Skip to content

Preguntas de entrevista de Networking

TCP/IP, the OSI model, DNS, TLS, firewalls and the protocols every security pro must know cold.

73 preguntas preguntas en este conjunto
¿Oculta HTTPS a tu ISP o a tu red qué sitio web visitas?

En gran medida no. El nombre de host de destino se envía en claro en la extensión SNI del ClientHello de TLS, y tu consulta DNS suele revelarlo también, de modo que un ISP o una red pueden ver QUÉ sitio visitas incluso por HTTPS — solo que no pueden leer la ruta ni el contenido. El ClientHello cifrado (ECH) y el DNS-over-HTTPS pueden cerrar esta brecha, pero no son universales. «HTTPS lo oculta todo» es la idea equivocada.

Mid-levelNetworkingWeb Security
La respuesta completa
¿La navegación privada / incógnito oculta tu actividad a tu ISP o a tu empleador?

No. El modo privado/incógnito solo impide que el navegador local guarde historial, cookies y datos de formulario tras la sesión — no hace nada al camino de red. Tu ISP, el proxy de tu empleador, el resolutor DNS y los sitios donde inicias sesión siguen viendo tu actividad. El error es «incógnito = invisible»; en realidad es privacidad frente a otras personas que usan el mismo dispositivo, no anonimato frente a la red.

JuniorWeb SecurityNetworking
La respuesta completa
¿Es 127.0.0.1 la única dirección de loopback?

No. Todo el rango 127.0.0.0/8 está reservado para loopback, así que 127.0.0.2, 127.1.1.1, etc., resuelven todas al host local. Importa para el SSRF y el bypass de listas de permitidos — un atacante puede usar 127.0.0.2 u otras codificaciones para esquivar un control ingenuo de «bloquear 127.0.0.1» — y para enlazar varios servicios locales. (En IPv6, el loopback es la única dirección ::1.)

JuniorNetworkingLinux Internals
La respuesta completa
¿Es la dirección MAC de un dispositivo permanente y única en el mundo?

No. Una MAC la asigna el fabricante (OUI más identificador del dispositivo) y va «grabada», pero prácticamente todos los sistemas operativos permiten sobrescribirla por software (macchanger, ip link set address). Por tanto las direcciones MAC son suplantables y no deben usarse para autenticación — el filtrado MAC es débil, y los teléfonos ya aleatorizan la MAC por privacidad. «Permanente y única» es la idea equivocada.

JuniorNetworking
La respuesta completa
¿Actúa el NAT como cortafuegos y protege tu red?

No. El NAT (y el PAT) asigna direcciones privadas a una IP pública y, como efecto secundario, descarta las conexiones entrantes no solicitadas porque no existe ninguna correspondencia para ellas. Eso no es una política de seguridad — no hay inspección, ni reglas, ni registro — y la travesía de NAT, el hole punching y el C2 iniciado en salida pasan sin problema. El NAT es una herramienta de direccionamiento; aun así necesitas un cortafuegos real. «NAT = cortafuegos» es la idea equivocada.

Mid-levelNetworking
La respuesta completa
¿Qué puerto utiliza traceroute?

Pregunta trampa: no existe un único puerto de traceroute. El traceroute clásico de Unix envía datagramas UDP a puertos altos e improbables a partir de 33434 aproximadamente, con un TTL creciente; el tracert de Windows usa en cambio ICMP Echo. Funciona leyendo los mensajes ICMP Time Exceeded que devuelven los routers al expirar el TTL, no apuntando a un puerto reservado. Y el propio ICMP no tiene puertos.

JuniorNetworking
La respuesta completa
¿Te vuelve anónimo en línea usar una VPN?

No. Una VPN cifra el tráfico hasta el servidor VPN y oculta tu IP al destino, pero el proveedor puede ver y registrar tu actividad, y los inicios de sesión, las cookies y la huella del navegador siguen identificándote. Traslada la confianza de tu red local/ISP al operador de la VPN — eso es privacidad frente a la red local, no anonimato. Tor y una disciplina operativa estricta son herramientas distintas para un objetivo distinto.

JuniorNetworkingGovernance, Risk & Compliance
La respuesta completa
Un escaneo muestra que su servidor todavía admite SSLv3/TLS 1.0 y RC4. ¿Qué hace?

SSLv3, TLS 1.0 y RC4 están rotos u obsoletos y permiten ataques de downgrade y descifrado, así que desactívelos y exija TLS 1.2 o 1.3 con suites de cifrado fuertes y con forward secrecy, aceptando la rara pérdida de clientes muy antiguos. Dejarlos activos por compatibilidad mantiene la debilidad explotable. Añadir un segundo certificado o pasar a uno autofirmado no elimina los protocolos débiles, y el autofirmado daña la confianza sin arreglar la criptografía.

Mid-levelCryptographyNetworking
La respuesta completa
Quieres reducir el alcance de PCI DSS. ¿Cuál es el enfoque estándar?

El alcance de PCI DSS abarca los sistemas que almacenan, procesan o transmiten datos de titulares de tarjetas, más cualquier sistema conectado a ellos o capaz de afectarlos, así que una segmentación de red eficaz aísla el entorno de datos de tarjetas (CDE) y saca de alcance los sistemas ajenos, reduciendo coste, esfuerzo y riesgo. Cifrar todos los servidores no define una frontera y los sistemas conectados siguen en alcance; añadir cortafuegos por todas partes sin un objetivo no es segmentación si no restringe ni valida los flujos de datos; y dejar de leer en voz alta los números de tarjeta es higiene, no un control de alcance. La respuesta sistémica es controlar dónde viven los datos de tarjetas y qué puede alcanzarlos.

SeniorGovernance, Risk & ComplianceNetworking
La respuesta completa
Durante el análisis dinámico la muestra contacta con un C2 activo y puede recibir comandos. ¿Cuál es el enfoque seguro?

Usa servicios de red simulados o un egress estrechamente monitorizado y no atribuible, para estudiar el comportamiento del C2 sin revelar tu IP real al atacante ni dejar que el host reciba comandos dañinos. Interactuar desde la IP corporativa alerta al operador y arriesga un daño real. Puentear el sandbox a la LAN invita a la propagación. Desactivar los logs tira los datos del análisis. Controla la red para observar sin exponerte ni ser instrumentalizado.

SeniorMalwareNetworking
La respuesta completa
Una revisión de firewall encuentra una regla «origen cualquiera / destino cualquiera / permitir» cerca de la parte superior de la política. ¿Cuál es el problema y la solución?

Como los firewalls evalúan las reglas de arriba abajo, una regla any/any amplia cerca de la parte superior cortocircuita todas las reglas inferiores y permite todo el tráfico — el firewall deja en la práctica de aplicar nada. Reemplácela por reglas explícitas de mínimo privilegio para los flujos realmente necesarios, ordenadas para que los permisos y denegaciones específicos surtan efecto, terminando en una denegación por defecto. Llamarla eficiente es erróneo, moverla al final aún puede ocultar la denegación por defecto, y renombrarla no cambia nada de lo que permite.

Mid-levelNetworking
La respuesta completa
La empresa se basa en «una vez que estás en la VPN, eres de confianza». ¿Qué cambio de arquitectura propones?

La confianza basada en la ubicación de red significa que un único punto de apoyo dentro concede un amplio movimiento lateral: una credencial de VPN obtenida por phishing y el atacante está «dentro». El zero trust elimina la confianza implícita: cada acceso se autentica, autoriza y reevalúa de forma continua según la identidad y la postura del dispositivo, con mínimo privilegio y segmentación (NIST SP 800-207). Una segunda VPN o una VPN más amplia solo extiende el mismo problema de confianza plana, y confiar en la LAN en lugar de la VPN repite el error original.

SeniorNetworkingIdentity & Access Management
La respuesta completa
Una nueva VM se lanzó con SSH (22) y RDP (3389) abiertos a 0.0.0.0/0. ¿Cuál es la remediación correcta?

Los puertos de administración abiertos a todo Internet se escanean y atacan por fuerza bruta en minutos, así que la solución es reducir la superficie de ataque: restringe el ingreso del security group a CIDR de administración conocidos o VPN, o elimina por completo el tráfico entrante usando un bastión o SSM Session Manager. Mover SSH a un puerto no estándar es seguridad por oscuridad que los escáneres vencen de forma trivial. Una contraseña más fuerte no reduce la superficie expuesta ni detiene el credential stuffing. Confiar en un firewall de host ignora la superficie de ataque que el security group anuncia abiertamente a Internet.

Mid-levelCloudNetworking
La respuesta completa
Un servicio de producción crítico para el negocio parece vulnerable a un exploit de corrupción de memoria que podría hacerlo caer. ¿Qué haces?

Las reglas de enfrentamiento suelen excluir la denegación de servicio en producción, y una caída no planificada causa un daño real al negocio y puede anular el compromiso. Verifica primero el alcance; si una prueba de concepto destructiva no está autorizada, demuestra la vulnerabilidad por medios más seguros y documenta claramente el impacto probable. Lanzar el exploit por una captura de pantalla es temerario. Ejecutarlo repetidamente por «métricas de fiabilidad» multiplica la caída. Omitirlo en silencio oculta al cliente un riesgo serio y explotable.

Mid-levelNetworkingGovernance, Risk & Compliance
La respuesta completa
Descifras la contraseña de una cuenta de servicio a partir de un hash capturado. ¿Cuál es el siguiente paso de mayor valor para demostrar el riesgo?

Lo que importa es el impacto: una credencial de servicio reutilizada o con privilegios excesivos que desbloquea el admin del dominio o sistemas críticos es el hallazgo relevante, así que prueba la reutilización y mapea los privilegios y la ruta de movimiento lateral. Descifrar primero todos los demás hashes es trabajo inútil que retrasa lo importante. Cambiar la contraseña de la cuenta de servicio es destructivo, rompe producción y alerta a los defensores. Enviar una credencial activa en texto plano por correo es en sí una exposición y mala seguridad operativa.

SeniorIdentity & Access ManagementNetworking
La respuesta completa
A mitad de la prueba descubres un host explotable que claramente NO está en el alcance acordado. ¿Qué haces?

La autorización define el compromiso: probar fuera del alcance acordado es potencialmente ilegal e infringe las reglas de enfrentamiento, por muy tentador que sea el objetivo. Documenta lo que viste, detente y obtén la aprobación escrita del cliente antes de continuar. Explotarlo por «más hallazgos» nunca justifica un acceso no autorizado. Explotarlo en silencio confiando en que no te pillarán es a la vez poco ético y un delito, y ampliar el alcance por tu cuenta priva al cliente de su consentimiento informado.

Mid-levelNetworkingGovernance, Risk & Compliance
La respuesta completa
Sale un parche para una RCE crítica sin autenticar en un servidor expuesto a Internet, pero el equipo teme una caída. ¿Cómo procedes?

Una RCE sin autenticar en un servidor expuesto a Internet es de nivel emergencia: reduce la ventana de exposición con un despliegue probado, por etapas o gradual, y añade controles compensatorios (restringir el acceso, reglas WAF) mientras tanto. Esperar a la ventana trimestral deja un agujero explotable como un gusano abierto durante semanas. Parchear a ciegas en producción en horario laboral sin pruebas arriesga una caída y un rollback chapucero. Confiar en el firewall perimetral no sirve de nada — el servicio ya está expuesto y el exploit no necesita credenciales.

SeniorNetworkingGovernance, Risk & Compliance
La respuesta completa
Una revisión detecta que la red es plana — los servidores financieros comparten dominio de difusión con el Wi-Fi de invitados. ¿Qué recomiendas primero?

Las redes planas permiten que un único dispositivo de invitado comprometido alcance directamente los sistemas más valiosos. Segmenta por nivel de confianza y aplica tráfico de mínimo privilegio entre zonas para contener y monitorizar el movimiento lateral. Un firewall de borde no hace nada por el tráfico este-oeste entre hosts que ya están dentro. Re-direccionar las IP de los servidores financieros es seguridad por oscuridad que cualquier escaneo derrota. El antivirus es una capa de detección, no un sustituto del control arquitectónico de aislar los sistemas sensibles.

SeniorNetworking
La respuesta completa
Una API pública se cayó porque su certificado TLS caducó. Más allá de renovarlo, ¿cuál es la solución duradera?

Las renovaciones manuales fallan, así que elimina el problema mediante ingeniería con renovación ACME automatizada más monitorización de caducidad que avisa con días de antelación. Un recordatorio de calendario es el proceso manual que ya falló. Un certificado autofirmado de larga duración rompe la confianza pública y viola los límites de vigencia modernos (las CA topan la validez en ~398 días, y bajando). Desactivar TLS cambia un corte de disponibilidad por una pérdida catastrófica de confidencialidad e integridad.

Mid-levelCryptographyNetworking
La respuesta completa
Observas que un único host realiza miles de consultas DNS inusuales y largas de tipo TXT hacia un solo dominio. ¿Cuál es la explicación más probable y la acción?

Consultas TXT de alto volumen y alta entropía, o subdominios largos hacia un solo dominio, son una firma clásica de tunneling DNS / C2-exfiltración: se cuelan datos dentro del DNS para evadir el filtrado de salida. Captura una muestra de consultas para analizarla, sinkholea o bloquea el dominio para cortar el canal, y pivota al host para hallar el proceso responsable. Descartarlo como caché normal o un sitio lento deja pasar una exfiltración en curso. Reiniciar el servidor DNS no hace nada contra el endpoint comprometido y solo interrumpe la resolución de nombres.

Mid-levelNetworkingThreat Intelligence
La respuesta completa
Explica la Cyber Kill Chain de Lockheed Martin y cómo la usa un equipo azul.

La Cyber Kill Chain modela una intrusión como siete etapas secuenciales: reconocimiento, armamentización, entrega, explotación, instalación, comando y control (C2) y acciones sobre objetivos. Los defensores asignan detecciones y controles a cada etapa; como las etapas son secuenciales, romper un solo eslabón —bloquear el correo de phishing, matar el C2— interrumpe todo el ataque. Empuja a detectar pronto en vez de solo en la brecha final.

Mid-levelThreat IntelligenceDFIR (Forensics & Incident Response)Networking
La respuesta completa
Explica la exfiltración de datos por DNS y cómo la detectaría un equipo azul.

La exfiltración por DNS codifica datos robados en consultas DNS (p. ej. etiquetas de subdominio largas enviadas a un servidor autoritativo controlado por el atacante), abusando de que el DNS casi siempre está permitido en salida y a menudo sin monitorizar. Detéctala con anomalías: volumen de consultas inusualmente alto a un dominio, subdominios largos / de alta entropía, muchos subdominios únicos por dominio padre, abuso de registros TXT/NULL y consultas a dominios recién registrados o raros.

SeniorNetworkingDFIR (Forensics & Incident Response)Threat Intelligence
La respuesta completa
Explica cómo funcionan juntos SPF, DKIM y DMARC para prevenir la suplantación de correo.

SPF publica qué IP pueden enviar correo en nombre de un dominio. DKIM añade una firma criptográfica para que el receptor verifique que el mensaje no fue alterado y proviene del dominio. DMARC liga los resultados de SPF/DKIM al encabezado From: visible mediante la «alineación», indica a los receptores qué hacer ante un fallo (none/quarantine/reject) y envía informes. SPF y DKIM por sí solos no protegen el From que ve el usuario; DMARC es lo que lo impone.

Mid-levelNetworkingWeb SecurityIdentity & Access Management
La respuesta completa
¿Qué es un honeypot, qué tipos existen y qué valor le da a un equipo azul?

Un honeypot es un sistema o servicio señuelo sin uso de negocio legítimo, expuesto deliberadamente para atraer atacantes. Como nada benigno debería tocarlo nunca, cualquier interacción es una alerta de alta confianza. Los honeypots de baja interacción emulan servicios de forma barata; los de alta interacción son sistemas reales que rinden inteligencia más rica pero conllevan más riesgo. Los honeytokens son la misma idea aplicada a credenciales, archivos o registros falsos. Valor: detección temprana, pocos falsos positivos e inteligencia de amenazas.

JuniorThreat IntelligenceNetworkingDFIR (Forensics & Incident Response)
La respuesta completa
Explica la defensa en profundidad y en qué se diferencia de depender de un único control fuerte.

La defensa en profundidad superpone controles múltiples, variados e independientes a través de personas, procesos y tecnología, de modo que el fallo de cualquier control no resulte en un compromiso. Asume que todo control acabará fallando y usa la redundancia y la variedad para ralentizar, detectar y contener a un atacante.

SeniorNetworking
La respuesta completa
¿Cómo se aseguran las imágenes de contenedor?

Parte de una imagen base mínima y de confianza (distroless o slim) para reducir la superficie de ataque, escanea las imágenes en busca de CVE conocidas en la CI y en el registro, fija y verifica los digests de las imágenes, ejecuta con un usuario no-root y evita incrustar secretos. Firma las imágenes y aplica políticas de admisión para que solo se ejecuten imágenes escaneadas y firmadas. Reconstruye con regularidad para que las capas base parcheadas se propaguen.

Mid-levelCloudNetworking
La respuesta completa
¿Cuáles son los fundamentos de la seguridad en Kubernetes (RBAC y políticas de red)?

El RBAC controla qué pueden hacer las identidades contra la API de Kubernetes — los Roles y ClusterRoles conceden verbos sobre recursos, vinculados a sujetos vía RoleBindings — y debe seguir el privilegio mínimo, evitando cluster-admin y comodines. Las políticas de red controlan el tráfico de pod a pod, que permite todo por defecto hasta que aplicas un default-deny y luego permites explícitamente los flujos requeridos. Juntos limitan el radio de impacto si un pod o token se ve comprometido.

SeniorCloudNetworking
La respuesta completa
¿Cómo encajan CloudTrail y GuardDuty en el registro y la monitorización en la nube?

CloudTrail registra cada llamada a la API en la cuenta — quién hizo qué, cuándo, desde dónde — dándote el rastro de auditoría con autoridad para investigaciones y cumplimiento. GuardDuty es un servicio gestionado de detección de amenazas que analiza CloudTrail, los flujos de VPC y los registros de DNS para sacar a la luz hallazgos como la exfiltración de credenciales o la minería de criptomonedas. CloudTrail es la fuente de verdad que debes proteger; GuardDuty convierte esa telemetría en alertas accionables.

Mid-levelCloudNetworking
La respuesta completa
¿Cuál es la diferencia entre los security groups y las network ACL?

Los security groups son cortafuegos con estado adjuntos a instancias/ENI: solo tienen reglas de permitir, y el tráfico de retorno de un flujo permitido se autoriza automáticamente. Las network ACL son filtros sin estado en el límite de la subred: tienen reglas ordenadas de permitir y denegar, y debes permitir explícitamente el tráfico de retorno en los puertos efímeros. Los security groups son el control principal; las NACL añaden barreras gruesas a nivel de subred, como bloquear un rango de IP.

Mid-levelNetworkingCloud
La respuesta completa
¿Qué es Perfect Forward Secrecy y por qué importa?

Perfect Forward Secrecy (PFS) significa que cada sesión deriva una clave única de un intercambio de claves efímero que se descarta después. Si un atacante roba más tarde la clave privada de largo plazo del servidor, aún no puede descifrar el tráfico capturado previamente, porque esa clave nunca se usó para derivar las claves de sesión. Se logra con Diffie-Hellman efímero (DHE/ECDHE).

Mid-levelCryptographyNetworking
La respuesta completa
Explícame el handshake de TLS 1.3.

El cliente y el servidor acuerdan un secreto compartido en un solo viaje de ida y vuelta usando Diffie-Hellman efímero (ECDHE). El ClientHello lleva los grupos compatibles y un key share; el servidor responde con su key share y su certificado, ambas partes derivan las mismas claves, y los datos de aplicación fluyen de inmediato, con confidencialidad hacia adelante por defecto.

Mid-levelNetworkingCryptography
La respuesta completa
Explica la defensa en profundidad y da un ejemplo.

La defensa en profundidad consiste en superponer varios controles de seguridad independientes de modo que, si uno falla, los demás sigan protegiendo el activo. Asume que ningún control es perfecto — por ejemplo, combinando firewall, segmentación de red, protección de endpoints, MFA, mínimo privilegio y cifrado en lugar de confiar solo en el perímetro.

JuniorNetworkingIdentity & Access Management
La respuesta completa
Explica la diferencia entre un IDS y un IPS.

Un IDS (sistema de detección de intrusiones) monitoriza el tráfico y genera alertas pero no bloquea — suele estar fuera de banda. Un IPS (sistema de prevención de intrusiones) se sitúa en línea en la ruta del tráfico y puede descartar o bloquear activamente el tráfico malicioso. El IPS previene, pero un falso positivo puede romper tráfico legítimo.

JuniorNetworkingThreat Intelligence
La respuesta completa
Explica la diferencia entre TCP y UDP y cuándo usar cada uno.

TCP está orientado a conexión y es fiable: usa un handshake de tres vías, garantiza la entrega ordenada y retransmite los paquetes perdidos. UDP es sin conexión y rápido, sin garantías de entrega, orden ni congestión. Usa TCP para la exactitud (web, correo, transferencia de archivos) y UDP para tráfico sensible a la velocidad (DNS, VoIP, streaming, videojuegos).

JuniorNetworking
La respuesta completa
¿Qué es un firewall y cuál es la diferencia entre uno sin estado y uno con estado?

Un firewall controla el tráfico entre zonas de red permitiéndolo o denegándolo según reglas. Un firewall sin estado evalúa cada paquete de forma aislada frente a las reglas; un firewall con estado rastrea el estado de las conexiones para permitir el tráfico de retorno de las sesiones que autorizó. Los firewalls de nueva generación añaden conocimiento de la capa de aplicación.

JuniorNetworking
La respuesta completa
¿Es ARP un protocolo TCP o UDP?

Ninguno. ARP es un protocolo de capa 2 (capa de enlace) que se encapsula directamente en una trama Ethernet, no dentro de un paquete IP. Como nunca viaja sobre IP, no puede usar TCP ni UDP, que son transportes de capa 4 que requieren IP por debajo. La función de ARP es resolver una dirección IP conocida a la dirección MAC correspondiente en el mismo segmento de red local.

JuniorNetworking
La respuesta completa
En un firewall, ¿preferirías que un puerto estuviera filtrado o cerrado?

Filtrado. Un puerto filtrado descarta el paquete en silencio, así que el escáner no obtiene respuesta y debe esperar un tiempo de espera: no aprende nada sobre si el host siquiera existe, y el escaneo se ralentiza drásticamente. Un puerto cerrado devuelve un RST de TCP, que confirma que el host está vivo y respondiendo, entregando gratis al atacante valor de reconocimiento.

Mid-levelNetworking
La respuesta completa
¿HTTPS previene por completo los ataques de hombre en el medio?

No por sí solo. HTTPS previene el MITM solo cuando la validación del certificado se exige estrictamente y el cliente llega al sitio por HTTPS desde el principio. Si una CA fraudulenta es de confianza (proxy corporativo, raíz instalada por malware), si el usuario pasa por alto las advertencias de certificado, o si el SSL stripping degrada la conexión a HTTP antes de que arranque TLS, un atacante todavía puede situarse en el medio.

Mid-levelNetworking
La respuesta completa
¿Es HTTPS lo mismo que SSL? ¿Y cuál es la diferencia entre SSL y TLS?

HTTPS no es un protocolo propio: es HTTP normal corriendo dentro de un túnel TLS cifrado. SSL es el nombre antiguo: SSL 2.0/3.0 son los predecesores obsoletos e inseguros de TLS, que los reemplazó (de TLS 1.0 a 1.3). Cuando la gente dice «certificado SSL» o «SSL», casi siempre se refiere en realidad a TLS.

JuniorNetworkingCryptography
La respuesta completa
¿Qué puerto usa ping?

Pregunta trampa: ping no usa ningún puerto. Funciona sobre ICMP, un protocolo de capa 3 que se sitúa directamente encima de IP. Los puertos solo existen en protocolos de capa 4 como TCP y UDP, así que ICMP (y por tanto ping) no tiene ninguno. ICMP usa en su lugar campos de tipo y código, p. ej. Echo Request tipo 8 y Echo Reply tipo 0.

JuniorNetworking
La respuesta completa
¿Cuántos paquetes se intercambian en el saludo de tres vías de TCP?

Tres. El cliente envía un SYN, el servidor responde con un SYN-ACK combinado (un paquete que a la vez confirma el SYN del cliente y envía el propio SYN del servidor), y el cliente termina con un ACK. El truco es que SYN-ACK es un único paquete, no dos, así que el total es tres, exactamente lo que nombra «tres vías».

JuniorNetworking
La respuesta completa
Explica la arquitectura Zero Trust y qué cambia cuando la adoptas.

Zero Trust descarta la suposición de que estar dentro de la red te hace de confianza. Cada petición a un recurso se autentica y autoriza por sus propios méritos —verificando identidad, salud del dispositivo y contexto— mediante un policy decision point, concediendo acceso de mínimo privilegio por sesión. No hay zona interna de confianza; la ubicación de red de una petición es solo una señal más, no un pase libre.

SeniorIdentity & Access ManagementNetworkingCloud
La respuesta completa
Explícame una metodología de pruebas de penetración como PTES.

PTES define siete fases: pre-engagement (alcance, reglas de enfrentamiento, autorización), recopilación de inteligencia (OSINT, reconocimiento), modelado de amenazas, análisis de vulnerabilidades, explotación, post-explotación (pivoteo, datos de valor, persistencia) e informe. La estructura hace que los proyectos sean repetibles, defendibles y ligados al riesgo de negocio en lugar de hacking improvisado. El pre-engagement y el informe son las fases que los junior subestiman.

Mid-levelNetworkingWeb Security
La respuesta completa
¿En qué se diferencia un ejercicio de red team de una prueba de penetración?

Un pentest busca cobertura amplia — encontrar tantas vulnerabilidades como sea posible en un objetivo delimitado. Un red team es emulación de adversario dirigida por objetivos: elegir una meta (p. ej. alcanzar los datos más valiosos), emular los TTP de un actor de amenaza concreto, mantenerse sigiloso para probar la detección y la respuesta, y evitar el escaneo ruidoso. El red teaming mide al equipo azul y a toda la organización, no solo al activo; ambos requieren reglas de enfrentamiento estrictas y autorización.

SeniorNetworkingThreat Intelligence
La respuesta completa
Explícame el ciclo de vida de la gestión de vulnerabilidades.

La gestión de vulnerabilidades es un ciclo continuo: descubrir activos y vulnerabilidades (escaneo, inventario de activos), priorizar por riesgo real (CVSS más explotabilidad, exposición y criticidad de los activos — marcos como EPSS y SSVC ayudan), remediar o mitigar, verificar la corrección e informar sobre tendencias y SLA. El escaneo es la parte fácil; la disciplina está en priorizar y cerrar el ciclo para que el riesgo realmente baje con el tiempo.

Mid-levelNetworkingCloud
La respuesta completa
¿Qué puertos usan SSH, HTTP, HTTPS, DNS, RDP y SMB, y por qué importan?

SSH usa TCP 22, HTTP TCP 80, HTTPS TCP 443, DNS el 53 (UDP y TCP), RDP TCP 3389 y SMB TCP 445. Conocer los puertos bien conocidos te permite leer la salida de un escaneo, escribir reglas de cortafuegos y triar alertas con rapidez — un servicio en su puerto esperado frente a uno inesperado es una señal inmediata.

JuniorNetworking
La respuesta completa
¿Cómo funciona la resolución DNS — recursiva vs autoritativa?

Un resolutor stub pide un nombre a un resolutor recursivo. Si no está en caché, el resolutor recursivo recorre la jerarquía: consulta un servidor raíz (que apunta al TLD), el servidor TLD (que apunta a los servidores autoritativos del dominio) y finalmente el servidor autoritativo, que tiene el registro real. La respuesta se cachea por el camino según su TTL. El DNS usa el puerto 53 — UDP para la mayoría de las consultas, TCP para las grandes.

JuniorNetworking
La respuesta completa
¿Cuál es la diferencia entre un proxy directo y un proxy inverso?

Un proxy directo se sitúa delante de los clientes y hace peticiones salientes en su nombre — para control de salida, filtrado, cacheo y anonimato. Un proxy inverso se sitúa delante de los servidores y recibe peticiones entrantes en su nombre — para balanceo de carga, terminación TLS, cacheo y como fachada de seguridad para un WAF. La dirección a la que mira, lado cliente o lado servidor, es la distinción clave.

Mid-levelNetworkingWeb Security
La respuesta completa
¿Cómo funciona traceroute, y qué papel juega el campo TTL?

Traceroute descubre los routers entre tú y un destino explotando el campo TTL. Envía paquetes con TTL=1, luego 2, luego 3, y así sucesivamente. Cada router decrementa el TTL; cuando el TTL llega a cero, ese router descarta el paquete y devuelve un mensaje ICMP Time Exceeded, revelando su dirección. Al ir subiendo el TTL, traceroute mapea cada salto en orden hasta alcanzar el destino.

Mid-levelNetworking
La respuesta completa
¿Qué es NAT, y en qué se diferencia PAT de él?

NAT (Network Address Translation) reescribe la IP de origen o destino a medida que los paquetes cruzan una frontera, normalmente mapeando direcciones internas privadas a públicas. PAT (Port Address Translation, o NAT overload) lo amplía traduciendo también los puertos, permitiendo que muchos hosts internos compartan una sola IP pública — cada flujo distinguido por su puerto. PAT es lo que usan los routers domésticos y de oficina para poner toda una LAN tras una sola dirección.

Mid-levelNetworking
La respuesta completa
Explica el modelo OSI y qué aporta cada capa.

El modelo OSI divide la red en siete capas, cada una añadiendo una responsabilidad: Física (bits en el cable), Enlace de datos (tramas y direccionamiento MAC), Red (enrutamiento IP), Transporte (TCP/UDP, puertos, fiabilidad), Sesión (gestión de conexiones), Presentación (codificación, cifrado, compresión) y Aplicación (protocolos como HTTP). Cada capa envuelve a la de encima a medida que los datos bajan por la pila.

JuniorNetworking
La respuesta completa
¿Qué es una subred, y qué hace una máscara de subred?

Una subred es una subdivisión lógica de una red IP. La máscara de subred marca qué bits de una dirección IP son la porción de red y cuáles la porción de host — por ejemplo, /24 (255.255.255.0) significa que los primeros 24 bits identifican la red y los últimos 8 identifican los hosts. La subdivisión controla cómo se enruta el tráfico y permite segmentar una red en dominios de difusión más pequeños.

JuniorNetworking
La respuesta completa
Explícame el saludo de tres vías de TCP.

TCP abre una conexión en tres pasos. El cliente envía un SYN con un número de secuencia inicial, el servidor responde con SYN-ACK (confirmando el número del cliente y enviando el suyo), y el cliente devuelve un ACK. Tras este intercambio ambos lados han acordado los números de secuencia de inicio y la conexión queda establecida para una entrega de bytes fiable y ordenada.

JuniorNetworking
La respuesta completa
TCP vs UDP — ¿en qué se diferencian y cuándo elegir cada uno?

TCP está orientado a la conexión: negocia, numera bytes, retransmite las pérdidas y controla la congestión, dando una entrega fiable y ordenada a costa de latencia y sobrecarga. UDP no tiene conexión y funciona como disparar-y-olvidar — sin negociación, sin retransmisión, sin orden. Usa TCP cuando importa la corrección (web, correo, transferencia de archivos) y UDP cuando importa más la velocidad que la perfección (DNS, VoIP, juegos, vídeo).

JuniorNetworking
La respuesta completa
¿Cómo se compara el modelo TCP/IP con el modelo OSI?

El modelo TCP/IP tiene cuatro capas — Enlace, Internet, Transporte y Aplicación — y describe cómo funciona la Internet real. OSI tiene siete. Se corresponden de cerca: la capa de Aplicación de TCP/IP absorbe las capas de Aplicación, Presentación y Sesión de OSI; su capa de Enlace combina las capas Física y de Enlace de datos de OSI. OSI es la mejor referencia para enseñar y resolver problemas; TCP/IP es la suite de protocolos realmente implementada.

JuniorNetworking
La respuesta completa
¿Qué es una VLAN, y cuál es su valor de seguridad?

Una VLAN (LAN virtual) particiona lógicamente un switch físico en dominios de difusión de capa 2 separados, de modo que dispositivos en VLAN distintas no pueden alcanzarse directamente aun en el mismo hardware. Se rotula con una etiqueta 802.1Q en los enlaces troncales. El valor de seguridad es la segmentación: aislar el tráfico de usuarios, servidores, invitados e IoT limita el alcance de la difusión y el movimiento lateral, forzando el tráfico entre VLAN a pasar por un router o cortafuegos donde se aplica la política.

Mid-levelNetworking
La respuesta completa
¿Cuál es la diferencia entre una VPN y un proxy?

Una VPN crea un túnel cifrado a nivel de red/SO, de modo que todo el tráfico de un dispositivo se enruta por él y se protege de extremo a extremo — usada para el acceso remoto seguro. Un proxy opera a nivel de aplicación, retransmitiendo tráfico de aplicaciones o protocolos específicos sin cifrarlo necesariamente. Las grandes diferencias son el alcance (todo el dispositivo vs por aplicación) y que una VPN cifra por diseño mientras que muchos proxys no.

JuniorNetworking
La respuesta completa
¿Qué es una DMZ en la arquitectura de red, y por qué usarías una?

Una DMZ (zona desmilitarizada) es un segmento de red situado entre la Internet no confiable y la red interna de confianza, que aloja servicios expuestos al público como servidores web, de correo y DNS. Las reglas del cortafuegos permiten que Internet alcance la DMZ pero restringen estrictamente el acceso de la DMZ a la red interna. El objetivo es la contención: si un servidor público se ve comprometido, el atacante queda atrapado en la zona de amortiguación en lugar de aterrizar dentro de la LAN.

Mid-levelNetworking
La respuesta completa
Explícame cómo enumeras una máquina objetivo recién aparecida.

Se empieza con un escaneo completo de puertos TCP y luego se enumera en profundidad cada servicio abierto —banners, versiones, credenciales por defecto, acceso anónimo y contenido web— antes de tocar ningún exploit. La mayoría de las máquinas caen por una enumeración minuciosa, no por exploits ingeniosos, que es el núcleo de la mentalidad «try harder».

JuniorNetworkingLinux Internals
La respuesta completa
¿Por qué escanear los 65535 puertos y cómo hacerlo de forma eficiente con nmap?

El escaneo nmap por defecto solo cubre los 1000 puertos más comunes, así que un servicio en un puerto alto pasaría totalmente desapercibido. El patrón eficiente es un escaneo SYN rápido de los 65535 puertos primero, y luego un escaneo dirigido de versiones y scripts por defecto solo contra los puertos hallados abiertos.

JuniorNetworking
La respuesta completa
Has comprometido un host con una segunda interfaz de red. ¿Cómo pivotas?

Usa el host comprometido como relé hacia la subred inalcanzable. Configura una redirección de puerto para un único servicio, o un proxy SOCKS dinámico (SSH -D o chisel) y enruta tus herramientas a través de él con proxychains, para que tu máquina atacante alcance los hosts internos por el pivote.

SeniorNetworking
La respuesta completa
¿Qué compruebas cuando encuentras SMB y SNMP abiertos en un host?

Para SMB, enumera los recursos compartidos, comprueba el acceso anónimo/sesión nula, lista los usuarios e identifica la versión para CVE conocidas. Para SNMP, prueba community strings por defecto como «public» y recorre la MIB para extraer nombres de usuario, procesos en ejecución, software instalado y detalles de red.

Mid-levelWindows InternalsNetworking
La respuesta completa
Explica la diferencia entre el reconocimiento pasivo y el activo, con ejemplos de cada uno.

El reconocimiento pasivo reúne información sin interactuar directamente con los sistemas del objetivo — OSINT, registros DNS, transparencia de certificados. El reconocimiento activo toca el objetivo, como el escaneo de puertos o la captura de banners, que es más ruidoso pero aporta más detalle.

JuniorNetworkingThreat Intelligence
La respuesta completa
Explícame las fases de una prueba de penetración, desde el inicio hasta la entrega.

Una pentest avanza por el precompromiso (alcance y reglas de enfrentamiento), el reconocimiento, el escaneo y la enumeración, la explotación, la postexplotación y el informe. Cada fase alimenta la siguiente, y el informe es donde realmente se entrega el valor al cliente.

JuniorNetworkingWeb Security
La respuesta completa
Has comprometido un host en una red segmentada. Explica cómo pivotas para alcanzar sistemas que no puedes tocar directamente.

El pivoting convierte un host comprometido en un relé para alcanzar segmentos internos a los que tu máquina no puede enrutar. Usas reenvío de puertos, un proxy SOCKS sobre tu canal C2 (p. ej. Chisel, el reenvío dinámico de SSH) o enrutamiento por agente, y luego ejecutas herramientas a través de ese túnel para atacar la siguiente subred.

SeniorNetworkingWindows Internals
La respuesta completa
Tienes una shell con pocos privilegios en una máquina Linux. Explícame cómo escalarías a root.

Enumera primero: privilegios actuales, derechos de sudo, binarios SUID/SGID, tareas cron, archivos escribibles en el PATH, versión del kernel y credenciales almacenadas. Luego explota la ruta más sencilla y fiable — a menudo una regla de sudo mal configurada o un GTFOBin SUID — antes de recurrir a un exploit del kernel.

Mid-levelLinux InternalsNetworking
La respuesta completa
Explica las reverse shells frente a las bind shells y cuándo elegirías cada una.

Una bind shell abre un puerto de escucha en el objetivo y espera a que te conectes a él. Una reverse shell hace que el objetivo se conecte hacia fuera a un listener que tú controlas. Las reverse shells suelen ganar porque el tráfico saliente esquiva las reglas de cortafuegos entrantes y el NAT.

Mid-levelNetworkingLinux Internals
La respuesta completa
Un cliente pregunta por qué debería pagar por una pentest si ya ejecuta escaneos de vulnerabilidades. ¿Cómo respondes?

Un escaneo de vulnerabilidades es un inventario automatizado y en amplitud de debilidades potenciales, a menudo con falsos positivos. Una prueba de penetración la dirige un humano: valida los hallazgos, los encadena y demuestra un impacto de negocio real mediante una explotación efectiva.

JuniorNetworkingWeb Security
La respuesta completa
Explica la defensa en profundidad y pon un ejemplo concreto de cómo aplicarla.

La defensa en profundidad consiste en superponer varios controles de seguridad independientes de modo que, si uno falla, los demás sigan protegiendo el activo. Ningún control se supone perfecto, así que se apilan medidas preventivas, de detección y de respuesta en las capas de red, host, aplicación y datos.

JuniorNetworkingIdentity & Access Management
La respuesta completa
Explícame cómo endurecerías un servidor Linux nuevo expuesto a Internet.

Reducir la superficie de ataque (eliminar paquetes y servicios sin uso), forzar SSH solo por clave sin inicio de sesión root, mantener el sistema parcheado, ejecutar un cortafuegos de denegación por defecto que exponga solo los puertos necesarios, aplicar privilegios mínimos mediante sudo y permisos de archivos, habilitar auditd y registro centralizado, y añadir monitorización de integridad más un MAC como SELinux o AppArmor.

SeniorLinux InternalsNetworking
La respuesta completa
¿Qué es la segmentación de red, y cómo se relaciona con un modelo zero trust?

La segmentación divide una red en zonas aisladas para que una brecha en una no pueda alcanzar libremente a las demás, limitando el movimiento lateral. Zero trust va más allá: elimina por completo la confianza implícita basada en la ubicación de red, autenticando y autorizando cada solicitud venga de donde venga — la microsegmentación es una forma de implementarlo.

SeniorNetworkingIdentity & Access Management
La respuesta completa
¿Qué es una PKI, y explícame cómo un cliente valida el certificado de un servidor?

Una PKI es el sistema de CA, certificados y políticas que vincula las claves públicas con las identidades. Para validar un certificado de servidor, un cliente construye una cadena hasta una raíz de confianza, verifica cada firma, comprueba las fechas de validez y el nombre de host, confirma el uso de la clave, y comprueba la revocación mediante CRL u OCSP.

Mid-levelCryptographyNetworking
La respuesta completa
¿Por qué son útiles los logs de DNS para la detección y qué amenazas puedes encontrar en ellos?

Casi todo pasa por el DNS, así que los logs de DNS revelan amenazas que otras fuentes pasan por alto: beaconing de command-and-control (llamadas regulares a un dominio), tunneling y exfiltración DNS (alto volumen de subdominios largos y codificados) y dominios generados algorítmicamente (DGA). Se detectan mediante patrones como la regularidad de las consultas, la entropía, los tipos de registro y el volumen, no por una sola resolución sospechosa.

SeniorNetworkingDFIR (Forensics & Incident Response)Threat Intelligence
La respuesta completa

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.