¿Qué es el Pentesting y por qué necesitas un hacker ético en tu empresa?

El pentesting o pruebas de penetración son ataques planeados y controlados hacia los sistemas de información, portales web y redes empresariales con la intención de encontrar sus debilidades y vulnerabilidades. Estas pruebas comprenden desde el análisis de dispositivos físicos y digitales, servicios lógicos hasta el factor humano utilizando Ingeniería Social. Estas pruebas son diseñadas para clasificar y determinar el alcance y repercusión de dichos fallos de seguridad y como resultado, las empresas pueden obtener una idea bastante clara de los peligros y riesgos a los que se enfrentan.  Los pentesters, como son llamados, utilizan software y métodos manuales para hacer un primer reconocimiento, recolectando información del negocio tal como lo haría algún criminal cibernético.  Después de esto, identifican puntos de entrada vulnerables y finalmente, abren una brecha en el sistema y reporta como lo hicieron.

Algo que debe quedar muy claro es que, durante una prueba de penetración, los sistemas o la información no es afectada, simplemente se intenta ingresa a los sistemas para probar las defensas de la organización. El punto clave es que, si el pentester hackea las defensas actuales o encuentra vulnerabilidades, te da la oportunidad de cerrar el agujero de seguridad o corregir el problema antes de que un ciberdelincuente lo descubra y tome ventaja.

De manera general, las fases al realizar un pentesting son:

  • Fase de definición de alcance:En esta etapa, se define en qué va a consistir esta prueba de penetración, se describen cuales son los servicios críticos de la empresa y qué escenario supondría un mayor riesgo para su operación. Para algunos puede ser más crítico que el sitio web estuviera abajo y para otros que se roben información de sus sistemas.
  • Fase de recolección de información:En esta etapa se utilizan arañas y scanners para obtener toda la información posible de la empresa, de cierta manera se utilizan las mismas herramientas que un ciberdelincuente usaría para obtener información de tus sistemas de información y redes.
  • Fase de modelado de la amenaza:A partir de la información recolectada, se debe pensar como si uno fuera un ciberdelincuente y definir cual sería nuestra estrategia de penetración con base en los puntos débiles identificados en nuestro análisis inicial.
  • Fase de análisis de vulnerabilidades:Con base en el modelado de la amenaza, se identifican proactivamente las vulnerabilidades que pudieran ser más fácil de explotar.   El 90% de los ataques a redes empresariales son muy similares así que se analiza de que forma otros ataques han sido exitosos y de cómo estos escenarios podrían ser utilizados en nuestra contra.
  • Fase de explotación:En esta etapa, se intenta conseguir acceso a los sistemas ejecutando exploits contra las vulnerabilidades identificadas en las etapas anteriores, en este punto en realidad estamos simulando un ataque de un ciber delincuente estableciendo límites para no causar daño alguno a nuestros sistemas o información. 
  • Fase de post-explotación:En esta fase tratamos de conseguir el máximo nivel de privilegios, información de la red y acceso al mayor número posible de sistemas identificando que datos y/o servicios tenemos a nuestro alcance. En todo momento, el atacante tiene claro que no debe realizar daño alguno y que se garantizará la confidencialidad de la información.
  • Fase de informe:Al final de la prueba de penetración, se genera un reporte con todos los hallazgos encontrados, se muestran las vulnerabilidades, se priorizan y se dan recomendaciones de qué acciones tomar. Se debe generar un reporte tanto para la alta dirección de la empresa como uno más técnico para el personal especializado del área de tecnología de información.

En resumen, si quieres conocer que tan efectivos son tus sistemas de seguridad y qué tan preparado estas ante un ataque cibernético, sin lugar a duda debes realizar una prueba de penetración. Si quieres conocer más acerca de las vulnerabilidades y posibles riesgos que actualmente corre tu empresa, contáctanos a través del correo electrónico contacto@tbsek.mxy con gusto podemos ayudarte a realizar un pentesting para tu empresa

Resumen de noticias al 29 de noviembre

Cómo cada semana, el resumen de noticias con lo más relevante del mundo de la seguridad informática

Consejos para crear un programa de concientización de seguridad informática para tu empresa

Una de las piezas claves de cualquier estrategia de ciber seguridad empresarial es crear una cultura de seguridad informática dentro de la empresa.   No importa cuanto inviertas en plataformas de seguridad informática, cuantas evaluaciones o pruebas de penetración realices, si tus empleados son los que le darán clic a ese archivo que pueda comprometer toda tu red, de nada sirve todo ese esfuerzo. La cultura de seguridad informática es uno de los mecanismos más importantes para influenciar el comportamiento de los empleados. Desgraciadamente en México y en el resto del mundo tiende a ser un aspecto al cual pocas organizaciones le ponen atención.  El día de hoy te daremos algunos consejos para que puedas implementar un programa de concientización de seguridad informática en tu empresa.

  • Obtén el apoyo de la alta dirección: Sin lugar a duda, el primer paso es obtener el apoyo del presidente o director general de tu empresa.  Todos y cada uno de los empleados de tu organización deben participar en este programa, especialmente los puestos gerenciales o directivos ya que son ellos quienes generalmente manejan la información más sensible de tu organización.   La alta dirección debe estar consciente de las implicaciones para la empresa si esta fuera victima de un ciberataque.
  • Crea contenido acorde a los perfiles:  Aunque la cultura de seguridad informática debe tocar todos los niveles de la organización, cada nivel debe entender el impacto que tiene su rol dentro de la organización.   Se debe crear material o contenido tanto para ejecutivos como personal operativo y sobre todo se debe hacer especial énfasis en aquellos roles que tienen un mayor contacto con el exterior ( por ejemplo atención a cliente o el departamento de compras).
  • Asóciate con departamentos clave: Los programas de concientización más exitosos son aquellos que logran el apoyo de otros departamentos clave dentro de la organización, por ejemplo los departamentos de recursos humanos, el área legal e incluso el área de comunicación y mercadotecnia. Con frecuencia, estos departamentos pueden hacer que los esfuerzos de concientización de seguridad sean obligatorios. Para obtener este apoyo, es posible que tengas que incorporar las necesidades de los departamentos que te están apoyando.
  • Usa los canales adecuados: Dependiendo de la cultura de tu organización, utiliza los canales que puedan tener un mayor impacto para transmitir tu mensaje. Para algunas empresas puede ser el boletín mensual, las reuniones semanales por departamento o cualquier otro medio de comunicación adecuado para la empresa. Usa el canal que mejor impacto tenga dependiendo del nivel organizacional donde te encuentres.  Ubica dentro de tu equipo de trabajo a un vocero que pueda ayudarte con estas tareas.
  • Piensa en un programa a mediano o largo plazo: Cambiar o influir en la cultura organizacional no es una tarea fácil  y difícilmente veremos resultados a corto plazo. No se trata de hacer una única campaña en una semana en particular del año sino más bien debes realizar pequeñas campañas a lo largo de todo el año.  Busca diferentes formas de presentar
  • Incentiva la participación: Crea un programa que incentive la participación de todos los empleados en este programa. Por ejemplo, de algún modo puedes recompensar a las personas por informar posibles incidentes de seguridad, dichos incidentes pueden incluir informar sobre mensajes de phishing o simplemente dar algún reconocimiento a aquella persona que ayude a difundir nuestro mensaje.
  • Mide el impacto de la campaña: Uno de los factores claves dentro del programa es demostrar que estamos influyendo en la cultura organizacional.  Sin establecer una línea base es difícil demostrar que los esfuerzos han tenido éxito. Se puede examinar la cantidad de incidentes relacionados con la seguridad informática reportados en la mesa de ayuda, la cantidad de incidentes relacionados con virus entre muchas otras cosas.

Estas son tan solo algunas ideas para iniciar tu programa de concientización de seguridad informática. Recuerda, no hay tecnologías que compensen una cultura de seguridad deficiente.  Los programas de concientización, cuando se ejecutan adecuadamente, proporcionan grandes beneficios para las empresas

Resumen de noticias al 21 de noviembre

Como cada semana, lo más destacado del mundo de la seguridad informática.

  1. Cuáles son los ciberdelitos que podrían crecer en 2021: Secuestro de información, robo de cuentas de WhatsApp y suplantación de identidad son algunos de los ataques que crecerán el año próximo.
  2. Twitter contrató al famoso hacker ‘Mudge’ como jefe de ciberseguridad: La empresa confía en el pirata informático Peiter Zatko para evitar nuevos hackeos a la plataforma.
  3. 10 predicciones para crear una estrategia de ciberseguridad para 2021: Netskope, compañía en soluciones de Seguridad Cloud, ofrece 10 predicciones que les permitirán a los CISO a armar una estrategia de ciberseguridad para 2021
  4. Canadá advirtió que Rusia, China, Irán y Corea del Norte son sus principales amenazas estratégicas de ciberataques: Los expertos advirtieron que los programas patrocinados por estos estados estarían intentando crear capacidades para interrumpir la infraestructura crítica del país, como el suministro de electricidad.
  5. Bancos locales y uniones de crédito, más susceptibles a sufrir un ciberataque: La pandemia de COVID-19 representó el mayor reto que ha enfrentado el sistema financiero global desde la crisis financiera de 2008-2009.
  6. Pruebas gratuitas de COVID-19, podrían ser un “gancho” para incrementar ciberataques: Los hackers aprovecharán en gran medida las pruebas gratuitas de COVID-19 en el 2021, de acuerdo con predicciones de la empresa de seguridad DigiCert.
  7. Jupyter, el malware que se actualiza como las apps de tu móvil: En las últimas semanas ha comenzado a ver la luz el malware Jupyter, que llevaba “hibernando” desde el verano.
  8. Fallo en Facebook Messenger permitía escuchar audio antes de atender una llamada: La vulnerabilidad, que ya fue reparada por Facebook, permitía a un atacante escuchar audio desde el dispositivo de la víctima antes de que atienda una llamada entrante.

Consejos para hacer una auditoría de seguridad informática en tu empresa

Ninguna empresa está exenta de ser víctima de los ciber-delincuentes, incluso es posible que alguien ya haya robado información de tus sistemas y tú ni si quiera te has dado cuenta.   Los ecosistemas informáticos de las empresas son cada vez más complejos, realizan cada vez más tareas, son usados por cada vez más personas, y, por lo tanto, son cada vez más difíciles de controlar.  Para tratar de minimizar los riesgos informáticos, es necesario que las empresas realicen auditorías de seguridad informática regularmente; las cuales son estudios realizados por profesionales externos a las empresas y tienen la finalidad de descubrir posibles vulnerabilidades en el ecosistema informático, incluyendo: sistemas de información, red de cómputo tanto alámbrica como inalámbrica, enlaces de Internet, servidores y equipo de cómputo de los empleados; dispositivos móviles, hábitos digitales de los usuarios, así como la verificación de cumplimiento de normativas vigentes.

Existe un sinnúmero de auditorías de seguridad informática, pero las más populares en el mundo empresarial son las siguientes: 

  • Auditorias forenses:  Este servicio se contrata tras haber sido víctima de un ciber-criminal y tiene como objetivo identificar y recopilar evidencias para establecer las causas del incidente.  
  • Auditorías web:  Enfocadas en conocer la seguridad de aplicaciones y servicios web, de tal manera que se identifique cualquier tipo de falla en la implementación de las mismas. Esto aplica tanto a sitios web que están publicados en Internet como a aquellos que están disponibles exclusivamente dentro de la Intranet corporativa.  
  • Hacking ético:   Se trata de una prueba de intrusión que intenta utilizar las mismas técnicas y herramientas que usan los ciber-delincuentes para poner a prueba la seguridad informática. No se realiza ningún daño en los sistemas o en la información, pero si se demuestra que nuestro ecosistema digital tiene fallos y vulnerabilidades.  Al mismo tiempo, también se pone a prueba la robustez de las contraseñas.  
  • Auditorías físicas:   En este caso se pone a prueba el entorno físico, incluyendo cámaras de seguridad, controles físicos de entrada, sistemas de incendios, climatización, instalaciones de suministro eléctrico, entre muchas otras cosas. Imagínate, tus cámaras de seguridad podrían estar siendo monitoreadas, incluso por personas ajenas a tu organización.  

Muchas de estas auditorías se basan en estándares como: COBIT (Objetivos de Control de la Tecnológica de la Información),  ISO 17799 (Norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información), Norma ISO 27002 (Código de buenas prácticas), ISACA (Asociación de Auditoría y Control de Sistemas de Información), ITIL (Biblioteca/Guía de Infraestructura de Tecnologías de la Información), estándar mundial de facto en la Gestión de Servicios Informáticos, entre muchas otras más.  

Es muy importante que las auditorías informáticas las realicen personas fuera de tu organización. Por más objetiva que sea, una auditoría interna podría sesgar los resultados del estudio, y el objetivo NO es decir que todo está bien, sino encontrar los puntos débiles de tu ecosistema digital y actuar en consecuencia. Al mismo tiempo, es muy importante que las auditorías se realicen de manera periódica, pues los cambios en tus plataformas y las nuevas vulnerabilidades que aparecen todos los días podrían cambiar los resultados de esta.  

Resumen de noticias al 15 de noviembre

Como cada semana, te traemos el resumen de noticias con lo más destacado de la seguridad informática.

Inteligencia artificial como aliada de la seguridad informática

La seguridad informática está tomando una mayor relevancia entre las empresas y organizaciones de todo el mundo, desgraciadamente, debido a que cada vez más y más empresas están siendo atacadas por ciber-delincuentes, sufriendo daños irreparables. Los ataques son cada vez más frecuentes, más complejos y cambiantes, así que difícilmente los equipos de ciber-seguridad pueden hacer frente a todas estas amenazas sin el apoyo adecuado. En los últimos años, el uso de la inteligencia artificial está tomando cada vez mayor relevancia en la seguridad informática, especialmente porque permite a las empresas comprender las amenazas de una manera más fácil, reduciendo así los tiempos de respuesta de los equipos especialistas en el área.    Algunos de los escenarios de cómo la inteligencia artificial puede ayudar a la seguridad informática son: 

  • Detección automática:  El aprendizaje automático y la inteligencia artificial ayudan a reconocer patrones en los datos para permitir a las plataformas de seguridad informática que aprendan de la experiencia y enfrentar así, a los problemas con una mayor rapidez y confianza. La seguridad informática puede ayudar a las empresas a identificar amenazas y encontrar rápidamente los vínculos con los riesgos potenciales. Esta forma de detección reduce los errores humanos dentro del proceso. Hoy en día, las redes corporativas y ecosistemas digitales son tan complejos, que difícilmente podemos tener ojos en todos lados.  De manera general, las plataformas de inteligencia artificial y aprendizaje automático generan patrones del comportamiento de tu ecosistema digital y notifican a los equipos de seguridad informática si encuentran un funcionamiento extraño o vinculado a algún riesgo de seguridad informática. Lo mejor de todo, es que las plataformas de seguridad informática, basadas en inteligencia artificial, son capaces de generar patrones de comportamiento en lugar de esperar a que los humanos lo desarrollen, algo prácticamente imposible debido al gran volumen de datos que hoy en día se mueven a través de la red corporativa. La inteligencia artificial en ciberseguridad aprovecha el razonamiento para determinar varios riesgos, por ejemplo, direcciones sospechosas, archivos extraños o comportamiento de tráfico inusuales.  
  • Identificación temprana de errores:  Gracias a la inteligencia artificial, las empresas de seguridad informática están analizando constantemente miles y miles de sitios web que pueden ser considerados como sospechosos, ya sea por tener malware o por contener estafas de phishing. Los humanos pueden analizar y detectar si un sitio es sospechoso o no, pero no pueden analizar mil sitios en un solo día.  A través de estos procesos, se generan automáticamente “listas negras” que son compartidas con organizaciones de todo el mundo y que pueden ayudar a identificar amenazas si los usuarios de la organización intentan ingresar a ese sitio, o si se genera tráfico desde sus servidores. 
  • Tiempos de respuesta más rápidos: La inteligencia artificial puede procesar cantidades masivas de información no estructurada y proporcionar información relevante para la toma de decisiones, tanto para los propios sistemas como para los responsables de la seguridad informática. Además, a través del aprendizaje de máquina y la inteligencia artificial, se pueden identificar y aprender patrones mucho más fácil y rápido. Bajo este concepto, las respuestas de una plataforma de seguridad informática, basada en inteligencia artificial, mejorarán de la mano en que aprenda nuevas situaciones y analice de una mejor manera el ambiente donde se desempeña. Gracias a esto, las empresas están identificando amenazas con mayor rapidez y respondiendo en consecuencia.  
  • Reducir el número de errores:  Puedes contar con un excelente equipo de seguridad informática, pero esto tiene una debilidad: se trata de humanos. La inteligencia artificial no se cansa, no depende de su estado de ánimo y no se aburre de realizar tareas repetitivas, o analizar constantemente miles y miles de datos. Gracias a la inteligencia artificial se pueden reducir los errores de manera significativa, pero no te preocupes, no se trata de despedir a tu equipo de seguridad informática y tener solo una plataforma de inteligencia artificial. Los humanos ofrecen el sentido común del que carecen los equipos de cómputo y son mejores tomadores de decisiones en situaciones no estándar.  

Cada vez más, la inteligencia artificial formará parte de las plataformas de seguridad informática de las empresas y, sobre todo, permitirán potencializar a tu equipo de trabajo. 

Resumen de noticias al 8 de noviembre

Como cada semana, te traemos el resumen de noticias con lo más destacado de la seguridad informática.

  1. Sistema informático de Pemex, todavía vulnerable pese a hackeo de 2019: ASF: La petrolera fue víctima de un incidente de seguridad informática el pasado 10 de noviembre de 2019.
  2. Falta de profesionales en ciberseguridad: una brecha que crece: En el marco de la celebración del Antimalware Day, repasamos algunos datos sobre la escasez de profesionales en el campo de la ciberseguridad frente una demanda que no para de crecer.
  3. Los cinco ataques de malware más comunes de 2020: El malware ha seguido siendo un quebradero de cabeza para empresas, ciudadanos y administraciones públicas de todo el mundo durante 2020. Y, la pandemia de coronavirus no ha hecho sino repuntar el número de amenazas.
  4. Argentina, Brasil y México: los países más afectados por Emotet en Latinoamérica: Luego de un período de poca actividad, el troyano Emotet registró un importante crecimiento a partir de la segunda mitad de 2020 distribuyendo otros códigos maliciosos como TrickBot o Qbot.
  5. Se descubre la versión para Linux del ransomware RansomEXX: Esta es la primera vez que esta variedad de ransomware para Windows está presente en Linux.
  6. Compañía de videojuegos Capcom impactada por un ciberataque :El desarrollador de franquicias de videojuegos populares tomó medidas rápidas para evitar que el ataque se extendiera a través de sus sistemas.
  7. Cómo proteger tu cuenta Blattle.net de los cibercriminales y estafadores: Una guía completa para configurar la seguridad y privacidad de tu cuenta en Battle.net.
  8. Pymes, en mayor riesgo de sufrir un ciberataque: ¿Cómo defenderse?:El tema de la ciberseguridad se puede convertir en una catástrofe a nivel organizacional y personal para las pymes y sus colaboradores si no toman las medidas necesarias.

Desafíos clave para la seguridad informática

Poco a poco, empresas, instituciones y organizaciones de todo el mundo, están tomando una mayor conciencia de la importancia que tiene la seguridad informática para la continuidad de su negocio; sin embargo, todavía existe mucho por hacer en términos de la visión que se debe tener sobre el tema. Muchas empresas siguen viendo la seguridad informática como algo adicional o separado al proceso principal, y buscan que la seguridad informática se habilite como una capa adicional, o piensan que debe ser responsabilidad exclusiva del área de tecnologías de la información. Este enfoque erróneo podría traer grandes problemas, ya que más bien, la seguridad informática debe integrarse a cada producto, sistema, servicio, proyecto o proceso desde el momento en que se concibe. Como muchas áreas, la seguridad informática se encuentra en constante cambio, y hoy hablaremos de 3 desafíos clave que las organizaciones deben afrontar para continuar su lucha con la seguridad informática.  

  • Información en tiempo real:  La velocidad de la dinámica del mundo digital simplemente sigue aumentando exponencialmente. Para que los profesionales de la seguridad informática puedan responder adecuadamente ante las amenazas de los ataques de los ciber delincuentes, se debe contar con plataformas que monitoreen en tiempo real la información generada por sistemas, y plataformas que se encuentren en las diversas capas de la infraestructura.  Aunque es prácticamente imposible hablar de sistemas que no pueden ser vulnerados, sí podemos habilitar mecanismos que nos den visibilidad en tiempo real de lo que está pasando, y actuar en consecuencia.   
  •  Colaborar en la lucha contra la ciber delincuencia: Ninguna organización pública o privada, puede tener visibilidad completa de todo el panorama cibernético, así que también es muy importante compartir e intercambiar información con instituciones de nuestra misma industria, de otras industrias, o con organismos gubernamentales, tanto nacionales como internacionales. De no ser así, estamos en una lucha a ciegas contra la delincuencia. Una amplia colaboración significa también una mayor conversación sobre el tema de seguridad informática. La colaboración entre instituciones permite que se pueda luchar de una manera más efectiva contra el ciber crimen y esto también implica crear repositorios de conocimientos, compartir experiencias, mejores prácticas y recursos. En muchos casos, las organizaciones no se enfrentan únicamente a individuos que trabajan solos, sino a organizaciones internacionales de ciberdelincuencia. Cuanto más hablemos sobre la importancia de la ciberseguridad y su papel fundamental, y cuanto más se comparta la educación, más informaremos y nutriremos a las futuras generaciones de profesionales de la ciberseguridad, que tanto necesitamos. Del mismo modo, esta conversación y colaboración debe realizarse dentro de tu organización, pues como lo hemos dicho en diversas ocasiones, la seguridad informática no es solo responsabilidad del área de tecnologías de la información.  
  • Promover plataformas tecnológicas necesarias para la seguridad informática:  Desgraciadamente, la mayor parte de infraestructura instalada en el mundo no fue diseñada tomando en cuenta la seguridad informática, y esto debe cambiar.  Hacer que la seguridad informática funcione, también requiere poder de cómputo adicional, de tal manera que los nuevos productos, dispositivos, infraestructura y soluciones tecnológicas de todo el mundo, deben contar este poder de cómputo adicional.  Muchas empresas todavía tienen una plataforma de seguridad informática que concentra todo su poder de cómputo en ciertos “appliances”, pero esto debe cambiar. Poco a poco se están diseñando soluciones que integren la seguridad informática en cada uno de sus puntos. La capacidad de ofrecer una seguridad sólida en toda la red, con baja latencia y alto rendimiento, es una funcionalidad crítica que buscan las organizaciones, especialmente con el despliegue de redes 5G. Un enfoque centralizado ya no es sostenible. 

En los siguientes años, veremos mayores amenazas de seguridad informática, pero también podemos tener un futuro donde las organizaciones de todo el mundo estén preparadas para enfrentar estos retos. 

Resumen de noticias al 1 de noviembre

Como cada semana, el resumen de noticias con lo más destacado del mundo de la seguridad informática.

  1. Después de 11 meses del ataque cibernético, Pemex sigue mostrando vulnerabilidad:Se detectaron servidores y equipos de cómputo con sistemas operativos obsoletos que ya no cuentan con soporte por parte del fabricante, lo cual aumenta el riesgo para la seguridad de la información
  2. Jugadores de “Among Us” afectados por un importante ataque de spam: Los chats del juego fueron invadidos por mensajes de alguien que intentó obligar a los jugadores a suscribirse a un dudoso canal de YouTube.
  3. ¿Podrían los ciberataques cambiar el curso de las elecciones en EEUU?: Recientemente el FBI alertó a los ciudadanos estadounidenses sobre posibles hackeos en las próximas elecciones. 
  4. Supuestos datos de usuarios de la fintech Clip se venden por internet: El anuncio de venta de 4.7 millones de registros adjudicados a Clip incluye 68 ejemplos de código con la información en venta: correos electrónicos y números telefónicos.
  5. Alertan por robos desde la banca móvil: qué es la duplicación de SIM y cómo puedes protegerte: También conocido como SIM Swapping es una modalidad que se ha popularizado para saquear cuentas bancarias.
  6. Facebook y WhatsApp, las dos aplicaciones con más intentos de phishing: El dato surge de un estudio que se centró en los servicios web a los que los empleados de las pequeñas y medianas empresas acceden mientras trabajan.
  7. 60% de latinoamericanos guarda archivos relacionados a su trabajo en la nube: Investigación de Kaspersky además reveló que solo la mitad de los empleados de la región toma las medidas necesarias para proteger la información que almacena en estos servicios
  8. Office 365: un blanco muy apuntado por los cibercriminales: Repasamos cuáles han sido algunas de las formas de ingeniería social más recurrentes y qué puede hacer un atacante una vez que obtiene las credenciales de Office 365.