Invasión de ingeniería social

Todo el mundo debe conocer al superhacker Kevin Mitnick. Está profundamente impresionado por su ingeniería social. El Departamento de Defensa de Estados Unidos, el Pentágono, la CIA, el Sistema de Defensa Aérea de América del Norte... están todos en el suyo. tiempo libre, dondequiera que vaya, nadie duda de su verdadera identidad y se siente cómodo con la información que quiere obtener. Éste es el encanto de la ingeniería social. Por supuesto, la ingeniería social no es tan difícil de entender. Este artículo se divide en tres partes: ingeniería social-sondeo de información, ingeniería social-aplicación de la psicología, ingeniería social-tecnología de contrainvestigación, etc., para que todos puedan entrar. El conocimiento de la ingeniería social. Mundo misterioso. ¿Qué hacen generalmente los ingenieros sociales? Me temo que los pequeños querrán saber, sí, su objetivo puede ser su cuenta bancaria, información privada o un secreto comercial de la empresa. Pase lo que pase, siempre intentarán encontrar un punto de entrada. Incluso si solo necesitan su nombre, pueden superar el mejor firewall o software antivirus que haya instalado. Suena un poco aterrador, pero es cierto. Empiezan a diseñar una trampa con cuidado y todo es posible. Por lo tanto, la ingeniería social también arroja un velo misterioso sobre las personas.

Prólogo

En números anteriores de gt; he introducido algunas técnicas de ingeniería social, pero son ingeniería social en un sentido estricto y algunas no tienen nada que ver con la ingeniería social. Por ejemplo, use dirshell para escanear una gran cantidad de bases de datos. Una vez que estén Email y QQ, puede usar sus contraseñas para intentarlo. Si tiene suerte, puede obtener con éxito la contraseña real. En términos generales, personas menores de 18 años. La cantidad de contraseñas que tiene es de 1 a 2, y las demás son de 1 a 3. ¿Por qué sucede esto? La mayoría de las personas prestan atención a la comodidad en todo y confían en que su información siempre estará segura. Ustedes deben haber visto que la ingeniería social en un sentido estricto no es creíble. ¿Cómo es la ingeniería social en un sentido amplio? Para decirlo sin rodeos, es un lobo blanco con guantes vacíos. Lo que requiere es que no solo conozca la información de la computadora del objetivo, sino que también comprenda las debilidades del objetivo a través de la recopilación de información, es decir, gobernar las debilidades y las debilidades humanas, y luego comenzar a construir trampas elaboradas para lograr que el objetivo entregue la información al objetivo. el atacante quiere.

Aquí hay algunos malentendidos sobre la ingeniería social. Algunos de ellos no pueden llamarse ingeniería social. No se deje engañar por algunas guarniciones. Por ejemplo, para utilizar findpass para encontrar la contraseña de un administrador en línea, el servidor se apaga, lo que obliga al administrador a iniciar sesión. Recuerde, esto no se llama ingeniería social, sino un método estúpido. Aunque el servidor está apagado, ¿sabe que el administrador está en línea? Mañana o pasado mañana, ¿tienes energía para esperar sin parar? Lo que los novatos deben saber es que la premisa de la ingeniería social es inseparable del sondeo de información. Nuestra mejor manera es guiar al objetivo paso a paso hacia nuestro propio control a través de información filtrada.

Es innegable que la ingeniería social es muy compatible con cosas relacionadas con la vida. Por ejemplo, la ingeniería social, los negocios, las transacciones, etc. pueden ver la sombra de la ingeniería social, pero la gente no puede sentirla. Incluso si la computadora está separada de Internet, equipada con un sistema avanzado de detección de intrusiones y mantenida por expertos, una cosa que no se puede ignorar es: ¡todos tenemos debilidades! Los ingenieros sociales no sólo pueden hacer buen uso de esta debilidad para servirles, sino que lo que es aún más peligroso es que esta fugaz intrusión es difícil de detectar. En resumen, esta parte hace que Xiaocai comprenda la diferencia entre ingeniería social en un sentido estricto y ingeniería social en un sentido amplio. La primera parte que abordaremos a continuación es el espionaje de información... El espionaje de información hace un buen uso de la información que lo rodea y aprovecha al máximo la información que conoce actualmente. Esta información podrá manejar emergencias. a regulaciones, sistemas, métodos y convenciones. Las regulaciones se refieren a las reglas de una industria. Podemos considerarlas como reglas de la industria o acuerdos internos. Por ejemplo, para robar el negocio del puesto B, el puesto A reduce deliberadamente el precio para monopolizar. -Derecho de Negocios Desleales. Por lo tanto, debemos hacer todo lo posible para comprender este tipo de información en todos los ámbitos de la vida. Por ejemplo, en el campus, solo aquellos en el liderazgo tendrán una lista de contactos de maestros y estudiantes en la escuela. de este tipo y aquello. Entender Esta información es muy beneficiosa para nosotros.

Además de los métodos que debemos conocer, también necesitamos terminología de la industria.

Al ver esto, Xiaocai definitivamente preguntará qué es un término y cuál es su uso principal. Bueno, los términos de la industria son "jerga" entre diferentes industrias. Por ejemplo, el término phishing en nuestra comunidad de piratas informáticos generalmente se considera pesca en línea. Por supuesto, la terminología en la industria es muy útil y la identidad de la ingeniería social cambia con frecuencia. Si queremos fingir ser empleados de banco, debemos conocer algunos términos como préstamos comprimidos, contragarantías, empresas afiliadas, etc. , de lo contrario nos confundirán con Intente llamar al gerente de una sucursal y recibirán una alarma de incendio, lo que significa que el gerente ha notado su comportamiento agresivo, por lo que la importancia de la terminología es evidente.

Entonces, al comienzo de un ataque, tenemos que hacer algunos preparativos. Suponiendo que nuestro objetivo sea una empresa de recuperación de datos, podemos comprar un libro sobre recuperación de datos y familiarizarnos con algunos conceptos terminológicos. Por cierto, finge ser un visitante y echa un vistazo a las normas y reglamentos en las paredes o mesas de las oficinas de algunos empleados. Si vas al vertedero de basura, siempre habrá un montón de papel usado, etc. , pero contiene información importante que podemos llamar Es el valor de la basura, como algunas cartas de clientes, números de identificación de empleados, etc. Ustedes deben entender que cualquier información tiene valor. Aprendiendo el disfraz de detective Supongamos que hemos obtenido cierta información sobre el objetivo, pero debemos obtener información más sensible a través del diálogo. No podemos permitir que la otra parte la descubra directamente, por lo que primero debemos completar el disfraz de identidad. Supongamos que el objetivo de una guarnición es el departamento de ventas de una sucursal de electrodomésticos, entonces será mejor que nos hagamos pasar por un vendedor de otra sucursal y conozcamos la terminología de ventas interna de su empresa, o traigamos el informe de ventas de otra sucursal, creo. la otra parte No debe haber ninguna duda de que usted no es un insider.

Cualquier ingeniero social hará que la gente piense que es digno de confianza, amigable y educado. Sin embargo, todo esto es una ilusión que ellos mismos crean. Si queremos parecer educados, es necesario disfrazar nuestro comportamiento y nuestro tono. Una cosa que es mejor de ser ingeniero social que detective es que no es necesario ponerse bigote en la boca, jaja. Por lo tanto, si a Xiaocai le gusta MM, también podría imitar al chico en su mente.

Hablemos de nuevo de los puntos clave del disfraz. No reveles tu verdadera información bajo ninguna circunstancia. Quizás nos encontremos con algunos imprevistos, así que cuando empecemos a prepararnos, traiga un teléfono móvil con poco saldo y no lo vuelva a utilizar después de usarlo, para evitar sospechas. También existen cuentas de comunicación como QQ. Nunca utilice su propio QQ. Después de obtener la información del objetivo, es mejor preparar un sobre para usted y arrastrar a la otra parte a la lista negra. Debilidades de la naturaleza humana Todo el mundo tiene debilidades psicológicas y nadie está siempre libre de debilidades psicológicas. Podría decirse que esta parte es una parte importante de la ingeniería social, ya que pueden explotar la confianza, el deseo de ayudar y la empatía de las personas para engañarte. Entonces, ¿cómo deberíamos detectar tales debilidades? Es muy simple. Solo necesitamos construir una pregunta cuidadosa, pretender ser su colega y diseñar un problema para ayudarlo a resolverlo. Luego, la otra parte confiará en nosotros y obtendremos la información que queremos más fácilmente. y tendremos menos probabilidades de ser descubiertos. Los novatos a menudo deben tener muchas preguntas, pero siempre buscan a alguien que los ayude o quiera reconocer a un maestro. Tengo esa experiencia. Acepté 50 aprendices en una noche, pero fue solo una broma, mi método es muy. Busqueda simple y directa en Google: Estoy buscando Master, o busque en qihoo: Find Master. Luego los ayudé a resolver un problema y me gané su confianza en solo dos o tres frases. Algunos incluso planearon gastar dinero para contratarme, pero les dije que era solo una broma. Este ejemplo se aprovechó de su confianza en la persona que eran. ración. Esta parte es la más dañina, por lo que la hablaré por separado. Consulte Ingeniería social: aplicación de la psicología. Organizar información y construir trampas Supongamos que tenemos información a través de los colegas del objetivo, como el nombre real del objetivo, información de contacto, horario de trabajo, etc. Si esto no es suficiente, un ingeniero social capacitado organizará, clasificará y filtrará la información. Construir una trampa bien preparada para que el objetivo pueda entrar en ella por sí solo.

Permíteme usar una analogía y declarar que este es el caso de mi amigo.

R: No puedes abrir el foro ahora, ¿verdad?

B: Sí, está en blanco cuando se abre

R: Eso se debe a un error de autenticación de identidad. Soy el administrador del foro XX. Necesitas enviar el nombre de usuario. y contraseña del foro a XX para evitar que el sistema restablezca su acceso más adelante.

B: ¿Ahora?

R: Sí, tengo que restaurarlo inmediatamente; de ​​lo contrario, cancelaré la cuenta.

Después de un tiempo, mi amigo obtuvo exitosamente su cuenta VIP en un foro determinado. ¿Por qué no se puede abrir el foro? En este ejemplo, podemos ver la importancia de organizar la información. B puede Si responde correctamente a la primera pregunta, A puede considerar otra forma. Este caso es muy simple, es decir, B no sabe mucho sobre computadoras, tiene miedo de perder su cuenta y no tiene ninguna sospecha, por lo que dio. La contraseña es A, y esta contraseña es casi universal. Ahora, las contraseñas de la mayoría de los internautas son casi universales, lo que causará pérdidas muy grandes. Por ejemplo, si un pirata informático se lleva la biblioteca (base de datos) de este foro, tal vez su objetivo. eres tú y cifra la base de datos del foro. Si la contraseña está descifrada, entonces tu contraseña se ha filtrado, ¡no importa! Lo terrible es que si se descubre que su contraseña es universal (normalmente los trabajadores sociales comprobarán si su contraseña de correo electrónico es la misma después de obtenerla) y si se confirma que es universal, se producirán pérdidas. El mayor "caso de asesinato". ' causado por una contraseña"! Entonces Xiaocai entiende que las personas mayores siempre te dicen que no uses la misma contraseña y nunca le digas tu contraseña a un tercero. Aplicación de la Psicología

Como se mencionó anteriormente, sabemos que la debilidad humana es una parte importante de la ingeniería social. De hecho, esta es una aplicación de la psicología y una rama de la ingeniería social, este artículo analiza tres ataques típicos. casos en "El arte del engaño" escrito por el ingeniero social Kevin Mitnick desde una perspectiva psicológica, y revela la aplicación de la psicología en la ingeniería social. Para ahorrar espacio, no voy a copiar el caso, así que consulte el documento "El arte del engaño" incluido con el CD para leerlo.

Comprobación de reputación

El atacante necesita consultar el registro de transacciones de un usuario en el banco nacional. Sin embargo, es imposible que el banco acepte dicha solicitud, por lo que el atacante inicia su búsqueda. acción. En la primera llamada, el atacante marcó el número del National Bank y aprendió con éxito la jerga interna de Jim Andrews con preguntas personales. En la segunda llamada, el atacante utilizó al representante de servicio al cliente de Trusted Check para llamar a la oficina de apertura de cuentas bancarias y obtuvo la información que quería a través de una investigación. En la tercera llamada, el atacante utilizó a un empleado del banco nacional para llamar a la oficina de cheques acreditada y finalmente conoció los registros de transacciones de la cuenta del usuario objetivo. El siguiente texto marcado entre comillas dobles se refiere al análisis y resumen de Kevin Mitnick.

Cuando llamé al banco, la primera joven, Jim, dudó cuando les pregunté cómo podían identificarse en las verificaciones de crédito. Ella dudó, sin estar segura de si debía decírmelo. La vacilación nos envió una señal eficaz. Se puede decir que sus pensamientos psicológicos en ese momento dependían completamente del juicio de su cerebro izquierdo. El cerebro izquierdo es responsable de las actividades verbales (escuchar, hablar, leer, escribir), operaciones matemáticas, razonamiento lógico, etc. Tiene funciones como continuidad, orden y análisis. Es el centro del pensamiento abstracto, por lo que en este momento. Necesitamos darle a la otra parte razones creíbles. Creo que debes haber tenido la experiencia de pedir dinero prestado afuera. Cuando intentas preguntarle a una señora extraña, ella dudará un poco, pero si le dices que eres director y te pierdes afuera, le das una tarjeta de director. No creo que ningún extraño rechace una tarjeta de presentación, porque la señora estaba convencida de que él era director y la tarjeta de presentación le impedía dudar de él.

Debes confiar en tus propios sentimientos y escuchar atentamente lo que Marcos [la persona engañada] dice y cómo lo dice. Cada una de nuestras vidas se basa en dos formas de transmisión de información. La primera es la transmisión interna, que son descripciones internas, susurros y sentimientos; la segunda es la transmisión externa, que incluye palabras, tono, expresiones, comportamiento, comportamiento, etc. para contactar con el mundo exterior, lo que determina el éxito o no de la Ingeniería social. Los ingenieros sociales deben filtrar la información más útil a través de transmisión externa para determinar la personalidad, el tipo de sentimiento y las características psicológicas de la otra parte.

Ahora debes comprender algunas diferencias familiares. Supongamos que el hombre es del tipo auditivo y la mujer es del tipo visual. Si la mujer pregunta: ¿me amas? Si un hombre dice te amo y una mujer dice no siento que me ames, es obvio que tienen una crisis de confianza. Si el hombre conduce su auto hasta su empresa para entregarle un ramo de flores, el resultado es obvio. .

Fallo de red

La misión de Bobby: implantar un caballo de Troya en el ordenador de la oficina del Capitán Starboard. En la primera llamada, Bobby se hizo pasar por el centro de servicio Eddie Martin, mintió acerca de un problema de red y obtuvo el número de puerto de la computadora. En la segunda llamada, Bobby se hizo pasar por Bob y pidió al soporte técnico de la fábrica que bloqueara el número de puerto. En la tercera llamada, la solicitud de ayuda de Tom DeLay cayó en la trampa de Eddie. En la cuarta llamada, Tom confió completamente en Eddie y ejecutó el programa troyano de Bobby.

Esta vez, la otra parte estaba agradecida por ayudarlo a resolver el problema, por lo que Tom aceptó descargar un software a su computadora. Esta mentalidad existe entre muchas personas porque no podemos cuestionar la sinceridad de la ayuda de la otra parte y relajar nuestra confianza en el atacante si no podemos identificar esta ayuda falsa. Como dijo Kevin Mitnick: Es sorprendente la facilidad con la que un ingeniero social puede conseguir que la gente haga cosas por él basándose en esas solicitudes cuidadosamente elaboradas. La premisa es provocar una respuesta automática basada en efectos psicológicos, basándose en los atajos mentales de las personas cuando sienten que quien llama es un aliado. Las personas generan confianza de muchas maneras, pero todas construyen relaciones de confianza a través de la conversación y la ayuda, intencionalmente o no, sin intenciones maliciosas. Pero el ingeniero social no lo cree así. ¿Puede investigar qué problemas ha encontrado temporalmente? Si sin darte cuenta pides ayuda en un foro o grupo de discusión de Google, él te ayudará fácilmente a resolverlo; de lo contrario, puede crearte problemas por su cuenta para construir una relación de confianza. En cuanto a los ataques de pseudoayuda, nosotros, los chinos o la mayoría de la gente, tenemos esa debilidad en nuestra psicología. Las personas son de buen corazón y es imposible permanecer alerta contra los atacantes en todo momento a menos que los individuos realicen una verificación cuidadosa. Tecnología antiinspección

¿Qué es la tecnología antiinspección? Es decir, tecnología de contrainvestigación. En un ataque de piratas informáticos, la parte más importante no es invadir con éxito el host, sino borrar los rastros y evitar que el administrador descubra la intrusión y la falsificación de datos. Del mismo modo, la ingeniería social también tiene este concepto. Entonces, ¿qué rastros debemos eliminar para evitar ser descubiertos por la policía de Internet (en adelante, la policía de Internet)? En esta parte, analizamos el problema desde la perspectiva de la policía de Internet y vemos cómo pueden encontrar pistas sobre los ingenieros sociales. O una broma: no encuentran ningún rastro tan fácilmente. Aquí usamos un caso para explicar. Tenga en cuenta que este es un caso ficticio. Corríjame si es inapropiado.

En el sitio

gt; Departamento de Servicio de Almacenamiento de Datos Xiao Zhang

Xiao Zhang estaba ocupado registrando clientes que habían extraído datos, cuando de repente sonó la línea interna.

Xiao Zhang: Hola, Departamento de Servicio de Almacenamiento de Datos.

Xiao Wang: Soy Xiao Wang, del departamento de posservicio de almacenamiento de datos. La computadora de nuestra recepción no funciona. Necesito tu ayuda.

Xiao Zhang: ¿Puedo saber su identificación de empleado?

Xiao Wang: Bueno, el ID es 97845.

Xiao Zhang: ¿En qué puedo ayudarte?

Xiao Wang: Nuestra red no funciona. Necesito que hagas una copia de los datos de la empresa XX y la pongas en el mostrador de recepción de clientes en el segundo piso.

Xiao Zhang: Está bien, hay muchas cosas a mi alrededor, te las enviaré de inmediato.

Tal como pensaba el atacante, logró obtener los datos internos de una empresa y publicarlos online. Esto provocó graves pérdidas económicas a la empresa, que empezó a denunciarlo a la policía de Internet. Sin embargo, no había pistas. La llamada telefónica era una línea interna de la empresa y el llamado Xiao Wang no existía en absoluto. El servidor de almacenamiento de datos estaba intacto. Como último recurso, comenzaron a intentar rastrearlo. La fuente de la IP de los datos corporativos que circulan en Internet, sin embargo, los datos fueron procesados ​​a través de múltiples procesos, la ruta de transmisión fue encriptada y el caso cayó en una situación desesperada.

Creo que debes tener tres dudas: 1. ¿Cómo sabe el atacante el número interno? 2. ¿Por qué el atacante tiene una determinada identificación de empleado? 3. ¿Qué método utilizó el atacante para ocultar la IP? Esto es muy simple si va al hospital a ver a un médico, definitivamente prestará atención a la lista de médicos tratantes en la pared, que está marcada con identificación, información de contacto y número de habitación en el piso. el hospital debe brindar mejores servicios a los pacientes. Asimismo, las empresas de almacenamiento de datos también mantienen dichas listas. Sin embargo, en este caso, Xiao Wang no ingresó a la empresa de servicios de almacenamiento de datos, sino que pagó parte de la tarifa a la empresa de eliminación de basura para poder encontrar algo en ella. Lo que el atacante estaba buscando era una lista de contactos de empleados antigua. que también se adjuntó el número de extensión.

¿Cómo se oculta la IP? Veamos cuatro formas de transmitir registros: 1. IP directa, 2. Acceso telefónico ADSL, 3. Proxy, 4. Transmisión por ruta aleatoria. Déjame explicarle a Xiaocai. IP directa significa tener una IP pública y los registros publicados también mostrarán la IP real. No recomiendo este enfoque. Acceso a Internet ADSL, el ISP registrará qué número de teléfono esta dirección IP está en línea en un momento específico, ¿crees que esto sigue siendo seguro? ¿Es segura la navegación proxy? Si el propietario o la agencia proveedora de servicios llega a un acuerdo con la policía de Internet, la clave es que la policía de Internet tenga la paciencia para negociar con la agencia proveedora de servicios. Transmisión de enrutamiento aleatorio, cada solicitud para transmitir información se realizará mediante enrutamiento aleatorio. Cada serie de pasos está encriptada. Además, cada computadora en esta serie de líneas de transmisión solo conocerá las direcciones de las computadoras más cercanas. En otras palabras, el enrutador B solo sabe que el enrutador A transmite páginas web a través de él, y esta solicitud de transmisión puede ser reenviada por el enrutador C. Entonces, ¿crees que la policía de Internet puede encontrar una pista sobre esto?

A continuación, averigüemos qué está haciendo la policía de Internet. ¿Pueden sus técnicas hacer frente a los ingenieros sociales? Si los lectores buscan investigaciones sobre métodos y herramientas de tecnología informática forense, creo que encontrarán la información más importante, es decir, su atención se centra en los sistemas de detección de intrusiones, la recuperación de datos, el descifrado de cifrado, las técnicas de ingeniería inversa y el uso de herramientas de software de informática forense. Sin embargo, ignoran el factor humano. Lo maravilloso de los ingenieros sociales es encontrar lagunas fatales en las personas y en las regulaciones. La protección contra ataques de ingenieros sociales sigue siendo un tema vacío en los cursos de seguridad de redes. Cuando este tipo de ataques se vuelven graves, esta se convierte en la consideración principal para los expertos en seguridad de redes. Aún más sorprendente, sin embargo, es que la policía cibernética ocasionalmente descubre que la fuente de un ataque se origina dentro de sus propias filas. Algunos medios deifican a la policía de Internet. Por ejemplo, una operación policial de Internet capturó a un atacante en un cibercafé. Esto no tiene nada de especial. El problema es que el atacante no ocultó su IP y utilizó una computadora pública. cosa para la policía de Internet.

Comportamiento

¿Crees en los detectores de mentiras? ¡No, me niego a creerlo! Sólo hay dos tipos de personas que dicen este tipo de cosas, uno son psicólogos y el otro son ingenieros sociales.

Aquí empezamos con un caso típico, que es la conocida historia de la policía atrapando al ladrón. Lo que más nos preocupa es en qué condiciones se basa la policía para analizar quién se parece más a un ladrón. ¿Cómo puede un ladrón entre la multitud convertirse en una voluta de aire? Esto es muy simple una vez que la persona en el monitor cumpla con dos características obvias: cejas severas y mirar a su alrededor, juzgará en base a esto. Debes haber conocido a los llamados adivinos. Tienen la extraordinaria habilidad de juzgar en qué tipo de trabajo estás involucrado y qué tipo de problemas encuentras en función de tu ropa, comportamiento y palabras. Sí, ustedes definitivamente pueden adivinar lo que quiero decir: el comportamiento puede reflejar el estado de una persona.

Bien, hablemos del comportamiento de las personas en la realidad y en Internet. Como se mencionó anteriormente, el comportamiento puede reflejar a las personas. ¿Qué sucede una vez que cambiamos nuestro comportamiento? ¿Crees que es posible que un norteño hable como un sureño y no sólo se vista y se comporte como un sureño vivo? Por supuesto, las guarniciones definitivamente incluirán algunos actores como Andy Lau, Jacky Cheung, etc. El "disfraz" en ingeniería social es el término "habilidades de actuación" a los ojos de las celebridades. Realízate un entrenamiento sencillo, el comportamiento mostrado puede ocultarse a los ojos de las personas, lo que debe ser increíble para los más pequeños. Aquí tienes una tarea muy sencilla.

Imita la forma en que habla tu padre y llama a tu madre. Puedes descubrir el propósito tú mismo. Sí, esto es un poco difícil, es decir, disfrazar el acento, a los ingenieros sociales no les importará, simplemente descargue un software de cambio de voz de Internet y convierta las palabras pronunciadas a través del software de cambio de voz en salida. ¿Eh? ¿Qué software o herramientas utilizan habitualmente los ingenieros sociales? Xiao Cai debe preguntar esto, es muy simple, siempre que los ingenieros sociales tengan algo en sus manos, intentarán explotarlo.

El último requisito es la calidad psicológica. La prueba del polígrafo se basa en el tono de la voz y el estado fisiológico. Cuando utilizamos las lagunas del programa del polígrafo para realizar la prueba, aparecerán resultados incorrectos. ocasionalmente fallan las pruebas del polígrafo? Su estado de ánimo se encuentra en un estado de extrema tensión y cada respuesta definitivamente alterará su estado de ánimo. Los ingenieros sociales tienen fuertes cualidades psicológicas en este ámbito. Si la policía de Internet no puede encontrar ningún rastro de evidencia, la iniciativa todavía está en sus manos.