Los horarios son los siguientes:
Sabado 9 de Octubre
- 19:15 hrs: Hacking automatizado
Domingo 10 de Octubre
- 15:00 hrs: Ofuscación de archivos

Les recuerdo que la entrada es liberada.

Los errores más estúpidos comunes son validaciones mal hechas para ingresar a intranets, ficheros de respaldos visibles publicamente, directorios con información confidencial no protegidos, etc. Yo, como programador, se como funcionan estas cosas, los clientes quieren muchas cosas por muy poco dinero y, por ésto mismo, el programador decide optar por el camino más rápido posible. Por otro lado, sabemos que a los clientes no les importa mucho la seguridad y que cuando le dices que cobrarás un poco más por el hecho de agregarle seguridad al sitio o al sistema, ellos no lo entienden y prefieren el camino más barato. En fín, mientras no se invierta en seguridad, seguirán sucediendo cosas como las que les mostraré a continuación.

El primer caso (gracias a xwall o más conocido como El Arma Secreta, miembro del Hacklab por la información) es el del Instituto Chacabuco (del Colegio Maristas) quienes tienen una intranet donde podemos encontrar los datos de tosos los alumnos y apoderados. Estos datos son nombre, dirección, e-mail, número telefónico, etc.

Estos pantallazos pertenecen al area de administración de estudiantes (una intranet) que en teoría requiere un login, pero se puede bypassear fácilmente.

Este sitio además de poder mirar información, nos permite agregar, eliminar y modificar datos. Estoy seguro de que la misma forma que cometieron éste error, tienen otros más y que al agregar un usuario puedo adjuntar ficheros y lograr subir un archivo que me permita ejecutar código arbitrario en el servidor.

Pronto publicaré otro sitio con información expuesta.

En Chile lanzaron un proyecto de ley para la protección de datos personales, luego de diversos hackeos ocurridos, donde se “publicó” información de millones de chilenos desde sistemas de información del servicio electoral y junaeb, entre otros. Lo que quieren hacer con éste proyecto de ley, es “aumentar las sanciones a quienes resulten responsables” y “entregarles las facultades a las distintas entidades afectadas para que puedan dar garantías“. Irónicamente, la ley sólo protegerá a quienes hagan mal su trabajo y no a los afectados, las entidades públicas que no sepan proteger la información privada de las personas, tendrán ahora una ayuda desde el gobierno para que nadie pueda hacer públicas sus fallas y, por ende, las personas afecetadas jamás sabrán que sus datos son públicos.

Una de las preguntas que me hago es ¿Si son privados los datos, entonces por qué son de acceso público?
Existen muchas entidades públicas y privadas que simplemente no protegen la información, formularios sin captchas, acceso a información mediante el RUT o con usuarios y password basadas en el rut. Para los que no saben, el RUT cumple con un patrón y generar millones y millones de RUT es tan fácil como sumar dos números.

En un principio, fue la ” base de datos” del Servicio Electoral (servel) la que fue publicada, sin embargo, era posible acceder a ella sólo con el RUT. Cualquier persona puede probar distintas combinaciones de números e ir recolectando información manualmente, una persona con conocimientos más avanzados podrá crear un script que automatice ésta tarea de tal forma que recopile la información más rápido.

< ?
function valida_rut($r)
{
        $r=strtoupper(ereg_replace('\.|,|-','',$r));
        $sub_rut=substr($r,0,strlen($r)-1);
        $sub_dv=substr($r,-1);
        $x=2;
        $s=0;
        for ( $i=strlen($sub_rut)-1;$i>=0;$i-- )
        {
                if ( $x >7 )
                {
                        $x=2;
                }
                $s += $sub_rut[$i]*$x;
                $x++;
        }
        $dv=11-($s%11);
        if ( $dv==10 )
                $dv='K';
        if ( $dv==11 )
                $dv='0';
        if ( $dv==$sub_dv )
                return true;
        else
                return false;
}
$rut = 10000000;
$i = 1;
$dv = 0;
for($i = $i; $i < = 11; $i++)
{
        if($i == 11) $dv = "k";
        else $dv = $i;
        for($rut = $rut; $rut <= 20000000; $rut++)
        {
                $full_rut = $rut."-".$dv;
                if(valida_rut($full_rut) )
                        print $full_rut."\n";
        }
}
?>

Con este script generamos RUTs consecutivos con su respectivo dígito verificador, es decir, números RUT válidos.

[...]
10004366-1
10004383-1
10004397-1
10004402-1
10004416-1
10004433-1
10004447-1
10004450-1
10004464-1
10004478-1
10004481-1
10004495-1
10004500-1
10004514-1
10004528-1
10004531-1
10004545-1
10004559-1
10004562-1
10004576-1
10004593-1
10004609-1
[...]

Otro hackeo conocido fue el que se le ha hecho a la Junaeb en distintas oportunidades, tambien tiene relación con este tema, ya que es información obtenida en base al rut de las personas. Existen muchas páginas dónde podemos encontrar información “personal” ingresando sólo éste nombre, por ejemplo el de la autopista vespucio norte, que con sólo tener el rut es posible obtener los partes, patente y cuanto vehículos tiene una persona. Pueden ver el artículo que escribió Ivan al respecto: Bug en sitio de empresa avn.cl, Avenida Vespucio Norte.

Yo me sigo preguntando, ¿Si mis datos “personales” son “privados”, entonces por qué mierda son accesibles para cualquier persona?

El proyecto de ley que se está gestando busca aumentar las sanciones a las personas que hagan pública la información que, con mucho esfuerzo, recopilamos, pero lo que yo busco es que las sanciones sean para las personas que NO cuidan esta información, por negligencia. Deberían crear estándares para el manejo de información personal y privada de las personas y la gente que esté a cargo de éstos estándares deben ser personas altamente capacitadas.

Hace unos meses escribí sobre cómo obtener información en NIC Chile, pudiendo crear una base de datos nombre-rut. NIC Chile se descartó y dijo que correspondía a una caracteristica y no a un error, ni si quiera fueron capaces de poner captcha al sistema de registro de dominios.

En lo personal, me ha pasado que por evitar una falla de seguridad he
decidido hacer validaciones de formularios con 3 niveles, validación
por javascript, validación por php y validación a nivel de base de datos
y me he demorado 3 o 4 veces más de lo que me hubiese demorado si
hubiese dejado solo la validación por javascript, lo que permite, obvia-
mente, hacer un post directo sin pasar por el formulario y saltarse esa
validación.

Otro factor crítico es el tema del presupuesto, generalmente los clientes quieren todo por muy poco dinero y en muy poco tiempo y nosotros, al necesitar el dinero, aceptamos y, lo que empieza siendo un trabajo extra para ganar unaas monedas termina siendo un dolor de cabeza.

Si bien es cierto que los clientes en lo general son los que provocan este tipo de fallos, no hay que dejar de lado cuando se le encargan sistemas a personas que no están capacitadas, queines, para mi, representan un peligro mucho mayor que un cliente apresurado, pero creo que es menor frecuente.

Como conclusión, en estos temas informáticos, lamentablemente el cliente no siempre tiene la razón.
Como opinón propia, creo que cuando alguien logré ingresar a un sistema indevidamente se debería juzgar al desarrollador, por incompetente

Tal como lo explica Ivan en su blog, hay que seguir una serie de pasos para lograr el objetivo. Personalmente creo que sería muy complicado escribir un bot que sea el encargado de obtener la mayor cantidad de información posible, pero no imposible. Con un poco de imaginación y destreza podemos lograrlo.

Luego de intentar comunicarnos con la gente encargada del sitio web de esta empresa mediante los correos electrónicos seleccion@vespucionorte.cl y contacto@vespucionorte.cl y sin tener ningun tipo de respuesta, decidimos hacer publico el documento.

Documento completo: http://blog.cuack.org/2009/bug-en-sitio-de-empresa-avn-cl-avenida-vespucio-norte-tags-autopistas/

NIC ha puesto a disposición de todos nosotros algunos datos de esas personas, de manera tal que podamos hacer la relación rut-nombre. La forma en que NIC facilita el registro de dominios es que, al escribir el rut del registrante, automáticamente rellena los campos del nombre de la persona, sin verificación ni ningún tipo de validación.

Los pasos a seguir son:

Entramos a http://www.nic.cl y llenamos el formulario “Inscriba su dominio” con un dominio dummy que sepamos que no existe, por ejemplo “iuhxfuzenfier” y presionamos el boton “Ir”.

Inscripción de dominio

Nos enviará a la siguiente pantalla

Si completamos el campo rut con el número (por ejemplo) 6.692.949-3, encontrado en google. Al presionar el botón Siguiente, nos mostrará una pantalla con el nombre de la persona a la cual corresponde ese rut.

Si vemos el código fuente de esa pantalla, podremos ver el html y armar un bot-spider que se dedique a capturar los datos e ir almacenandolos.

Para pasar del paso 1 al 2, no existe ningún tipo de validación de que realmente es un humano quien está detrás de la máquina (captcha), por lo que perfectamente un bot bien programado puede encargarse de obtener toda la información.
En el paso 1, podemos ver abajo del formulario un mensaje que dice:

ADVERTENCIA: Los datos entregados para la inscripción de su dominio son información pública.
NIC Chile almacena esta información en su base de datos la cual no se entrega, vende, cede o transfiere a ninguna persona o institución y a ningún título.

Lo que no nos ayuda en nada al momento de la protección de datos.

Si vamos a la parte técnica, podemos empezar a escribir unos pequeños ejemplos de cómo explotar esta debilidad. Si nos damos cuenta, los datos del rut son pasados mediante POST al destino /cgi-bin/ingresa-solicitud, pasando los parámetros del rut, digito verificador y email mediante rut, dv y emailr respectivamente. Usando curl y ejecutando la siguiente orden en linea de comandos:

curl "http://www.nic.cl/cgi-bin/ingresa-solicitud?dominio=adsasdasdsa&opcode=C&pantalla=2&rut=6692949&dv=3&emailr=lalalala@lalalala.cl"

Veremos que nos escupirá un html con el dato que nos interesa, el nombre. Debemos buscar una (o varias) expresiones regulares que nos permitan obtener solo la información que nos interesa e ir almacenandola.

Con las personas que estuve trabajando la explotación y análisis de esta vulnerabilidad, nos dimos el trabajo de comunicarselo a la gente de NIC obteniendo la siguiente respuesta, por parte de uno de los encargados:

No es efectivo que exista una falla o vulnerabilidad a la que usted hace referencia en su mensaje.

La información que NIC Chile usa en su práctica de registro es
información que está disponible en la base de datos pública del SII

[...]

La situación descrita en su mensaje consiste en un procedimiento
automático que permite cotejar el nombre que el solicitante de un
dominio informa en su solicitud.

El procedimiento anterior, establecido desde 19 de noviembre de 2002, ha
permitido mejorar la calidad de la información asociada a cada registro,
en función de los requerimientos de todos los procesos que NIC Chile
administra.

Atte.,

Luis Arancibia Medina
NIC Chile

Dejando claro que lo que para nosotros es una vulnerabilidad para ellos es una caracteristica. En ningún momento se les dice a NIC que es una falla del sistema o que la aplicación de ellos está mal diseñada, simplemente se les da a conocer como es de fácil capturar la información de los Chilenos (personas y empresas) para tenerlas toda en una base de datos y en un último correo diciendoles que eso simplemente se corrige con un captcha, sin obtener respuesta.

Yendo más allá de si esta información es pública o privada, creo que vale la pena destacar que de todas formas hay que protegerlas.

Para finalizar quiero mostrar el resultado de un script spider que capturó 100 datos automaticamente en menos de 20 segundos:

+———-+————————————-+
| rut      | nombre                              |
+———-+————————————-+
| 17***737 | leon silva annie karina             |
| 1*47*9*7 | escobar umaÑa emanuel               |
| 13*92*0* | soto valenzuela julio               |
| 1*84291* | pozo briones carolina               |
| 10834140 | trucco saez matias                  |
| 1*3**383 | pizarro rojas angela                |
| 10212078 | russi delrio sebastian              |
| 1420813* | veas torres pilar                   |
| 17*020*2 | burgos leiva karla                  |
| 1323428* | blanco casals andres                |
| 1*209*24 | casar leturia maricarmen            |
| 1*032432 | riveros montecino nicolas           |
| 1*280*14 | hermosilla valenzuela alejandro     |
| 177298*2 | jerez pardo juan jerez              |
| 99*399*  | guajardo diaz eduardo               |
| 1**43431 | flores videla claudia               |
| 18743*42 | pilorget santander benedicte        |
| 10391332 | palma jimenez patricio              |
| 17**70*7 | castro chavarriga daniela francisca |
| 1**42213 | cortes bastias jorge                |
| 1*209482 | awad nabzo daniela                  |
| 1201*949 | navarro gutierrez cristobal         |
| 1*3*24*3 | jerez arrue leticia haydee          |
| 1*1*2778 | carreÑo parra gustavo               |
| 1012220* | huerta bau antonia                  |
| 1*0148** | aqueveque muÑoz keila               |
| 1*73830* | ibarra orellana marco               |
| 1*0*7**8 | gajardo alarcon orlando             |
| 1*211092 | quintana pacheco angelo             |
| 17784*14 | neira riveros natalia andrea        |
| 1*014007 | hernandez del valle maria           |
| 142*9273 | fernandez salazar patricio          |
| 13***20* | valdes ruiz juan                    |
| 1770*11* | sotomayor saavedra luis alejandro   |
| 14003**8 | sepulveda lara eva                  |
| 1*322174 | saez  alvaro                        |
| 1*3*8402 | carvajal gonzalez carolina          |
| 1***348* | saavedra rosas rocio                |
| 1*898098 | perez serrano francisca             |
| 1*99*094 | dintrans silva barbara              |
| 1*199*87 | alcalde olave alonso                |
| 1*072810 | vallejos medina juan                |
| 1*318218 | soto muÑoz veronica                 |
| 1*313843 | merino cuevas karen                 |
| 1*31*822 | lagos levancini matias              |
| 1*38*323 | huerta bohus carlos                 |
| 1**411*3 | bonta aguilera pilar                |
| 1*021401 | rojo segovia jonathan               |
| 1*47783* | marquez marquez daniela             |
| 1*143980 | espejo gomez luisa                  |
| 1*899**3 | cancino navarrete carolina          |
| 1*34*127 | castro muÑoz luis                   |
| 1**37740 | eberle polanco ricardo              |
| 1*77*9*1 | castro yevenes miguel               |
| 14*09004 | eisele hernandez rodolfo            |
| 1*780809 | covarrubias aliaga daniela          |
| 1*019080 | valdivieso lolic catalina           |
| 1**40414 | steil vega nicolas                  |
| 1*939124 | peralta abarca falon                |
| 1*93399* | torres navarro felipe               |
| 1*42*1*3 | vargas paredes natalia              |
| 1*84*494 | alegre yanten carolina              |
| 1*1999*1 | gonzalez rojas andres               |
| 1*933099 | arrieta sanhueza enrique            |
| 1*4784*9 | zamudio salazar cesar               |
| 1*78418* | maturana alcaino loretto            |
| 1*782**4 | pinto anwandter loreto              |
| 1**37300 | cruz peigneguy maria                |
| 1*0149*2 | lohaus reyes maria                  |
| 1*3*0349 | winter donoso francisco             |
| 1*34*4** | robles ansaldo mariel               |
| 134920*9 | ramirez quezada enzo                |
| 1*3140*0 | gonzalez carvajal jonathan          |
| 1*213*1* | canto muÑoz ana                     |
| 1*382482 | rojas ugarte daniela                |
| 14131*81 | miranda soto david                  |
| 13*89014 | matus espinoza juan                 |
| 1*77*043 | arriagada torrealba pablo           |
| 147*4*87 | lemon colubriale luciana            |
| 1**41282 | mazu fuenzalida denisse             |
| 13*84823 | roa roables juan                    |
| 1**78*48 | cofre olmos raul                    |
| 1**70400 | vicencio gonzalez jose              |
| 1*338948 | pozo montero pablo                  |
| 1*83811* | muÑoz lizana gisselle               |
| 1**087*8 | araya arriagada samuel              |
| 17707294 | ramirez ramirez danisa              |
| 1*3*8**7 | ramirez navarro angela              |
| 14**7779 | smerkin bustos enrique              |
| 17*80*8* | perez moreno leonardo francisco     |
| 14*4942* | quintana rivera elizabeth           |
| 1*29*79* | vargas gomez july                   |
| 1**3*210 | pizarro  javiera                    |
| 1*381**7 | osben  carolina                     |
| 17429044 | arancibia espinoza felipe jaime     |
| 147*1*30 | rasoarimalala  marcelline           |
| 13904420 | camus landa albert                  |
| 1****937 | garber sepulveda javiera            |
| 1*4090*8 | navarro tapia gabriel               |
| 1*07*7** | navarrete peralta drago             |
+———-+————————————-+

los * son para “proteger” la información.

Estoy trabajando en un artículo dónde demostraré muchas falencias en los sitemas de información en Chile, no queria quedarme sin dar mi opinion respecto a lo que se habla, mucho menos ahora que tambien se esta hablando de una posible modificacion en alguna ley de protección de datos.

Links relacionados:

• http://teletrece.canal13.cl/t13/html/Secciones/Entrevistas/379886.html
• http://www.elnortero.cl/admin/render/noticia/19727
• http://www.diariopyme.com/node/2644

En Chile, la falta a la protección de datos es algo que se da demasiado seguido, ya sea por empresas privadas o publicas (estatales o gubernamentales).

Hace un tiempo se publicó una base de datos con la información de más de 5 millones de chilenos y posteriormente, se publicó un buscador que nos permitia encontrar los datos de cualquier persona. Existen entidades encargadas de proteger esa información, en este caso es el sitio web de el Servicio Electoral (Servel), de donde fue obtenida la información. Poco tiempo despues de ésta publicación, realizamos una prueba de concepto programando un algoritmo capáz de obtener los datos desde ese sitio nuevamente, lo que tuvo un resultado positivo para nosotros. Pudimos obtener más de 4 millones de datos sobre los chilenos. En este intento, el sitio web del servel se cayó dos veces, estando el sitio abajo mas de 12 horas, cada véz que se cayó. Al entrar al sitio se podia ver un mensaje de que el espacio en disco estába lleno debido a los logs, esto quiere decir que cuando reactivaron el sitio, los encargados del sitio debieron haber vaciado ese directorio de logs y obviamente no se dieron el trabajo de analizarlo sino hasta el tercer intento que fue cuando decidieron colocar un captcha y, aunque el captcha es “basico”, no gastariamos tiempo en programar un algoritmo que lo rompa si nustra misión ya cumplió su objetivo. Una véz realizado este experimento procedimos a eliminar toda la información que descargamos.

A mucha gente quizás no les importa que su nombre y rut/dni estén dando vueltas por internet, accesibles por cualquier persona y más aún, ni si quiera se procupan de proteger sus cuentas de correo o de algún servicio en particular. Obteniendo información desde distintos sitios y bases de datos, realicé un estudio interno, donde me dediqué a analizar la información que tenia desde distintos lugares. Es increible como la gente a estas alturas aún usa contraseñas tan dummies como 123456 o la más típica qwerty. Hay distintos tipos de claves que no puedo clasificar por el tipo de usuario, ya que me he encontrado con la sorpresa de que usuarios con conocimientos en informática e internet usan una contraseña tan insegura y dummie como lo hace el que sabe menos sobre estos temas.

Creo que un punto interesante a analizar es lo que muchos dicen: “No importa, si en ese correo no tengo nada”. Para mi, eso no es una excusa ya que por más que el usuario no tenga nada en esa cuenta de correo, le pertenece a el y el hecho de que alguien tenga tu clave y acceda a algo que es tuyo, tengas información importante o no, debería perocuparte.

Otro caso es el de las personas que usan las mismas contraseñas para la mayoría o todas sus cuentas de distintos servicios, creo que es algo totalmente inaceptable y hace que la información de la persona en cuestión sea totalmente vulnerable, en cualquier momento.

Me gustaría hacer un análisis de los tipos de passwords que son inseguros, los he clasificado de la siguiente manera:

• Numéricos: Generalmente del 1 al 10000000, por ejemplo 18528287, 20398476, 00000000, todas las combinaciones posibles. Muchas personas utilizan este tipo de contraseña ya que puede pertenecer a su número de identificacion (rut/dni), numero de teléfono de casa o celular o simplemente porque es su número de la suerte. Lo que no saben es lo FACIL que es romper este tipo de password. Si pensamos en 10 millones de posibilidades (como mínimo), seguramente obtendremos el password en 6 o 7 días.

• Nombre + número: Con este tipo, me refiero al tipo de password como ‘fernando2008′, es decir, nomhre, apellido, nick + fecha de nacimiento, edad o algún número que lo identifique. La mayoría de los nombres y apellidos están en diccionarios de datos y los números son fácil de generar y no complicarian mucho el querer romper la contraseña. Yo diria que este tipo de password es una de las más fáciles e incluyen claves como: 123nombre456, qwertynombre, nombre123, nombre2009, nombre1975, etc etc.

• Nombre: Aunque parezca absurdo e increible, es la realidad. Si, existe gente que utiliza su nombre como contraseña de una o más de sus cuentas. Y si, lo hace con minúscula.

• Palabra: Al igual que el anterior, aunque parezca increible, existe gente que usa una palabra comun y corriente como clave, como pajaro, bicharraco, computador, celular, system, etc. Palabras que estan en cualquier diccionario de palabras y que son facilmente crackeables.

Estos 4 tipos de password son, basicamente, los más fáciles de identificar y de romper. Estos tipos de claves son fáciles de romper vía fuerza bruta ya sea con repetidos intentos de login en un sistema inseguro (por ej. Un sistema sin captcha) y son sencillos de encontrar su hash correspondientes ya sea de sha, md5 u otro.

En una de mis publicaciones, demostré como romper un login sin captcha con un sencillo script en bash que, basicamente, lo que hace es mediante una url y nombre de usuario pasado como argumento, consultar una lista de palabras en un diccionario e ir utilizando las palabras como password e intentar un login, hasta lograrlo.
Tambien demostré como romper un hash cualquiera, con o sin salt, donde romper hashes de claves como las recien mensionadas era algo muy sencillo. Creo que despues de haber leido esto vale la pena plantearse el usar claves más seguras.

No quiero centrar toda la resposabilidad al usuario, tambien quiero hacer una critica a las empresas o entidades encargadas de la creación de password por defecto para sus usuarios, ya sea de una intranet, un sistema bancario, etc. He tenido experiencias donde el password por defecto que me entregan es mi nombre mas el año actual o bien algo más sencillo como 123456, mi rut o mi fecha de nacimiento. Las password por defecto DEBEN ser aleatorias y no arriesgar a que algún intruso ingrese donde no deba. En uno de los primeros post de mi blog, escribí una historia bien interesante. La empresa a la que hago referencia en ese post era una empresa de hosting, que por cada cliente creaba un usuario fisico (real) en el sistema, dandole shell y dejandole acceso ftp.

El problema es que a todos los usuarios que creaban les asignaban la clave 123456 y esto, acompañado de fallas de programación en sus sitios web, lo que me permitió hacer algún tipo de inclusion de archivos no permitida, que me entregaba la lista de todos los usuarios, fue muy facil ingresar a ese servidor y fue una sorpresa cuando me enteré que podía ingresar a todas las cuentas con el mismo password. Les envié un par de correos a esa empresa pero no me dieron ni bola.
En fin, lo que quiero dejar en claro con esto, es que las empresas deben ser más responsables con este tema de la asignación de password por defecto a sus empleados, usuarios, clientes, etc. ya que pueden poner en peligro toda la informacion que los usuarios o empleados depositan en ellas. Por ejemplo, yo necesito hosting y al registrarme me piden todos mis datos, incluyendo tarjeta de credito, yo leo los términos y condiciones, me informo sobre la privacidad de mis datos, etc y termino confiando en la empresa, relleno el formulario y finalmente contrato el servicio. ¿Pero, que va a pasar si esa empresa no cuida mis datos? Finalmente no soy yo quien fallé cuidando mi información, fue la empresa, quien luego de prometerme por cielo mar y tierra que no revelarian mis datos, lo hace, inconcientemente. El problema es que uno no se da cuenta hasta que empiezan a llenarlo de spam o hasta que algo peor que eso pasa, como la perdida de alguna cuenta de correo, robo de informació personal, etc.

Todo esto puede empeorar, cuando pensamos que no asegurar nuestra información puede poner en peligro la información de las demás personas o mejor aún, imagina que tu te proteges, usas un password seguro y distinto para cada servicio, por ejemplo facebook, y quieres que la información que tu publicas en facebook sea solo para gente que tu aceptas, justo tu mejor amigo, quien tiene acceso a todas tus fotos, etc es irresponsable con sus datos y permite el acceso fácil a una tercera persona a mirar toda la información que tu compartes con él, lo peor es que tu no te enteras. Por esto mismo, quiero dejar en claro que proteger la información y distingues lo publico de lo privado, es muy importante, más aun cuando no es solo tu información la que está en juego.