PsExec: nueva implementación sobre el puerto 135

La compañía Israelí Pentera publicó un informe de seguridad en el que muestra el desarrollo de una nueva implementación para la utilidad PsExec, dicha implementación permite moverse lateralmente en una red utilizando el puerto 135/TCP en vez del tradicional puerto 445/TCP de Windows, un puerto menos vigilado.

PsExec está diseñado para ayudar a los administradores a ejecutar procesos de forma remota en las máquinas de la red sin necesidad de instalar software adicional.

Las diferentes implementaciones de PsExec como la que utiliza Impacket, son de sobra conocidas por los atacantes y las utilizan de forma frecuente en las etapas posteriores a la explotación de un ataque, para propagarse en la red, ejecutar comandos en múltiples sistemas o desplegar malware.

¿Cómo funciona PsExec?

PsExec normalmente utiliza el protocolo SMB para ejecutarse, y la mayoría de las veces se ejecuta en el puerto 445. Requiere SMB para enumerar los recursos compartidos en los cuales se tenga permisos de escritura, posteriormente puede utilizar uno de los recursos compartidos con permisos de escritura para cargar un ejecutable en él. La herramienta también utiliza SMB para mostrar al usuario la respuesta de los comandos.

PsExec requiere tres parámetros para ejecutarse: nombre del ordenador, credenciales de usuario y un comando. Como hemos comentado anteriormente PsExec no requiere ninguna instalación; todo lo que necesita para funcionar es que esté habilitado el uso compartido de archivos e impresoras de Windows en la máquina remota, así como un directorio/carpeta compartida disponible con permisos de escritura para las credenciales del usuario empleado.

Tanto la versión original como la variante de Impacket funcionan de forma similar. Utilizan una conexión SMB y se basan en el puerto 445, que debe estar abierto para comunicarse a través del protocolo de intercambio de archivos de red SMB.

Las llamadas a procedimientos remotos (RPC) es un protocolo que proporciona una comunicación de alto nivel con el sistema operativo. Se basan en la existencia de un protocolo de transporte, como TCP o SMB, para hacer llegar los mensajes entre las aplicaciones/servicios que se quieren comunicar. RPC implementa muchas funciones que pueden ayudar a un usuario a crear, gestionar y ejecutar servicios en el sistema operativo.

Nueva Implementación de PsExec

Pentera pudo construir una implementación de PsExec basada únicamente en el puerto 135, utilizando las librerías de Impacket.  Esta implementación también utiliza una conexión SMB y se basa en el puerto 445. Utiliza métodos DCE/RPC  como el SVCCTL, que se utiliza para gestionar los servicios de Windows a través del SCM (Service Control Manager)

Pentera descubrió que el protocolo SMB se utiliza para cargar el ejecutable, reenviar la entrada y la salida. Los comandos se ejecutan utilizando llamadas DCE/RPC, y los procesos se ejecutan independientemente de la salida.

Fuente: Pentera Labs

La nueva implementación del PsExec de Pentera hace uso de llamadas RPC para poder crear un servicio que ejecute un comando de su elección, e iniciar el servicio, sin el uso del puerto 445. Esta implementación no muestra una salida de ejecución.

Fuente: Pentera Labs

Conclusiones

Cuando tratamos de protegernos de este tipo de movimientos laterales, la mayoría de las veces solemos centrarnos en el puerto 445 como la «fuente de todos los males». Sin embargo, a veces olvidamos que el puerto 135 también puede ejecutar SMB.

Hay que tener en cuenta que SMB no es el único protocolo explotable. DCE/RPC, como se ha comentado anteriormente, es un protocolo mucho más valioso para los atacantes en comparación con SMB, y sin embargo muchas veces se pasa por alto y/o no se vigila adecuadamente.


Fuente: Hispasec.com

Ejecución de código remoto en Zoom sin que el usuario llegue a interactuar

Project Zero de Google ha publicado los detalles de una ejecución de código remoto que afecta a Zoom permitiendo la ejecución de código remota.

Debido a una serie de vulnerabilidades detectadas se puede realizar la explotación de ellas, pudiendo ejecutar código remoto en el ordenador de un usuario a través de un mensaje de chat, sin que este llegue a interactuar en ningún momento para llegar a ser comprometido.

Lista de CVEs utilizados para la explotación de la ejecución de código remoto:

  • CVE-2022-25235: Fallo en expat en el análisis de XML no fiables.
  • CVE-2022-25236: Fallo en expat al analizar XML no fiables.
  • CVE-2022-22784: Fallo en el cliente de Zoom (versiones previas a la 5.10.0) en la que se explota el analizador de XML debido a un fallo pudiendo obtener ejecución de código remoto.
  • CVE-2022-22786: Fallo en el cliente de Zoom de Windows (versiones previas a la 5.10.0) que permite al atacante bajar la versión del cliente a una menos segura.
  • CVE-2022-22787: Fallo en los clientes de Zoom (versiones previas a la 5.10.0) que permiten validar el nombre de host durante un intercambio de petición permitiendo al atacante que el cliente se conecte a un servidor malicioso.
  • CVE-2022-22785: Fallo en el cliente de Zoom en las distintas plataformas (versiones previas a la 5.10.0) en la que la el atacante puede realizar un ataque de spoofing a un usuario.

Zoom ha parcheado el cliente y el lado del servidor, quedando resuelto desde la versión 5.10.4

Este tipo de fallos nos hace recoredar la importancia de mantener nuestros sistemas actualizados. Ya que podemos ser víctimas de un ataque sin que lleguemos a realizar ninguna acción, simplemente porque el software pueda ser fácilmente vulnerado.


Fuente: Hispasec.com

El virus que utiliza YouTube como medio de propagación

La famosa plataforma de vídeos YouTube, esta siendo protagonista como método de propagación de malware a través de videos enfocados a un público más juvenil, utilizando vídeos sobre videojuegos para propagar esta amenaza.

Un nuevo paquete malicioso usa los canales de YouTube de las víctimas para subir tutoriales en vídeo, que promueven trampas y trucos falsos para videojuegos populares para propagar aún más el paquete malicioso.

El paquete malicioso de autopropagación se ha promocionado en videos de YouTube dirigidos a jugadores de videojuegos. Estos vídeos cargados contenían enlaces para descargar cracks y trucos falsos, pero en realidad instalaron el mismo paquete de software malicioso autopropagante que infectó al usuario que los subió.

En un nuevo informe de Kaspersky, los investigadores descubrieron un archivo RAR que contenía una colección de malware, sobre todo RedLine, uno de los ladrones de información más extendidos que existen.

RedLine puede robar información almacenada en el navegador web de una víctima, como cookies, contraseñas de cuentas y tarjetas de crédito, acceder a conversaciones de mensajería instantánea y comprometer carteras de criptomonedas.

Además, el archivo RAR contiene un malware minero que utilizaba la tarjeta gráfica de la víctima para extraer criptomonedas para los atacantes.

Gracias a NirCmd cuando se ejecuta, todos los binarios están ocultos y no generan ningún ícono en las ventanas o barras de tareas en la interfaz, por lo que la víctima no será consciente. Los ejecutables infectados y empaquetados no son particularmente interesantes por sí solos, los actores maliciosos a menudo los emplean en otras campañas de distribución de malware.

Este método agresivo de distribución dificulta la censura y la eliminación en YouTube porque los videos que apuntan a descargas maliciosas se cargan desde cuentas que pueden tener un largo historial de limpieza.

Se recomienda mucha precaución a la hora de descargar contenido desde canales de origen desconocido ya que este es el principal método de propagación del virus.


Fuente: Hispasec.com

Descubierta una vulnerabilidad en Pegasus Airlines que filtró 6,5 TB de datos alojados en AWS

Pegasus Airlines es una aerolínea de bajo costo con sede en Turquía que expuso al público los datos de Electronic Flight Bag (EFB), incluida información confidencial como el código fuente, los datos de la tripulación, el personal, y los detalles de vuelo.

Han sido compartidos detalles de un almacenamiento de datos en la nube sin protección durante una semana en un deposito de AWS S3 pertenecientes a un operador de vuelos nacionales e internacionales turco de bajo costo conocido como Pegasus Airlines.

Se almacenaron alrededor de 23 millones de documentos en el depósito de AWS S3 sin protección, lo que equivalía a unos 6,5 TB de datos. 

Los datos expuestos incluyeron más de 3 millones de archivos confidenciales de datos de vuelo:

  • Gráficos/revisiones de vuelo.
  • Detalles de problemas relacionados con controles previos al vuelo.
  •  Documentos de seguros e información de turnos de tripulación.
  • Navegación de aeronaves.
  • Reabastecimiento de combustible.
  • Procedimientos de seguridad .
  • Otras operaciones en vuelo.
  • El código fuente del software EFB.

Además, más de 1,6 millones de archivos contenían la PII (información de identificación personal) de la tripulación de la aerolínea como claves secretas y contraseñas en texto plano, incluyendo fotos y firmas.

Los datos filtrados se rastrearon medianter el software EFB (Electronic Flight Bag), llamado PegasusEFB. Dicho software está desarrollado por Pegasus Airlines y actúa como una herramienta de gestión de información para la aerolínea usadas por los pilotos para varias funciones como despegue/aterrizaje. Los EFB ayudan a optimizar la productividad de la tripulación al ofrecer materiales de referencia vitales para el vuelo.

La fuga de datos ha puesto en peligro la seguridad y la privacidad de los miembros de la tripulación de Pegasus Airline. Los grupos del crimen organizado pueden coaccionar a los miembros de la tripulación, y los malos actores pueden identificar lagunas de seguridad en la seguridad de la aerolínea y de los aeropuertos en los que opera.

Los ciberdelincuentes no han llegado a tiempo para descubrir esta vulnerabilidad pero podrían haber manipulado los datos de vuelo confidenciales y archivos extra confidenciales utilizando contraseñas y claves secretas que se encuentran en el depósito de PegasusEFB. Su contenido puede bloquear los datos vitales de EFB para que no lleguen al personal de la aerolínea y poner en riesgo a los pasajeros y miembros de la tripulación.


Fuente: Hispasec.com

Se multiplican por ocho los ataques a través de una antigua vulnerabilidad de Microsoft Office

Los exploits contra MS Office suponen el 82% del total de incidentes en las distintas plataformas, según el último informe trimestral sobre malware de Kaspersky.

Las versiones antiguas de las aplicaciones siguen siendo el principal objetivo de los atacantes, con casi 547.000 usuarios afectados en total en el último trimestre. Además, el número de usuarios afectados por la vulnerabilidad de ejecución remota de código MSHTML de Microsoft, que ya se había detectado en ataques dirigidos, se multiplicó por ocho.  

En el segundo trimestre de 2022, el número de ataques que explotan las vulnerabilidades del paquete de Microsoft Office aumentó, representando ahora el 82% del número total de exploits para diferentes plataformas y software, como Adobe Flash, Android, Java, etc. 

Los expertos de Kaspersky descubrieron que los exploits de la vulnerabilidad, denominada CVE-2021-40444, se utilizaron para atacar a casi 5.000 personas durante el segundo trimestre de 2022, siendo de ellas 292 en España, lo que supone ocho veces más que durante los tres primeros meses del año. Esta vulnerabilidad zero-day en el motor MSHTML de Internet Explorer se notificó por primera vez en septiembre de 2021. El motor es un componente del sistema utilizado por las aplicaciones de Microsoft Office para gestionar el contenido web. Cuando se utiliza, permite la ejecución remota de código malicioso en los ordenadores de las víctimas. 

Según los datos de telemetría de Kaspersky, CVE-2021-40444 fue empleado anteriormente para ataques dirigidos  a organizaciones dedicadas a la investigación y desarrollo, energía e industria, tecnología financiera y médica, así como telecomunicaciones e informática.

«Dado que la vulnerabilidad es bastante fácil de usar, esperamos un aumento de su explotación. Los ciberdelincuentes elaboran documentos maliciosos y convencen a sus víctimas para que los abran mediante técnicas de ingeniería social. A continuación, la aplicación de Microsoft Office descarga y ejecuta un script malicioso. Para estar protegidos, es fundamental instalar el parche del proveedor, utilizar soluciones de seguridad capaces de detectar la explotación de la vulnerabilidad y mantener a los empleados al tanto de las ciberamenazas modernas», comenta Alexander Kolesnikov, analista de malware de Kaspersky.

Las versiones antiguas del paquete de Microsoft Office atraen a los ciberatacantes

CVE-2018-0802 y CVE-2017-11882 han liderado el número de ataques en cuanto al total de víctimas en el segundo trimestre de 2022, experimentando un ligero aumento respecto al primero. Se utilizaron para atacar a casi 487.000 usuarios a través de versiones antiguas de los programas de la suite Microsoft Office, que siguen siendo bastante populares y todavía siguen siendo un objetivo muy atractivo para los delincuentes. Aprovechando estas vulnerabilidades, los atacantes solían distribuir documentos maliciosos para dañar la memoria del componente Equation Editor y ejecutar código malicioso en el ordenador de la víctima. En España, el número de afectados por estas dos vulnerabilidades en el segundo trimestre fue respectivamente de 24.847 y 4.711. 

El número de usuarios afectados por la CVE-2017-0199 creció un 59% hasta superar los 60.000. Si se explota con éxito, esta vulnerabilidad permite a los atacantes controlar el ordenador de la víctima y ver, cambiar o eliminar datos sin su conocimiento. Los datos españoles en este caso muestran 1.596 afectados. 

Para prevenir los ataques a través de las vulnerabilidades de Microsoft Office, los analistas de Kaspersky recomiendan aplicar las siguientes medidas:

  • Proporcionar al equipo SOC acceso a la última inteligencia sobre amenazas (TI). El Portal de Inteligencia sobre Amenazas de Kaspersky es un punto único de acceso a la TI de la compañía, que proporciona datos sobre ciberataques y perspectivas recopiladas por Kaspersky durante los últimos 20 años. Para ayudar a las empresas a establecer defensas eficaces en estos tiempos complicados, Kaspersky ha anunciado el acceso gratuito a información independiente, continuamente actualizada y de origen global sobre los ciberataques y amenazas en curso. Solicite el acceso online.
  • Recibir información relevante y actualizada sobre las amenazas a tener en cuenta y las TTPs utilizadas por los atacantes.
  • Se aconseja a las empresas que utilicen una solución de seguridad que ofrezca componentes de gestión de vulnerabilidades, como la Prevención Automática de Exploit de Kaspersky Endpoint Security for Business. Este componente supervisa las acciones sospechosas de las aplicaciones y bloquea la ejecución de archivos maliciosos.

Utilizar soluciones como Kaspersky Endpoint Detection and Response y Kaspersky Managed Detection and Response que ayudan a detectar y prevenir los ataques en una etapa temprana, antes de que los atacantes puedan lograr sus objetivos.


Fuente: Diarioti.com

Retenido a rescate: 1,200 bases de datos de Elasticsearch no seguras

Encontrar, eliminar y rescatar bases de datos en la nube sigue siendo fácil, advierten los investigadores 

Nota de rescate dejada en bases de datos de Elasticsearch no seguras después de haber sido borradas (Fuente: Secureworks)

Memo para los administradores de TI: si almacena datos en la nube de manera no segura, espere que los extorsionadores lo llamen.

Los investigadores de seguridad de Secureworks Counter Threat Unit encontraron recientemente más de 1200 bases de datos de Elasticsearch basadas en la nube que habían sido borradas. Los atacantes dejaron esta tarjeta de visita: una nota de rescate almacenada en el campo de mensaje de un índice dentro de muchas de esas bases de datos que exige que la víctima envíe un pago de Bitcoin a una de las dos direcciones de Bitcoin designadas a cambio de que se restauren los datos.

Los investigadores de Secureworks CTU dicen en un informe que en las 1.200 bases de datos, cuyos propietarios no han podido rastrear, identificaron más de 450 solicitudes individuales de pagos de rescate, por un total de más de $280.000, y la demanda promedio de rescate fue de $620, pagaderos a uno de Los atacantes utilizan dos monederos Bitcoin diferentes.

Debido a que solo una de las billeteras había recibido un pago único de bajo valor, "concluimos que esta campaña no tuvo ningún éxito", dice Josh Feather, asesor principal de investigación de seguridad de la información en Secureworks. "Sin embargo, el éxito o no de esta campaña no es realmente el punto. Existen riesgos significativos al exponer las bases de datos públicamente fuera de las ramificaciones de esta actividad específica".

La exposición de datos es un riesgo obvio, sobre todo si la información que se almacena es confidencial o puede estar sujeta a requisitos de cumplimiento, por ejemplo, información personal privada que está protegida por el Reglamento general de protección de datos de la UE .

La integridad y continuidad de los datos es otro riesgo. "El actor de amenazas probablemente usó un script automatizado para identificar las bases de datos vulnerables, borrar los datos y soltar la nota de rescate", dice Secureworks. En consecuencia, es probable que los datos hayan desaparecido y el rescate ahora sea solo una estafa.

"Si bien el actor de amenazas podría haber usado una herramienta como Elasticdump para filtrar los datos, el costo de almacenar datos de 1200 bases de datos sería prohibitivamente costoso", dice Secureworks. "Por lo tanto, es probable que no se haya hecho una copia de seguridad de los datos y que pagar el rescate no los restauraría".

Repita el problema

Esta no es la primera vez que los datos almacenados en la nube se exponen inadvertidamente. Solo esta semana, por ejemplo, los investigadores advirtieron que 6,5 TB de datos electrónicos confidenciales de vuelos pertenecientes a Pegasus Airlines de Turquía habían sido expuestos a través de un cubo de Amazon S3 mal configurado. Más allá de los depósitos de S3, numerosos incidentes de exposición de datos continúan rastreando hasta ElasticsearchMongoDB y otras bases de datos basadas en la nube no seguras.

"Descubrir las bases de datos expuestas sería trivialmente fácil, utilizando una herramienta como Shodan para identificar cadenas de datos que solo estarían presentes en instancias abiertas y no seguras de Elasticsearch", dice Feather de Secureworks a Information Security Media Group. "Escribir un script para ejecutar esas búsquedas automáticamente, eliminar índices sistemáticamente y reemplazarlos con notas de rescate es obviamente más difícil, pero técnicamente no es particularmente desafiante".

Tal exposición de datos se produce a pesar de que muchas de estas herramientas, de forma predeterminada, nunca exponen los datos que almacenan en Internet. En otras palabras, los administradores deben deshabilitar las protecciones integradas para que ocurra este tipo de exposición de datos.

Cloud Database Essential: controles de acceso

Si los administradores de bases de datos en la nube permiten el acceso público a los datos, los expertos dicen que nunca deben asumir que se implementarán controles de acceso.

"Las instancias gratuitas de Elasticsearch no vienen con ninguna capacidad de autenticación básica preconfigurada", dice Feather. "Las licencias de Enterprise Elasticsearch vienen con funciones de seguridad preconfiguradas, pero el usuario aún debe habilitarlas".

Del mismo modo, dice, si bien existe una variedad de complementos que pueden aumentar la seguridad, "incluidos el cifrado, los controles de acceso basados ​​en funciones, la compatibilidad con el Protocolo ligero de acceso a directorios y la auditoría/registro", todos estos complementos "deben configurarse por el usuario" para ser añadido, activado y también efectivo.

"Sería recomendable no almacenar ninguna información importante o confidencial en una instancia de Elasticsearch que no tenga suficientes controles de seguridad", dice Feather. Para hacer cumplir tales políticas de seguridad, recomienda establecer marcos que apliquen controles de acceso "de acuerdo con la sensibilidad de los datos que se protegen".


Fuente: Databreachtoday.com

Ataque de cifrado de datos en sistemas Windows con BitLocker

Microsoft ha publicado una investigación realizada al grupo iraní conocido como DEV-0270 en la que han realizado ataques de cifrado de datos a víctimas usando la herramienta de cifrado de discos BitLocker que incorpora el propio sistema operativo de Microsoft.

El equipo de inteligencia de amenazas de Microsoft asegura que el grupo DEV-0270 (también conocido como Nemesis Kitten) ha estado abusando de la función BitLocker de Windows en sus ataques y la ha usado para cifrar los datos de los discos de sus víctimas con la posterior petición de rescate a las mismas.

Los analistas de Microsoft comentan que los atacantes aprovechan las recientes vulnerabilidades de seguridad reveladas y LOLBINs (Living Off the Land Binaries, una técnica que se basa en aprovecharse de binarios propios del sistema para ocasionar un importante daño en un ataque, con una tasa de detección relativamente baja) en sus ataques.

En este caso concreto se usa BitLocker, una función de protección de datos que proporciona cifrado de volumen completo en dispositivos que ejecutan Windows 10, Windows 11 o Windows Server 2016 y superior.

Cadena de ataque de DEV-0270 (Microsoft)

Según la investigación, el grupo utiliza DiskCryptor, un sistema de cifrado de disco de código abierto para Windows que permite el cifrado completo del disco duro de un dispositivo.

Desde el acceso de los atacantes a los equipos hasta la aparición de la nota de rescate de los equipos bloqueados pasaron aproximádamente dos días y en las notas se exige el pago de la cantidad de 8.000 dólares a cambio de las claves de desbloqueo de la información.

Para el descubrimiento de controladores de dominio, los atacantes hacen uso de los siguientes comandos de PowerShell y WMI:

"powershell.exe" /c Get-WMIObject Win32_NTDomain | findstr DomainController
"findstr.exe" DomainController

Microsoft dice que este grupo de atacantes es una división del grupo «Phosphorus» respaldado por Irán (conocido también como Charmin Kitten y APT35) conocios por dirigir sus ataques a víctimas de alto perfil vinculadas a gobiernos, ONGs y organizaciones de defensa de todo el mundo.

El grupo DEV-0270 está siendo operado por una empresa iraní conocida bajo dos alias: Secnerd (secnerd[.]ir) y Lifeweb (lifeweb[.]it).

Estas organizaciones también están vinculadas a Najee Technology Hooshmand (ناجی تکنولوژی هوشمند), ubicada en Karaj, Irán, según las investigaciones.

El grupo suele ser oportunista en su orientación: escanean Internet para encontrar servidores y dispositivos, lo que hace que las organizaciones con servidores y dispositivos vulnerables y detectables sean susceptibles a estos ataques.

Dado que muchos de los ataques de DEV-0270 han explotado vulnerabilidades conocidas en Exchange (ProxyLogon) o Fortinet (CVE-2018-13379), se recomienda a las empresas parchear sus servidores y equipos para bloquear los intentos de explotación y los posteriores ataques de ransomware.

Para estos casos, herramientas como SANA (Servicio de Análisis, Notificaciones y Alertas de seguridad), creada por Hispasec, ayudan a las empresas a monitorizar y gestionar las potenciales vulnerabilidades de sus sistemas.


Fuente: Hispasec.com

Vulnerabilidades graves en un conocido framework android

El equipo de investigadores de Microsoft encontró una serie de vulnerabilidades graves que permitía ejecución de comandos y escalada de privilegios en un conocido framework distribuido por MCE Systems.

La vulnerabilidad se encuentra en el paquete com.mce.mceiotraceagent . Este paquete es utilizado por multitud de aplicaciones instaladas de fábrica en los dispositivos. Lo que expone a usuarios normales a ataques de diversa índole. Debido al tipo de utilidades que ofrece el framework, las aplicaciones que lo usan requieren permisos elevados, lo que aumenta la magnitud del problema.

El origen de la vulnerabilidad.

El origen de la vulnerabilidad, reside en una actividad expuesta marcada como BROWSABLE. Las actividades marcadas de esta manera permiten ser invocadas desde un navegador con normalidad. De este modo cualquier usuario que acceda a una url que comience por mcedigital:// estaría interactuando con la aplicación. Esta actividad se ejecuta en un contexto donde se interpreta código javascript con la capacidad de acceder a la función ‘requests’.

La función ‘requests’ de esta aplicación, permite llamar a una serie de servicios del sistema permitiendo entre otros: tomar capturas de audioacceder al almacenamiento del dispositivo o modificar los ajustes de red del dispositivo. Adicionalmente, los parámetros que toma esta función no se encuentran debidamente saneados, lo que permite mediante la concatenación de comandos, la ejecución de cualquier comando en el contexto de ejecución de la aplicación.

A estos fallos y varios derivados se le han asignado los CVE 2021-42598, 2021-42599, 2021-42600 y 2021-42601. Además se han añadido nuevas comprobaciones al motor de seguridad de Google Play Protect para evitar problemas similares en el futuro. Se han emitido múltiples parches para las aplicaciones oficiales que utilizaban este paquete. No obstante, cabe pararse a revisar si alguna aplicación de nuestro telefono utiliza este paquete o si ha sido instalado en nuestro sistema, ya que esta aplicación se usa comumente en tiendas de reparación de telefonía móvil.


Fuente: Hispasec.com

Dirección

 Calle 67 # 8-16. Oficina 304

Bogotá, D.C. 110231

Colombia

Contacto

 Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

 +57 (601) 794-5739 Ext 2001

  +57 315 860-7000