 Penetration Testing.pdf
• CEHv8 References.pdf

Fuente:

• http://www.hackplayers.com/2015/10/ceh-v8-curso-completo-en-pdf.html

Sed Buenos ;) 

Road To CEH.- Hijacking De Sesión (Parte 5)

Siiiii por finnn la últimaaaa ^^

Defensa contra Ataques Hijack:

• Usar protocolos cifrados como la suit OpenSSH.
• Utiliza una atenticación fuerte como kerberos o VPN peer-to-peer.
• Configura apropiadamente las reglas internas y externas  en el gateway.
• Usa un IDS para monitorizar un ARP cache Poisoning. 
• IPSec:
• Es un protocolo desarrollado por IETF que es capaz de intercambiar paquetes sobre IP
• Esta desarrollada para implementar una VPN. 

Porfiiiiiiiiin !!!

Sed Buenos ;)

Road To CEH.- Hijacking De Sesión (Parte 4)

Vamos a saber defendernos de todo esto. 

Hijacking Contramedidas:

• Utiliza un canal seguro de comunicación como TLS (Aunque en las Slides pone SSl pero no puedo recomendaros algo que ya este en desuso)
• Pasa las cookies de autenticación sobre una conexión Https. 
• Implementa la funcionalidad de logout para el fin de la sesión de los usuarios. 
• Genera una sesión ID después de un login exitoso. 
• Usa string o un numero random largo para la clave de sesión.
• para el cifrado de la información entre el usuario y los servidores web. 
• Protecciones contra el Hijacking de sesión:
• Usar cifrado.
• Usar un protocolo seguro. 
• Limite a las conexiones entrantes. 
• Minimiza el acceso remoto.
• Educa a los empleados.
• Regenera la sesión ID después del login. 
• Reduce el tiempo de vida de las cookies de sesión.

Bueno, creo que solo quedará una entrada mas si nadie me sorprende con mas contenido para estudiar. Así que ya me puedo hacer una bolsa de artículos nuevos para volver a las entradas de antes.  

Sed Buenos. 

Road To CEH.- Hijacking De Sesión (Parte 3)

La verdad es que estoy bastante cansado de este tipo de entradas, pero bueno este es el último sprin xD.

Hijacking de sesión a nivel de aplicación: 

• Se roba el token de sesion o se predice dicho token para ganar acceso no autorizado al servidor web. 
• Sniffing de Sessión:
• Un atacante usa un snifer para capturar un token de sesión valido. Llamado Session ID.
• El atacante usa esta Session ID para obtener accesos no autorizado al servidor web.
• Tokens de Sesiones predecibles:
• Usando técnicas de hijacking un atacante tiene la posibilidad de hacer un ping site request como comprobación de los privilegios de usuario. 
• Una vez el valor de la sesión es deducido se completa este ataque. 
• ¿Como se predice un Token de sesión?
• Muchos servidores webs usan algoritmos personalizados para generarlos. 
• El atacante puede capturar un numero grande de sesiones ID y analizar el patrón.
• Man-in-the-Middle Attack:
• Es usado para introducirse dentro de una conexión entre sistemas. 
• En el caso de que la victima utilice una transacción http, en la conexión TCP puede ser vista por el atacante de forma clara. 
• Man-in-the-Browser:
• Usa un toryano para interceptar las llamadas entre el navegador y los mecanismos de seguridad o las librerías. 
• El objetivo principal es manipular el sistema de transacción de un banco en internet. 
• Client-side Attack:
• Se ejecuta un ataque XSS para infectar a la victima con scripts maliciosos desde un website. 
• Este script malicioso, es embebido en la pagina web y no genera ningún tipo de alerta .
• Se envía un código malicioso (vamos, un troyano rico rico) dentro de un software inofensivo para obtener el control de la máquina. 

Y otro punto menos, bieeen. 

Sed Buenos ;) 

Road To CEH.- Hijacking De Sesión (Parte 2)

Vamoooos que queda pocooooo, muy poco.

Tipos de Hijacking:

• Fuerza Bruta:
• El atacante utiliza diferentes IDs hasta que tenga éxito.
• Robo:
• Ataques que utiliza diferentes tipos de técnicas para el robo de la ID de sesión. 
• Calcular: 
• Usando ID no aleatorias, el ataque trata de calcular las ID de sesión. 
• Spoofing vs Hijacking:
• Spoofing:
• Pretende ser otro usuario. No utiliza una sesión existente si no que intenta una nueva sesión usando las credenciales de la victima. 
• Hijacking:
• Usa una sessión activa existente. 
• El atacante usa una conexión y autenticación legitima.

Hoy lo dejamos aquí.

Sed Buenos ;) 

Road To CEH.- Hijacking De Sesión

A tope con la la ultima slide y ya me he pedido hora para el examen a la formación de mi empresa.

¿Que es el Hijacking de sesión?

• Se refiera a la explotación de una sesión valida para un equipo que el atacante "toma prestada sin permiso" estando entre dos maquinas. 
• El atacante roba la sesión valida y la usa para entrar en el sistema. 
• En un hijacking de sesión TCP el atacante roba la sesión TCP estando entre dos maquinas. 
• La autenticación solo ocurre cuando la sesión TCP comienza, esto permite al atacante obtener el acceso de la maquina. 
• Peligros del Hijacking:
• La mayoría de contramedidas no funcionan al menos que se use cifrado. 
• El Hijacking es simple de ejecutar. 
• Podemos ser victimas de robo de identidad, perdida de información, fraude, etc. 
• Muchos equipos utilizan TCP/IP son vulnerables. 
• Puedes protegerte un poco si utilizas protocolos seguros. 

Ya no queda nada para que volvamos a las entradas de antes, bieeeen ^^ 

Sed Buenos ;) 

Road To CEH.- Denegación de Servicio (Parte 4)

Ya toca saber defenderse de los DDoS ¿no?

Contramedidas:

• Configura el firewall para que controlen el acceso del trafico. 
• Previene el uso innecesario de funciones como gets, strcpy etc. 
• Asegura la administración remota y la conectividad de testeo.
• Previene el retorno de una dirección desde su comienzo. 
• La información producida por el atacante debería parada  desde el principio.
• Hacer la validación de los inputs. 
• Es recomendable usar una tarjeta de red que sea capas de un largo numero de paquetes. 
• Para Pentesting;
• Los DoS deben ser incorporados a los procesos de pentesting con el fin de conocer  si una red es susceptible a ataques DoS.
• Una red vulnerable no puede mantener un trafico elevado. 
• El pentesting de ataques DoS determina la dureza de nuestros sistemas al recibir este tipo de ataques. 

Otra slide mas si señor ahora si,  solo falta unaaa. 

Sed Buenos ;) 

Road To CEH.- Denegación de Servicio (Parte 4)

¡¡ Por fin vierneeees !!

Botnet:

• Los bots son aplicaciones de software que ejecutan tareas automatizadas en internet y permiten tareas simples y repertitivas. 
• Una botnet es una gran red de sistemas comprometidos y puede ser usada para crear denegaciones de servicio.
• Tipos de botnets:
• El troyano Shark
• Poison Ivy
• El troyano PlugBot:
• PlugBot es un proyecto de botnet por hardware.
• Esta diseñado para ser usado en auditorias de seguridad físicas.  
• Técnicas de detención: 
• Se basan en identificar y discriminar el trafico ilegitimo.
• Todas estas técnicas definen el ataque como una anormal y notable desviación del trafico normal de la red. 

Bueno, hoy es viernes así que toca descansar un poco. 

Sed Buenos ;) 

Road To CEH.- Denegación de Servicio (Parte 3)

Si, estas entradas son mis DoS personales.

Tipos de ataques DoS:

• Ataque SYN:
• El atacante envía una petición falsa TCP SYN a la victima. 
• La máquina objetivo manda una respuesta SYN ACK para completar la comunicación.
• El equipo objetivo no recibe respuesta por que la dirección fuente es falsa. 
• SYN Flooding:
• Utiliza los tres pasos para el hanshake.
• Cuando la victima recibe la petición SYN desde el atacante el sistema de la victima mantiene la conexión hasta 75 segundos. 
• El atacante puede explotar esta pequeña porción de tiempo para lanzar multiples peticiones SYN y dejarlas en espera. 
• Ataque ICMP Flood: 
• Se envían un montón de paquetes desde una dirección falsa para que el objetivo caiga y cause el paro de la respuesta en TCP/IP. 
• Ataque Peer to Peer:
• Los atacantes usan este tipo para comparitr hubs para desconectar a la victima y redirigir el ataque a una página web falsa. 
• Con esto se consigue un ataque masivo a una página. 
• Ataque Permanente.

Ya hemos acabado la segunda, hoy estoy orgulloso, 

Sed Buenos ;) 

Road To CEH.- Denegación de Servicio.(Parte 2)

Seguimos, hoy tocan dos de estas que ayer no me dio tiempo.

DDoS y los cibercriminales:

• Los cibercriminales están empezando a asociarse al crimen organizado para obtener ventaja de sus técnicas. 
• Un grupo organizado por criminales trabaja al mejor postor.
• Estos grupos crean y alquilan botnets que ofrecen varios servicios , desde la creación de malware a un DDoS masivo. 
• En 2010 se estima que el 70% de los datos robados fueron obra de bandas cibercriminales. 
• Tipos de técnicas para DoS;
• Bandwidth Attacks:
• Cuando el ataque DDoS es lanzado hace que el trafico de la red de la victima cambie significativamente. 
• Los atacantes usan botnets para hacer estos ataques enviando a la red muchos paquetes ICMP ECHO. 
• Una simple maquina no puede realizar tantas peticiones por eso se distribuye el ataque creado para que otros usuarios realicen estas peticiones por ti. 
• Service Request Floods: 
• Un atacante o su grupo de zombies tratan de tirar a la victima usando conexiones TCP. 
• La victima intenta realizar cada conexión
• El servidor se inunda de peticiones .

xD Venga que al menos este tema es interesante. 

Sed Buenos ;) 

Road To CEH.- Denegación de Servicio.

Y seguimos. Si, ya queda menos para el examen. ¡Aguantad!

¿Qué es un ataque de denegación de servicio?

• Es un ataque donde un equipo o red pretende hacer usos ilegitimo de sus recursos.
• El atacante conduce peticiones no legitimas o trafico al sistema de la victima con el fin de sobrecargar sus recursos y evitar que puedan realizar sus tareas. 
• ¿Qué es un ataque de denegación de servicio distribuida?
• El atacante involucra una multitud de sistemas comprometidos y redirige el trafico acia la victima. 
• Se suelen utilizar botnets y atacar a un solo sistema. 
• Síntomas de un ataque DoS:
• Tu página web no esta habilitada. 
• No puedes acceder a tu sitio web.
• La red parece lenta.
• Incremento del incremento del spam recibido. 

Chan Chaaaan, mañana mas xDD

Sed Buenos ;) 

Road To CEH.- Ingeniería Social. (Parte 6)

Volvemos con las pilas un poco mas cargadas .... eso espero xD

Robo de identidad:

• Objetivos:
• Perdida de números de seguridad sociales:
• Licencias de conducir
• Numero de DNI
• Métodos fáciles:
• Recoger información del cyberespacio con métodos fáciles. 
• Robo de información personal. 
• El problema del robo de identidad:
• El numero de violaciones de identidad ha incrementado. 
• Securizar al personal de la información en el lugar de trabajo y en casa  minimiza el robo de identidad. 

Contramedidas:

• Aplicar políticas de seguridad:
• Una política de seguridad es inefectiva si no se forma a los empleados. 
• Los empleados deberán firmar como que han entendido las políticas de seguridad. 
• Clasificar la información.
• Privilegios de acceso. 
• Verificar a el compromiso por la seguridad de los empleados.
• Mejorar el tiempo de respuesta ante incidentes.
• Doble factor de autenticación. 
• Anti-Virus/Defensas Anti-phishing.
• Cambio de gestión. 

Una slide menos, bieeeeen xDDD

Sed Buenos ;) 

Road To CEH.- Ingeniería Social. (Parte 5)

Y seguimos ...

Detalle de los tipos de ingeniería social: 

• Ingenieria social basada en humanos: 
• Dumpester Diving: El arte de buscar información sensible de las empresas en la basura. 
• En Persona: Persuadir al objetivo para recoger información confidecial preferiblemente: 
• Tecnologías recientes 
• Información de contactos
• Autorización a través de terceros: Hacerse pasar por una persona importante en una organización y obtener información. 
• Tailgating: Una persona no autorizada obtiene una identificación falsa para entrar en el área de seguridad para autorizarse a la persona que requiere la clave de acceso. 
• Reversing ingeniería social:
• Aparece cuando el atacante crea un personaje que aparece en una posición con autoridad sobre un empleado para pedirle información. 
• Piggybacking: 
• Una persona autorizada provee de acceso a una persona no autorizada.
• Ingenieria social basada en computadoras:
• Pop-Ups: Son utilizados para hacer que los usuarios hagan clic en un hiperenlace que les redirige a una pagina falsa donde se le pregunta por información personal o de descarga de malware. 
• Phishing: 
• Correo electronico ilegitimo que pregunta por información personal o por la cuenta del objetivo. 
• Tanto los pop-ups como los phiging emails pueden redirigir a webs falsas para recoger información del usuario. 
• SMS: Se recibe un mensaje de texto con alguna escusa urgente para que demos nuestra información.

Este fin de semana voy ha hacer entradas de las de antes así no me agobio tanto xD

Sed Buenos ,) 

Road To CEH.- Ingeniería Social. (Parte 4)

Suerte que la Ingeniería social mola que si no .. xD

Tipos de ingeniería social:

• Basada en humanos:
• Conseguir información sensible mediante interacción.
• Los atacantes pueden utilizar la confianza , miedo y la natural predisposición que tenemos los humanos por ayudar
• Dependiendo la información que queramos sacar nos posicionaremos en una de estas tres areas: 
• Posicionandonos como un usuario final legitimo.
• Posicionandonos como un usuario importante. 
• Posicionandonos como un usuario tecnico. 
• Basadas en Computadores: 
• Apoyar la ingeniería social con nuestros equipos. 
• Ejemplos:
• Pop-up en Windows.
• Hoax letters para simular errores.
• Chain Letters
• Instant Chat Messenger
• Spam Email. 

Mañana entraremos a explicar mas cada uno de estos puntos. 

Sed Buenos ;) 

Road To CEH.- Ingeniería Social. (Parte 3)

¿Se esta haciendo pesado esto o me lo parece a mi?

Inyección de ataques:

• Online: El atacante intenta aproximarse para persuadirlo y para sonsacar información de la empresa. 
• Teléfono: Pide información suplantando la identidad de un usuario legítimo para obtener acceso remoto al sistema de la empresa
• Acercamiento personal: Preguntar directamente por información a cualquier miembro del personal.
• Objetivos comunes de la ingeniería social:
• El soporte técnico a ejecutivos. 
• Recepcionistas y ayudantes. 
• Administradores del sistema. 
• Usuarios y clientes.
• Vendedores de la organización. 

Mañana toca conocer los tipos de Ingeniería social pero la verdad es que tengo ganas de volver a las entradas anteriores pero bueno, me lo he de pensar. xD 

Sed Buenos ;) 

Road To CEH.- Ingeniería Social. (Parte 2)

Vamos ha ser muros de hielo.

Factores que hacen vulnerables a las compañías:

• Insuficiente entrenamiento en seguridad. 
• Fácil acceso a la información
• Relax en las políticas de seguridad.
• Unidades Organizativas muy grandes
• ¿Porqué la ingeniería social es efectiva?
• Aunque las políticas de seguridad sean estrictas, los humanos son el factor mas susceptible. 
• Es difícil de detectar los intentos de ingeniería social. 
• No hay método para estar seguros completamente de los ataques de ingeniería social.
• No existe ni hardware de software capaz de defendernos ante un ataque de ingeniería social. 
• Señales ante un ataque:
• El interlocutor se muestra reticente a dar un numero de vuelta.
• Hace una petición informal.
• Se vuelve autoritativo y amenaza si no obtiene la información.
• muestra prisa y dice su nombre inmediatamente. 
• Inusualmente se utilizan cumplidos o halagos. 
• Muestra desconformidad cuando es cuestionado.
• Impacto en la organización:
• Perdida de privacidad.
• Perdida económica.
• Peligro de Terrorismo.
• Daño a bienes. 
• Cierre temporal o permanente. 
• Legalidad y arbitraciones. 

¿Confías en tu vecino? xD

Sed Buenos ;) 

Road To CEH.- Ingeniería Social.

Cuidado con tu vecino. Si, volvemos a este tipo de entradas.

¿Qué es la Ingeniería social?:

• Es el arte de convencer a gente para que revele información confidencial. 
• Este tipo depende de la preocupación de la gente hacia su información del valor y lo cautelosa que es protegiéndola
• Objetivos de estos ataques: 
• La naturaleza humana hacia la confianza es la base de cualquier ataque. 
• La ignorancia acerca la ingeniería social  y sus efectos hacen que una organización sea un objetivo fácil. 
• La ingeniería social es una amenaza severa. 
• Se vasa en prometer algo por nada. 
• los objetivos preguntan por si necesitamos ayuda solo por una obligación moral. 

Mañana seguimos con los factores que hacen vulnerables a una compañía. 

Sed Buenos ;)