Skip to content

Preguntas de entrevista de Penetration Tester

Offensive security: recon, exploitation, privilege escalation, reporting and the methodology behind an engagement.

63 preguntas preguntas en este conjuntoEmpezar un quiz
¿Cómo se descifra un hash SHA-256 para recuperar la entrada original?

No se descifra — los hashes criptográficos son funciones unidireccionales sin inversa. «Crackear» un hash significa adivinar entradas candidatas, hashear cada una y comparar (diccionario, fuerza bruta, rainbow tables), que es justo por lo que se usan hashes lentos y salados para las contraseñas. No hay ninguna clave que «descifre» un hash. Si algo se puede descifrar, fue cifrado, no hasheado — y Base64 es codificación reversible, no hash.

JuniorCryptography
La respuesta completa
¿Es 127.0.0.1 la única dirección de loopback?

No. Todo el rango 127.0.0.0/8 está reservado para loopback, así que 127.0.0.2, 127.1.1.1, etc., resuelven todas al host local. Importa para el SSRF y el bypass de listas de permitidos — un atacante puede usar 127.0.0.2 u otras codificaciones para esquivar un control ingenuo de «bloquear 127.0.0.1» — y para enlazar varios servicios locales. (En IPv6, el loopback es la única dirección ::1.)

JuniorNetworkingLinux Internals
La respuesta completa
¿Es la dirección MAC de un dispositivo permanente y única en el mundo?

No. Una MAC la asigna el fabricante (OUI más identificador del dispositivo) y va «grabada», pero prácticamente todos los sistemas operativos permiten sobrescribirla por software (macchanger, ip link set address). Por tanto las direcciones MAC son suplantables y no deben usarse para autenticación — el filtrado MAC es débil, y los teléfonos ya aleatorizan la MAC por privacidad. «Permanente y única» es la idea equivocada.

JuniorNetworking
La respuesta completa
¿Los datos enviados por HTTP POST están ocultos o son más seguros que por GET?

No. POST simplemente lleva los parámetros en el cuerpo de la petición en vez de en la URL; ese cuerpo va en texto plano y es totalmente visible para quien pueda ver el tráfico, salvo que se use HTTPS. POST es preferible para acciones que cambian el estado y mantiene los parámetros fuera de URL, registros e historial, pero no aporta confidencialidad por sí mismo. El error confunde «no está en la URL» con «cifrado» — solo TLS cifra los datos de cualquiera de los dos métodos en tránsito.

JuniorWeb Security
La respuesta completa
¿Qué puerto utiliza traceroute?

Pregunta trampa: no existe un único puerto de traceroute. El traceroute clásico de Unix envía datagramas UDP a puertos altos e improbables a partir de 33434 aproximadamente, con un TTL creciente; el tracert de Windows usa en cambio ICMP Echo. Funciona leyendo los mensajes ICMP Time Exceeded que devuelven los routers al expirar el TTL, no apuntando a un puerto reservado. Y el propio ICMP no tiene puertos.

JuniorNetworking
La respuesta completa
Los usuarios suben imágenes de perfil; el servidor las almacena en la raíz web y las vuelve a servir. ¿Cuál es el riesgo?

Si un atacante puede subir un archivo ejecutable del lado del servidor (o HTML/SVG) a un directorio servido, puede lograr ejecución remota de código o XSS almacenado. Valide el tipo de contenido real, almacene los archivos fuera de la raíz web o en un almacén no ejecutable, aleatorice los nombres y sírvalos de modo que no puedan ejecutarse ni interpretarse como marcado. Las cargas de página más lentas y el uso de disco son problemas operativos, no el riesgo de seguridad explotado aquí.

Mid-levelWeb Security
La respuesta completa
Un servicio de producción crítico para el negocio parece vulnerable a un exploit de corrupción de memoria que podría hacerlo caer. ¿Qué haces?

Las reglas de enfrentamiento suelen excluir la denegación de servicio en producción, y una caída no planificada causa un daño real al negocio y puede anular el compromiso. Verifica primero el alcance; si una prueba de concepto destructiva no está autorizada, demuestra la vulnerabilidad por medios más seguros y documenta claramente el impacto probable. Lanzar el exploit por una captura de pantalla es temerario. Ejecutarlo repetidamente por «métricas de fiabilidad» multiplica la caída. Omitirlo en silencio oculta al cliente un riesgo serio y explotable.

Mid-levelNetworkingGovernance, Risk & Compliance
La respuesta completa
Estás cerrando un compromiso en el que subiste webshells y creaste cuentas de prueba. ¿Qué debes hacer?

Los compromisos profesionales terminan con una limpieza completa y un inventario de artefactos, para no dejar nueva superficie de ataque ni enturbiar el entorno del cliente. Dejar shells o cuentas para que el cliente las encuentre es negligente y peligroso: un atacante real podría reutilizarlas. Mantener una puerta trasera «para la próxima» es poco ético y probablemente ilegal. Borrar tus propios registros de actividad destruye la pista de auditoría que el cliente necesita para validar la prueba y reconstruir lo que hiciste.

Mid-levelGovernance, Risk & Compliance
La respuesta completa
Descifras la contraseña de una cuenta de servicio a partir de un hash capturado. ¿Cuál es el siguiente paso de mayor valor para demostrar el riesgo?

Lo que importa es el impacto: una credencial de servicio reutilizada o con privilegios excesivos que desbloquea el admin del dominio o sistemas críticos es el hallazgo relevante, así que prueba la reutilización y mapea los privilegios y la ruta de movimiento lateral. Descifrar primero todos los demás hashes es trabajo inútil que retrasa lo importante. Cambiar la contraseña de la cuenta de servicio es destructivo, rompe producción y alerta a los defensores. Enviar una credencial activa en texto plano por correo es en sí una exposición y mala seguridad operativa.

SeniorIdentity & Access ManagementNetworking
La respuesta completa
Durante la prueba encuentras indicios de que un atacante REAL ya está dentro del entorno del cliente. ¿Y ahora qué?

Descubrir una intrusión activa es una emergencia fuera de banda: las reglas de enfrentamiento deben definir una ruta de escalada, así que invócala de inmediato, preserva las pruebas y evita contaminar un incidente en curso. Seguir probando puede interferir con el atacante real o destruir las pruebas que necesitan los respondedores. Intentar expulsar tú mismo al atacante queda fuera de alcance, es arriesgado y puede alertarlo. Esperar al informe final podría significar días de brecha continua y pérdida de datos.

SeniorDFIR (Forensics & Incident Response)Governance, Risk & Compliance
La respuesta completa
Para una prueba autorizada de ingeniería social, ¿qué pretexto es aceptable?

Las pruebas de ingeniería social deben mantenerse dentro de pretextos acordados y éticos: lo bastante realistas para ser útiles, pero sin coacción, sin suplantar autoridades ni explotar situaciones personales o médicas. Un restablecimiento genérico de contraseña de IT acordado en las reglas de enfrentamiento es válido. Hacerse pasar por el hijo enfermo de un empleado real o amenazar a alguien con el despido causa un daño psicológico genuino. Hacerse pasar por las fuerzas del orden suplanta a una autoridad y suele ser ilegal incluso con un compromiso firmado.

Mid-levelGovernance, Risk & Compliance
La respuesta completa
Tienes inyección SQL en una aplicación en producción y podrías volcar toda la base de datos de clientes para probar el impacto. ¿Cuál es la prueba responsable?

Demuestra la vulnerabilidad sin perjudicar al cliente ni acumular sus datos: muestra que puedes leer datos arbitrarios mediante la versión de la base, el esquema o una sola muestra anonimizada, y detente ahí. Volcar todo el conjunto de datos personales genera responsabilidad de notificación de brecha y de tratamiento para ambas partes. Eliminar una tabla es destructivo y va mucho más allá de una prueba de concepto. Cifrar la base y exigir una recompensa es extorsión, no una prueba: es un delito, no un hallazgo.

Mid-levelWeb SecurityGovernance, Risk & Compliance
La respuesta completa
A mitad de la prueba descubres un host explotable que claramente NO está en el alcance acordado. ¿Qué haces?

La autorización define el compromiso: probar fuera del alcance acordado es potencialmente ilegal e infringe las reglas de enfrentamiento, por muy tentador que sea el objetivo. Documenta lo que viste, detente y obtén la aprobación escrita del cliente antes de continuar. Explotarlo por «más hallazgos» nunca justifica un acceso no autorizado. Explotarlo en silencio confiando en que no te pillarán es a la vez poco ético y un delito, y ampliar el alcance por tu cuenta priva al cliente de su consentimiento informado.

Mid-levelNetworkingGovernance, Risk & Compliance
La respuesta completa
Tu informe tiene 30 hallazgos. ¿Cómo deberías presentarlos para que sean lo más útiles posible para el cliente?

Un informe útil impulsa la remediación: clasifica por riesgo de negocio (probabilidad × impacto), destaca las cadenas de explotación que llevan a un compromiso crítico y da soluciones accionables para cada hallazgo. El orden alfabético entierra lo importante bajo lo que empieza por «A». Lo más largo primero premia la verborrea sobre la gravedad. Eliminar los hallazgos bajos oculta riesgo real y los patrones que el cliente necesita para la defensa en profundidad, dejándolo con una imagen falsamente tranquilizadora.

Mid-levelGovernance, Risk & ComplianceWeb Security
La respuesta completa
¿Qué es el servicio de metadatos de instancia (IMDS) y cómo mitiga IMDSv2 el SSRF?

IMDS es un endpoint link-local (169.254.169.254) que da a una instancia sus metadatos, incluidas las credenciales temporales de su rol IAM adjunto. El SSRF puede engañar al servidor para que recupere esa URL y filtre esas credenciales. IMDSv2 exige un PUT para obtener un token de sesión de corta duración, fija un TTL/límite de saltos de IP por defecto de 1, y rechaza solicitudes con ciertas cabeceras — de modo que un simple GET de SSRF ya no puede alcanzarlo.

SeniorCloudIdentity & Access Management
La respuesta completa
¿Cuáles son los errores de configuración comunes en buckets de S3 y cómo se previenen?

Los errores clásicos son ACL públicas o políticas de bucket que permiten acceso anónimo o a todos los usuarios de AWS, principales demasiado amplios o acciones con comodín, ausencia de cifrado por defecto y falta de registro. Se previenen activando Block Public Access a nivel de cuenta, usando políticas IAM/bucket con privilegio mínimo, exigiendo cifrado por defecto y TLS, y activando el registro de accesos y reglas de Config para detectar desviaciones.

Mid-levelCloudIdentity & Access Management
La respuesta completa
¿Cuál es la diferencia entre Diffie-Hellman y RSA?

RSA es un algoritmo asimétrico usado para cifrar datos o crear firmas digitales con un par de claves. Diffie-Hellman es un protocolo de acuerdo de claves que permite a dos partes derivar un secreto compartido sobre un canal público sin transmitirlo nunca. Resuelven problemas distintos: RSA prueba identidad y puede envolver claves; DH negocia una clave de sesión, y su variante efímera ofrece confidencialidad hacia adelante.

Mid-levelCryptography
La respuesta completa
¿Cómo funciona un HMAC y por qué usarlo en lugar de un hash simple?

Un HMAC es un código de autenticación de mensajes con clave: aplica un hash al mensaje junto con una clave secreta mediante una construcción anidada (hash interno y externo con rellenos derivados de la clave). Prueba tanto la integridad (el mensaje no fue alterado) como la autenticidad (proviene de alguien que posee la clave). Un hash simple no prueba ninguna de las dos, ya que cualquiera puede recalcularlo; HMAC además resiste ataques de extensión de longitud.

Mid-levelCryptography
La respuesta completa
¿Cómo funcionan los JWT y qué errores de seguridad debes vigilar?

Un JWT tiene tres partes en base64url —cabecera, carga útil (reclamaciones) y firma— unidas por puntos. El servidor firma la cabecera y la carga útil con un secreto o una clave privada, y verifica esa firma en cada solicitud para confiar en las reclamaciones sin estado de sesión en el servidor. Errores: aceptar alg=none, la confusión de claves de RS256 a HS256, no validar expiración/emisor/audiencia, poner secretos en la carga útil legible, y la falta de una vía de revocación.

Mid-levelIdentity & Access ManagementWeb Security
La respuesta completa
Explica cómo funciona la autenticación Kerberos con TGT y tickets de servicio.

Kerberos depende de un centro de distribución de claves (KDC) de confianza. El cliente se autentica una vez ante el servidor de autenticación y obtiene un ticket de concesión de tickets (TGT) cifrado con la clave del KDC. Para alcanzar un servicio, presenta el TGT al servicio de concesión de tickets y recibe un ticket de servicio cifrado con la clave de ese servicio. El servicio lo descifra y confía en él. Las contraseñas nunca atraviesan la red, y los tickets tienen tiempo limitado.

SeniorIdentity & Access ManagementWindows Internals
La respuesta completa
Explícame el handshake de TLS 1.3.

El cliente y el servidor acuerdan un secreto compartido en un solo viaje de ida y vuelta usando Diffie-Hellman efímero (ECDHE). El ClientHello lleva los grupos compatibles y un key share; el servidor responde con su key share y su certificado, ambas partes derivan las mismas claves, y los datos de aplicación fluyen de inmediato, con confidencialidad hacia adelante por defecto.

Mid-levelNetworkingCryptography
La respuesta completa
¿Es ARP un protocolo TCP o UDP?

Ninguno. ARP es un protocolo de capa 2 (capa de enlace) que se encapsula directamente en una trama Ethernet, no dentro de un paquete IP. Como nunca viaja sobre IP, no puede usar TCP ni UDP, que son transportes de capa 4 que requieren IP por debajo. La función de ARP es resolver una dirección IP conocida a la dirección MAC correspondiente en el mismo segmento de red local.

JuniorNetworking
La respuesta completa
Tu prueba XSS con alert() se dispara pero la ventana emergente está vacía: ¿qué te dice eso?

Confirma el XSS. Si alert() se disparó siquiera, el navegador analizó y ejecutó tu JavaScript inyectado en el contexto de la página: esa es la vulnerabilidad. Una ventana vacía solo significa que el argumento de cadena que pasaste no se mostró como esperabas (el manejo de comillas, la codificación o la alteración del contexto rompieron el mensaje), no que el payload esté bloqueado. El punto de ejecución está activo; a partir de ahí refinas el payload.

SeniorWeb Security
La respuesta completa
En un firewall, ¿preferirías que un puerto estuviera filtrado o cerrado?

Filtrado. Un puerto filtrado descarta el paquete en silencio, así que el escáner no obtiene respuesta y debe esperar un tiempo de espera: no aprende nada sobre si el host siquiera existe, y el escaneo se ralentiza drásticamente. Un puerto cerrado devuelve un RST de TCP, que confirma que el host está vivo y respondiendo, entregando gratis al atacante valor de reconocimiento.

Mid-levelNetworking
La respuesta completa
¿HTTPS previene por completo los ataques de hombre en el medio?

No por sí solo. HTTPS previene el MITM solo cuando la validación del certificado se exige estrictamente y el cliente llega al sitio por HTTPS desde el principio. Si una CA fraudulenta es de confianza (proxy corporativo, raíz instalada por malware), si el usuario pasa por alto las advertencias de certificado, o si el SSL stripping degrada la conexión a HTTP antes de que arranque TLS, un atacante todavía puede situarse en el medio.

Mid-levelNetworking
La respuesta completa
¿Qué puerto usa ping?

Pregunta trampa: ping no usa ningún puerto. Funciona sobre ICMP, un protocolo de capa 3 que se sitúa directamente encima de IP. Los puertos solo existen en protocolos de capa 4 como TCP y UDP, así que ICMP (y por tanto ping) no tiene ninguno. ICMP usa en su lugar campos de tipo y código, p. ej. Echo Request tipo 8 y Echo Reply tipo 0.

JuniorNetworking
La respuesta completa
¿Cuántos paquetes se intercambian en el saludo de tres vías de TCP?

Tres. El cliente envía un SYN, el servidor responde con un SYN-ACK combinado (un paquete que a la vez confirma el SYN del cliente y envía el propio SYN del servidor), y el cliente termina con un ACK. El truco es que SYN-ACK es un único paquete, no dos, así que el total es tres, exactamente lo que nombra «tres vías».

JuniorNetworking
La respuesta completa
¿Qué es la divulgación coordinada de vulnerabilidades y cómo debería funcionar?

La divulgación coordinada de vulnerabilidades es un proceso en el que un investigador reporta un fallo en privado al fabricante, ambas partes acuerdan la remediación y un plazo, y los detalles se publican solo cuando hay un parche disponible (o vence el plazo acordado). Equilibra dar tiempo a los defensores para parchear con el derecho del público a saber. Un fichero security.txt y una política clara hacen que reportar sea sin fricciones; los programas de bug bounty añaden recompensas estructuradas encima.

Mid-levelWeb SecurityThreat Intelligence
La respuesta completa
¿Cómo estructuras una prueba de aplicación web usando la OWASP WSTG?

La WSTG es una metodología respaldada por una lista de verificación que recorre una aplicación a través de categorías de prueba: recopilación de información, configuración y despliegue, identidad y autenticación, autorización, gestión de sesiones, validación de entradas (inyección/XSS), gestión de errores, criptografía, lógica de negocio y lado cliente. Ofrece cobertura sistemática con identificadores de prueba estables, de modo que los hallazgos son reproducibles y no se omite nada obvio.

Mid-levelWeb Security
La respuesta completa
Explícame una metodología de pruebas de penetración como PTES.

PTES define siete fases: pre-engagement (alcance, reglas de enfrentamiento, autorización), recopilación de inteligencia (OSINT, reconocimiento), modelado de amenazas, análisis de vulnerabilidades, explotación, post-explotación (pivoteo, datos de valor, persistencia) e informe. La estructura hace que los proyectos sean repetibles, defendibles y ligados al riesgo de negocio en lugar de hacking improvisado. El pre-engagement y el informe son las fases que los junior subestiman.

Mid-levelNetworkingWeb Security
La respuesta completa
¿Qué es el purple teaming y cómo ejecutas un ejercicio de purple team?

El purple teaming es colaborativo en lugar de adversarial: el lado rojo ejecuta TTP específicos y acordados (a menudo asociados a MITRE ATT&CK) mientras el lado azul observa su telemetría en tiempo real para confirmar si cada técnica se registra, alerta y es detectable. Mides la cobertura de detección técnica por técnica, ajustas detecciones y cierras brechas de inmediato, y luego vuelves a probar. El entregable es una detección mejorada y medible — no una lista de quién «ganó».

Mid-levelThreat IntelligenceDFIR (Forensics & Incident Response)
La respuesta completa
¿En qué se diferencia un ejercicio de red team de una prueba de penetración?

Un pentest busca cobertura amplia — encontrar tantas vulnerabilidades como sea posible en un objetivo delimitado. Un red team es emulación de adversario dirigida por objetivos: elegir una meta (p. ej. alcanzar los datos más valiosos), emular los TTP de un actor de amenaza concreto, mantenerse sigiloso para probar la detección y la respuesta, y evitar el escaneo ruidoso. El red teaming mide al equipo azul y a toda la organización, no solo al activo; ambos requieren reglas de enfrentamiento estrictas y autorización.

SeniorNetworkingThreat Intelligence
La respuesta completa
¿Qué puertos usan SSH, HTTP, HTTPS, DNS, RDP y SMB, y por qué importan?

SSH usa TCP 22, HTTP TCP 80, HTTPS TCP 443, DNS el 53 (UDP y TCP), RDP TCP 3389 y SMB TCP 445. Conocer los puertos bien conocidos te permite leer la salida de un escaneo, escribir reglas de cortafuegos y triar alertas con rapidez — un servicio en su puerto esperado frente a uno inesperado es una señal inmediata.

JuniorNetworking
La respuesta completa
Explícame cómo enumeras una máquina objetivo recién aparecida.

Se empieza con un escaneo completo de puertos TCP y luego se enumera en profundidad cada servicio abierto —banners, versiones, credenciales por defecto, acceso anónimo y contenido web— antes de tocar ningún exploit. La mayoría de las máquinas caen por una enumeración minuciosa, no por exploits ingeniosos, que es el núcleo de la mentalidad «try harder».

JuniorNetworkingLinux Internals
La respuesta completa
¿Por qué escanear los 65535 puertos y cómo hacerlo de forma eficiente con nmap?

El escaneo nmap por defecto solo cubre los 1000 puertos más comunes, así que un servicio en un puerto alto pasaría totalmente desapercibido. El patrón eficiente es un escaneo SYN rápido de los 65535 puertos primero, y luego un escaneo dirigido de versiones y scripts por defecto solo contra los puertos hallados abiertos.

JuniorNetworking
La respuesta completa
Tienes un shell de bajos privilegios en una máquina Linux. ¿Cómo escalas?

Enumera de forma sistemática: revisa sudo -l, los binarios SUID/SGID, las tareas cron, la versión del kernel y del SO, los archivos escribibles en rutas privilegiadas, las capabilities y las credenciales almacenadas. Herramientas como LinPEAS automatizan el barrido, pero aun así verificas cada hallazgo contra GTFOBins o una técnica conocida.

Mid-levelLinux Internals
La respuesta completa
¿Cómo encuentras y usas de forma segura un exploit público contra un objetivo?

Identifica el servicio y la versión exactos, busca en Exploit-DB o searchsploit un PoC que coincida, y luego lee el código línea por línea antes de ejecutarlo: corrige la IP objetivo, el puerto y la dirección del reverse shell, regenera cualquier shellcode y entiende qué hace para que no se vuelva en tu contra.

Mid-levelMalwareLinux Internals
La respuesta completa
Has volcado algunos hashes de contraseñas. ¿Cómo los crackeas?

Primero identifica el formato del hash (hashid o contexto) y luego ejecuta hashcat o John con el modo correcto contra un diccionario como rockyou, aplicando reglas para mutar los candidatos. Usa el flag de formato correcto (NTLM, sha512crypt, NetNTLMv2, etc.) para que la herramienta hashee los intentos igual que lo hizo el objetivo.

Mid-levelCryptography
La respuesta completa
Has comprometido un host con una segunda interfaz de red. ¿Cómo pivotas?

Usa el host comprometido como relé hacia la subred inalcanzable. Configura una redirección de puerto para un único servicio, o un proxy SOCKS dinámico (SSH -D o chisel) y enruta tus herramientas a través de él con proxychains, para que tu máquina atacante alcance los hosts internos por el pivote.

SeniorNetworking
La respuesta completa
¿Qué compruebas cuando encuentras SMB y SNMP abiertos en un host?

Para SMB, enumera los recursos compartidos, comprueba el acceso anónimo/sesión nula, lista los usuarios e identifica la versión para CVE conocidas. Para SNMP, prueba community strings por defecto como «public» y recorre la MIB para extraer nombres de usuario, procesos en ejecución, software instalado y detalles de red.

Mid-levelWindows InternalsNetworking
La respuesta completa
Consigues un reverse shell pero es inestable. ¿Cómo lo mejoras?

Se lanza un pseudoterminal (normalmente python -c 'import pty; pty.spawn("/bin/bash")'), se envía a segundo plano con Ctrl-Z, se ejecuta stty raw -echo en el lado local, se trae al primer plano y se reinician TERM y el número de filas/columnas. Así obtienes un TTY completo con control de trabajos, autocompletado con tabulador y editores funcionales.

JuniorLinux Internals
La respuesta completa
¿Cómo enumeras un servidor web que nunca has visto antes?

Identifica la stack a partir de las cabeceras y el código fuente, y luego haz fuerza bruta de directorios y archivos con gobuster o feroxbuster usando un buen diccionario y las extensiones relevantes. Busca paneles de administración, copias de seguridad, archivos de configuración y puntos de subida, y comprueba los hosts virtuales cuando el sitio responde a un nombre de host.

JuniorWeb Security
La respuesta completa
¿Cómo abordas la escalada de privilegios en un objetivo Windows?

Enumera los privilegios actuales (whoami /priv), los servicios mal configurados (permisos débiles, rutas de servicio sin comillas), AlwaysInstallElevated, las tareas programadas, las credenciales almacenadas y los parches que faltan. WinPEAS o PowerUp automatizan el barrido; los abusos de privilegios de token como SeImpersonate son victorias frecuentes de alto valor.

SeniorWindows Internals
La respuesta completa
Muéstrame cómo combinarías fallos web comunes —digamos inyección SQL y XSS— para lograr un impacto que vaya más allá de un único hallazgo.

Por separado, la SQLi expone o modifica datos y puede llegar al RCE; la XSS almacenada secuestra sesiones en el navegador de las víctimas. Encadenadas, puedes usar la SQLi para plantar una carga XSS almacenada que se dispara en la sesión de un admin, robar su sesión y escalar al control total de la aplicación.

Mid-levelWeb Security
La respuesta completa
Explícame el Kerberoasting paso a paso: cómo funciona, por qué es posible y cómo lo detienen los defensores.

Cualquier usuario autenticado del dominio puede solicitar un ticket de servicio Kerberos (TGS) para cualquier cuenta con un SPN. Ese ticket se cifra con el hash de contraseña NTLM de la cuenta de servicio, así que lo extraes y crackeas la contraseña sin conexión — sin necesidad de acceso privilegiado para empezar, y es casi silencioso.

SeniorWindows InternalsCryptography
La respuesta completa
Explica la diferencia entre el reconocimiento pasivo y el activo, con ejemplos de cada uno.

El reconocimiento pasivo reúne información sin interactuar directamente con los sistemas del objetivo — OSINT, registros DNS, transparencia de certificados. El reconocimiento activo toca el objetivo, como el escaneo de puertos o la captura de banners, que es más ruidoso pero aporta más detalle.

JuniorNetworkingThreat Intelligence
La respuesta completa
Explícame las fases de una prueba de penetración, desde el inicio hasta la entrega.

Una pentest avanza por el precompromiso (alcance y reglas de enfrentamiento), el reconocimiento, el escaneo y la enumeración, la explotación, la postexplotación y el informe. Cada fase alimenta la siguiente, y el informe es donde realmente se entrega el valor al cliente.

JuniorNetworkingWeb Security
La respuesta completa
Has comprometido un host en una red segmentada. Explica cómo pivotas para alcanzar sistemas que no puedes tocar directamente.

El pivoting convierte un host comprometido en un relé para alcanzar segmentos internos a los que tu máquina no puede enrutar. Usas reenvío de puertos, un proxy SOCKS sobre tu canal C2 (p. ej. Chisel, el reenvío dinámico de SSH) o enrutamiento por agente, y luego ejecutas herramientas a través de ese túnel para atacar la siguiente subred.

SeniorNetworkingWindows Internals
La respuesta completa
Tienes una shell con pocos privilegios en una máquina Linux. Explícame cómo escalarías a root.

Enumera primero: privilegios actuales, derechos de sudo, binarios SUID/SGID, tareas cron, archivos escribibles en el PATH, versión del kernel y credenciales almacenadas. Luego explota la ruta más sencilla y fiable — a menudo una regla de sudo mal configurada o un GTFOBin SUID — antes de recurrir a un exploit del kernel.

Mid-levelLinux InternalsNetworking
La respuesta completa
Has conseguido una shell con pocos privilegios en un host Windows. ¿Cómo escalas privilegios?

Enumera los privilegios de la cuenta y las malas configuraciones del host: privilegios de token como SeImpersonate, rutas de servicio sin comillas, permisos de servicio débiles, AlwaysInstallElevated y credenciales almacenadas. Luego abusa del más fiable — la suplantación de token (ataques Potato) es una vía común a SYSTEM.

Mid-levelWindows InternalsIdentity & Access Management
La respuesta completa
Explica las reverse shells frente a las bind shells y cuándo elegirías cada una.

Una bind shell abre un puerto de escucha en el objetivo y espera a que te conectes a él. Una reverse shell hace que el objetivo se conecte hacia fuera a un listener que tú controlas. Las reverse shells suelen ganar porque el tráfico saliente esquiva las reglas de cortafuegos entrantes y el NAT.

Mid-levelNetworkingLinux Internals
La respuesta completa
Un cliente pregunta por qué debería pagar por una pentest si ya ejecuta escaneos de vulnerabilidades. ¿Cómo respondes?

Un escaneo de vulnerabilidades es un inventario automatizado y en amplitud de debilidades potenciales, a menudo con falsos positivos. Una prueba de penetración la dirige un humano: valida los hallazgos, los encadena y demuestra un impacto de negocio real mediante una explotación efectiva.

JuniorNetworkingWeb Security
La respuesta completa
El trabajo técnico está hecho. ¿Qué se incluye en un informe sobre el que el cliente realmente actuará?

Un buen informe sirve a dos públicos: un resumen ejecutivo que encuadra el riesgo de negocio para la dirección, y hallazgos detallados y reproducibles con evidencias, calificaciones de riesgo precisas y remediación priorizada para el equipo técnico. El informe — no el exploit — es el entregable.

SeniorWeb SecurityDFIR (Forensics & Incident Response)
La respuesta completa
¿Qué es el CSRF y cómo lo detienen los tokens y SameSite?

El CSRF engaña al navegador de un usuario autenticado para que envíe una petición que cambia el estado a un sitio donde está autenticado, abusando del hecho de que las cookies se envían automáticamente. Se detiene con tokens anti-CSRF (un valor secreto por sesión que el atacante no puede leer ni adivinar) y el atributo de cookie SameSite, que impide que las cookies acompañen a las peticiones de sitios cruzados.

Mid-levelWeb Security
La respuesta completa
¿Qué es el OWASP Top 10?

El OWASP Top 10 es un documento de concienciación impulsado por la comunidad que clasifica los riesgos de seguridad de aplicaciones web más críticos, actualizado cada pocos años con datos del mundo real. No es una lista de comprobación ni un estándar, sino un punto de partida — las entradas recientes incluyen Control de Acceso Roto (n.º 1), Fallos Criptográficos, Inyección y Diseño Inseguro.

JuniorWeb Security
La respuesta completa
¿Cómo previenen la inyección SQL las sentencias preparadas?

Las sentencias preparadas envían primero la plantilla de la consulta a la base de datos, con marcadores de posición, de modo que la estructura queda fijada antes de que llegue ningún dato del usuario. Los parámetros se vinculan después como datos puros y nunca pueden interpretarse como SQL — así que una entrada como ' OR 1=1 se trata como una cadena literal, no como código. Esta separación es la solución canónica y fiable contra la inyección.

Mid-levelWeb Security
La respuesta completa
¿Cómo se previene el XSS?

La defensa principal es la codificación de salida contextual — codificar los datos no confiables para el lugar exacto donde aterrizan (cuerpo HTML, atributo, JavaScript, URL). Combínalo con API DOM seguras (textContent en lugar de innerHTML), el autoescapado de los frameworks, la validación de entrada y una Content-Security-Policy como defensa en profundidad de respaldo que limita qué scripts pueden ejecutarse.

Mid-levelWeb Security
La respuesta completa
Explica la Same-Origin Policy y CORS.

La Same-Origin Policy es la regla del navegador según la cual un script de un origen (esquema + host + puerto) no puede leer las respuestas de un origen diferente, lo que protege las sesiones autenticadas. CORS es una relajación controlada: un servidor devuelve cabeceras Access-Control-Allow-Origin para habilitar explícitamente que orígenes concretos lean sus respuestas, por lo que flexibiliza la SOP en lugar de eludirla.

Mid-levelWeb Security
La respuesta completa
¿Qué hacen los atributos de cookie HttpOnly, Secure y SameSite?

HttpOnly oculta la cookie a JavaScript para que el XSS no pueda robarla mediante document.cookie. Secure garantiza que la cookie solo se envíe por HTTPS, bloqueando la interceptación de red. SameSite controla si la cookie se envía en peticiones entre sitios, mitigando el CSRF. Juntos, endurecen las cookies de sesión frente a las vías más comunes de robo y abuso.

JuniorWeb Security
La respuesta completa
¿Cuáles son los principales tipos de inyección SQL?

La inyección SQL permite que la entrada de un atacante altere una consulta. Las técnicas en banda devuelven datos directamente: la basada en UNION añade un UNION SELECT para extraer columnas adicionales, y la basada en errores filtra datos a través de los mensajes de error de la base de datos. Cuando no hay salida visible, los atacantes usan SQLi a ciegas — la booleana infiere datos de las diferencias de respuesta verdadero/falso, y la basada en tiempo usa retrasos como SLEEP() para leer datos bit a bit.

Mid-levelWeb Security
La respuesta completa
¿Qué es el SSRF y por qué el servicio de metadatos de la nube es un objetivo?

El SSRF engaña a un servidor para que realice peticiones HTTP (u otras) a un destino elegido por el atacante, abusando de la posición de red del servidor para alcanzar servicios internos tras el cortafuegos. En la nube es especialmente grave porque el servicio de metadatos de instancia (por ejemplo, 169.254.169.254) puede devolver credenciales IAM, convirtiendo un SSRF en un compromiso de la cuenta en la nube.

SeniorWeb SecurityCloud
La respuesta completa
Explica el XSS almacenado, reflejado y basado en el DOM.

Todo XSS inyecta un script controlado por el atacante en el navegador de una víctima. El XSS almacenado persiste la carga útil en el servidor (por ejemplo, un comentario) y afecta a todos los que la ven; el XSS reflejado rebota la carga útil desde el servidor en una sola respuesta, normalmente mediante un enlace manipulado; el XSS basado en el DOM nunca llega a la lógica del servidor — JavaScript vulnerable del lado del cliente escribe entrada no confiable en la página.

Mid-levelWeb Security
La respuesta completa
¿Qué es un ataque XXE y cómo se mitiga?

El XXE abusa de un analizador XML que resuelve las entidades externas definidas en la DTD de un documento. Un atacante declara una entidad que apunta a un archivo local o una URL interna, y el analizador la obtiene — permitiendo la divulgación de archivos, el SSRF y la denegación de servicio. La solución es desactivar el procesamiento de DTD y la resolución de entidades externas en la configuración del analizador.

SeniorWeb Security
La respuesta completa

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.