Definición y Tipos de Hackers
37 Questions
1 Views

Choose a study mode

Play Quiz
Study Flashcards
Spaced Repetition
Chat to lesson

Podcast

Play an AI-generated podcast conversation about this lesson

Questions and Answers

¿Cuál es la principal característica de un hacker ético?

  • Realiza ataques maliciosos para beneficio personal.
  • Identifica y explota debilidades en sistemas de manera autorizada. (correct)
  • Accede a sistemas telefónicos sin autorización.
  • Utiliza sus habilidades para causar daño a un sistema.

    • ¿Qué tipo de hacker es conocido por actuar a veces dentro de la ley y otras fuera de ella?

  • Grey hat (correct)
  • White hat
  • Black hat
  • Insider

    • ¿Cuál es el principal objetivo de un black hat?

  • Causar daño o robar información para beneficio personal. (correct)
  • Alertar a la comunidad sobre brechas de seguridad.
  • Proteger sistemas informáticos.
  • Desarrollar scripts para ataques.

    • ¿Qué diferencia a un insider de otros tipos de hackers?

    <p>Es un empleado o consultor con acceso a sistemas internos.</p> Signup and view all the answers

    ¿Qué define a un script kiddie en el ámbito del hacking?

    <p>Es un atacante inexperto que usa herramientas desarrolladas por otros.</p> Signup and view all the answers

    ¿Cuál de las siguientes metodologías se enfoca en la seguridad de aplicaciones web?

    <p>OWASP</p> Signup and view all the answers

    En un test de intrusión, ¿qué tipo de caja se utiliza cuando no se tiene información previa sobre el sistema objetivo?

    <p>Caja negra</p> Signup and view all the answers

    ¿Cuál de las siguientes secciones es parte de la metodología PTES?

    <p>Explotación</p> Signup and view all the answers

    ¿Cuál de las siguientes vulnerabilidades se evalúa en la metodología OWASP?

    <p>Pruebas de gestión de sesiones</p> Signup and view all the answers

    ¿Qué metodología incluye en su alcance a personas, sistemas, aplicaciones y procesos?

    <p>OSSTMM</p> Signup and view all the answers

    ¿Cuál es el objetivo principal de la sección 'Recopilación de inteligencia' en la metodología PTES?

    <p>Obtención de información y contexto del objetivo</p> Signup and view all the answers

    ¿Qué tipo de información es más abundante en un test de intrusión de caja blanca?

    <p>Credenciales de acceso y otros datos sensibles</p> Signup and view all the answers

    ¿Cuál es una de las guías mencionadas para las pruebas de penetración?

    <p>Guía de OWASP de Pruebas</p> Signup and view all the answers

    ¿Cuál es el origen más común de las vulnerabilidades en un sistema?

    <p>Fallos en la configuración de sistemas</p> Signup and view all the answers

    ¿Qué representa un CVE-ID?

    <p>Un identificador único para vulnerabilidades registradas</p> Signup and view all the answers

    ¿Qué permite el protocolo SCAP en el contexto de la NVD?

    <p>Automatizar la gestión de vulnerabilidades</p> Signup and view all the answers

    ¿Qué fase no forma parte de la anatomía de un ataque?

    <p>Prevención</p> Signup and view all the answers

    ¿Cuál de las siguientes afirmaciones sobre un exploit es correcta?

    <p>Es una aplicación que aprovecha vulnerabilidades conocidas</p> Signup and view all the answers

    ¿Cuál es una característica del CVE?

    <p>Es una base de datos de acceso libre internacional</p> Signup and view all the answers

    La NVD está mantenida por:

    <p>El gobierno de EE.UU.</p> Signup and view all the answers

    En la clasificación de las vulnerabilidades, un factor humano incluye:

    <p>Falta de capacitación en seguridad</p> Signup and view all the answers

    ¿Cuál es la finalidad del Social Engineering Toolkit (SET)?

    <p>Realizar ataques basados en ingeniería social.</p> Signup and view all the answers

    ¿Qué tipo de acciones se pueden llevar a cabo durante la post-explotación?

    <p>Eliminar pistas de la explotación del sistema.</p> Signup and view all the answers

    ¿Cuál de las siguientes herramientas permite generar payloads y realizar análisis de binarios?

    <p>Metasploit.</p> Signup and view all the answers

    ¿Qué es un rootkit en el contexto de la post-explotación?

    <p>Software que permite acceso privilegiado y oculta su presencia.</p> Signup and view all the answers

    ¿Qué acción implica la elevación de privilegios en un sistema vulnerado?

    <p>Obtener permisos más altos desde una cuenta sin privilegios.</p> Signup and view all the answers

    ¿Cuál es el propósito principal de utilizar un sistema explotado como pivote?

    <p>Acceder y escanear hosts internos desde la red externa.</p> Signup and view all the answers

    ¿Qué tipo de ataques se pueden realizar con el SET que no involucran la infraestructura propia?

    <p>Ataques de phishing.</p> Signup and view all the answers

    ¿Qué herramienta es reconocida por su capacidad para lanzar exploits contra máquinas y verificar su seguridad?

    <p>Metasploit.</p> Signup and view all the answers

    ¿Cuál es el propósito principal del modelo STAR?

    <p>Recapitular las evidencias encontradas en pruebas de seguridad</p> Signup and view all the answers

    ¿Qué tipo de reconocimiento implica interacción directa con la víctima?

    <p>Reconocimiento activo</p> Signup and view all the answers

    En la matriz ATT&CK, ¿qué representan las tácticas?

    <p>El objetivo de una técnica</p> Signup and view all the answers

    ¿Qué actividad se realiza durante la fase de escaneo y enumeración?

    <p>Buscar puertos abiertos en máquinas activas</p> Signup and view all the answers

    ¿Qué tipo de pruebas se considera parte de la seguridad física?

    <p>Accesibilidad a la infraestructura física</p> Signup and view all the answers

    ¿Qué aspecto es clave durante la fase de reconocimiento en pentesting?

    <p>Descubrir información relevante de la organización objetivo</p> Signup and view all the answers

    ¿Qué se obtiene a partir de realizar el escaneo de puertos?

    <p>Información sobre el sistema operativo y servicios</p> Signup and view all the answers

    ¿Cuál de las siguientes opciones no es un tipo de prueba de seguridad mencionada?

    <p>Seguridad en bases de datos</p> Signup and view all the answers

    Study Notes

    Definición y Tipos de Hackers

    • Hacking ético: Pruebas de intrusión llevadas a cabo por profesionales de seguridad con metodologías rigurosas para identificar debilidades de sistemas.
    • White hat (ético): Experto en seguridad, realiza pruebas de intrusión para asegurar sistemas, comunica brechas a empresas.
    • Black hat (cracker): Experto en ataques maliciosos, busca causar daño.
    • Grey hat: A veces respeta las leyes, otras actúa ilegalmente, alerta de vulnerabilidades a la comunidad hacker.
    • Insider: Empleado o consultor con acceso a sistemas de la organización, puede causar grandes daños.
    • Script kiddie: Atacante inexperto que usa scripts para ataques.
    • Phreaker: Atacante que accede a sistemas telefónicos, necesita gran conocimiento de telecomunicaciones.

    Metodologías

    • Test de intrusión: Tareas ordenadas para recopilar información sobre el sistema objetivo.
    • Clasificación:
      • Caja negra: Sin información previa, la tarea principal es buscar información.
      • Caja gris: El atacante parte de alguna información inicial.
      • Caja blanca: El atacante tiene mucha información, incluyendo credenciales.
    • Metodologías conocidas:
      • OWASP: Guía de pruebas de seguridad de aplicaciones web.
      • OSSTMM: Manual de pruebas de seguridad de código abierto.
      • PTES: Estándar de ejecución de pruebas de intrusión.
      • MITRE ATT&CK: Métodos, tácticas y puntos de conocimiento común de los adversarios.
      • PCI Penetration testing guide: Guía de pruebas de intrusión para PCI.
      • NIST 800-115: Marco de pruebas de intrusión.
      • ISSAF: Marco de evaluación de la seguridad de sistemas de información.

    OWASP

    • Fundación sin ánimo de lucro: Ofrece referencia para la seguridad de aplicaciones web.
    • Top 10: Listado de las 10 vulnerabilidades más comunes en aplicaciones web.
    • Guía de pruebas: Guías de seguridad para aplicaciones web.

    Metodología OWASP

    • Introducción y objetivos
    • Recopilación de la información
    • Pruebas de configuración y gestión de despliegue
    • Pruebas de gestión de identidades
    • Pruebas de autenticación
    • Pruebas de métodos de cifrados débiles
    • Pruebas de validación de datos
    • Pruebas de manejo de errores
    • Pruebas de gestión de sesiones
    • Pruebas sobre lógica de negocio

    PTES

    • Secciones principales: Interacción previa, modelo de amenazas, explotación, informes.

    OSSTMM

    • Metodología integral: Incluye conceptos básicos de seguridad, procesos de pruebas, aspectos legales y métricas.

    STAR

    • Informe: Representa todas las evidencias encontradas.

    MITRE ATT&CK

    • Conocimiento de técnicas adversas: Permite gestionar comportamientos adversos
    • Tácticas y técnicas: Representan el "por qué" y "cómo" de un ataque.

    Reconocimiento y Recolección de información

    • Footprinting: Primera fase del pentesting, descubre información relevante de la organización objetivo.
    • Tipos de reconocimiento:
      • Pasivo: No hay interacción directa con la víctima (ej., búsqueda en Google).
      • Activo: Interactúa directamente con el objetivo (ej., mapeo de red, barrido de pings).

    Escaneo y Enumeración

    • Fase del pentesting para identificar hosts activos, puertos abiertos, SO, aplicaciones, servicios, etc.

    Análisis de Vulnerabilidades

    • Vulnerabilidad: Debilidad o fallo en los procedimientos, diseño, o controles que pueden provocar una brecha de seguridad.
    • Origen: Técnico (configuración incorrecta, errores de implementación) o humano (falta de cobertura de políticas).
    • CVE: Base de datos pública de vulnerabilidades con identificadores únicos (CVE-ID).
    • NVD: Base de datos de vulnerabilidades creada por el NIST, usando protocolos de automatización de contenido (SCAP).

    Explotación de vulnerabilidades

    • Exploit: Aplicación pequeña para aprovechar una vulnerabilidad conocida.
    • SET: Framework para automatizar ataques basados en ingeniería social (phishing, ataques web, etc.).
    • Metasploit: Framework para desarrollo, ejecución y lanzamiento de exploits.

    Post-Explotación

    • Elevar privilegios: Obtener permisos superiores desde una cuenta con permisos limitados.
    • Obtener hashes: Obtener información de usuario para romper contraseñas.
    • Migración de procesos: Mover un proceso a otro.

    Studying That Suits You

    Use AI to generate personalized quizzes and flashcards to suit your learning preferences.

    Quiz Team

    Related Documents

    Tema 3 PDF

    Description

    Este cuestionario explora los diferentes tipos de hackers, desde los éticos hasta los maliciosos. Aprenderás sobre sus metodologías, incluyendo pruebas de intrusión y clasificaciones como caja negra. Comprender estos conceptos es esencial para la seguridad informática.

    More Like This

    Ethical Hacking: Types of Hackers
    16 questions

    Ethical Hacking: Types of Hackers

    OverjoyedJasmine avatar
    OverjoyedJasmine
    Types of Hackers: Black Hat, White Hat, Gray Hat
    12 questions

    Types of Hackers: Black Hat, White Hat, Gray Hat

    WellBacklitPerception2336 avatar
    WellBacklitPerception2336
    Types of Hackers Quiz
    5 questions

    Types of Hackers Quiz

    EloquentNobility8895 avatar
    EloquentNobility8895
    Random computer nonsense
    25 questions

    Random computer nonsense

    LaudableDiscernment avatar
    LaudableDiscernment
    Use Quizgecko on...
    Browser
    Open
    Browser
    Browser