HE - Preguntas del temario

Cómo describirías un hacker. Aquella persona con conocimientos de seguridad informática que cuándo descubre una vulnerabilidad la vende en la darknet. Aquella persona que dispone de conocimientos normativos en materia de seguridad y ayuda a las empresas a cumplir determinados estándares normativos en materia de seguridad. Un hacker es una persona técnica con grandes conocimientos de seguridad que orienta su trabajo en entender cómo se comportan los sistemas/aplicativos y trata de localizar vulnerabilidades para comunicarlas a la comunidad o al propietario del componente afectado. Un hacker es una persona técnica con grandes conocimientos de seguridad que orienta su trabajo en entender cómo se comportan los sistemas/aplicativos y trata de localizar vulnerabilidades con fines sociales, ecológicos, humanitarios o que tenga repercusión en la defensa de los derechos humanos.

La confidencialidad garantiza que la inforación no puede ser modificada. Verdadero. Falso.

La confidencialidad garantiza que la información no puede ser accesible por un usuario que no debería tener privilegios de acceso. Verdadero. Falso.

La integridad garantiza que los datos siempre se encuentren disponibles. Verdadero. Falso.

La integridad garantiza que los datos no han sido modificados sin permiso. Verdadero. Falso.

Un ataque de denegación de servicio impacta directamente sobre la disponibilidad de un sistema. Verdadero. Falso.

Una vulnerabilidad Zero Day. Es una vulnerabilidad existente en la que el fabricante tiene conocimiento de ella y está trabajando en el parche. Es una vulnerabilidad de la que el fabricante no es consciente y está siendo explotada de manera legítima por ciberdelincuentes o atacantes externos. Puedes encontrar el código necesario para explotar vulnerabilidades de tipo Zero Day en páginas reconocidas y avaladas en el sector informático.

Las auditorías de tipo automático generan muchos falsos positivos. Verdadero. Falso.

En las auditorías manuales no se pueden utilizar herramientas automáticas. Verdadero. Falso.

En los test de intrusión únicamente se confirman vulnerabilidades. Verdadero. Falso.

En los test de intrusión físico también se contempla conectar dispositivos no autorizados en la red. Verdadero. Falso.

En los ejercicios de Red Team vale todo. Verdadero. Falso.

Indica la afirmación correcta. En las pruebas de caja negra nunca se proporcionan usuarios de acceso al activo a auditar. En las pruebas de caja blanca te pueden proporcionar el código fuente del aplicativo a auditar. En las pruebas de caja gris disponemos de toda la información relativa al aplicativo a auditar.

Durante la toma de requisitos no se establecen limitaciones horarias. Verdadero. Falso.

Durante la toma de requisitos se establecen personas de contacto en ambas partes. Verdadero. Falso.

Como parte de las labores organizativas se especifica los activos a auditar. Verdadero. Falso.

Durante la toma de requisitos se especifica si existe alguna funcionalidad que no se deba probar, o se deba probar en otro horario. Verdadero. Falso.

Los roles dedicados a la gestión se apoyan en el informe ejecutivo para interpretar los riesgos de las vulnerabilidad. Verdadero. Falso.

La criticidad de las vulnerabilidades se realiza según el criterio del auditor. Verdadero. Falso.

En el informe técnico se detallan todos los pasos necesarios que muestran la vulnerabilidad. Verdadero. Falso.

Dnsrecon es una herramienta de enumeraicón pasiva. Verdadero. Falso.

Realiza una búsqueda de información en pastebin se considera una técnica de reconocimiento pasivo. Verdadero. Falso.

El uso de buscadores nos puede proporcionar mucha información sobre los activos incluidos en el alcance. Verdadero. Falso.

La herramienta nmap puede utilizarse para realizar un escaneo de vulnerabilidades. Verdadero. Falso.

arpscan enumera aplicativos de la red sin necesidad de interactuar con el objetivo. Verdadero. Falso.

Con la herramienta nc no se puede realizar un escaneo de servicios. Verdadero. Falso.

Marca todas las herramientas que se utilicen para realizar técnicas de fuerza bruta de credenciales. Patator. Wireshark. Shellter. Hydra.

Indica cuál de las siguientes herramientas se utiliza para extraer información de hashes de credenciales en la memoria de un equipo comprometido. Mimikatz. Keyloggers. LinPeas.