Preguntas de entrevista de ciberseguridad de nivel Junior
Un banco con buscador de preguntas de entrevista respondidas. Filtra por rol, tema, seniority y certificación, o lánzate a un quiz con puntuación.
¿Es una huella dactilar o un escaneo facial un ejemplo de «algo que sabes»?
No. Las tres categorías de factores de autenticación son algo que sabes (contraseña/PIN), algo que tienes (token/teléfono) y algo que eres (biometría). Una huella dactilar o un escaneo facial es «algo que eres», un rasgo físico medido. La trampa: la biometría no es un secreto y no puede rotarse — si la plantilla de tu huella se filtra, no puedes cambiar tu huella. Por eso la biometría funciona mejor como un factor, que a menudo desbloquea una clave local, y no como sustituto autónomo de la contraseña.
¿La validación de entradas en el cliente (JavaScript) hace que tu aplicación sea segura?
No. La validación en el cliente es una pura comodidad de UX — un atacante puede desactivar JavaScript, editar la petición en el navegador o Burp, o llamar a tu API directamente con curl, saltándosela por completo. Los controles de seguridad (validación, autorización, saneamiento) deben imponerse en el servidor, el único lugar que controlas. El error es tratar el navegador como una frontera de confianza; no lo es, porque el cliente corre en la máquina del atacante. Los controles de cliente sirven para dar respuesta rápida, nunca para la seguridad.
¿Cómo se descifra un hash SHA-256 para recuperar la entrada original?
No se descifra — los hashes criptográficos son funciones unidireccionales sin inversa. «Crackear» un hash significa adivinar entradas candidatas, hashear cada una y comparar (diccionario, fuerza bruta, rainbow tables), que es justo por lo que se usan hashes lentos y salados para las contraseñas. No hay ninguna clave que «descifre» un hash. Si algo se puede descifrar, fue cifrado, no hasheado — y Base64 es codificación reversible, no hash.
Tu antivirus marcó el archivo EICAR — ¿significa eso que estás infectado con un virus?
No. El archivo de prueba EICAR es una cadena ASCII deliberadamente inofensiva de 68 bytes que todos los fabricantes de antivirus acuerdan detectar, para verificar con seguridad la detección y las alertas sin tocar malware real. Una detección significa que tu antivirus funciona — no que estés infectado. No es un virus y no hace nada si se ejecuta. Confundir una detección de prueba EICAR con una infección real es una trampa común al inicio de carrera.
¿Protege HTTPS los datos almacenados en la base de datos (datos en reposo)?
No. TLS/HTTPS asegura los datos en tránsito entre cliente y servidor; una vez recibidos, la aplicación los descifra y los maneja en texto plano, y luego se almacenan según cómo esté configurada la base de datos. Proteger los datos en reposo es un asunto aparte — cifrado de disco/columna, un KMS y control de acceso. Confundir «usamos HTTPS» con «nuestros datos almacenados están cifrados» es una idea errónea común y peligrosa.
¿Pasar el sitio a HTTPS evitará la inyección SQL y el XSS?
No. HTTPS cifra el canal para que los atacantes no puedan leer ni manipular el tráfico en tránsito, pero la entrada maliciosa llega, se descifra y la procesa tu aplicación igual que antes. La inyección SQL y el XSS son fallos de la capa de aplicación que se corrigen con consultas parametrizadas y codificación de salida, no con cifrado de transporte. El error supone que el cifrado sanea el contenido — no lo hace; el atacante simplemente envía la carga por la conexión HTTPS.
¿La navegación privada / incógnito oculta tu actividad a tu ISP o a tu empleador?
No. El modo privado/incógnito solo impide que el navegador local guarde historial, cookies y datos de formulario tras la sesión — no hace nada al camino de red. Tu ISP, el proxy de tu empleador, el resolutor DNS y los sitios donde inicias sesión siguen viendo tu actividad. El error es «incógnito = invisible»; en realidad es privacidad frente a otras personas que usan el mismo dispositivo, no anonimato frente a la red.
¿Es 127.0.0.1 la única dirección de loopback?
No. Todo el rango 127.0.0.0/8 está reservado para loopback, así que 127.0.0.2, 127.1.1.1, etc., resuelven todas al host local. Importa para el SSRF y el bypass de listas de permitidos — un atacante puede usar 127.0.0.2 u otras codificaciones para esquivar un control ingenuo de «bloquear 127.0.0.1» — y para enlazar varios servicios locales. (En IPv6, el loopback es la única dirección ::1.)
¿Es la dirección MAC de un dispositivo permanente y única en el mundo?
No. Una MAC la asigna el fabricante (OUI más identificador del dispositivo) y va «grabada», pero prácticamente todos los sistemas operativos permiten sobrescribirla por software (macchanger, ip link set address). Por tanto las direcciones MAC son suplantables y no deben usarse para autenticación — el filtrado MAC es débil, y los teléfonos ya aleatorizan la MAC por privacidad. «Permanente y única» es la idea equivocada.
¿Los datos enviados por HTTP POST están ocultos o son más seguros que por GET?
No. POST simplemente lleva los parámetros en el cuerpo de la petición en vez de en la URL; ese cuerpo va en texto plano y es totalmente visible para quien pueda ver el tráfico, salvo que se use HTTPS. POST es preferible para acciones que cambian el estado y mantiene los parámetros fuera de URL, registros e historial, pero no aporta confidencialidad por sí mismo. El error confunde «no está en la URL» con «cifrado» — solo TLS cifra los datos de cualquiera de los dos métodos en tránsito.
¿Qué puerto utiliza traceroute?
Pregunta trampa: no existe un único puerto de traceroute. El traceroute clásico de Unix envía datagramas UDP a puertos altos e improbables a partir de 33434 aproximadamente, con un TTL creciente; el tracert de Windows usa en cambio ICMP Echo. Funciona leyendo los mensajes ICMP Time Exceeded que devuelven los routers al expirar el TTL, no apuntando a un puerto reservado. Y el propio ICMP no tiene puertos.
¿Te vuelve anónimo en línea usar una VPN?
No. Una VPN cifra el tráfico hasta el servidor VPN y oculta tu IP al destino, pero el proveedor puede ver y registrar tu actividad, y los inicios de sesión, las cookies y la huella del navegador siguen identificándote. Traslada la confianza de tu red local/ISP al operador de la VPN — eso es privacidad frente a la red local, no anonimato. Tor y una disciplina operativa estricta son herramientas distintas para un objetivo distinto.
El servicio de soporte recibe una llamada urgente que exige el restablecimiento inmediato de la contraseña de un directivo, sin verificación de identidad y con mucha presión de tiempo. ¿Qué debe hacer el agente?
Urgencia, autoridad y omitir la verificación son presión de ingeniería social de manual dirigida a una cuenta de alto valor. El agente debe seguir el proceso de verificación de identidad definido antes de restablecer nada, y escalar si no puede satisfacerse. Restablecer a demanda, usar una «pregunta de seguridad» adivinable como el color favorito, o enviar por correo la nueva contraseña al llamante entregan todos el control de la cuenta del directivo a un atacante.
Un usuario abrió un documento de Office y habilitó las macros; el EDR muestra luego un proceso hijo generado por Word. ¿Cuál es tu primera acción?
Word generando un proceso hijo justo después de habilitar las macros es un patrón clásico de acceso inicial por documento malicioso. Aísla el host para limitar la propagación, captura las pruebas volátiles, e investiga el proceso generado, su actividad de red y cualquier persistencia. Pedir al usuario que cierre el archivo o reparar Office no aborda una carga útil en ejecución que quizá ya corrió. No hacer nada porque el archivo llegó por correo es al revés — el correo es justamente el vector de entrega de este ataque. Contén primero, luego investiga.
Una alerta muestra a un usuario iniciando sesión desde París y, cinco minutos después, desde Singapur. Antes de declarar un incidente, ¿qué compruebas PRIMERO?
Valida antes de escalar. Las VPN corporativas, los proxies en la nube (CASB o IP de servicio de M365) y los operadores móviles producen rutinariamente falsos «viajes imposibles»; comprueba las IP de salida, el resultado MFA y el dispositivo/user-agent antes de actuar. Bloquear en cada disparo causa fatiga de alertas y erosiona la confianza de los usuarios en el SOC. Asumir que siempre es un falso positivo deja pasar una apropiación de cuenta real. Escribir al jefe es lento y no es un control — los registros responden más rápido y con más fiabilidad.
¿En qué se diferencia un jailbreak de una prompt injection?
Un jailbreak ataca el alineamiento de seguridad del modelo: engaña al modelo para que produzca contenido que el proveedor intentó prohibir, como instrucciones dañinas. La prompt injection ataca la jerarquía de instrucciones de la aplicación: anula el system prompt del desarrollador o secuestra el comportamiento del modelo dentro de una app, a menudo mediante datos no confiables. Los jailbreaks atacan el modelo; la prompt injection ataca el sistema circundante. Se solapan, pero el objetivo y el límite de confianza que cruzan son distintos.
¿Cuál es la diferencia entre un EDR y un antivirus tradicional basado en firmas?
El antivirus tradicional coteja archivos contra firmas de malware conocido y los bloquea o pone en cuarentena: bueno contra amenazas conocidas, débil ante ataques nuevos o sin archivo. El EDR registra de forma continua el comportamiento del endpoint (procesos, red, registro, memoria), usa analítica de comportamiento para detectar actividad sospechosa y permite a los respondedores investigar, cazar y contener o revertir de forma remota. El AV es prevención por firma; el EDR añade visibilidad, detección y respuesta.
¿Cuáles son las fases del ciclo de vida de la respuesta a incidentes y por qué importa el orden?
El modelo clásico es PICERL: Preparación, Identificación (detección), Contención, Erradicación, Recuperación y Lecciones aprendidas. El NIST lo agrupa como Preparación; Detección y análisis; Contención, erradicación y recuperación; y Actividad posterior al incidente. El orden importa porque debes delimitar y contener antes de erradicar, y solo recuperas una vez eliminada la amenaza, o reinfectas. Es un bucle, no una línea: las lecciones aprendidas realimentan la preparación.
¿Dónde se almacenan los hashes de contraseñas de usuario en Windows y en Linux, y por qué los atacantes apuntan a esos archivos?
En Windows, los hashes de cuentas locales (NTLM) viven en la subárbol SAM en C:\Windows\System32\config\SAM, protegido mientras el SO está en marcha; las credenciales vivas residen en la memoria de LSASS, y los hashes de dominio están en NTDS.dit en un controlador de dominio. En Linux, los hashes están en /etc/shadow (legible solo por root), mientras que /etc/passwd guarda los metadatos de la cuenta. Los atacantes los roban para crackear contraseñas sin conexión o hacer pass-the-hash.
¿Qué es un honeypot, qué tipos existen y qué valor le da a un equipo azul?
Un honeypot es un sistema o servicio señuelo sin uso de negocio legítimo, expuesto deliberadamente para atraer atacantes. Como nada benigno debería tocarlo nunca, cualquier interacción es una alerta de alta confianza. Los honeypots de baja interacción emulan servicios de forma barata; los de alta interacción son sistemas reales que rinden inteligencia más rica pero conllevan más riesgo. Los honeytokens son la misma idea aplicada a credenciales, archivos o registros falsos. Valor: detección temprana, pocos falsos positivos e inteligencia de amenazas.
¿Cómo gestionas el cifrado en reposo y en tránsito en la nube?
El cifrado en tránsito (TLS) protege los datos que se mueven por la red frente a la escucha y la manipulación; aplica TLS en todas partes y rechaza el texto plano. El cifrado en reposo protege los datos almacenados en discos y copias de seguridad, normalmente mediante claves gestionadas por KMS usando cifrado por sobre. Ambos son controles básicos, pero ninguno detiene una solicitud autorizada pero maliciosa — el servicio descifra de forma transparente para los llamantes válidos — así que el control de acceso sigue siendo lo más importante.
Explica el modelo de responsabilidad compartida en la nube.
El proveedor asegura la nube en sí — centros de datos físicos, hardware, el hipervisor y los servicios gestionados que ejecuta. Tú aseguras lo que pones en la nube — tus datos, identidades, configuraciones, el parcheo del SO cuando corresponda, y los controles de acceso. La línea exacta se desplaza: con IaaS eres dueño desde el SO hacia arriba, con SaaS eres dueño sobre todo de los datos y el acceso.
¿Qué es una firma digital y cómo prueba el origen y la integridad?
Una firma digital es el hash de un mensaje transformado con la clave privada del firmante. El verificador recalcula el hash, aplica la clave pública del firmante y comprueba que coinciden. Como solo el firmante posee la clave privada, una firma válida prueba que el mensaje proviene de él (autenticidad), no fue alterado (integridad) y que no puede negarlo de forma creíble (no repudio).
¿Qué es una sal en el hashing de contraseñas, por qué se usa y qué es una pimienta?
Una sal es un valor aleatorio único generado por usuario y combinado con la contraseña antes del hashing. Garantiza que contraseñas idénticas produzcan hashes diferentes y vuelve inútiles los ataques precalculados como las tablas arcoíris, ya que el atacante necesitaría una tabla distinta por sal. Las sales se almacenan junto al hash. Una pimienta es un valor secreto adicional, el mismo para todos los usuarios, guardado por separado (por ejemplo, en la configuración de la app o un HSM) para que una filtración de la base de datos sola no baste.
¿Cómo genera una app de autenticación TOTP esos códigos de 6 dígitos?
TOTP (contraseña de un solo uso basada en tiempo) combina un secreto compartido, establecido en el registro, con la hora actual dividida en ventanas fijas (normalmente 30 segundos). Ejecuta HMAC sobre el contador del paso de tiempo con el secreto, luego trunca el resultado a un código de 6 dígitos. Tanto la app como el servidor tienen el mismo secreto y reloj, así que calculan independientemente el mismo código, sin necesidad de llamada de red. El código rota en cada ventana.
¿Puedes explicar la tríada CIA y por qué es importante?
La tríada CIA son los tres objetivos centrales de la seguridad de la información: confidencialidad (solo las partes autorizadas pueden leer los datos), integridad (los datos no se alteran sin autorización) y disponibilidad (los usuarios autorizados pueden acceder a los sistemas cuando los necesitan). Casi todo control se relaciona con uno o varios de estos objetivos.
Explica la defensa en profundidad y da un ejemplo.
La defensa en profundidad consiste en superponer varios controles de seguridad independientes de modo que, si uno falla, los demás sigan protegiendo el activo. Asume que ningún control es perfecto — por ejemplo, combinando firewall, segmentación de red, protección de endpoints, MFA, mínimo privilegio y cifrado en lugar de confiar solo en el perímetro.
Explica la diferencia entre un IDS y un IPS.
Un IDS (sistema de detección de intrusiones) monitoriza el tráfico y genera alertas pero no bloquea — suele estar fuera de banda. Un IPS (sistema de prevención de intrusiones) se sitúa en línea en la ruta del tráfico y puede descartar o bloquear activamente el tráfico malicioso. El IPS previene, pero un falso positivo puede romper tráfico legítimo.
¿Qué es la MFA y por qué es más segura que una contraseña sola?
La MFA exige dos o más factores de autenticación de categorías diferentes — algo que sabes (contraseña), algo que tienes (teléfono/token), algo que eres (biometría). Ayuda porque un atacante que roba un factor, como una contraseña, aún no puede iniciar sesión sin los demás. La MFA resistente al phishing como FIDO2 es la más fuerte.
¿Qué es el phishing y qué controles implementarías para reducirlo?
El phishing es ingeniería social que engaña a las personas para que revelen credenciales, envíen dinero o ejecuten malware, normalmente mediante correos o sitios falsos. La defensa es por capas: filtrado y autenticación de correo (SPF/DKIM/DMARC), MFA para limitar el daño de credenciales robadas, formación de concienciación y una forma sencilla de reportar mensajes sospechosos.
Explica el cifrado simétrico frente al asimétrico y cuándo se usa cada uno.
El cifrado simétrico usa una única clave secreta compartida para cifrar y descifrar y es rápido, pero ambas partes ya deben compartir la clave. El asimétrico usa un par de claves pública/privada, resolviendo el problema de distribución de claves pero más lentamente. Protocolos reales como TLS usan criptografía asimétrica para intercambiar una clave simétrica y luego cambian a simétrica para el grueso de los datos.
Explica la diferencia entre TCP y UDP y cuándo usar cada uno.
TCP está orientado a conexión y es fiable: usa un handshake de tres vías, garantiza la entrega ordenada y retransmite los paquetes perdidos. UDP es sin conexión y rápido, sin garantías de entrega, orden ni congestión. Usa TCP para la exactitud (web, correo, transferencia de archivos) y UDP para tráfico sensible a la velocidad (DNS, VoIP, streaming, videojuegos).
¿Cómo distingues una vulnerabilidad de una amenaza y de un riesgo?
Una vulnerabilidad es una debilidad (software sin parchear). Una amenaza es un actor o evento que podría explotarla (un grupo de ransomware). El riesgo es la combinación de la probabilidad de que una amenaza explote una vulnerabilidad y el impacto si lo hace. Riesgo = amenaza x vulnerabilidad x impacto, y es lo que realmente se prioriza.
¿Qué es un firewall y cuál es la diferencia entre uno sin estado y uno con estado?
Un firewall controla el tráfico entre zonas de red permitiéndolo o denegándolo según reglas. Un firewall sin estado evalúa cada paquete de forma aislada frente a las reglas; un firewall con estado rastrea el estado de las conexiones para permitir el tráfico de retorno de las sesiones que autorizó. Los firewalls de nueva generación añaden conocimiento de la capa de aplicación.
¿Es ARP un protocolo TCP o UDP?
Ninguno. ARP es un protocolo de capa 2 (capa de enlace) que se encapsula directamente en una trama Ethernet, no dentro de un paquete IP. Como nunca viaja sobre IP, no puede usar TCP ni UDP, que son transportes de capa 4 que requieren IP por debajo. La función de ARP es resolver una dirección IP conocida a la dirección MAC correspondiente en el mismo segmento de red local.
¿Por qué los datos «eliminados» suelen seguir siendo recuperables?
Porque «eliminar» normalmente no borra los datos. Quita los metadatos del sistema de archivos (el puntero/la entrada de directorio) y marca los bloques como libres, pero los bytes originales permanecen en el disco hasta que el sistema operativo reutiliza esos bloques para nuevos datos. Hasta que ocurre esa sobrescritura, las herramientas forenses pueden extraer el contenido directamente.
¿Cuál es la diferencia entre codificación, cifrado y hashing?
La codificación transforma los datos a otro formato por compatibilidad y es totalmente reversible por cualquiera sin clave (p. ej. Base64, codificación de URL): no aporta confidencialidad. El cifrado solo es reversible con una clave y es lo que aporta confidencialidad. El hashing es una función unidireccional: no puedes recuperar la entrada a partir de la salida, por lo que sirve para comprobaciones de integridad y almacenamiento de contraseñas (con sal y una KDF lenta).
Si un sitio muestra el candado / HTTPS, ¿es seguro?
No. El candado significa que el transporte está cifrado y que el certificado es válido para ese dominio: no dice nada sobre si el operador es honesto o el contenido es malicioso. Los certificados gratuitos y automatizados hacen que los sitios de phishing y malware casi siempre tengan también un candado perfectamente válido. HTTPS protege el canal, no el destino.
¿Es HTTPS lo mismo que SSL? ¿Y cuál es la diferencia entre SSL y TLS?
HTTPS no es un protocolo propio: es HTTP normal corriendo dentro de un túnel TLS cifrado. SSL es el nombre antiguo: SSL 2.0/3.0 son los predecesores obsoletos e inseguros de TLS, que los reemplazó (de TLS 1.0 a 1.3). Cuando la gente dice «certificado SSL» o «SSL», casi siempre se refiere en realidad a TLS.
¿Qué puerto usa ping?
Pregunta trampa: ping no usa ningún puerto. Funciona sobre ICMP, un protocolo de capa 3 que se sitúa directamente encima de IP. Los puertos solo existen en protocolos de capa 4 como TCP y UDP, así que ICMP (y por tanto ping) no tiene ninguno. ICMP usa en su lugar campos de tipo y código, p. ej. Echo Request tipo 8 y Echo Reply tipo 0.
¿Cuántos paquetes se intercambian en el saludo de tres vías de TCP?
Tres. El cliente envía un SYN, el servidor responde con un SYN-ACK combinado (un paquete que a la vez confirma el SYN del cliente y envía el propio SYN del servidor), y el cliente termina con un ACK. El truco es que SYN-ACK es un único paquete, no dos, así que el total es tres, exactamente lo que nombra «tres vías».
¿Qué dice la guía moderna NIST 800-63B sobre las contraseñas?
El moderno NIST SP 800-63B prioriza la longitud sobre la complejidad: permitir frases de contraseña largas (al menos 8, admitir 64+), aceptar todos los caracteres incluidos los espacios, y no imponer reglas de composición como «una mayúscula, un símbolo». Filtrar las contraseñas nuevas contra listas de contraseñas filtradas, eliminar la expiración periódica obligatoria (rotar solo ante evidencia de compromiso), y descartar las «preguntas de seguridad» basadas en conocimiento. El objetivo: reglas que resistan ataques reales en vez de empujar a los usuarios hacia patrones predecibles.
Define las categorías comunes de malware y explica cómo clasificas un ejemplar según su comportamiento.
Se clasifica según para qué está construido el ejemplar, observado a partir de su comportamiento y capacidades. Un dropper transporta y escribe una carga útil en disco; un loader recupera o inyecta la siguiente etapa, a menudo solo en memoria; un RAT da a un operador control remoto interactivo; un wiper destruye datos o registros de arranque sin intención de recuperación; el ransomware cifra archivos y exige un pago. Los ejemplares reales suelen combinar roles — un loader que despliega un RAT — así que se describe la cadena de capacidades en lugar de forzar una sola etiqueta, y se asigna cada comportamiento a técnicas ATT&CK.
Describe cómo construyes un laboratorio aislado para analizar malware vivo de forma segura.
Un laboratorio seguro aísla el malware de cualquier cosa que pudiera dañar. Ejecutas las muestras en VMs desechables sobre un hipervisor, tomas snapshots limpios para poder revertir tras cada detonación, y cortas el acceso real a la red usando una red host-only con una internet simulada (INetSim o FakeNet) o un segmento aislado (air-gap). Separas la máquina de análisis de una pasarela controlada, nunca analizas en tu host de uso diario, te endureces frente al VM-escape, manejas las muestras como zips protegidos con contraseña, y mantienes las herramientas e indicadores fuera de la VM de detonación. El objetivo es observar el comportamiento real garantizando que la muestra no pueda alcanzar producción ni internet.
¿Qué puertos usan SSH, HTTP, HTTPS, DNS, RDP y SMB, y por qué importan?
SSH usa TCP 22, HTTP TCP 80, HTTPS TCP 443, DNS el 53 (UDP y TCP), RDP TCP 3389 y SMB TCP 445. Conocer los puertos bien conocidos te permite leer la salida de un escaneo, escribir reglas de cortafuegos y triar alertas con rapidez — un servicio en su puerto esperado frente a uno inesperado es una señal inmediata.
¿Cómo funciona la resolución DNS — recursiva vs autoritativa?
Un resolutor stub pide un nombre a un resolutor recursivo. Si no está en caché, el resolutor recursivo recorre la jerarquía: consulta un servidor raíz (que apunta al TLD), el servidor TLD (que apunta a los servidores autoritativos del dominio) y finalmente el servidor autoritativo, que tiene el registro real. La respuesta se cachea por el camino según su TTL. El DNS usa el puerto 53 — UDP para la mayoría de las consultas, TCP para las grandes.
Explica el modelo OSI y qué aporta cada capa.
El modelo OSI divide la red en siete capas, cada una añadiendo una responsabilidad: Física (bits en el cable), Enlace de datos (tramas y direccionamiento MAC), Red (enrutamiento IP), Transporte (TCP/UDP, puertos, fiabilidad), Sesión (gestión de conexiones), Presentación (codificación, cifrado, compresión) y Aplicación (protocolos como HTTP). Cada capa envuelve a la de encima a medida que los datos bajan por la pila.
¿Qué es una subred, y qué hace una máscara de subred?
Una subred es una subdivisión lógica de una red IP. La máscara de subred marca qué bits de una dirección IP son la porción de red y cuáles la porción de host — por ejemplo, /24 (255.255.255.0) significa que los primeros 24 bits identifican la red y los últimos 8 identifican los hosts. La subdivisión controla cómo se enruta el tráfico y permite segmentar una red en dominios de difusión más pequeños.
Explícame el saludo de tres vías de TCP.
TCP abre una conexión en tres pasos. El cliente envía un SYN con un número de secuencia inicial, el servidor responde con SYN-ACK (confirmando el número del cliente y enviando el suyo), y el cliente devuelve un ACK. Tras este intercambio ambos lados han acordado los números de secuencia de inicio y la conexión queda establecida para una entrega de bytes fiable y ordenada.
TCP vs UDP — ¿en qué se diferencian y cuándo elegir cada uno?
TCP está orientado a la conexión: negocia, numera bytes, retransmite las pérdidas y controla la congestión, dando una entrega fiable y ordenada a costa de latencia y sobrecarga. UDP no tiene conexión y funciona como disparar-y-olvidar — sin negociación, sin retransmisión, sin orden. Usa TCP cuando importa la corrección (web, correo, transferencia de archivos) y UDP cuando importa más la velocidad que la perfección (DNS, VoIP, juegos, vídeo).
¿Cómo se compara el modelo TCP/IP con el modelo OSI?
El modelo TCP/IP tiene cuatro capas — Enlace, Internet, Transporte y Aplicación — y describe cómo funciona la Internet real. OSI tiene siete. Se corresponden de cerca: la capa de Aplicación de TCP/IP absorbe las capas de Aplicación, Presentación y Sesión de OSI; su capa de Enlace combina las capas Física y de Enlace de datos de OSI. OSI es la mejor referencia para enseñar y resolver problemas; TCP/IP es la suite de protocolos realmente implementada.
¿Cuál es la diferencia entre una VPN y un proxy?
Una VPN crea un túnel cifrado a nivel de red/SO, de modo que todo el tráfico de un dispositivo se enruta por él y se protege de extremo a extremo — usada para el acceso remoto seguro. Un proxy opera a nivel de aplicación, retransmitiendo tráfico de aplicaciones o protocolos específicos sin cifrarlo necesariamente. Las grandes diferencias son el alcance (todo el dispositivo vs por aplicación) y que una VPN cifra por diseño mientras que muchos proxys no.
Explícame cómo enumeras una máquina objetivo recién aparecida.
Se empieza con un escaneo completo de puertos TCP y luego se enumera en profundidad cada servicio abierto —banners, versiones, credenciales por defecto, acceso anónimo y contenido web— antes de tocar ningún exploit. La mayoría de las máquinas caen por una enumeración minuciosa, no por exploits ingeniosos, que es el núcleo de la mentalidad «try harder».
¿Por qué escanear los 65535 puertos y cómo hacerlo de forma eficiente con nmap?
El escaneo nmap por defecto solo cubre los 1000 puertos más comunes, así que un servicio en un puerto alto pasaría totalmente desapercibido. El patrón eficiente es un escaneo SYN rápido de los 65535 puertos primero, y luego un escaneo dirigido de versiones y scripts por defecto solo contra los puertos hallados abiertos.
Consigues un reverse shell pero es inestable. ¿Cómo lo mejoras?
Se lanza un pseudoterminal (normalmente python -c 'import pty; pty.spawn("/bin/bash")'), se envía a segundo plano con Ctrl-Z, se ejecuta stty raw -echo en el lado local, se trae al primer plano y se reinician TERM y el número de filas/columnas. Así obtienes un TTY completo con control de trabajos, autocompletado con tabulador y editores funcionales.
¿Cómo enumeras un servidor web que nunca has visto antes?
Identifica la stack a partir de las cabeceras y el código fuente, y luego haz fuerza bruta de directorios y archivos con gobuster o feroxbuster usando un buen diccionario y las extensiones relevantes. Busca paneles de administración, copias de seguridad, archivos de configuración y puntos de subida, y comprueba los hosts virtuales cuando el sitio responde a un nombre de host.
Explica la diferencia entre el reconocimiento pasivo y el activo, con ejemplos de cada uno.
El reconocimiento pasivo reúne información sin interactuar directamente con los sistemas del objetivo — OSINT, registros DNS, transparencia de certificados. El reconocimiento activo toca el objetivo, como el escaneo de puertos o la captura de banners, que es más ruidoso pero aporta más detalle.
Explícame las fases de una prueba de penetración, desde el inicio hasta la entrega.
Una pentest avanza por el precompromiso (alcance y reglas de enfrentamiento), el reconocimiento, el escaneo y la enumeración, la explotación, la postexplotación y el informe. Cada fase alimenta la siguiente, y el informe es donde realmente se entrega el valor al cliente.
Un cliente pregunta por qué debería pagar por una pentest si ya ejecuta escaneos de vulnerabilidades. ¿Cómo respondes?
Un escaneo de vulnerabilidades es un inventario automatizado y en amplitud de debilidades potenciales, a menudo con falsos positivos. Una prueba de penetración la dirige un humano: valida los hallazgos, los encadena y demuestra un impacto de negocio real mediante una explotación efectiva.
Explica la defensa en profundidad y pon un ejemplo concreto de cómo aplicarla.
La defensa en profundidad consiste en superponer varios controles de seguridad independientes de modo que, si uno falla, los demás sigan protegiendo el activo. Ningún control se supone perfecto, así que se apilan medidas preventivas, de detección y de respuesta en las capas de red, host, aplicación y datos.
¿En qué se diferencia el hashing del cifrado, y cuándo usarías uno en lugar del otro?
El cifrado es reversible: con la clave recuperas el texto plano; protege la confidencialidad. El hashing es una función unidireccional que produce un resumen de tamaño fijo que no se puede revertir; verifica integridad e identidad. Las contraseñas deben hashearse con un algoritmo lento y salado como bcrypt o Argon2, nunca cifrarse.
¿Cuál es la diferencia entre cifrado simétrico y asimétrico, y cuándo usarías cada uno?
El cifrado simétrico usa una sola clave compartida para cifrar y descifrar: es rápido, pero la clave debe compartirse de forma segura. El cifrado asimétrico usa un par de claves pública/privada, resolviendo la distribución de claves pero lentamente. Los sistemas reales usan criptografía asimétrica para intercambiar una clave de sesión simétrica y luego el rápido cifrado simétrico para los datos en masa.
Tus analistas están desbordados de alertas. ¿Qué es la fatiga de alertas y qué harías al respecto?
La fatiga de alertas es la desensibilización que aparece cuando los analistas enfrentan demasiadas alertas de bajo valor o falsos positivos, lo que les hace pasar por alto o atender con prisa las reales. Se combate ajustando las reglas ruidosas, priorizando por riesgo, deduplicando y agrupando alertas relacionadas, automatizando el enriquecimiento repetitivo con un SOAR y midiendo la calidad de las alertas, no solo el volumen.
¿Puedes explicar en qué se diferencian EDR, XDR y SIEM y dónde encaja cada uno?
El EDR se centra en el endpoint: registra y responde a la actividad de procesos, archivos y red en los hosts. El XDR extiende esa correlación a varios dominios —endpoint, red, identidad, correo, nube— como una stack integrada de un mismo proveedor. El SIEM es la capa amplia de agregación de logs que ingiere datos de cualquier fuente, incluidas las no de seguridad, para detección, búsqueda y cumplimiento.
Un usuario reporta un correo sospechoso. Explícame cómo lo trías de forma segura.
Examina el correo sin hacer clic: revisa las cabeceras y la autenticación del remitente (SPF/DKIM/DMARC), inspecciona las URL y adjuntos en un sandbox o con herramientas de reputación, y luego mide el alcance: quién más lo recibió, si alguien hizo clic o introdujo credenciales. Según los hallazgos, remedia purgando el correo, bloqueando los indicadores y restableciendo las credenciales expuestas.
Tenemos tanto un SIEM como un SOAR. ¿Qué hace cada uno y cómo trabajan juntos?
Un SIEM ingiere y correlaciona logs de todo el parque para generar alertas: es tu capa de detección y búsqueda. Un SOAR se sitúa aguas abajo y automatiza la respuesta: ejecuta playbooks, enriquece las alertas mediante integraciones y gestiona los casos para que los analistas dediquen menos tiempo a pasos repetitivos.
Una alerta del SIEM se dispara por un inicio de sesión sospechoso. Explícame cómo la trías.
Confirma que la alerta es real antes de actuar: lee qué se disparó y por qué, luego enriquécela: quién es el usuario, si la IP/geo/dispositivo de origen son esperados, si hay viaje imposible, si hubo fallos previos. Clasifica como verdadero o falso positivo, escala o contén si es real (desactivar la sesión, forzar un restablecimiento de MFA) y documéntalo todo para que el siguiente analista pueda seguir tu razonamiento.
Explícame qué significan los event IDs de Windows 4624, 4625 y 4688 y cómo los usarías en una investigación.
4624 es un logon exitoso, 4625 es un logon fallido y 4688 es una creación de proceso. En una investigación usas 4625 para detectar ataques de credenciales, 4624 (con su tipo de logon y su origen) para confirmar un acceso exitoso y cómo ocurrió, y 4688 para ver qué se ejecutó realmente, idealmente con la auditoría de línea de comandos habilitada.
¿Qué es el OWASP Top 10?
El OWASP Top 10 es un documento de concienciación impulsado por la comunidad que clasifica los riesgos de seguridad de aplicaciones web más críticos, actualizado cada pocos años con datos del mundo real. No es una lista de comprobación ni un estándar, sino un punto de partida — las entradas recientes incluyen Control de Acceso Roto (n.º 1), Fallos Criptográficos, Inyección y Diseño Inseguro.
¿Qué hacen los atributos de cookie HttpOnly, Secure y SameSite?
HttpOnly oculta la cookie a JavaScript para que el XSS no pueda robarla mediante document.cookie. Secure garantiza que la cookie solo se envíe por HTTPS, bloqueando la interceptación de red. SameSite controla si la cookie se envía en peticiones entre sitios, mitigando el CSRF. Juntos, endurecen las cookies de sesión frente a las vías más comunes de robo y abuso.
HTTP no tiene estado — entonces, ¿cómo funcionan las sesiones?
HTTP no tiene estado — cada petición es independiente y no guarda memoria de las anteriores. Las sesiones añaden estado por encima: tras iniciar sesión, el servidor emite un identificador que el navegador almacena en una cookie y reenvía en cada petición. Las sesiones del lado del servidor mantienen el estado en el servidor indexado por un ID de sesión opaco; los tokens sin estado como los JWT ponen el estado firmado en el propio token para que el servidor pueda verificar sin almacenamiento.
Consigue 100 preguntas de entrevista de ciberseguridad + respuestas
Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.
Sin spam. Cancela tu suscripción cuando quieras.