Inicio  ·  Blog

Blog Advanced WAF:

OWASP Top 10, cómo evitar las principales amenazas de seguridad en aplicaciones web

Hay una razón por la que el OWASP Top 10 ha recibido tanta atención últimamente. Es la misma razón por la que seguimos escuchando hablar de importantes brechas de seguridad y de datos a diestro y siniestro.

La seguridad de aplicaciones web es difícil, muy difícil. Por no hablar de que lleva mucho tiempo y es costosa. Construir y mantener controles de seguridad web completos puede consumir un gran porcentaje del limitado presupuesto que se tiene para desarrollar las funciones reales de las aplicaciones que los usuarios necesitan para realizar un trabajo útil.

De hecho, la seguridad de las aplicaciones web es tan desafiante que WhiteHat Security afirmó en su informe de estadísticas de seguridad de aplicaciones de 2017, que las aplicaciones web de media tienen tres vulnerabilidades.

¿Estamos invirtiendo lo suficiente en pruebas de intrusión y corrección? ¿No entendemos los riesgos? ¿No estamos desplegando las herramientas adecuadas para mitigar estas vulnerabilidades?

Estos son problemas persistentes y de larga duración que siguen siendo omnipresentes debido a la dificultad de construir y reconstruir soluciones en cada nueva aplicación que se distribuye en el mercado. 

Comprender las vulnerabilidades de las aplicaciones web y defenderse de ellas suele requerir conocimientos especializados en materia de seguridad, un conjunto de habilidades que pocos desarrolladores pueden cultivar de forma realista y, al mismo tiempo, llevar a cabo el desarrollo real. El 30% del total de las infracciones notificadas se referían a ataques a aplicaciones web.

Afortunadamente, hay opciones. Contar con las herramientas adecuadas y los controles de terceros puede contribuir en gran medida a mitigar los riesgos y, al mismo tiempo, acelerar el desarrollo de las aplicaciones.

herramientas mitigar riesgos

El proyecto de seguridad de las aplicaciones web abiertas: ¿Puede la educación reducir las vulnerabilidades?

La naturaleza generalizada de las deficiencias de seguridad de las aplicaciones web no ha pasado desapercibida. En 2001, varios profesionales de la seguridad se unieron para crear el Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP por sus siglas en inglés). El objetivo del «Open Web Application Security Project» es educar a los desarrolladores y reducir estas deficiencias de seguridad. 

El OWASP es un grupo internacional sin ánimo de lucro, que se encarga de producir metodologías, documentación, herramientas y formación de acceso público y sobre muchos aspectos de la seguridad de las aplicaciones web.

El OWASP Top 10, taxonomía del riesgo

El más conocido de los proyectos OWASP es el «OWASP Top 10«, que es una lista en constante evolución de los mayores problemas de seguridad comunes a las aplicaciones web. El objetivo del OWASP Top 10 es proporcionar una taxonomía de riesgo con respecto a las vulnerabilidades de las aplicaciones web.

Se prevé que las futuras versiones del OWASP Top 10 se alineen más estrechamente con marcos de riesgo ampliamente aceptados, como la norma ISO 31000:20153 ; de esta forma, se busca impulsar la credibilidad y puesta en práctica del proyecto, lo que a su vez puede aumentar la aceptación y adhesión a su filosofía.

Proteger sus aplicaciones: una visión general de las amenazas según Top 10 de OWASP

Si eres responsable del desarrollo, la seguridad o el funcionamiento de una aplicación web, familiarizarte con el OWASP Top 10 puede ayudarte a proteger mejor esa aplicación. 

Además, las pruebas de seguridad contra el OWASP Top 10 son un requisito básico de numerosas normas industriales y reglamentarias, como la PCI DSS. El sitio de OWASP también enumera otros estándares de seguridad internacionales relevantes que hacen referencia al OWASP Top 10.

Al profundizar en los problemas de seguridad más comunes de las aplicaciones web y aprendiendo sobre las mitigaciones efectivas, puedes aumentar tu postura de seguridad de la organización; también puedes proteger sus aplicaciones críticas y ayudar a garantizar la confidencialidad, integridad y disponibilidad de los datos.

robo de datos

1. Inyección

La inyección es un tipo habitual de vulnerabilidad, en la que una entrada insuficientemente saneada proporcionada por fuentes externas contiene comandos ocultos de la aplicación de un atacante. Debido a que la aplicación web no está filtrando adecuadamente la entrada, permite que los comandos inyectados pasen al sistema local o a uno dependiente.

Un ejemplo común es el ataque de inyección SQL. Muchas aplicaciones se basan en la entrada del usuario para construir sentencias SQL para obtener información o para iniciar la sesión. Por ejemplo:

select * from USERTABLE where USERID = '[userid-from-web-form]' and PASSWORD = '[passwd-from-web-form]'

En circunstancias normales, esto podría coincidir con una entrada de la tabla de datos USERTABLE, y si es así, la sentencia evalúa como » TRUE » y el inicio de sesión tiene éxito.

Pero ¿qué pasa si el usuario ingresa «password’ OR 1=1» como contraseña en el formulario web?:

select * from USERTABLE where USERID = '[userid-from-web-form]' and PASSWORD = 'password' OR 1=1.

Sin la adecuada limpieza y salidas adecuadas, el servidor SQL evaluará el condicional 1=1 como TRUE y registrará el usuario con el nombre de usuario proporcionado, independientemente de la contraseña introducida. 

Este es un ejemplo muy simple y específico. Los ataques de inyección SQL pueden ser mucho más sofisticados y maliciosos. Tanto así, que se han utilizado con éxito este método para eliminar bases de datos enteras, modificar registros y exfiltrar datos sensibles.

Mitigar los riesgos de inyección con OWASP Top 10

Con respecto a la entrada de datos y la seguridad, no se puede confiar intrínsecamente en ningún dato del usuario. Toda entrada debe ser examinada, filtrada y limpiada. 

Los ataques de inyección pueden producirse en los formularios de entrada de datos normales del usuario, así como en los campos web ocultos. Aprovechar SQL parametrizado puede contribuir en gran medida a mitigar este riesgo al compartimentar los datos de entrada y distinguirlos del código, independientemente de la entrada del usuario.

También es aconsejable supervisar las respuestas salientes devueltas al usuario en un esfuerzo por detectar la fuga de información resultante de un ataque de inyección exitoso.

ataque de inyeccion

2. Autenticación rota

Saber quién es un usuario (autenticación) y qué se le permite hacer (autorización) son conceptos fundamentales de la seguridad, que se complementan entre sí. Ya que estamos hablando de la autenticación de aplicaciones web, debemos empezar por las contraseñas. 

A pesar de su naturaleza rudimentaria y los riesgos inherentes e inconvenientes que vienen con ellas, las contraseñas son la forma más común de autenticar a un usuario.

Sin embargo, las credenciales robadas son el método predominante de compromiso de las aplicaciones web. La naturaleza insegura de las contraseñas de los usuarios hace que ataques como el relleno de credenciales sean fáciles y tengan un éxito notable. 

El ataque de relleno de credenciales se produce cuando un hacker tiene en sus manos una gran base de datos de credenciales de usuario robadas. A continuación, utilizan herramientas automatizadas para probar esas contraseñas contra una variedad de otros sitios y servicios para ver qué funciona. 

Según algunas estimaciones, hasta el 90% de todos los intentos de inicio de sesión en aplicaciones basadas en la web de las empresas de la lista Fortune 100 son intentos de relleno de credenciales en lugar de inicios de sesión legítimos.

Hasta el 90% de los intentos de inicio de sesión en aplicaciones web de las empresas Fortune 100 usan el relleno de credenciales

Los ataques como el robo de credenciales son posibles gracias a nuestra persistente negativa a dejar atrás las contraseñas o, más ampliamente, a adoptar la autenticación federada. Una herramienta efectiva para combatirlo es el OWASP.

Mitigar la autenticación rota con OWASP top 10

Una forma de evitar los problemas de las contraseñas es no utilizarlas. Los certificados de cliente, el doble factor basado en tokens y la autenticación federada son excelentes formas de reducir la dependencia de las contraseñas. 

La autenticación fuerte puede ser difícil de construir, asegurar y mantener. De esta forma, puede aprovechar la federación para acelerar el desarrollo y la entrega de su aplicación, y hacer felices a los usuarios al mismo tiempo.

Recuerda: nadie quiere gestionar otra cuenta y contraseña por muy buena que sea su aplicación web.

autenticacion y contrasenas

3. Exposición de datos sensibles 

La exposición de datos sensibles es un problema de fuga de información. La sensibilidad de los datos que se filtra puede variar. Divulgar cualquier información sobre cómo está diseñada una aplicación web a un atacante es una mala idea. 

Este tipo de información es una fruta madura para los escáneres automatizados y está lista para ser explotada. Algunos ejemplos del tipo de información que suelen filtrar las aplicaciones web y que los atacantes encuentran útil, incluyen lo siguiente:

  • Mensajes de error que detallan cómo se gestionan los datos incorrectos.
  • Ubicaciones físicas de los archivos en el servidor.
  • Versiones específicas de componentes y bibliotecas.
  • Rastreos de pila de funciones fallidas (pueden descompilarse y examinarse).
  • Mensajes de error de la función «Olvidé mi contraseña»; revelan la validez del ID de usuario, que puede utilizarse para descubrir ataques de fuerza bruta a cuentas de usuario y contraseñas.

Mitigar la exposición de datos sensibles

Hay varias medidas que se pueden tener en cuenta para minimizar el riesgo de fuga de datos. Es muy común que los servidores web informen sobre el proveedor y la versión, entre otras cosas.

Asegúrate de que los nombres de usuario no puedan ser validados a partir de los códigos de respuesta del servidor; un error de nombre de usuario incorrecto y una contraseña incorrecta deberían generar el mismo mensaje de error. 

Asegúrate de que se utilizan las directivas de seguridad del navegador para ayudar a proteger los datos sensibles en tránsito. Evita los algoritmos y métodos criptográficos antiguos y conocidos como débiles. La seguridad de la capa de transporte (TLS) es fácil de usar y se está convirtiendo en la norma universal en Internet.

Todos los datos confidenciales almacenados en una aplicación web deberían ser ilegibles, utilizando técnicas como el cifrado o los token, en caso de que un atacante acceda a través de la aplicación.

datos confidenciales

4. Entidades externas XML

Los analizadores o procesadores XML insuficientemente reforzados o mal configurados evalúan las referencias a entidades externas con documentos XML.

Las aplicaciones, como los servicios SOAP, que aceptan entradas XML pueden permitir inadvertidamente la inclusión de referencias y comandos externos no previstos; esto puede provocar que los procesadores XML divulguen datos en archivos compartidos, ejecuten código, inicien el escaneo de puertos internos y realicen ataques de denegación de servicio (DoS).

Mitigar las entidades externas de XML

Hay que considerar cuidadosamente qué APIs exponer en primer lugar y asegurarse que los procesadores XML vulnerables estén actualizados, parcheados o reforzados de alguna manera. Una vez hecho esto, hay que verificar que los tamaños, versiones y métodos de los mensajes HTTP se cumplen.

El uso de un cortafuegos de aplicaciones web (WAF) te da la opción de poner en la lista blanca las solicitudes apropiadas o bloquear las maliciosas para que no se envíen a tu procesador XML en primer lugar. 

Además, un WAF puede ayudar a validar las solicitudes JSON, XML y SOAP y aplicar firmas contra ataques conocidos, que pueden causar ataques DoS y divulgación de información no autorizada. Por último, un cortafuegos de red y gestión del tráfico puede limitar las solicitudes salientes a otros puntos finales, internos o externos.

proteger tus aplicaciones web

5. Control de acceso roto en el Top 10 de OWASP

Una vulnerabilidad de control de acceso rota se refiere a un fallo en el diseño de la aplicación web donde el acceso no autorizado a un objeto sensible (como un directorio o un registro) se aplica de forma inadecuada o insuficiente.

Por ejemplo, podría ser que cualquier usuario anónimo pudiera ver ciertos archivos en un sitio web simplemente sabiendo qué URL solicitar; alternativamente, la aplicación podría ejecutar una función que asuma que se ha producido algún nivel de autenticación o autorización sin validar primero si eso ha ocurrido.

Mitigación del control de acceso

Todos los objetos y páginas de la aplicación web deben tener un mecanismo de aplicación que deniegue el acceso por defecto. A partir de ahí, el sistema debería hacer valer los derechos explícitos y sólo concederlos a los usuarios asociados a roles de usuario específicos.

control de acceso

6. Seguridad desconfigurada

Los controles de seguridad pueden considerarse mal configurados por una variedad de razones; una causa común se debe a errores u omisiones en la documentación dirigida al usuario, que dan lugar a lagunas en los controles, o a pasos perdidos. También puede tratarse de un descuido y/o de errores cometidos por los administradores de sistemas; al fin y al cabo son humanos y se pueden equivocar.

El software y la infraestructura dependientes también pueden pasarse por alto. La mayoría de las aplicaciones web dependen de otro software (como Apache, IIS o Nginx) y pueden aprovechar otras aplicaciones, bibliotecas y bases de datos (como PHP, ASP o SQL).

Mitigar la seguridad desconfigurada

Para asegurar correctamente una aplicación web, no sólo hay que bloquear adecuadamente el propio software, sino también todos los demás componentes integrantes. También es importante llevar a cabo auditorías periódicas y exhaustivas para garantizar que los controles se han implementado correctamente y se mantienen firmes.

control de acceso

7. Cross-site scripting (xss)

El cross-site scripting (XSS) se refiere a una vulnerabilidad de validación de entrada que permite a los atacantes ejecutar scripts maliciosos en el navegador de la víctima, dentro del contexto de confianza de un sitio malicioso que están visitando. El XSS puede utilizarse para robar tokens de sesión, iniciar transacciones ocultas o mostrar contenido falsificado o engañoso. 

Los scripts XSS más sofisticados pueden incluso cargar registradores de claves para supervisar las contraseñas de las víctimas mientras las escriben; de esta forma, pueden transmitir esa información a servidores operados por los atacantes. 

El XSS puede producirse en cualquier lugar en el que un usuario externo pueda aportar contenido a un sitio web, lo que lo convierte en uno de los tipos de vulnerabilidad más comunes.

El XSS también es difícil de identificar y eliminar porque utiliza los mismos comandos HTML requeridos por un sitio web para mostrar tus páginas. Además, los ataques XSS pueden codificarse de diversas formas. 

Por ejemplo, un script de ataque básico para que aparezca el mensaje «XSS» en una página podría tener el siguiente aspecto :

<script>alert('XSS')</script> 

Pero codificado, también podría verse así:

<IMG SRC=”jav&#x0D;ascript:alert(‘XSS’);”>

O incluso así:

<IMGSRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>

Con todas estas posibilidades de codificación soportadas por los navegadores nativos, es fácil ver cómo las vulnerabilidades XSS pueden deslizarse a través de ellas. Lo que complica aún más las cosas es el hecho de que hay un número elevado de diferentes métodos de entrega XSS que se pueden emplear, lo que hace que sea un vector de ataque muy flexible.

Mitigar el cross-site scripting con el OWASP top 10

Detener el XSS parte de la base que cualquier dato externo suministrado por el usuario no es de confianza. Dado que cualquier dato puede tener una carga útil maliciosa incrustada, es imperativo filtrar todo lo que entra, aunque esto puede ser muy difícil de lograr de forma exhaustiva por tu cuenta. Afortunadamente, un buen WAF puede ayudarte a lograrlo, liberando tiempo y recursos con una infraestructura que es reutilizable.

8. Deserialización insegura

Esta es una nueva adición al Top 10, y trata de la serialización de objetos, que es el proceso de convertir un objeto en un formato de datos que puede ser restaurado más tarde. Piensa en cómo se guardan los archivos en un disco o cómo se transfieren los datos en una red. Los datos se guardan en una estructura determinada utilizando formatos como JSON o XML. La deserialización es lo contrario: leer estos datos estructurados y construir un objeto a partir de ellos.

Muchos lenguajes de programación ofrecen serialización nativa o permiten personalizar el proceso de serialización, que a su vez puede ser utilizado de forma maliciosa.

Mitigar la deserialización insegura

Se ha descubierto que la deserialización insegura permite la ejecución remota de código, ataques de denegación de servicio, repetición, inyección y escalada de privilegios. Para protegerse contra un ataque de deserialización, no debes aceptar objetos serializados de fuentes no confiables. 

Cuando esto no sea posible, puede imponer tamaños de mensajes HTTP, versiones, métodos y cabeceras requeridas. Además, un WAF avanzado puede validar las peticiones JSON, XML y SOAP contra firmas de ataque conocidas, así como validar la longitud, el valor y la estructura de los datos. Tu WAF también debe permitirte personalizar la gestión de los datos designados como sensibles.

deserializacion insegura

9. Utilizar componentes con vulnerabilidades conocidas

Esta es otra de esas áreas de riesgo que puede parecer obvia, pero vale la pena abordarla ya que muchos componentes de software se eligen únicamente por su utilidad para cumplir algún requisito operativo básico. 

Estos componentes pueden no tener vulnerabilidades conocidas cuando se implementan; en estos casos es común que haya resistencia a las actualizaciones, por miedo a estropear la funcionalidad o perder una valiosa característica.

Estas son preocupaciones válidas, pero un exploit exitoso contra una vulnerabilidad de seguridad conocida, puede resultar en una pérdida significativa del servicio o una violación de la confianza del cliente; por este motivo, este riesgo debe considerarse en primer lugar frente a los riesgos percibidos de la actualización.

Mitigar utilizando componentes con vulnerabilidades conocidas

La clave aquí es mantener los componentes actualizados siempre que se pueda. Sin embargo, cuando no se pueda, los controles compensatorios, como un WAF potente, te permitirán bloquear el aprovechamiento de las vulnerabilidades conocidas; al mismo tiempo, podrás mantener tu software intacto y operativo. Un WAF también puede hacer que ganes tiempo mientras se desarrollan y despliegan los parches.

robo de credenciales

10. Insuficiente registro y monitorización

Aunque la mayoría de las aplicaciones están diseñadas para registrar algún nivel de información de acceso y autorización, muchas no lo hacen, o no lo hacen por defecto. El riesgo aquí es que los datos de registro y la información de acceso que no se recopilan o no se analizan, no ayudarán a detectar una brecha; tampoco facilitarán la rápida recuperación del servicio en caso de un incidente.

Los atacantes se basan en la complacencia y los puntos ciegos para pasar desapercibidos y ganar puntos de apoyo en las aplicaciones y redes. La supervisión diligente de estos datos puede ayudar a detectar ataques en una fase temprana, permitiéndote construir o fortalecer aún más tu postura defensiva; en última instancia te ayudarán a minimizar el daño o el impacto en tu organización.

Mitigar el registro y monitorización insuficientes

Comienza por identificar qué aplicaciones y puntos finales son susceptibles de generar la información de registro más útil y en los que se puede confiar para proporcionar una alerta temprana de comportamiento anómalo. Además, tendrás que definir lo que debe recogerse y cómo debe analizarse y supervisarse.

Las buenas soluciones WAF te permitirán estandarizar el registro de todas tus aplicaciones web y registrar esa información fuera de la caja para su posterior análisis e informe.

owasp top10 monitorizacion

El owasp top 10: una pieza del rompecabezas de la seguridad de las aplicaciones

Al evaluar la miríada de potenciales vectores de ataque, una cosa queda clara; tus aplicaciones web se enfrentan a una serie de complejas amenazas contra las que es difícil y costoso defenderse.

La mayoría de los equipos de desarrollo simplemente no tienen los recursos para protegerse lo suficiente contra la variedad de ataques que son relevantes para cada vector. Además, el nivel de experiencia requerido es tal que será difícil de conseguir, incluso si tu proyecto tiene el tiempo y presupuesto para ello.

La buena noticia es que la tecnología de WAF avanzado de F5 es más accesible y asequible que nunca. Los WAF modernos y completos pueden ayudar a organizaciones de todos los tamaños a defender sus aplicaciones críticas, tanto si están desplegadas en centros de datos o en entornos de nube híbrida. Las opciones de despliegue únicas y flexibles pueden simplificar la implementación y facilitan la personalización de la protección de tu aplicación. 

Al mismo tiempo que aborda tus necesidades de seguridad para protegerte contra el Top 10 de OWASP, también es esencial considerar todas las demás amenazas para tus aplicaciones: ataques DDoS, ataques con bots, robo de propiedad intelectual y fraude, por nombrar algunos.

El hecho de que una amenaza no esté en el top 10 de owasp no significa que ya no sea relevante.

Un ejemplo de esto es la falsificación de petición de sitios cruzados (CSRF). Esta falsificación, consiste en engañar a una víctima mediante un navegador para que haga clic en un enlace de apariencia benigna. Dicho enlace, ejecuta una acción maliciosa como iniciar una transferencia dentro de su aplicación bancaria. 

El CSRF no aparece en la lista de 2020, pero es seguro que los delincuentes lo explotarán cuando tengan oportunidad; así como innumerables tácticas inteligentes más para comprometer tus aplicaciones. 

Defenderse contra el Top 10 de OWASP es un gran y necesario paso. Sin embargo, es sólo una pieza de una estrategia integral de defensa en profundidad para proteger tus aplicaciones, datos y negocio. Para obtener más información sobre las amenazas que afectan tus aplicaciones y organización, así como lo que puedes hacer para defenderte de ellas visita el enlace f5.com/security.

Otros contenidos de nuestro blog que pueden interesarte:

Cómo mitigar las vulnerabilidades de las aplicaciones

Actualmente, las aplicaciones no sólo permiten la transformación digital de un negocio, sino que son, a su vez, el negocio. Para mantener la agilidad al tiempo que se acelera la velocidad de comercialización, las organizaciones han adoptado el desarrollo ágil y han...

Las cinco prácticas de ciberseguridad que toda empresa debería adoptar

En general, las organizaciones deben implementar las prácticas de ciberseguridad necesarias para mitigar el riesgo y cumplir con los requisitos de cumplimiento. Hemos hablado de cómo mitigar las ciberamenazas conocidas y previsibles. Sin embargo, ¿cuál es el listón...

Guía práctica para elegir el WAF adecuado para tu empresa

A pesar de los grandes esfuerzos colectivos que ha realizado la industria tecnológica para reforzar las prácticas de desarrollo de aplicaciones seguras, la mitad de estas siguen siendo vulnerables a los ataques. Violaciones de datos confirmadas El informe Verizon 2018...

El ROI oculto de la seguridad en la nube

Seguro que ya habéis escuchado esto antes: empresas de todos los tamaños están experimentando la transformación digital, trasladando aplicaciones y servicios a la nube en un esfuerzo por impulsar la productividad y acelerar la innovación y todo esto con la finalidad...

Proteja sus APIs y Aplicaciones donde quiera que se alojen

Todas las organizaciones quieren lo mismo de sus aplicaciones: el mejor rendimiento para sus usuarios y una seguridad excepcional para evitar pérdidas y daños. Es un concepto sencillo, pero ofrecer una seguridad integral que no ralentice la...

Actualizar la seguridad a la velocidad del negocio

En el vertiginoso mundo actual, los cambios en las empresas deben producirse en un abrir y cerrar de ojos o tendrán un importante impacto negativo. Algunos cambios están impulsados por la necesidad del negocio, otros por el entorno y la seguridad. Por ejemplo, la...

Las tres fases de la transformación digital

En los últimos años, las empresas de todos los sectores industriales se han embarcado en un viaje de transformación digital de una forma u otra. Las empresas están aprovechando la proliferación de tecnologías digitales para definir nuevos modelos de negocio o...

La mitad del malware del mundo está ahora encriptado

Lo que no puedes ver podría estar perjudicando a tu organización y el cifrado es un importante punto ciego. Según F5 Labs más del 80% del tráfico mundial de Internet está encriptado y la falta de visibilidad del tráfico encriptado supone una importante amenaza para la...

El estado de la estrategia de las aplicaciones 2021: La eficacia de la automatización

La automatización es un componente crítico de la transformación digital, ya que es la automatización de las tareas a través de las aplicaciones lo que constituye el foco de la primera fase para la digitalización empresarial. La transformación digital de los flujos de...

Firewall Avanzado de Aplicaciones Web (AWAF)

¿Por qué necesitan las organizaciones un AWAF? Hoy en día, las empresas están ampliando sus negocios mediante el uso de aplicaciones basadas en la web y alojadas en la nube, por lo que contar con un firewall avanzado de aplicaciones web (AWAF) robusto y ágil para...

¿Necesitas información personalizada sobre Advanced WAF?

Nuestros asesores podrán ofrecerte una solución a medida de tus necesidades

Contactar con un asesor