Resumen: El objetivo de esta investigación es presentar el diseño de una guía metodológica para la aplicación del proceso de ciberseguridad que permita tener detalladamente los pasos, procesos y herramientas a utilizar. Se empleó el método analítico, así como instrumentos (Checklist) propuestos por la norma ISO/IEC 27032. Se identificaron tres fases para el diseño de la guía, siendo estos: Auditoría interna en los procesos de las áreas de Redes, Desarrollo de Software y Documentación; Análisis de Vulnerabilidades e Identificación de Riesgos. Como resultado de la propuesta se presenta un esquema de ciberseguridad aplicada a sistemas distribuidos, en los dominios de seguridad de la información, de redes y aplicaciones, junto con las herramientas e instrumentos necesarios en la aplicación del proceso de ciberseguridad.
Palabras-clave: Ciberseguridad, Ciberespacio, Ciberataque, vulnerabilidades, Guía metodológica.
Abstract: The objective of this research is to present the design of a methodological guide for the application of the cybersecurity process that allows detailed steps, processes and tools to be used. The analytical method was used, as well as instruments (checklist) proposed by the ISO / IEC 27032 standard. Three phases were identified for the design of the guide, these being: Internal audit in the processes of the areas of Networks, Software Development and Documentation; Vulnerability Analysis and Risk Identification. As a result of the proposal, a cybersecurity scheme is applied to distributed systems, in the domains of information security, networks and applications, together with the tools and instruments necessary in the application of the cybersecurity process.
Keywords: Cybersecurity, Cyberspace, Cyberattack, vulnerabilities, Methodological guide.
1.Introducción
En las últimas décadas, las nuevas tecnologías, los servicios electrónicos y redes de comunicación se han visto cada vez más integradas en el quehacer diario; las empresas, la sociedad, el gobierno y la defensa nacional dependen del funcionamiento de las tecnologías de la información y comunicaciones (TICs) y de la operación de las Infraestructuras Críticas de Información (ICIs); el transporte, las comunicaciones, el comercio electrónico, los servicios financieros, los servicios de emergencia y servicios públicos se sustentan en la disponibilidad, integridad y confidencialidad de la información que fluye a través de estas infraestructuras (Anchundia, 2017).
Como lo indica la Oficina de Seguridad para las Redes Informáticas (2018), los sistemas informáticos están sometidos a potenciales amenazas de seguridad de diversa índole, originadas tanto desde dentro de la propia organización, como desde fuera, procedentes de una amplia variedad de fuentes. A los riesgos físicos, entre ellos, accesos no autorizados a la información, catástrofes naturales, sabotajes, incendios, y accidentes; hay que sumarle los riesgos lógicos como contaminación con programas malignos, ataques de denegación de servicio y otros. Fuentes de daños como códigos maliciosos y ataques de intrusión o de denegación de servicios se están volviendo cada vez más comunes, ambiciosos y sofisticados
Durante los últimos años, la aparición de noticias sobre amenazas a la privacidad en Internet, que afectan tanto a empresas como a personas, ha despertado la conciencia en una parte muy significativa de la sociedad respecto a la importancia que tiene proteger la información en un mundo digital. Se trata además de una situación compleja, en la que el número y la variedad de ciberamenazas es cada vez más elevado dado el proceso de digitalización de toda la economía y el avance de nuevas tendencias tecnológicas, como la computación en la nube o el Internet de las cosas. Este monográfico, editado por Fundación Telefónica, ofrece una visión global de estos y otros temas, y de cómo se puede abordar la seguridad en el mundo digital, área que denominamos "ciberseguridad" (Fundación Telefónica, 2016).
Para Jaime Romero (2018) la ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. Los activos de la organización y los usuarios son los dispositivos informáticos conectados, los usuarios, los servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de la información transmitida y/o almacenada en el ciberentorno.
La Ciberseguridad ha dado un incremento importante en la última década, debido a que esta ha sido consecuencia de la frecuencia de ataques informáticos que llegan a colapsar plataformas gubernamentales, con trágicas consecuencias. La seguridad en internet debería ser una prioridad para cualquier empresa u organización con presencia en el medio digital. Los hackers buscan constantemente grietas en las defensas que se colocan como protección; si la empresa opta por renunciar a la seguridad de la red informática, puede dañar gravemente su reputación, por lo que no se debe arriesgar más con la vulnerabilidad de la seguridad de la red, datos y aplicaciones (Royal, 2018).
Existen algunos países que han puesto un énfasis en la prevención de ataques de ciberseguridad. Dávila (2017) hace referencia a la publicación de la Unión Internacional de telecomunicaciones (UIT).
En el listado constan 193 países, cada uno con un rango específico de compromiso para enfrentar posibles ciberataques; y que se basa en cinco pilares básicos: medidas jurídicas, medidas técnicas, medidas organizativas, creación de capacidades y cooperación; el Ecuador se encuentra en el sexto puesto de América Latina y ocupa el puesto 66 en el listado global de los países que formaron parte del estudio, no está en estado intermedio; no figura entre los líderes, pero tampoco está en la lista de países que se encuentran en etapas iniciales de su desarrollo.
A diferencia del resto de los entornos donde se combate el ciberataque, el ciberespacio tiene una dimensión física y virtual; de esa manera, cualquier suceso que ocurra en el ciberespacio tiene efectos en el mundo físico y viceversa. Cuanto más se extienda el uso de internet en nuestro país y se aumente la dependencia a las infraestructuras y tecnologías informáticas, el nivel de vulnerabilidad se incrementará (Bejarano, 2014) (Philco, 2017).
Según Netcloud (2017) los orígenes de las vulnerabilidades son muy diferentes. Pueden ser debidas a fallos en el diseño del sistema, carencia de procedimientos o simples errores de configuración; por otro lado, la comunidad de investigadores de seguridad ha reconocido que el comportamiento humano tiene un papel crucial en muchos fallos de seguridad (Altamirano & Bayona, 2017) (Rojal, 2018).
Las vulnerabilidades han aumentado en un 9% en el último año debido principalmente a que las empresas exigen ciclos de lanzamiento de aplicaciones de manera más rápida. De acuerdo al informe este analizó a 45.000 sitios web y red escaneos realizados sobre 5.700 objetos de análisis a partir de abril de 2015 hasta marzo de 2016, los resultados muestran que el 55% de los sitios web tienen una o más vulnerabilidades de gravedad alta, este tipo de comportamiento se ha deteriorado significativamente en sólo un año, un crecimiento del 9% respecto al informe del año 2015. Además, se encontró que el 84% de las aplicaciones de Internet pueden tener vulnerabilidades de mediana gravedad, mientras que el 16% de los activos de la red perimetral también fueron susceptibles al menos en una vulnerabilidad de gravedad media (Naudi, 2016).
Como lo menciona Navarro, Urcuqui, García, & Osorio (2018) es posible disminuir el nivel de riesgo de forma significativa y con ello la materialización de las amenazas y la reducción del impacto sin necesidad de realizar elevadas inversiones ni contar con una gran estructura de personal. Para ello se hace necesario conocer y gestionar de manera ordenada los riesgos a los que está sometido el sistema informático, considerar procedimientos adecuados y planificar e implantar los controles de seguridad que correspondan.
La elevación de los niveles de seguridad en el ciberespacio se consigue implantando un conjunto de controles, que incluyan políticas, procesos, procedimientos y funciones de hardware y software, los que deben ser establecidos, implementados, supervisados y mejorados cuando sea necesario para cumplir los objetivos específicos de seguridad del ciberespacio. Sin embargo, para que cualquier control, herramienta o proceso establecido para la seguridad del ciberespacio sea lo más segura posible, se debe realizar un buen proceso de análisis, identificación, priorización de posibles riesgos para establecer normas preventivas, correctivas de forma correcta. Una guía metodológica de ciberseguridad es una herramienta que permitirá ordenar información o darle diferentes tratamientos para interpretarlos de manera clara, sintética y práctica, a la vez que permitan dar una idea general de las diferentes fases o procesos que se llevan cabo para identificar, analizar y priorizar respectivamente cada una de las posibles vulnerabilidades y riesgo, de forma que el cumplimiento de las normas permita llevar un control preciso y esquematizado para posteriores mitigaciones de dichos impactos.
2. Materiales y métodos
Para el desarrollo de la presente propuesta, se empleó el método analítico, ya que luego del estudio teórico de lo que conlleva el proceso de ciberseguridad, y con la experiencia de aplicar este proceso en las instituciones de educación superior de Manabí (Morales, et. al., 2019), se plantea una guía metodológica de Ciberseguridad. Para la presentación de los resultados se consideraron tres fases esenciales, correspondientes a: Auditoría interna en los procesos de las áreas de Redes, Desarrollo de Software y Documentación; Análisis de Vulnerabilidades e Identificación de Riesgos, en donde, el primer paso fue establecido con cuestionarios (checklist) basados en la norma ISO/IEC 27032 - Directrices de Ciberseguridad en lo que respecta a la auditoria, con los dominios: Seguridad de la información, de las redes y de las aplicaciones (ISO, 2018). En este proceso se aplicó el método cuantitativo, que permitió identificar los datos mediante la escala de Likert, donde 4 es un proceso no vulnerable, 3 poco vulnerable, 2 vulnerable y 1 muy vulnerable.
Por otro lado, para el análisis de vulnerabilidades, una vez obtenida la ponderación e identificación según los datos del cheklist, se efectúa una priorización mediante una matriz de clasificación; adicionalmente en el hallazgo de las vulnerabilidades en los sistemas distribuidos en instituciones, se aplica la verificación por medio de herramientas de escaneo de vulnerabilidades como: Shodan, Nessus, y Acunetix; que permitieron escanear la IP pública o por enlace web de dichos sistemas, en donde se puede obtener las vulnerabilidades ya clasificadas.
Para el proceso de identificación de los riesgos de cada una de las vulnerabilidades encontradas, se elaboró la matriz AMFE (Análisis Modal De Fallos y Efectos) por cada dominio (Información, Aplicaciones y Red) de la norma aplicada, determinando así la probabilidad de ocurrencia y el impacto correspondiente al Nivel de riesgo de las vulnerabilidades, tributando acciones de mitigación y criterios de aceptación respectivamente a la guía de Ciberseguridad.
3. Resultados
El siguiente esquema está enfocado a la aplicación de ciberseguridad de sistemas distribuidos, aplicando normas y estándares de seguridad bajo los siguientes dominios: seguridad de la información, de las redes y de las aplicaciones.
Guía metodológica para ciberseguridad
De acuerdo con el esquema planteado se propone los siguientes pasos para determinar el nivel de Ciberseguridad en los sistemas distribuidos que tienen las organizaciones:
* Paso 1: Auditoría interna en los procesos de las áreas de Redes, Desarrollo de Software y Documentación
La auditoría interna se realiza con la finalidad de llevar un control de los procesos que se llevan a cabo en las diferentes áreas de una organización, y a la vez verificar que el cumplimiento de estas actividades se efectúe de acuerdo a regularizaciones formales nacionales (normativas, manuales, procedimientos) e internacionales (estándares, marcos de control, buenas prácticas). El checklist aplicado para esta auditoría es basado en la ISO/IEC 27032 directrices de Ciberseguridad bajo los dominios de seguridad de Redes, Información y Aplicaciones para los sistemas distribuidos.
En el cuadro 1 se observa un formato de checklist aplicable para la auditoría interna, para este caso, se puede utilizar para evaluar toda la documentación que se lleva a cabo en los procesos de seguridad de la información, así como en las aplicaciones y en las redes, por lo tanto, se elabora un checklist para cada dominio con la que trabaja la norma ISO/IEC 27032. A continuación, se detalla cada columna del checklist:
El auditor o investigador deberá llenar los siguientes campos del checklist: En la columna Componente se indicará el título principal del apartado de la norma que se va aplicar y que se tomará en consideración para la evaluación; la columna Sección, se especificarán los subtítulos de la columna anterior y de la misma forma solo se escogerán los indicados para la auditoría y la columna Preguntas, contendrá interrogantes acordes a la columna sección, serán de estructura simple o compuestas. De acuerdo a lo que responda la parte auditada se seleccionará el SI, NO o No Aplica N/A. En la columna Observación, se indicará la evidencia o el estado del proceso en la que se encuentra la información.
Evaluación del Checklist: Una vez obtenida los datos, se procede a ponderar las preguntas mediante la escala Likert y de esta manera verificar el cumplimiento de la norma aplicada en los procesos auditados. Esta ponderación se realiza con la finalidad de cuantificar los datos y así obtener un puntaje de acuerdo al desempeño que llevan las áreas en TI con relación a sus actividades de seguridad en los datos, aplicaciones y redes.
Para la evaluación se puede agregar dos columnas en el checklist, una para calificar la ponderación y la otra para identificar el estado en la que se encuentra la documentación. La ponderación tiene cuatro ítems, donde 4 es un proceso No Vulnerable, 3 Poco Vulnerable y 2 Vulnerable y 1 Muy Vulnerable.
* Paso 2: Análisis de Vulnerabilidades
Primeramente, se procede a clasificar la información obtenida de acuerdo con la ponderación e identificación del estado de los procesos en documentación efectuada en el checklist. El resultado de la valoración serán las vulnerabilidades encontradas en los sistemas distribuidos. El análisis de las mismas corresponde a la evidencia suscitada en la solicitud de información al momento de aplicar el checklist, y de acuerdo al estado de vulnerabilidad se realiza el siguiente cuadro para su clasificación:
De acuerdo al cuadro 2 en la columna Dominio, se especifica el dominio de seguridad (Información, Aplicaciones y Redes) de la norma aplicada, en el campo de Vulnerabilidad, se detalla la vulnerabilidad y de acuerdo al análisis de la evidencia obtenida en la aplicación del checklist se la procede a clasificar, es decir, que el estado de la misma depende de la evidencia que permite verificar el cumplimiento de la documentación. Y en la tercera columna se indica el nombre de la institución auditada, y el estado de la vulnerabilidad (Muy Vulnerable, Vulnerable, Poco Vulnerable). Cabe mencionar que se pueden tomar solo los tres últimos estados de la escala de Likert para la clasificación de las vulnerabilidades.
Para profundizar la investigación se puede adoptar herramientas tecnológicas de escaneo de vulnerabilidades en los sistemas distribuidos de la institución auditada. Primeramente, se selecciona las herramientas de escaneo, posteriormente, se solicita una lista de los enlaces de los sistemas implementados y/o desarrollados en la organización, para luego hacer la búsqueda de las vulnerabilidades que tengan estos sistemas. Las herramientas arrojarán reportes del tipo de vulnerabilidad encontrada como informativa, media, alta o crítica. De acuerdo con la experiencia de los autores las herramientas Shodan, Nexus y Acunetix, fueron las más operativas para la detección de vulnerabilidades, ya que cada una de ellas, arrojó resultados de acuerdo con cada dominio de la norma. Con la obtención de estos datos se puede realizar una comparativa con los resultados obtenidos en los diferentes dominios de la norma ISO/IEC 27032, y con ello determinar la ubicación de los fallos en la parte técnica de los sistemas distribuidos.
* Paso 3: Identificación de Riesgos
Para la comprensión de los riesgos que podrían tener estas vulnerabilidades en los sistemas distribuidos, se pueden utilizar metodologías de gestión de riesgos como la ISO/IEC 27005, AMFE (Análisis Modal de Fallos y Efectos) y herramientas de como Marisma. Para este estudio se consideró la AMFE por su precisión en la identificación y priorización de los riesgos en las vulnerabilidades encontradas en los sistemas distribuidos de la empresa. La matriz de riesgos (AMFE) fue aplicado al cumplimiento de la Norma ISO 27032 cubriendo los dominios de Seguridad de la Información, Seguridad de las Aplicaciones y Seguridad de las Redes como se puede apreciar en el cuadro 3:
De acuerdo a la plantilla del cuadro 3 en esta matriz se establecen parámetros como, ID del riesgo, vulnerabilidad, probabilidad, la acción de mitigación y su criterio de aceptación, que servirán para mejorar el riesgo a ataques remotos o mal uso de la información que se maneja en los sistemas distribuidos de la organización. Cabe mencionar que se toman en cuenta parámetros, como probabilidad (Alto, Medio y Bajo) e impacto (Muy Grave, Grave y Menor), obteniendo así el nivel de riesgo (Crítico, Medio y Bajo) de las vulnerabilidades. Su aplicación permite reconocer criterios de manera más explícita en la identificación de los riesgos presentes en los análisis efectuados, además de aplicar métodos basados en la norma ISO 27032 para la gestión de riesgos de ciberseguridad de los sistemas distribuidos.
4.Conclusiones
La ciberseguridad afecta al bienestar digital de la sociedad, de las organizaciones y de los países, siendo cada vez más notoria la era digital en la que los accesos a cualquier actividad son a través de la tecnología y no existe casi nada que no se pueda hacer a través de una plataforma virtual, accediendo a datos privados a nivel personal como organizacional, y ante la creciente ola de ciberataques de hoy en día, la ciberseguridad cumple un papel cada vez más importante en la comunidad, para ello se debe tener en cuenta que una guía metodológica va a permitir a las organizaciones llevar un mejor análisis y estudio de vulnerabilidades de forma ordenada estipulando que hacer y como hacer ayudando a proteger sus activos digitales y plantear políticas para actuar y estar preparados ante los posibles ciberataques.
Con el análisis de vulnerabilidades se podrá conocer cuáles son las que más prioridad tiene al momento de efectuar la calificación, dado que los niveles de vulnerabilidad (Muy Vulnerable, Vulnerable, Poco Vulnerable) son determinados en base a los Dominio (Información, Aplicaciones y Redes) en los sistemas distribuidos, y de esta manera conocer hasta qué punto el riesgo podría ser de gravedad leve o severa de no ser solucionado.
El plan metodológico es una guía que brinda los pasos necesarios e importantes para determinar el nivel de ciberseguridad, aplicando normas internacionales que permiten mejorar la seguridad en la información, redes y aplicaciones de los sistemas distribuidos que las empresas administran. El formato de checklist y clasificación de vulnerabilidades que se establecen en este apartado sirven como apoyo para la ejecución de cualquier trabajo investigativo relacionado a la seguridad de los sistemas de información. La plantilla AMFE es uno de los recursos más importantes que identifica los riesgos y los priorizar, efectuando acciones de mitigación que permite establecer medidas de control y disminuir los riesgos ya sea a corto o mediano plazo.
Referencias
Anchundia, C. (2017). Ciberseguridad en los sistemas de información de las universidades. Dominio de Las Ciencias, 3(3), 200-217. https://doi.org/io.23857/dom.cien. pocaip.2017.3.mono1.ago.200-217
Altamirano, Y. J., & Bayona, O, (2017). Políticas de Seguridad de la Información: Revisión Sistemática de las Teorías que Explican su Cumplimiento. RISTI - Revista Ibérica de Sistemas e Tecnologías de Informaçao, (25), 112-134. doi: 10.17013/ risti.25.112-134.
Bejarano, M. J. C. (2014). Alcance y ámbito de la seguridad nacional en el ciberespacio. Cuadernos de Estrategia (Ministerio de Defensa), 20, 49-82.
Fundación Telefónica. (2016). Ciberseguridad, la protección de la información en un mundo digital (Primera ed; Ariel S.A., Ed.). Madrid.
Dávila, E. (2017). Cómo está Ecuador en materia de Ciberseguridad. Disponible en: https://www.elcomercio.com/guaifai/ecuador-seguridad-internet-hackeociberataque.html
ISO (Organization International for Standarization). (2018). ISO/IEC 27032:2012 Tecnología de la Información-Técnicas de seguridad-Directrices para la ciberseguridad. Disponible en: https://www.iso.org/standard/44375.html
Morales, J.; Avellán, N, Mera, J. & Zambrano, M. (2019). Ciberseguridad y su aplicación en las Instituciones de Educación Superior. pp 438-448
Navarro, A., Urcuqui, C., García, M., & Osorio, J. (2018). Ciberseguridad: un enfoque desde la ciencia de datos. In Universidad Icesi (Ed.), Ciberseguridad: un enfoque desde la ciencia de datos (Primera Ed). https://doi.org/10.18046/eui/ee4.2018
Naudi, T. (2016). El Segundo informe de seguridad de la aplicación web Acunetix. Disisponible en: https://www.acunetix.com/blog/news/web-app-securityreport-2016/
Netcloud Engineering. (2017). Netcloud Engineering. Retrieved from Disponible en: https://netcloudengineering.com/ciberseguridad-amenaza-vulnerabilidad/
OSRI (Oficina de Seguridad para las Redes Informáticas Página). (2018). Metodología para la gestión de la seguridad informática (pp. 1-68). pp. 1-68. Retrieved from http://instituciones.sld.cu/dnspminsap/files/2013/08/Metodologia-PSINUEVAProyecto.pdf
Philco, L. (2017). Estudio y análisis de ciberataques en América Latina, su influencia en las empresas del Ecuador y propuesta de políticas de ciberseguridad. Disponible en: http://repositorio.ucsg.edu.ec/handle/3317/9203
Romero, J. (2018). Conceptualización De Una Estrategia De Ciberseguridad Para La Seguridad Nacional De México. 28. Retrieved from http://www.redalyc.org/ articulo.oa?id=65458498003%0ACómo
Rojal. (2018). La Ciberseguridad se posiciona en 2018 como uno de los requisitos esenciales del diseño web. Disponible en: https://www.comunicae.es/nota/laciberseguridad-se-posiciona-en-2018-como-1193644/
You have requested "on-the-fly" machine translation of selected content from our databases. This functionality is provided solely for your convenience and is in no way intended to replace human translation. Show full disclaimer
Neither ProQuest nor its licensors make any representations or warranties with respect to the translations. The translations are automatically generated "AS IS" and "AS AVAILABLE" and are not retained in our systems. PROQUEST AND ITS LICENSORS SPECIFICALLY DISCLAIM ANY AND ALL EXPRESS OR IMPLIED WARRANTIES, INCLUDING WITHOUT LIMITATION, ANY WARRANTIES FOR AVAILABILITY, ACCURACY, TIMELINESS, COMPLETENESS, NON-INFRINGMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Your use of the translations is subject to all use restrictions contained in your Electronic Products License Agreement and by using the translation functionality you agree to forgo any and all claims against ProQuest or its licensors for your use of the translation functionality and any output derived there from. Hide full disclaimer
© 2020. This work is published under https://creativecommons.org/licenses/by-nc-nd/4.0/ (the “License”). Notwithstanding the ProQuest Terms and Conditions, you may use this content in accordance with the terms of the License.
Abstract
Internal audit in the processes of the areas of Networks, Software Development and Documentation; Vulnerability Analysis and Risk Identification. [...]of the proposal, a cybersecurity scheme is applied to distributed systems, in the domains of information security, networks and applications, together with the tools and instruments necessary in the application of the cybersecurity process. Fuentes de daños como códigos maliciosos y ataques de intrusión o de denegación de servicios se están volviendo cada vez más comunes, ambiciosos y sofisticados Durante los últimos años, la aparición de noticias sobre amenazas a la privacidad en Internet, que afectan tanto a empresas como a personas, ha despertado la conciencia en una parte muy significativa de la sociedad respecto a la importancia que tiene proteger la información en un mundo digital. A diferencia del resto de los entornos donde se combate el ciberataque, el ciberespacio tiene una dimensión física y virtual; de esa manera, cualquier suceso que ocurra en el ciberespacio tiene efectos en el mundo físico y viceversa.
You have requested "on-the-fly" machine translation of selected content from our databases. This functionality is provided solely for your convenience and is in no way intended to replace human translation. Show full disclaimer
Neither ProQuest nor its licensors make any representations or warranties with respect to the translations. The translations are automatically generated "AS IS" and "AS AVAILABLE" and are not retained in our systems. PROQUEST AND ITS LICENSORS SPECIFICALLY DISCLAIM ANY AND ALL EXPRESS OR IMPLIED WARRANTIES, INCLUDING WITHOUT LIMITATION, ANY WARRANTIES FOR AVAILABILITY, ACCURACY, TIMELINESS, COMPLETENESS, NON-INFRINGMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Your use of the translations is subject to all use restrictions contained in your Electronic Products License Agreement and by using the translation functionality you agree to forgo any and all claims against ProQuest or its licensors for your use of the translation functionality and any output derived there from. Hide full disclaimer
Details
1 Escuela Superior Politécnica Agropecuaria de Manabí Manuel Félix López, 1306021, Calceta, Ecuador
2 ESPAM MFL EP Empresa Pública, 130601, Calceta, Ecuador