Imagina que has pasado los últimos seis meses construyendo una fortaleza. Tienes las paredes más gruesas, las puertas más pesadas y guardias en cada entrada. Pero aquí está la trampa: tu fortaleza no es un solo edificio. Son tres castillos diferentes repartidos en tres reinos diferentes. Uno está en AWS, otro en Azure y otro en Google Cloud Platform (GCP). Has contratado a diferentes arquitectos para cada uno, y todos usan planos diferentes.
Ahora, imagina que un ladrón no intenta derribar la puerta principal. En cambio, encuentra una pequeña entrada de servicio olvidada en el castillo de Azure que conduce a un túnel que conecta directamente con tu bóveda de AWS. Debido a que estabas tan concentrado en las "paredes" de cada nube individual, pasaste por alto la brecha en la conexión entre ellas.
Esta es la realidad de la seguridad multi-cloud hoy en día. La mayoría de las empresas no utilizan solo un proveedor. Combinan y emparejan para evitar el vendor lock-in o para aprovechar características específicas. Pero cada vez que agregas otro proveedor de nube, no solo estás agregando una nueva herramienta, sino que estás agregando un conjunto completamente nuevo de vectores de ataque, peculiaridades de configuración y dolores de cabeza en la administración de identidades.
Los escáneres de vulnerabilidades estándar ya no son suficientes. Pueden decirte si un puerto está abierto o si una versión de software está desactualizada, pero no pueden decirte si tus roles IAM (Identity and Access Management) entre nubes son demasiado permisivos. Ahí es donde entra en juego el cloud pentesting. No se trata solo de encontrar un error en el código; se trata de simular cómo un atacante real pasaría de un bucket S3 mal configurado en una nube a una cuenta de administrador privilegiada en otra.
Por qué los entornos Multi-Cloud son una pesadilla para la seguridad
Cuando te mudas a una sola nube, tienes un conjunto de reglas. Cuando te pasas a multi-cloud, estás lidiando con una postura de seguridad fragmentada. El mayor problema no es necesariamente los proveedores de la nube en sí mismos: AWS, Azure y GCP son increíblemente seguros. El problema es la "capa humana" y la complejidad de administrar diferentes entornos simultáneamente.
La complejidad de los modelos IAM divergentes
La identidad es el nuevo perímetro. En un centro de datos tradicional, tenías un firewall. En la nube, tienes IAM. El problema es que AWS IAM, Azure Active Directory (ahora Entra ID) y GCP IAM funcionan de manera diferente.
Por ejemplo, la forma en que se asumen los "roles" en AWS es diferente de cómo funcionan las "cuentas de servicio" en GCP. Cuando un equipo de seguridad intenta aplicar una sola política en los tres, las cosas se complican. Terminas con una "proliferación de permisos", donde a los usuarios se les da más acceso del que necesitan solo para "hacer que las cosas funcionen". Para un atacante, estos roles demasiado permisivos son esencialmente invitaciones abiertas.
La "brecha de consistencia" en los grupos de seguridad
Cada nube tiene su propia versión de un firewall (Security Groups en AWS, Network Security Groups en Azure). Mantener un conjunto consistente de reglas en estas plataformas es casi imposible de hacer manualmente.
Es posible que recuerdes cerrar el puerto 22 (SSH) en tus servidores de producción en AWS, pero olvides hacerlo para un entorno de prueba heredado en Azure. Si esos dos entornos están conectados a través de una VPN o una conexión de peering, un atacante que viola el área de prueba de Azure ahora tiene una ruta directa y confiable hacia tu entorno de producción de AWS.
Puntos ciegos de visibilidad
Es difícil asegurar lo que no puedes ver. En una configuración multi-cloud, los registros están dispersos. Tienes CloudTrail en AWS, Activity Logs en Azure y Cloud Logging en GCP. A menos que tengas un sistema SIEM (Security Information and Event Management) muy sofisticado que esté perfectamente ajustado, es fácil pasar por alto las "migas de pan" que deja un atacante.
Un atacante podría realizar un escaneo de reconocimiento lento en GCP, moverse lateralmente hacia Azure y finalmente extraer datos de AWS. Si estás mirando estos registros en tres paneles diferentes, no verás el patrón. Solo verás tres eventos menores no relacionados.
¿Qué es exactamente Cloud Pentesting?
Mucha gente confunde el escaneo de vulnerabilidades con el Penetration Testing. No son lo mismo.
Un escaneo de vulnerabilidades es como un inspector de viviendas que camina alrededor de tu casa con una lista de verificación. Observa que el pestillo de la ventana está suelto y que la batería del detector de humo está agotada. Es útil, pero es pasivo.
Cloud pentesting es como contratar a un "ladrón ético" profesional. Esta persona no solo observa que el pestillo de la ventana está suelto; en realidad, abre la ventana, se sube, encuentra dónde guardas la llave de repuesto de la caja fuerte y luego te muestra exactamente cómo lo hizo.
Pentesting automatizado vs. manual
En el contexto de la nube, necesitas ambos.
Las pruebas automatizadas son excelentes para encontrar la "fruta madura". Puede escanear miles de activos en minutos para encontrar software sin parches o buckets de almacenamiento de acceso público. Es la primera línea de defensa.
Las pruebas manuales, sin embargo, es donde reside el verdadero valor. Un pentester humano puede pensar creativamente. Pueden encadenar tres vulnerabilidades de gravedad "baja" para crear un exploit "crítico". Por ejemplo, podrían encontrar una clave API filtrada en un repositorio público de GitHub (riesgo bajo si la clave tiene permisos limitados), usar esa clave para acceder a un entorno de desarrollo, encontrar una contraseña codificada en un archivo de configuración y luego usar esa contraseña para escalar sus privilegios a un administrador global. Un escáner automatizado nunca vería ese camino.
El alcance del Cloud Pentesting
Cuando realizas cloud pentesting, estás observando tres capas distintas:
- El plano de control: Esta es la capa de administración. ¿Puede un atacante manipular la configuración de tu nube? ¿Pueden crear nuevos usuarios o eliminar copias de seguridad?
- El plano de datos: Aquí es donde viven tus datos reales (bases de datos, almacenamiento de objetos). ¿Están los datos encriptados? ¿Está la configuración de control de acceso configurada correctamente?
- La capa de aplicación: Estas son las aplicaciones que se ejecutan en tu infraestructura de nube (contenedores, funciones serverless, VMs). ¿Hay inyecciones SQL? ¿Cross-site scripting (XSS)?
Vulnerabilidades comunes de Multi-Cloud a tener en cuenta
Si te estás preparando para un Penetration Test o auditando tus propios sistemas, estas son las "victorias" más frecuentes para los atacantes en entornos multi-cloud.
1. Almacenamiento de Objetos Mal Configurado (El Clásico)
Todos hemos visto los titulares sobre buckets S3 que filtran millones de registros. Sucede porque el acceso "público" a menudo se habilita durante las pruebas y nunca se desactiva. En un mundo multi-cloud, esto no se trata solo de AWS S3. También se trata de Azure Blobs y GCP Cloud Storage.
El peligro aumenta cuando estos buckets se utilizan para almacenar archivos de configuración o variables de entorno (.env files). Si un atacante encuentra un .env file en un bucket público, podría obtener las credenciales de tu base de datos o las API keys para otro proveedor de cloud.
2. Cuentas de Servicio con Exceso de Privilegios
Las aplicaciones necesitan comunicarse entre sí. Para esto, utilizan cuentas de servicio. El error que cometen la mayoría de los equipos es dar a una cuenta de servicio acceso de "Administrador" o "Propietario" porque es más fácil que averiguar los permisos exactos que necesita la aplicación.
Si una aplicación web se ve comprometida a través de una vulnerabilidad de código (como un ataque SSRF), el atacante a menudo puede consultar el servicio de metadatos de la cloud para robar el token de identidad de la cuenta de servicio que ejecuta la aplicación. Si esa cuenta es un administrador, el atacante ahora es dueño de todo tu proyecto de cloud.
3. Expansión de Secretos
Los secretos (API keys, SSH keys, contraseñas) terminan en todas partes. Están en repositorios de código, pipelines de CI/CD, mensajes de Slack y codificados en imágenes de Docker.
En entornos multi-cloud, la "expansión de secretos" es peor porque tienes diferentes secretos para diferentes plataformas. Los equipos a menudo crean claves "maestras" para simplificar las cosas, lo que crea un único punto de fallo. Si se filtra una clave maestra, todo el ecosistema multi-cloud se ve comprometido.
4. Conectividad Inter-Cloud Insegura
Para que el multi-cloud funcione, las empresas a menudo configuran túneles VPN o interconexiones dedicadas entre proveedores. Estos túneles a menudo se tratan como zonas de "confianza".
El error es asumir que, dado que el tráfico está dentro de un túnel, es seguro. Si un atacante viola una VM de baja seguridad en Azure, y esa VM tiene un túnel abierto a una base de datos de alta seguridad en AWS, el atacante puede eludir por completo el perímetro de AWS.
Una Guía Paso a Paso para un Flujo de Trabajo de Penetration Test en la Cloud
Si te preguntas cómo ocurre realmente un Penetration Test profesional en la cloud, generalmente sigue un ciclo de vida estructurado. Esto no es una serie aleatoria de ataques; es un proceso metódico.
Fase 1: Reconocimiento y Recopilación de Inteligencia
El objetivo aquí es encontrar la mayor cantidad de información pública posible. Los pentesters harán lo siguiente:
- OSINT (Open Source Intelligence): Buscar en GitHub, GitLab y Bitbucket credenciales filtradas o código de infraestructura (Terraform/CloudFormation) que revele el diseño de la red.
- Enumeración de DNS: Encontrar subdominios que puedan apuntar a entornos de desarrollo o staging olvidados.
- Escaneo de la Cloud: Utilizar herramientas para identificar qué proveedores de cloud se están utilizando y encontrar buckets o snapshots accesibles públicamente.
Fase 2: Acceso Inicial
Ahora el tester intenta entrar por la puerta. Los puntos de entrada comunes incluyen:
- Explotación de Aplicaciones Públicas: Utilizar una vulnerabilidad en un sitio web para obtener una shell en una VM o contenedor.
- Credential Stuffing: Utilizar contraseñas filtradas de otras brechas para ver si algún empleado las reutilizó para su consola de cloud.
- Phishing: Enviar un correo electrónico dirigido a un desarrollador para robar su token de sesión.
Fase 3: Escalada de Privilegios
Una vez dentro, el atacante generalmente tiene permisos muy limitados. El objetivo es pasar de un "usuario de bajos privilegios" a un "administrador de la cloud".
- Ataques al Servicio de Metadatos: Consultar
169.254.169.254para robar credenciales de seguridad temporales. - Análisis de Políticas IAM: Buscar políticas que permitan
iam:PutUserPolicyoiam:CreateAccessKey, que se pueden utilizar para otorgarse más poder. - Búsqueda de Secretos: Buscar en archivos locales, variables de entorno y wikis internos contraseñas.
Fase 4: Movimiento Lateral
Aquí es donde las pruebas multi-cloud se vuelven interesantes. El tester busca formas de saltar de una cloud a otra.
- Claves Entre Clouds: Encontrar una clave de acceso de AWS almacenada en un Azure Key Vault.
- Network Pivoting: Utilizar una VM comprometida como proxy para atacar servicios en una cloud diferente que solo son accesibles a través del túnel interno.
- Identidad Compartida: Si la empresa utiliza un único proveedor SSO (Single Sign-On) para todas las clouds, comprometer una identidad podría dar acceso a todo.
Fase 5: Exfiltración e Impacto
El paso final es demostrar el riesgo. El tester en realidad no roba datos, pero demuestra que podría haberlo hecho. Podrían:
- Crear un archivo ficticio en una base de datos restringida.
- Tomar un snapshot de un disco de producción.
- Demostrar la capacidad de apagar un servicio crítico.
Cómo Acortar la Brecha: Integrando el Penetration Testing en tu Flujo de Trabajo
No puedes simplemente hacer un Penetration Test una vez al año y llamarlo "seguridad". La cloud cambia demasiado rápido. Un desarrollador puede cambiar la configuración de un grupo de seguridad en tres segundos, y de repente tu entorno "seguro" está abierto al mundo.
Avanzando Hacia la Evaluación Continua de la Seguridad
La industria se está moviendo hacia la "Validación Continua de la Seguridad". En lugar de un evento que ocurre una vez al año, integras las pruebas en tus operaciones diarias.
- Guardias Automatizadas: Utilice herramientas como AWS Config o Azure Policy para bloquear automáticamente acciones "prohibidas" (como hacer público un bucket).
- Escaneos Automatizados Programados: Ejecute escaneos de vulnerabilidades semanalmente o después de cada implementación importante.
- Penetration Tests Trimestrales Dirigidos: Contrate a personas para que busquen cadenas de ataque complejas cada pocos meses.
- Programas de Bug Bounty: Permita que la comunidad global de investigadores encuentre errores para usted a cambio de una recompensa.
El Desafío de la Integración
La parte más difícil no es encontrar los errores; es corregirlos. Muchos equipos de seguridad entregan un informe en PDF de 100 páginas al equipo de DevOps, y el equipo de DevOps lo ignora porque tienen un producto que enviar.
La solución es integrar los hallazgos de seguridad directamente en el flujo de trabajo del desarrollador. En lugar de un PDF, la vulnerabilidad debería aparecer como un ticket de Jira o un problema de GitHub con una descripción clara y una solución sugerida.
Por qué Penetrify es la Opción Correcta para los Desafíos Multi-Cloud
Gestionar todo esto (los escáneres, los testers manuales, los registros multi-cloud y el seguimiento de la remediación) es una pesadilla absoluta para la mayoría de los departamentos de TI. Esta es exactamente la razón por la que creamos Penetrify.
Penetrify no es solo otro escáner. Es una plataforma nativa de la nube diseñada para manejar la locura específica de los entornos multi-cloud. Así es como cambia el juego:
Arquitectura Nativa de la Nube, Sin Dolores de Cabeza de Hardware
Tradicionalmente, si quería realizar un Penetration Testing profundo, tenía que configurar "attack boxes" dentro de su red. Esto significaba administrar más VMs, configurar más firewalls y pagar por más computación.
Penetrify está basado en la nube. Nosotros proporcionamos la infraestructura. Usted simplemente conecta su entorno y nosotros nos encargamos del trabajo pesado. Esto elimina el gasto de capital y el tiempo perdido en la configuración. Puede comenzar a probar sus entornos de AWS y Azure en minutos, no en semanas.
Escalado a Través de Múltiples Entornos
Si tiene diez cuentas de nube diferentes en tres proveedores, ejecutar pruebas manuales en cada una es lento y costoso. Penetrify le permite escalar sus evaluaciones. Combinamos el descubrimiento automatizado de vulnerabilidades con la capacidad de realizar análisis profundos manuales, asegurando que no queden "rincones oscuros" de su infraestructura sin revisar.
Cerrando el Círculo con la Guía de Remediación
La mayoría de las herramientas le dicen qué está mal, pero no le dicen cómo solucionarlo de una manera que no rompa su aplicación. Penetrify se enfoca en remediar el riesgo. Proporcionamos una guía clara y práctica que sus desarrolladores realmente pueden usar.
En lugar de decir "Su política de IAM es demasiado amplia", le ayudamos a identificar los permisos mínimos viables necesarios para ese servicio específico, reduciendo la superficie de ataque sin matar la productividad.
Integración con su Stack Existente
Sabemos que ya utiliza SIEMs, sistemas de tickets y pipelines de CI/CD. Penetrify está diseñado para integrarse con ellos. Sus hallazgos de seguridad no viven en un silo; fluyen directamente a las herramientas que su equipo ya utiliza, convirtiendo los "informes de seguridad" en "tareas completadas".
Una Comparación: Penetration Testing Tradicional vs. Penetration Testing Nativo de la Nube
Para comprender realmente el cambio, veamos cómo se manejaban las cosas antes en comparación con cómo deberían manejarse ahora.
| Característica | Penetration Testing Tradicional | Nativo de la Nube (Penetrify) |
|---|---|---|
| Frecuencia | Anual o Bianual | Continua / Bajo Demanda |
| Infraestructura | Attack boxes On-premise | Nativo de la nube, no se necesita hardware |
| Alcance | Centrado en IPs y Puertos | Centrado en Identidades, APIs y Configuraciones |
| Entrega | Informe PDF Estático | Panel Dinámico e Integración de Tickets |
| Velocidad | Semanas de configuración y ejecución | Implementación y escaneo rápidos |
| Modelo de Costo | Grandes tarifas de proyectos únicos | Precios escalables y predecibles |
| Enfoque | Brecha y Entrada | Brecha, Pivote y Escalada de Privilegios |
Errores Comunes que Cometen las Empresas Durante el Penetration Testing en la Nube
Incluso cuando las empresas deciden hacer un Penetration Test, a menudo lo hacen de la manera incorrecta. Aquí están los errores más comunes que se deben evitar:
1. "La Trampa del Sandbox"
Muchas empresas dan al pentester acceso a un entorno de "staging" o "UAT" que es una versión saneada de producción.
Aquí está el problema: Staging rara vez es un espejo exacto de producción. La producción tiene diferentes roles de IAM, diferentes volúmenes de datos y diferentes configuraciones de red. Si solo prueba staging, está probando una fantasía. Necesita probar el entorno de producción real (con las salvaguardas adecuadas) para encontrar las vulnerabilidades reales.
2. Ignorando el "Modelo de Responsabilidad Compartida"
Algunos equipos dedican demasiado tiempo a tratar de "hackear" al proveedor de la nube. Intentan encontrar una manera de salir de un hipervisor AWS Nitro.
Si bien ese es un ejercicio académico divertido, es un desperdicio de su presupuesto. AWS y Azure gastan miles de millones para garantizar que su infraestructura subyacente sea segura. Su trabajo, y el trabajo de su pentester, es centrarse en la parte que usted controla: las configuraciones, el código y las identidades.
3. Miedo a "Romper Cosas"
Muchos gerentes están aterrorizados de que un pentester elimine accidentalmente una base de datos de producción o bloquee un servidor. Esto conduce a pruebas "restringidas" donde al pentester no se le permite intentar realmente los exploits.
Un pentest de "solo lectura" es casi inútil. El valor está en el intento. La forma de solucionar esto no es restringiendo la prueba, sino realizándola durante las horas de menor tráfico, asegurándose de que las copias de seguridad estén actualizadas y manteniendo un estrecho circuito de comunicación entre el tester y el administrador del sistema.
4. Tratar el informe como un ejercicio de "marcar la casilla"
Lo más peligroso que una empresa puede hacer es ejecutar un Penetration Test solo para satisfacer un requisito de cumplimiento (como PCI-DSS o SOC 2), archivar el informe en una carpeta y no volver a mirarlo.
Un Penetration Test es una herramienta de diagnóstico. Si no actúas sobre los hallazgos, has gastado miles de dólares para que te digan exactamente cómo te van a hackear, y luego decides ignorar la advertencia.
Lista de verificación paso a paso para el refuerzo de la seguridad Multi-Cloud
Si no estás listo para un Penetration Test completo hoy, puedes empezar por reforzar tu entorno utilizando esta lista de verificación. Esto hará que tu eventual Penetration Test sea mucho más productivo porque los testers tendrán que trabajar más duro para encontrar algo.
Gestión de Identidad y Acceso (IAM)
- Implementar MFA en todas partes: Sin excepciones. Cada usuario de la consola debe tener autenticación multifactor.
- Auditar los roles de "Propietario" y "Administrador": Cuenta cuántas personas tienen acceso administrativo completo. Si son más de 3-5 personas, tienes un problema.
- Aplicar el mínimo privilegio: Revisa los permisos de la cuenta de servicio. Si un servicio solo necesita leer de un bucket, elimina los permisos
WriteyDelete. - Rotar las claves con regularidad: Configura un proceso para rotar las API keys y los secretos cada 90 días.
Almacenamiento y seguridad de datos
- Desactivar el acceso público por defecto: Utiliza la configuración a nivel de la nube (como "Block Public Access" en AWS) para evitar que cualquier bucket sea público a menos que esté específicamente en la lista blanca.
- Cifrar todo en reposo: Asegúrate de que todos los discos y buckets estén cifrados utilizando claves gestionadas.
- Auditar los permisos de las instantáneas: Comprueba si tus instantáneas de VM o copias de seguridad de la base de datos son públicas. Esta es una fuga que se pasa por alto con frecuencia.
Configuración de red
- Eliminar las reglas "0.0.0.0/0": Busca en tus grupos de seguridad cualquier regla que permita el tráfico desde "cualquier lugar" en puertos sensibles (SSH, RDP, Database).
- Segmentar tus entornos: Asegúrate de que tus entornos de Desarrollo, Staging y Producción estén en cuentas o VPCs separadas.
- Inspeccionar los túneles entre nubes: Revisa las reglas del firewall en tu VPN o Interconnect. Solo permite que IPs y puertos específicos se muevan entre las nubes.
Registro y monitorización
- Centralizar tus registros: Envía AWS CloudTrail, Azure Activity Logs y GCP Logs a un único punto de verdad.
- Configurar alertas "críticas": Crea alertas para eventos de alto riesgo, como la creación de un nuevo usuario administrador o un cambio en los permisos del bucket.
- Revisar los registros de acceso: Comprueba regularmente quién está accediendo a tus buckets de datos más sensibles.
Preguntas frecuentes: Todo lo que necesitas saber sobre Cloud Pentesting
P: ¿Necesito notificar a mi proveedor de la nube antes de realizar un Penetration Test? R: Depende del proveedor y del tipo de prueba. En el pasado, tenías que pedir permiso. Ahora, AWS, Azure y GCP tienen "servicios permitidos" que puedes probar sin notificación previa. Sin embargo, si estás haciendo algo extremo, como una simulación masiva de DDoS, debes notificarles, o te marcarán como un atacante real y podrían suspender tu cuenta.
P: ¿Con qué frecuencia debemos realizar pruebas de Penetration Testing en la nube? R: Para la mayoría de las empresas del mercado medio, un Penetration Test manual profundo cada 6 meses es una buena cadencia. Sin embargo, tu escaneo automatizado debe ser continuo. Siempre que impulses un cambio arquitectónico importante o el lanzamiento de un nuevo producto, eso debería desencadenar una evaluación específica.
P: ¿Cuál es la diferencia entre un Penetration Test de "Caja Negra" y uno de "Caja Blanca"? R: En una prueba de Caja Negra, el pentester no tiene ningún conocimiento de tu sistema. Empiezan desde el exterior, como un atacante real. Esto pone a prueba tus defensas externas. En una prueba de Caja Blanca, les das documentación, diagramas de arquitectura y, a veces, incluso una cuenta de bajo privilegio. Esto es mucho más eficiente porque se salta la fase de "adivinación" y les permite encontrar fallos arquitectónicos profundos.
P: ¿Pueden las herramientas automatizadas reemplazar a los pentesters humanos?
R: No. Las herramientas automatizadas son excelentes para encontrar vulnerabilidades "conocidas" (CVEs) y errores de configuración. Pero no pueden entender la lógica de negocio. Una herramienta automatizada no se dará cuenta de que un usuario puede cambiar el user_id en una URL para ver los datos privados de otra persona (una vulnerabilidad IDOR). Necesitas un humano para eso.
P: ¿Es caro el Cloud Pentesting? R: Puede serlo, si utilizas el modelo de consultoría tradicional. Pero con enfoques basados en plataformas como Penetrify, el coste se vuelve mucho más manejable. Al automatizar lo "fácil" y centrar la experiencia humana en lo "difícil", obtienes más valor por tu presupuesto.
Reflexiones finales: Pasar de reactivo a proactivo
La ciberseguridad en un mundo Multi-Cloud no es un proyecto de "configurar y olvidar". Es un proceso continuo de prueba y error. Los atacantes ya están utilizando herramientas automatizadas para escanear tus rangos de IP y buscar tus claves filtradas. No están esperando a tu auditoría anual para encontrar una brecha en tu túnel de Azure a AWS.
El objetivo no es ser "inhackeable", porque eso no existe. El objetivo es hacer que atacar tu sistema sea tan difícil, lento y costoso que el atacante se rinda y busque un objetivo más fácil.
Al combinar una higiene de IAM sólida, una segmentación de red estricta y Penetration Testing en la nube de forma regular, puedes cambiar el equilibrio de poder a tu favor. Dejas de adivinar si estás seguro y empiezas a saber dónde están tus debilidades.
Si estás cansado de mirar tres consolas de nube diferentes y preguntarte si dejaste una puerta digital sin cerrar, es hora de ir más allá del simple escaneo.
¿Listo para ver dónde se esconden tus vulnerabilidades multi-nube?
Deja de esperar a que una brecha te diga dónde están tus puntos débiles. Visita Penetrify hoy mismo para descubrir cómo nuestra plataforma nativa de la nube puede ayudarte a identificar, evaluar y solucionar tus riesgos de seguridad antes de que lo hagan los malos. Aseguremos tu fortaleza, todas ellas.