técnicas de evasión de antivirus y canales encubiertos · normas iso 27001, cmmi (nivel 5),...
TRANSCRIPT
Técnicas de evasión de antivirus y Canales Encubiertos
Febrero 2016
He trabajado en importantes empresas como consultor especializado en Computer
Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado
normas ISO 27001, CMMI (nivel 5), PCI-DSS y diversas metodologías de seguridad
especialmente en el sector bancario durante mas de diez años.
También colaboro sobre Respuesta ante incidentes, seguridad, peritaje y análisis forense
informático con diversas organizaciones comerciales y con las fuerzas y empresas de
seguridad del estado y agencias gubernamentales.
He participado en las jornadas LookShields organizadas por el ministerio de defensa y
obtuve la certificación Nato Secret, también he dado conferencias en NATO Cooperative
Cyber Defence Centre of Excellence Tallinn, en Estonia.
He trabajado en el área de inteligencia de Bitdefender para Google durante cuatro años.
Soy miembro de la Spanish Honeynet Project, fundador de Conexión Inversa y soy Perito
Judicial Informático en la Asociación Nacional de Ciberseguridad y peritaje Tecnológico
(ANCITE).
Actualmente soy el responsable del equipo de respuesta ante incidentes de Deloitte.
Cyber Incident Response
CIR
Pedro Sánchez Cordero
Estado de la seguridad actual
© 2015 Deloitte Advisory, S.L. 4
El ministro ha destacado también algunas cifras
significativas:
18.000 ataques cibernéticos registrados en 2014 por el
CERT de Seguridad e Industria
80 incidentes de operadores de infraestructuras críticas y
más de 40 comunicaciones relativas a la Ciberseguridad.
El ministro del Interior español, Jorge Fernández Díaz,
ha recordado recientemente que “el ciberdelito supone ya
la tercera forma delictiva y criminal más importante a nivel mundial”
Estado actual
© 2015 Deloitte Advisory, S.L. 5
El ministro ha destacado también algunas cifras
significativas:
18.000 ataques cibernéticos registrados en 2014 por el
CERT de Seguridad e Industria
80 incidentes de operadores de infraestructuras críticas y
más de 40 comunicaciones relativas a la Ciberseguridad.
El ministro del Interior español, Jorge Fernández Díaz,
ha recordado recientemente que “el ciberdelito supone ya
la tercera forma delictiva y criminal más importante a nivel mundial”
Estado actual
© 2015 Deloitte Advisory, S.L. 6
El ministro ha destacado también algunas cifras
significativas:
18.000 ataques cibernéticos registrados en 2014 por el
CERT de Seguridad e Industria
80 incidentes de operadores de infraestructuras críticas y
más de 40 comunicaciones relativas a la Ciberseguridad.
El ministro del Interior español, Jorge Fernández Díaz,
ha recordado recientemente que “el ciberdelito supone ya
la tercera forma delictiva y criminal más importante a nivel mundial”
Estado actual
© 2015 Deloitte Advisory, S.L. 7
El ministro ha destacado también algunas cifras
significativas:
18.000 ataques cibernéticos registrados en 2014 por el
CERT de Seguridad e Industria
80 incidentes de operadores de infraestructuras críticas y
más de 40 comunicaciones relativas a la Ciberseguridad.
El ministro del Interior español, Jorge Fernández Díaz,
ha recordado recientemente que “el ciberdelito supone ya
la tercera forma delictiva y criminal más importante a nivel mundial”
Estado actual
© 2015 Deloitte Advisory, S.L. 8
El ministro ha destacado también algunas cifras
significativas:
18.000 ataques cibernéticos registrados en 2014 por el
CERT de Seguridad e Industria
80 incidentes de operadores de infraestructuras críticas y
más de 40 comunicaciones relativas a la Ciberseguridad.
El ministro del Interior español, Jorge Fernández Díaz,
ha recordado recientemente que “el ciberdelito supone ya
la tercera forma delictiva y criminal más importante a nivel mundial”
Estado actual
© 2015 Deloitte Advisory, S.L. 9
El ministro ha destacado también algunas cifras
significativas:
18.000 ataques cibernéticos registrados en 2014 por el
CERT de Seguridad e Industria
80 incidentes de operadores de infraestructuras críticas y
más de 40 comunicaciones relativas a la Ciberseguridad.
El ministro del Interior español, Jorge Fernández Díaz,
ha recordado recientemente que “el ciberdelito supone ya
la tercera forma delictiva y criminal más importante a nivel mundial”
Estado actual
Riesgos más relevantes 2015 (CCN-CERT)
Riesgos de recibir un ataque cibernético
© 2016 Deloitte Advisory, S.L. 10
CIBERESPIONAJE: Hacia la búsqueda de información
sensible
• Ámbito en crecimiento: APT más sofisticadas y rastreo
más difícil
12
3
Países más atacados por APT
CIBERDELINCUENCIA: Fraude y fines lucrativos
• Máxima incidencia: TPV y cajeros automáticos
• Métodos en auge: exploits-kits, phishing, e-money,
explotación de puertas traseras
HACKTIVISMO: La política como trasfondo
• Anonymous, nuevos países en el punto de mira
• Denegación de servicio y desfiguración de contenido
Mapa de objetivos 2015
Ciberseguridad, un riesgo global
Mapa de posibles amenazas
11
Los ciberataques se han multiplicado drásticamente en términos de
frecuencia, complejidad y finalidad.
Ataques a plataformas
propias (web, apps,
móviles) Ataques a clientes
(fuera de parámetro)
Fuga de información
confidencial
Ataques activos
intangibles
FraudeAtaques a activos
físicos o
infraestructuras críticas
Credenciales
robadas
Malware
Phishing
Reputación
Directivos
Reputación
Marca
Empleado/
GestorSucursal
Tienda/CajeroSistema
Video
vigilancia
VoIP/
Videoconferencia
Fraude de
empleado o de
3ª parte
Fraude Tarjetas
o cadena de
suministros
Abuso redes
sociales
Robo de
información
Filtrado de
información
Pérdida/Robo
Dispositivo
Hacking
DoS
DDoS Vulnerabilida
d en HW y SW
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
© 2015 Deloitte Advisory, S.L. 12
Fases de un ataque
Mecanismos de ataque
en el pasado
Virus
Gusanos de correo
Gusanos exploit
Rootkits
Troyanos de puerta trasera
Dispositivo
Extraíble
Clientes de Mensajería Instantánea
Adjuntos de correo
PirataInformático
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
Virus
Gusanos de correo
Gusanos exploit
Gusanos P2P
Gusanos IM
Rootkits
Troyanos de puertatrasera
Spyware
Adware
Greyware
Fuentes
de ataque
Sitios Web Multimedia Legítimos Comprometidos
Dispositivos extraíbles
Dispositivos Móviles
Redes PúblicasWi-Fi
Clientes de
Mensajería
Instantánea
Hackers
Aplicaciones Web 2.0
Tipos de amenazas
Medios
Adjuntos de Correo SPAM
Empresas Legítimas
Redes P2PPhishingCrimen organizado
Gobiernos extranjeros
Mecanismos actuales
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
FASE 1: INTELIGENCIA
Preparando la amenaza
Colaboradores
Amigos
Empleados
Capacitaciones
Perfiles
Gustos
Sitios Web Multimedia Legítimos Comprometidos
Dispositivos extraíbles
Dispositivos Móviles
Redes PúblicasWi-Fi
Clientes de
Mensajería
Instantánea
Aplicaciones Web 2.0
Redes P2PPhishing
Victima(s)
FASE II:
DESARROLLO DEL APT
Hackers
Routers
Servidores
AD / LDAP / VPN
Switches
FASE III:
CONTROL
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
Destacado: EL MALWARE
Cada vez es más usual que un atacante obtenga
información de una organización utilizando ‘piezas’ y
componentes de malware. Muchos de estos no son
detectados por los antivirus, antimalware y otros
mecanismos de seguridad local y perimetral.
© 2015 Deloitte Advisory, S.L. 19
Esto lleva a las organizaciones a destinar grandes
cantidades presupuestarias con objeto de reducir y
minimizar el impacto que se producen cuando estas son
atacadas. Disponer de buenos productos, última
tecnología, ‘estar al día’ y disponer de unas buenas
fuentes de información son los objetivos a perseguir por
las empresas.
TECNICAS
ANTIMALWARE
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
Ventajas
Detección basada en firmas
Utiliza huellas digitales (hash) sobre un contenedor
propietario o base de datos de hashes que se
distribuye con el propio producto antimalware
actualizándose desde un servidor de internet.
La firma (a comparar) podría representar una serie
de bytes en el archivo. También puede ser un hash
criptográfico del archivo o de sus secciones.
Este método de malware detección ha sido un
aspecto esencial de las herramientas antivirus
desde su creación, sigue siendo una parte de
muchas herramientas hasta la fecha.
© 2015 Deloitte Advisory, S.L. 21
• Una limitación importante de la detección basada en
firmas es que, por sí mismo, este método es incapaz
de detectar malware de día 0, el cual aún no se han
desarrollado firmas.
• Con este pensamiento, los atacantes modernos
utilizan con frecuencia el concepto de mutación, el cual
mutan sus creaciones para conservar la funcionalidad
maliciosa cambiando la firma del archivo.
Desventajas
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
Ventajas
Detección por heurística
Utiliza una detección sin una coincidencia exacta
de la firma.
Por ejemplo, una herramienta antivirus podría
buscar la presencia de instrucciones raras o código
basura en el archivo examinado. La herramienta
también puede emular la ejecución del archivo para
ver lo que haría si se ejecuta.
Un atributo sospechoso podría no ser suficiente
para marcar el archivo como malicioso. Sin
embargo, varias de estas características podrían
superar el umbral de riesgo esperada, lo que lleva
la herramienta para clasificar el archivo como
malware
© 2015 Deloitte Advisory, S.L. 22
• La mayor desventaja de la heurística es que puede
marcar archivos legítimos como maliciosos.
• La industria del malware utiliza ejecución retardada
para comprobar si se encuentra en un entorno
controlado o de emulación.
• Para evitar la búsqueda de instrucciones raras utilizan
como plantilla un ejecutable del sistema a infectar.
Desventajas
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
Ventajas
Detección por comportamiento
El antimalware observa cómo el programa se
ejecuta, en lugar de simplemente emulando su
ejecución. Este enfoque intenta identificar el
malware mediante la búsqueda de
comportamientos sospechosos, como la descarga
de componentes de código malicioso, la
modificación del archivo hosts o la observación de
las pulsaciones de teclado.
Al igual que con la heurística, cada una de estas
acciones por sí mismo no podría ser suficiente para
clasificar el programa como malware. Sin embargo,
en conjunto, podrían ser indicativos de un
programa malicioso.
© 2015 Deloitte Advisory, S.L. 23
• La mayor desventaja de la heurística es que puede
marcar archivos legítimos como maliciosos.
• La industria del malware utiliza ejecución retardada
para comprobar si se encuentra en un entorno
controlado o de emulación.
• Otra técnica consiste en lanzar el programa ‘bueno’ y
ejecutar la pieza de malware sobre una acción del
programa.
Desventajas
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
Ventajas
Detección por comparación
Identifica el malware mediante la recopilación de
datos de los equipos protegidos con el antimalware.
Esto se hace generalmente mediante la captura de
los datos relevantes sobre el archivo y el contexto
de su ejecución en el punto final, y les proporciona
datos al motor en la nube para su procesamiento.
El agente antivirus local solamente necesita realizar
un procesamiento mínimo.
Un motor basado en la nube permite a los usuarios
individuales de la herramienta antivirus para
beneficiarse de las experiencias de otros
miembros de la comunidad
© 2015 Deloitte Advisory, S.L. 24
• Ineficaz ante malware de día 0.
• El malware actual utiliza técnicas de falseo de datos al
identificar el tipo de antimalware que está instalado en
el equipo, enviando datos de otras aplicaciones
legitimas.
• También permite el bloqueo de direcciones IP donde el
antimalware envía información.
• URL´s salientes: Los botnets de última generación
crean miles de conexiones de URL salientes que
pueden confundir a los dispositivos de seguridad.
Estos patrones pueden transformarse constantemente
y pueden evadir algunos métodos de detección.
Desventajas
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
http://www.av-comparatives.org/wp-content/uploads/2015/10/avc_fdt_201509_en.pdf
ANATOMIA DE UNA
EXTORSION (I)
Análisis de Malware en Canales
Encubiertos - Casos Reales
HackLab
© 2015 Deloitte Advisory, S.L. 27
Tiene 48 horas para abonar la cantidad, si no
lo hace sus sistemas dejaran de dar servicio.
Hoy a las 16:01h sabrá de mi existencia.
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
PLANIFICACIÓN
Primera reunión (ejecutiva):
• Establecer los puntos de fuga o de entrada ante
un ataque
• Determinar el riesgo
• Activar continuidad de negocio
Segunda reunión (técnica):
• Activar contingencia local (Backups)
• Desplegar herramientas de control
© 2015 Deloitte Advisory, S.L. 28
Objetivos
Determinar el origen de la fuente
Analizar las cabeceras de correo
Comprobar la amenaza por internet
Activar protocolos de denuncia
Activar protocolos de comunicación
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
DESPLIEGUE Y CONTROL
• Consiste en la toma de control de todos los
dispositivos de seguridad.
• Refuerzo de actualizaciones
• ‘parches’ de seguridad
• Fortalecimiento de contraseñas
• Control de los activos críticos
• Servidores
• Bases de datos
• Frontend
© 2015 Deloitte Advisory, S.L. 29
Objetivos
Disponer de una toma de control de los
sistemas más críticos.
Aplicar medidas de control
Aplicar monitorización
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
TECNOLOGIAS
© 2015 Deloitte Advisory, S.L. 30
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
TECNOLOGIAS
© 2015 Deloitte Advisory, S.L. 31
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
TECNOLOGIAS
© 2015 Deloitte Advisory, S.L. 32
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
TECNOLOGIAS
© 2015 Deloitte Advisory, S.L. 33
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
TECNOLOGIAS
© 2015 Deloitte Advisory, S.L. 34
ANATOMIA DE UNA
EXTORSION
HORA ZULU
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
16:01h
• Silencio absoluto
• Tráfico normal
16:03h
• Aumento de peticiones a Google
• Aumento del tráfico https
• Aumento de peticiones de un
departamento de usuarios
© 2015 Deloitte Advisory, S.L. 36
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
16:01h
• Silencio absoluto
• Tráfico normal
16:03h
• Aumento de peticiones a Google
• Aumento del tráfico https
• Aumento de peticiones de un
departamento de usuarios
© 2015 Deloitte Advisory, S.L. 37
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
16:01h
• Silencio absoluto
• Tráfico normal
16:03h
• Aumento de peticiones a Google
• Aumento del tráfico https
• Aumento de peticiones de un
departamento de usuarios
© 2015 Deloitte Advisory, S.L. 38
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
16:01h
• Silencio absoluto
• Tráfico normal
16:03h
• Aumento de peticiones a Google
• Aumento del tráfico https
• Aumento de peticiones de un
departamento de usuarios
© 2015 Deloitte Advisory, S.L. 39
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
¿Qué obtuvimos?
Una pieza de malware que realizaba las siguientes
funciones en el equipo infectado:
• Peticiones a un formulario ubicado en Google
Docs
De los cuales envía la siguiente información:
• Usuarios
• Contraseñas
• Documentos de Word
• Visor de eventos
• Certificados.
© 2015 Deloitte Advisory, S.L. 40
• Las contraseñas se envían a un formulario
• Los documentos o archivos de gran tamaño
a Gdrive
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
¿Cómo funciona?
Se ejecuta en los siguientes sistemas
operativos:
Windows 2012, Windows 7, Windows 8, Windows
10, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows
Server 2008, Windows Vista, Windows XP.
Se crea la siguiente clave en el registro:
HKEY_CURRENT_USER\Software\Microsoft\Wind
ows\CurrentVersion\Explorer\CLSID\[RANDOM
GUID]\ShellFolder\"[RANDOM CHARACTERS]" =
"[ENCRYPTED CONFIGURATION DATA]"
El malware se conecta a:
XXX.XXX.XXX.XXX:8080
Donde espera actualizaciones o comandos
Se inicia al arranque del sistema operativo:
HKEY_CURRENT_USER\Software\Microsoft\Wind
ows\CurrentVersion\Run\"wwnotify" = "rundll32.dll
Infecta los navegadores del usuario.
© 2015 Deloitte Advisory, S.L. 41
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
¿Qué mecanismo de evasión utiliza?
Inmune a la detección de los antimalwares (0 Day)
• Código ofuscado
• Código poliformico
• Código cifrado
• Utiliza SSL de las peticiones a Google.
Genera múltiples conexiones legitimas a sitios web de
la organización (con objeto de confundir)
© 2015 Deloitte Advisory, S.L. 42
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
¿Cómo lo detectamos?
Desde un primer momento es difícil dado que no
es detectado por los antivirus.
Utilizando Indicadores de compromiso (IOC)
El patrón a utilizar son los siguientes:
• Entre 300 y 700 peticiones por segundo a
servidores de Google
• Peticiones a Gdrive (ver DNS)
• Utilización de las claves del registro anteriormente
citadas
• Conexiones cuyo puerto de destino es 8080
• Proceso oculto con nombre “Rundll32dll”
• Proceso oculto con nombre “wupdate”
© 2015 Deloitte Advisory, S.L. 43
CANALES
ENCUBIERTOS
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
¿Qué es un canal encubierto?
Es un mecanismo de fuga de información qué consiste
en la utilización de tráfico de red legitimo en
conexiones a redes sociales o sitios web de alto
prestigio y que por medio de una vulnerabilidad o
función, permite que un pirata informático envíe
información al exterior.
Un concepto más sencillo es el uso del puerto 443 o
certificado firmado o bien utilizar el propio de las redes
sociales.
Los proxies, NAT y otros mecanismos son de mucha
utilidad para neutralizar algunos tipos de canales,
especialmente aquellos en los que la conexión termina
en la frontera y es iniciada una nueva, como es el caso
de los proxies. Por ello los atacantes están empleando
cada vez más canales de comunicación basados en
protocolo HTTP, ya que este es uno de los pocos que
habitualmente están permitidos en cualquier
organización. Como medida de ocultación, suelen
utilizar conexiones HTTPS que impiden la inspección
de los paquetes por parte de los detectores de
intrusos.
© 2015 Deloitte Advisory, S.L. 45
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
¿Dónde se conectan?
Generalmente a servidores comprometidos o
alquilados en diferentes lugares del mundo, que les
sirven de Command & Control (C&C).
Esto hace que los especialistas en seguridad hayan
desarrollado listas de negras y de reputación de
direcciones IP, redes y nombres de dominio, que
sirven para identificar estas conexiones anómalas.
Hoy en día el malware utiliza conexiones conocidas
como Google, Facebook o Twitter.
En estos momentos, el uso de canales cubiertos por
parte de malware está más extendido
© 2015 Deloitte Advisory, S.L. 46
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
EJEMPLO
© 2015 Deloitte Advisory, S.L. 47
TECNICAS DE
EVASION
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
Un sencillo KeyLogger
Lo ideal para la industria del malware es desarrollar
algo nuevo, que no este registrado en las casas
antivirus.
Para ello realizan un malware simple y van
construyendo objetos alrededor de este.
© 2015 Deloitte Advisory, S.L. 49
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
RAM EVASION
Uno de los métodos más comunes para evitar la
detección de un malware es ejecutar un binario o
Shell en la memoria, sin necesidad de tocar el
disco duro.
Para lograr esto, existen varios módulos públicos,
utilizando Shellcode o incluir un módulo RunPE a
partir de la creación de un crypter.
La técnica del unicornio (Unicorn) está siendo
actualmente devastadora al poder evadir el acceso
a disco.
© 2015 Deloitte Advisory, S.L. 50
“Sin duda existen millones de binarios repartidos por el
mundo utilizando esta misma ShellCode ¿Cómo es
posible que los antivirus no la detecten?”
Sencillamente porque es imposible realizar el análisis en
memoria de todos los ejecutables de un ordenador, por
cuestiones de rendimiento. No obstante, si esta
ShellCode se incluye como “string” en el binario en disco,
las compañías antivirus tendrán mucho más sencilla su
detección…cosa que la industria del malware sabe.
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
RAM EVASION - TECNICA UNICORN
Es una técnica simple para el uso de un ataque
sobre PowerShell e inyectar código shell
directamente en la memoria.
El uso es sencillo, basta con ejecutar el programa
(debe de estar instalado metasploit) y se genera el
código de PowerShell en una ventana de línea de
comandos.
Se crea un fichero con la Shell a ejecutar.
Es la base de muchos de los malwares actuales.
© 2015 Deloitte Advisory, S.L. 51
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
MACROS DE OFFICE
Una forma sencilla de ‘engañar’ a la victima es
utilizar macros embebidos en documentos y hojas
de cálculo de Microsoft Office.
Código de Visual Basic es fácil de escribir, flexible y
fácil de refactorizar.
Todas las macros de fuentes no confiables están
deshabilitadas de forma predeterminada y su
código sólo se ejecuta si el usuario lo permite de
forma explícita.
Para superar esta limitación, los autores de código
tienen que utilizar técnicas de ingeniería social para
engañar a los usuarios para ejecutar sus macros.
.
© 2015 Deloitte Advisory, S.L. 52
Análisis de Malware en Canales Encubiertos - Casos RealesHackLab
MACROS DE OFFICE
Se ha descubierto lo que parece ser una serie de
plantillas downloader VBA. Estas plantillas en
cuestión contiene código de Visual Basic con
comentarios útiles en cuanto a donde los autores
deben insertar un enlace malicioso, así como
detalles de los métodos para ofuscar el código.
El código en las plantillas suele ser muy simplista
en diseño. Por ejemplo, la plantilla de la foto de
abajo, simplemente importa la API de Windows
URLDownloadToFile para descargar un archivo
ejecutable en el directorio temporal del usuario
Una vez descargado, el código utiliza el shell de
comandos para ejecutar la muestra.
© 2015 Deloitte Advisory, S.L. 53
Unicorn - Macros de Office
Sobre una hoja de cálculo legítima se sustituye algunas funciones
Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu Limited ("DTTL"), sociedad del Reino Unido no cotizada limitada
por garantía, y a su red de firmas miembro y sus entidades asociadas. DTTL y cada una de sus firmas miembro son entidades con personalidad
jurídica propia e independiente. DTTL (también denominada "Deloitte Global") no presta servicios a clientes. Consulte la página
www.deloitte.com/about si desea obtener una descripción detallada de DTTL y sus firmas miembro.
Deloitte presta servicios de auditoría, consultoría, asesoramiento fiscal y legal y asesoramiento en transacciones y reestructuraciones a
organizaciones nacionales y multinacionales de los principales sectores del tejido empresarial. Con más de 200.000 profesionales y presencia en
150 países en todo el mundo, Deloitte orienta la prestación de sus servicios hacia la excelencia empresarial, la formación, la promoción y el impulso
del capital humano, manteniendo así el reconocimiento como la firma líder de servicios profesionales que da el mejor servicio a sus clientes.