Todos los aspectos de la seguridad informática pueden dividirse en niveles con los que podrías encontrarte, y a eso se dedica este artículo.
Si miramos la verdad a los ojos, no hay escasez de posibles preguntas que podrían surgir en cualquier entrevista sobre una amplia gama de temas en el campo de la seguridad informática. Además, el tema mismo de “seguridad informática” puede significar cosas diferentes para diferentes personas. Se podría decir que este campo abarca todo, desde un técnico que instala una copia adicional de antivirus hasta un profesional en criptografía. Por lo tanto, en un solo artículo no podemos abarcarlo todo. Por otro lado, todas las preguntas se pueden dividir en niveles con los que podrías encontrarte, y eso es a lo que se dedica este artículo.
Sin más preámbulos, comencemos.
Nivel 1: Técnico
Las preguntas en el nivel inicial de posición casi siempre se centran en habilidades: qué estás haciendo actualmente y qué te gustaría hacer en el futuro. Además, muchas preguntas en esta etapa ayudan a comprender mejor a uno mismo, su personalidad y las preferencias y opiniones actuales.
En esta etapa, todavía eres una persona técnica, pero ya has llegado al punto en el que quieres elegir una especialización. En este nivel, en términos de trabajo, eres más responsable de mantener la funcionalidad que de la seguridad, pero ya entiendes que en general quieres proteger a las personas de acciones indebidas. Probablemente, y lamentablemente, aún no eres un maestro del kung fu.
1 – ¿Qué fuentes de noticias visitas?
Parece que no pasa ni un par de días sin que ocurra un incidente serio en el campo de la seguridad informática. Incluso se podría tener la impresión de que en el mundo moderno los hacks ocurren mucho más frecuentemente que nunca (y de hecho es así). Sin embargo, este hecho también muestra que la detección de ataques y los informes de incidentes también están mejorando según los requisitos tanto de las estructuras gubernamentales como de las compañías de seguros. Como resultado, el público y los profesionales de seguridad se vuelven más informados, comprenden mejor cómo protegerse de las amenazas y vigilan sus cuentas bancarias. Para cualquiera interesado en seguridad informática, seguir el contexto informativo relacionado es vital.
2 – ¿Qué hay en tu red doméstica?
Las pruebas de penetración y la subsiguiente reparación del sistema son mejor realizadas en un entorno de prueba, para la mayoría de las personas el hogar es un ambiente ideal. Desde una laptop con Windows junto con un enrutador inalámbrico hasta un teléfono y múltiples estaciones de trabajo Linux, un controlador de dominio con Active Directory, un firewall autónomo y una tostadora conectada a la red. Manejar y experimentar con tu red doméstica es crucial en la vida de un (nuevo) profesional de seguridad informática.
3 – ¿Qué logro personal te enorgullece más?
En mi caso, la respuesta es obvia: obtener la certificación CISSP. Durante varios meses estudié y hice todo lo posible para retener la mayor cantidad de información necesaria en mi memoria. Además, pedí a todos que me hicieran preguntas incluso en formas alteradas para practicar ver problemas desde diferentes perspectivas. Todos tienen al menos un logro significativo, y aunque la respuesta puede ser la misma para esta y la siguiente pregunta, lo principal es demostrar que deseas seguir avanzando constantemente con un alto nivel de automotivación.
4 – ¿Cuál es tu proyecto personal del que te enorgulleces más?
Alguien podría estar más orgulloso de ensamblar su primera computadora, otro cuando modificó por primera vez una consola de juegos, otro cuando escribió su primer programa. La lista podría continuar infinitamente. En mi caso, sería un proyecto en el que trabajé durante varios años. Todo comenzó con una hoja de cálculo en Excel utilizada por el departamento de ingeniería para rastrear dibujos en AutoCAD. Luego, la hoja de cálculo se convirtió en cientos de páginas HTML estáticas, una base de datos en Access y un frontend. Finalmente, surgió una aplicación web en PHP conectada a MySQL. Un ejemplo destacado de cómo algo pequeño se convierte en un sitio web global completo con aplicaciones especializadas para ingeniería, ventas y calidad, utilizadas por mi empresa en todo el mundo. Nunca se sabe en qué puede convertirse una idea inicial.
5 – ¿Cómo puede ayudar la utilidad traceroute a encontrar una interrupción en la comunicación?
La utilidad tracert o traceroute (dependiendo del sistema operativo) permite ver los routers específicos mientras se mueve a lo largo de la cadena de conexiones. Sin embargo, si surge un problema donde no se puede conectar o hacer ping al nodo final, tracert puede ayudar a detectar el lugar exacto de la interrupción en la cadena de conexiones. Con la información obtenida, se pueden tomar medidas necesarias, como configurar tu propio firewall, llamar a uno de los proveedores, o solucionar lo que esté en medio.
6 – ¿Por qué es necesario conectarse a través de SSH desde Windows?
SSH (puerto TCP 22) es una conexión segura utilizada en muchos sistemas y dispositivos especializados. Los routers, switches, servidores SFTP y programas inseguros tunelizados a través de este puerto pueden participar en la protección de la conexión contra la interceptación no autorizada de información. Aunque en la mayoría de los casos se habla de la conexión a través de SSH en el contexto de Linux, este protocolo está implementado en muchos sistemas (aunque, por ejemplo, no se usa de forma predeterminada en Windows). Programas como PuTTY, Filezilla y otros permiten conectarse fácilmente a través de SSH en Windows, al igual que en Linux.
7 – ¿Cuál es la diferencia entre cifrado simétrico y asimétrico?
Si describimos un tema extremadamente complejo en términos simples, podríamos decir que en el cifrado simétrico se usa la misma clave para codificar y descodificar, mientras que en el cifrado asimétrico se usan claves diferentes. El cifrado simétrico es más rápido, pero en la mayoría de los casos es más difícil de implementar porque se necesita transmitir la clave a través de un canal no cifrado. Por lo tanto, primero se establece un canal basado en cifrado asimétrico y luego simétrico. De ahí surge la siguiente pregunta de inmediato…
8 – ¿Qué es SSL y por qué este protocolo no es suficiente cuando se trata de cifrado?
SSL está diseñado para verificar la identidad, no para cifrar datos. Este protocolo se diseñó para verificar que la persona al otro lado del cable sea quien dice ser. SSL y su hermano mayor TLS se utilizan ampliamente en internet y son un objetivo deseable. Los ataques a estos protocolos se realizan explotando el mecanismo de implementación (por ejemplo, el error Heartbleed), lo que a veces puede llevar a que SSL sea vulnerado, y se necesiten medidas adicionales de protección, como el cifrado de datos durante la transmisión y el almacenamiento.
9 – ¿Cómo puedes averiguar qué significa un código POST?
POST (Power On Self Test; Prueba de Autoencendido) es una de las mejores herramientas cuando el sistema no se inicia. En forma de indicaciones en la pantalla en sistemas modernos o tonos de audio tradicionales, estos códigos indican qué está mal en la configuración. Estas situaciones anormales ocurren con bastante poca frecuencia, y si no trabajas diariamente con hardware, necesitarás una guía. Por ejemplo, el manual de la placa base o un motor de búsqueda. Solo asegúrate de que todo esté configurado correctamente, que haya un conjunto mínimo de componentes necesarios para el arranque y, lo más importante, que todas las conexiones vayan a los contactos correctos.
10 – ¿Cuál es la diferencia entre Sombreros Negros y Sombreros Blancos?
Este es un tema que puede llevar a debates filosóficos serios sobre la libertad de información. También se podría afirmar que si algo está implementado de manera intencionalmente torcida, entonces no puede haber ningún acceso no autorizado y así sucesivamente. A menudo escucho el ejemplo de Jedi: las herramientas son iguales, pero las ideologías son diferentes. Personalmente, trabajando con personas de ambos lados, llegué a la siguiente conclusión: la diferencia entre Sombreros Negros y Sombreros Blancos depende de quién firma el cheque.
Nivel 2: Hacker / Reparador
Las posiciones de nivel dos requieren un poco más de experiencia laboral y la capacidad de resolver problemas más complejos. Es posible que algunas situaciones ya te hagan sonreír. En este punto, ya has penetrado con éxito en varios sistemas, has reflexionado sobre la legitimidad de tus acciones y comprendes que podrías tener problemas si haces lo mismo con la computadora de contabilidad en el cuarto piso. Ya has enfrentado hackeos y sabes lo suficiente como para no entrar en pánico ante las alertas de virus. Finalmente, al restaurar un sistema, sabes que, en primer lugar, debes recopilar información sobre cómo se infiltró el virus y, en segundo lugar, hacer una copia de seguridad de todos los datos antes de eliminar la infección u otras medidas drásticas.
No es necesario tener un profundo conocimiento de criminalística digital, pero es recomendable conocer los fundamentos del arte. Regla #1: “Primero hackear y robar, luego destruir”.
11 – ¿Cómo restablecer una contraseña configurada en BIOS?
Aunque BIOS ha sido reemplazado por UEFI, en la mayoría de los sistemas el esquema de almacenamiento de configuraciones no ha cambiado. Dado que BIOS opera antes de la carga del sistema, tiene un mecanismo de almacenamiento de configuración separado. En el escenario clásico, quitar la batería CMOS (complementary metal-oxide-semiconductor) sería suficiente para desconectar la alimentación de la memoria donde se almacena la información, lo que restablecerá la configuración. En otros casos, se puede usar un jumper o un interruptor físico en la placa base. En situaciones más complejas, puede ser necesario eliminar y reprogramar la memoria del dispositivo. El método más simple, si no se han cambiado las configuraciones de fábrica, es intentar la contraseña estándar “password”.
12 – ¿Qué es XSS?
Cross-Site Scripting (XSS) es la pesadilla de JavaScript. Dado que JavaScript puede ejecutarse en páginas localmente en el sistema del cliente (en contraposición a la lógica del servidor), pueden surgir consecuencias desagradables si se modifican variables en el lado del cliente. Hay varias formas de protegerse contra este problema, una de las cuales es verificar y filtrar la información ingresada.
13 – ¿Cómo iniciar sesión en Active Directory desde Linux o Mac?
Puede sonar extraño, pero es posible trabajar con Active Directory desde sistemas que no sean Windows. Active Directory utiliza una implementación del protocolo SMB, al que se puede acceder desde Linux y Mac a través de la aplicación Samba. Dependiendo de la versión, se puede admitir el acceso compartido, los servicios de impresión e incluso la membresía en Active Directory.
14 – ¿Qué es un hash salado (salted hash)?
En un nivel fundamental, el “salado” (salting) representa datos aleatorios. En un sistema correctamente protegido, cuando se crea una nueva contraseña, se genera un valor hash y salado, luego se combinan ambos valores y se guardan en la base de datos. Este mecanismo ayuda a protegerse contra ataques de diccionario y otros ataques conocidos contra hashes. Por ejemplo, si los usuarios tienen las mismas contraseñas en dos sistemas diferentes, con un solo algoritmo de hash obtendrían el mismo hash. Sin embargo, si se usa un hash junto con un “salado”, los valores serán diferentes.
15 – ¿Qué piensas sobre las redes sociales como Facebook y LinkedIn?
No hay una respuesta única correcta a esta pregunta. Muchos consideran a las redes sociales como uno de los peores fenómenos de la actualidad, mientras que a otros les gustan mucho estos servicios. En términos de seguridad, las redes sociales pueden ser una fuente de filtraciones de información si se utilizan las configuraciones estándar. Es posible limitar los derechos de acceso en las redes sociales, pero en algunos casos, esta medida no es suficiente si la parte del servidor está mal protegida o si el perfil de alguien en tu lista está comprometido. Lo más importante es no almacenar datos importantes en este tipo de sitios web y comunicarse solo con aquellos a quienes confías.
16 – ¿Puedes nombrar tres métodos de autenticación?
La autenticación es posible a través de los siguientes métodos: lo que una persona sabe (contraseña), lo que una persona tiene (token) y quién es una persona (biometría). En la autenticación de dos factores, a menudo se utiliza una combinación de contraseña y token, y en algunos casos, un PIN y la huella dactilar del pulgar.
17 – ¿Cómo determinar qué servidor remoto está en funcionamiento (IIS o Apache)?
Si el administrador no ha cambiado las plantillas de páginas estándar, el tipo de servidor a menudo se determina mediante mensajes de error, cuya aparición se puede provocar ingresando una dirección incorrecta conocida. También se puede usar telnet y analizar las respuestas del servidor. Nunca subestimes la información obtenida no solo en caso de una respuesta correcta, sino también en la formulación correcta de la pregunta.
18 – ¿Cuál es la protección de datos en estado de movimiento y en estado de reposo?
Cuando los datos están protegidos dentro de una base de datos o en un disco duro, se consideran protegidos en estado de reposo (at rest). Por otro lado, al transmitirse del servidor al cliente, los datos pasan a estar en estado de movimiento (in transit). En muchos casos, se utiliza una protección para uno de estos tipos: bases de datos SQL, conexiones VPN, entre otros. Ambos métodos de protección generalmente no se utilizan debido al mayor consumo de recursos. Sin embargo, es una buena práctica proteger los datos en todos los estados.
19 – Ves a un usuario conectado al sistema como root realizando operaciones básicas. ¿Es un problema?
La cuenta administrativa en Linux (root) tiene muchos privilegios que no están disponibles para los usuarios normales. Sin embargo, para realizar muchas tareas, no es necesario iniciar sesión continuamente como superusuario. Si alguna vez has usado en Windows el comando “ejecutar como administrador“, entenderás la lógica de un comando similar en Linux llamado “sudo” (que significa “superuser do”), útil para realizar casi cualquier operación. Es una forma simple y elegante de ahorrar mucho tiempo que se gastaría en la autorización como usuario privilegiado. Cuanto más tiempo pase un usuario con privilegios extendidos, mayor es la probabilidad de cometer un error, ya sea por accidente o intencionalmente.
20 – ¿Cómo proteger un punto de acceso inalámbrico doméstico?
No hay una respuesta correcta única para esta pregunta, ya que hay muchas formas de proteger un punto de acceso inalámbrico. Los métodos más populares incluyen el uso de WPA2, no difundir el SSID o filtrar direcciones MAC. Hay otras opciones disponibles, pero en el caso de una red doméstica típica, las mencionadas anteriormente se utilizan con mayor frecuencia.
Nivel 3: Experto
A este punto, has enfrentado numerosos desafíos diferentes. Tienes un conjunto regular de herramientas que utilizas y un paquete estándar de utilidades para la protección. Te sientes bastante seguro al enfrentar diferentes incidentes y has dedicado mucho tiempo a descubrir que hay muchas formas de lograr tus objetivos. Además, sabes lo fácil que es que la información desaparezca para siempre y comprendes que se necesita ayuda para proteger y gestionar el almacenamiento de información.
Probablemente ya seas parte de un equipo, no un lobo solitario tratando de hacer todo solo. Como resultado, estás en camino de convertirte en un profesional en algún campo. Es posible que incluso tengas un sombrero puntiagudo y una inclinación por lo espirituoso.
21 – Método simple para configurar una red para permitir que solo una computadora trabaje en un puerto físico específico.
Los puertos fijos o “pegajosos” (“sticky”) son los mejores aliados de los administradores de sistemas y la causa de los peores dolores de cabeza. Esta tecnología te permite configurar cada puerto en un switch para que la conexión esté permitida solo a una o varias computadoras mediante la vinculación a una dirección MAC específica. En caso de que se conecte otra computadora, el puerto se desconecta y recibes un mensaje de que la conexión no es posible. Si eras el único que configuraba las conexiones de red o si se utilizaba un esquema predecible, es probable que no hubiera problemas. Sin embargo, si trabajas en una red caótica, podrías pasar mucho tiempo determinando qué debe conectarse dónde.
22 – Estás remotamente conectado a un sistema “sin cabeza” en un espacio remoto. No tienes acceso físico al equipo y necesitas instalar un sistema operativo. ¿Cómo resolver este problema?
Existen dos métodos diferentes para instalar un sistema operativo, pero el escenario más probable es utilizar un instalador de red capaz de arrancar a través de la red mediante PXE (Preboot eXecution Environment). En entornos con muchas sistemas, a menudo se necesita arrancar núcleos a través de la red. Esto ahorra tiempo, reduce el trabajo manual requerido para cada sistema y hace que la instalación sea más uniforme.
23 – ¿Por qué es más fácil hackear una cuenta local en una red basada en Windows que una cuenta en Active Directory?
Las cuentas locales en Windows están cargadas con mucho “equipaje” en aras de la compatibilidad y a expensas de la seguridad. Si tu contraseña tiene más de 13 caracteres, es probable que hayas encontrado mensajes al respecto. Por otro lado, las cuentas en Active Directory están mucho más protegidas, ya que el sistema donde se autentica es diferente del entorno en el que trabajas como usuario normal. Penetrar en un sistema Windows si tienes acceso físico no es tan difícil, y hay muchas utilidades especiales para resolver esta tarea. Sin embargo, este tema va más allá del alcance de esta pregunta.
24 – ¿Qué incluye el modelo CIA?
Confidencialidad (confidentiality), integridad (integrity), disponibilidad (availability). Este modelo describe de manera más cercana la esencia de la seguridad de la información. La confidencialidad es mantener los datos seguros. La integridad es mantener la integridad de los datos. La disponibilidad es mantener los datos accesibles.
25 – ¿Cuál es la diferencia entre HIDS y NIDS?
Ambos conceptos están relacionados con los sistemas de detección de intrusiones. Sin embargo, la primera abreviatura se refiere a Host Intrusion Detection System (Sistema de Detección de Intrusiones en el Host), mientras que la segunda se refiere a Network Intrusion Detection System (Sistema de Detección de Intrusiones en la Red). HIDS se utiliza como una utilidad de fondo, como un antivirus, por ejemplo. NIDS analiza paquetes mientras pasan por la red e intenta detectar cualquier cosa que esté fuera del escenario estándar. Ambos sistemas funcionan en dos variantes básicas: basados en firmas y basados en anomalías. En el caso de las firmas, el mecanismo es muy similar al de un antivirus, donde se verifica según una base de valores conocidos. La búsqueda de anomalías se aplica principalmente al tráfico de red para detectar discrepancias con el patrón estándar. La búsqueda de anomalías requiere más tiempo para una configuración adecuada, pero a largo plazo está mejor adaptada a nuevos ataques.
26 – Has descubierto que hay un problema en la red, pero resolverlo está fuera de tus responsabilidades. ¿Qué harías en este caso?
Este es un tema muy importante. Debes comunicarte por correo electrónico con la persona responsable de resolver el problema, conservando la correspondencia. Además, debes enviar una copia del correo a tu gerente. Es posible que el sistema deba estar configurado de esa manera específica y que resolver el problema lleve a consecuencias aún más desagradables. Hablar sobre tus preocupaciones con la persona responsable es la mejor manera de abordar esta situación. De esta manera, también te estás liberando de la responsabilidad al dejar un rastro de tu comunicación.
27 – Trabajas en el departamento técnico en un puesto no gerencial. Un alto directivo te pide que incumplas las reglas y permitas usar una laptop en el trabajo. ¿Qué harías en esta situación?
Te sorprendería saber con qué frecuencia ocurren situaciones similares, especialmente debido a la prevalencia de dispositivos móviles de diversos tipos que utilizan los empleados en el trabajo. La solución más simple aquí es comunicarte con tu gerente y preguntar si está permitido. De esta manera, la persona responsable tomará la decisión adecuada. Además, obtienes apoyo si es necesario expresar tu desacuerdo. Cuando lidias con personas que no quieren escuchar negativas, a menudo se generan situaciones estresantes, por lo que delegar la responsabilidad será muy útil.
28 – ¿Cuál es la diferencia entre una vulnerabilidad y un exploit?
Muchos te dirán que una vulnerabilidad y un exploit no son diferentes en nada, y en cierto sentido, estarían en lo correcto. Sin embargo, una vulnerabilidad es un problema potencial, mientras que un exploit es real. Puedes pensar en ello de esta manera: imagina que la cerradura de tu garaje está rota y no se cierra adecuadamente. En grandes ciudades, este problema debe resolverse de inmediato. En áreas rurales, se puede considerar una molestia y la cerradura se puede arreglar cuando haya tiempo. En ambos casos, estamos hablando de una vulnerabilidad, pero en las ciudades grandes, el problema puede convertirse en un exploit, ya que la probabilidad de que un intruso que ya sabe cómo explotar esta brecha sea mucho mayor.
29 – ¿Cómo comprometerías una “estación de trabajo de oficina” en un hotel?
Dado lo comúnmente infectadas que suelen estar este tipo de sistemas, no me arriesgaría ni siquiera con un palo de diez pies. El método más simple sería conectar un keylogger USB por detrás con un troyano y un inicio automático, mediante el cual se pueden realizar actividades oscuras posteriormente. En resumen, en entornos de este tipo, la temporada de caza está abierta todo el año.
Nivel 4: Maestro
En este punto, tu habilidad ha alcanzado un nivel en el cual, al obtener acceso físico, puedes tener control total sobre un dispositivo. Por otro lado, también ha crecido tu nivel de ética, y no vas a hackear todo lo que toques. La ética personal se convierte en un recurso invaluable cuando sabes dónde trazar la línea. Estás bastante familiarizado con el lado oscuro de la seguridad informática y sabes que cualquier herramienta puede ser utilizada para bien o para mal.
Es muy probable que hayas trabajado en ambos lados de la barricada, pero al mismo tiempo, comprendes bien el dicho “Para atrapar a un delincuente, necesitas ser un poco como él“. Has realizado numerosas pruebas de penetración y probablemente seas parte de un equipo que realiza regularmente actividades de este tipo dentro de la infraestructura confiada a ti. Lamentablemente, Gozer no se detendrá en el postre. Disculpa.
31 – ¿Qué es peor, una activación errónea positiva o una activación errónea negativa del firewall? ¿Por qué?
Naturalmente, la activación errónea negativa es mucho peor. Y por mucho. Una activación errónea positiva ocurre cuando se reciben señales falsas en el contexto de tráfico legítimo. Puede ser molesto, pero el problema es resoluble. Una activación errónea negativa es cuando el tráfico malicioso pasa desapercibido. Es mucho peor.
32 – ¿Cuál equipo es mejor, el equipo rojo o el equipo azul?
Es otra pregunta para la que no hay una respuesta correcta. Todo depende de tus intereses. Durante una prueba de penetración, el equipo rojo intenta penetrar en el sistema mientras que el equipo azul se defiende. Los equipos rojos se consideran más “cool”, mientras que los azules son más experimentados. La regla general sigue siendo la misma que en cualquier juego en el que hay atacantes y defensores: el equipo azul siempre debe tener éxito, el equipo rojo solo puede tener éxito una vez. Esta regla no es totalmente cierta y depende del escenario, pero describe bastante bien la idea principal.
33 – ¿Cuál es la diferencia entre el testing de caja blanca y caja negra?
En una prueba de caja blanca, el equipo recibe la mayor cantidad de información posible sobre el entorno que está siendo probado. En el caso de la caja negra, no se conoce nada.
34 – ¿Cuál es la diferencia entre la protección de información y la integridad de la información?
La protección de la información habla por sí misma: un conjunto de métodos, como el cifrado, aplicaciones especiales y otros métodos para mantener los datos seguros. Por otro lado, la integridad de la información se refiere más a la seguridad y disponibilidad: RAID, copias de seguridad, métodos para mantener la operatividad continua, entre otros.
35 – ¿Cómo proteger un dispositivo móvil?
Es otra pregunta debatible con muchas respuestas. Sin embargo, se pueden destacar tres aspectos clave: una aplicación para protección contra malware, la eliminación remota de datos y el cifrado del disco. Casi todos los dispositivos modernos, independientemente del fabricante, tienen protección contra malware y eliminación remota de datos, y en muy pocos sistemas falta la opción de cifrado de todo el disco dentro del sistema operativo.
36 – ¿Cuál es la diferencia entre el código fuente cerrado y abierto? ¿Qué es mejor?
Continuamos con preguntas polémicas. Normalmente, el código fuente está cerrado en aplicaciones comerciales. Obtienes archivos ejecutables para resolver tareas específicas y no puedes ver lo que hay debajo del capó. En el caso del código fuente abierto, tienes acceso a toda la lógica, así como la posibilidad de modificar y recompilar el código. Ambas ideologías tienen sus argumentos a favor y en contra, generalmente relacionados con auditorías y control. Los partidarios del código fuente cerrado argumentan que en aplicaciones de código abierto, cualquiera puede encontrar y explotar debilidades. Los partidarios del código fuente abierto dicen que no se puede verificar completamente el software con código cerrado y es bastante difícil encontrar y solucionar problemas fuera de ciertos límites.
37 – ¿Qué piensas sobre grupos de hackers como Anonymous?
Probablemente ya te hayas dado cuenta, este nivel de preguntas trata principalmente sobre opiniones y conclusiones. Y sí, tienes razón, esta pregunta es especialmente provocativa. Las acciones de cualquier grupo sin un líder claramente definido y un centro de mando suelen parecer caóticas. A veces, estos actores pueden actuar en nombre del bien, a veces, causar daño a inocentes. Al responder, elige cuidadosamente tus palabras, ya que esta pregunta puede ser determinante durante una entrevista.
38 – ¿Qué es un handshake triple? ¿Cómo se utiliza este handshake para un ataque de denegación de servicio (DoS)?
El handshake triple (SYN, SYN/ACK, ACK) es fundamental en el protocolo TCP. SYN es la conexión saliente para solicitar al servidor desde el cliente. ACK es la respuesta del servidor indicando “te escuché, establezcamos la conexión”. SYN/ACK es la confirmación final para la interacción entre el cliente y el servidor. Sin embargo, esta misma secuencia se puede usar para realizar un ataque DoS básico. El cliente abre una conexión SYN, el servidor responde con SYN/ACK, pero luego el cliente envía otro SYN, que el servidor interpreta como una nueva solicitud de conexión, dejando la conexión anterior abierta. Al repetirse esta secuencia muchas veces y a alta velocidad, el servidor se sobrecarga con demasiadas solicitudes y pierde la capacidad de interactuar con usuarios legítimos.
39 – ¿Por qué es necesario contratar a un tercero para realizar pruebas de penetración?
Principalmente para obtener una perspectiva fresca, ya que a veces las personas no quieren ver o reconocer el problema. La ayuda adicional en forma de auditoría también puede ser útil para abordar problemas que su equipo no puede resolver. Por supuesto, puede resultar costoso, pero generalmente los terceros son expertos en su campo.
40 – Si tuvieras que hackear un sitio basado en una base de datos, ¿cómo resolverías esta tarea?
Aquí estamos viendo el otro lado de la moneda: al aprender a penetrar en sus propios sistemas, podrás realizar pruebas de penetración por tu cuenta. Dependiendo del tipo de base de datos y del lenguaje de programación, los métodos pueden variar, pero la forma más simple es la inyección SQL. Por ejemplo, si los datos de entrada no se manejan adecuadamente, simplemente ingresando ciertos caracteres en un campo de formulario podría ser suficiente. Otra alternativa (también dependiendo del sistema del sitio): intentar formar una URL específica. La investigación previa puede ayudarte a resolver esta tarea si no eres un administrador del servidor.
Nivel 5: Centro Cerebral
En este nivel, es probable que estés liderando un departamento completo. Pasas la mayor parte del tiempo revisando políticas y planificando el frente de trabajo para los próximos 12-36 meses, más que escribiendo código, pero has realizado con éxito tus ambiciones en el arte legal del jiu-jitsu. Tu trabajo consiste en asegurar la protección de la organización en los niveles más altos, y ahora la responsabilidad no recae en nadie más. Como resultado, necesitas estar constantemente en juego y siempre un paso adelante de los forasteros y empleados insatisfechos que buscan hacer una declaración.
41 – ¿Por qué las amenazas internas suelen ser más exitosas que las externas?
Cuando observas algo a diario, incluso si inicialmente surge la sospecha, luego viene la adaptación. Por lo tanto, si ves a alguien husmeando día tras día y mes tras mes, luego podrías decidir que esa persona simplemente tiene curiosidad. Luego, tu vigilancia se embotará y no podrás reaccionar rápidamente ante posibles amenazas. Por otro lado, consideremos la situación en la que un empleado descontento pronto se va y quiere perjudicar al empleador que pronto será ex. Este empleado vende cuentas activas y la tarjeta clave a un grupo local especializado en delitos financieros. Escenario alternativo: cuando un intruso se disfraza de mensajero y camina sin rumbo por el edificio de oficinas, recopilando información de notas y papeles dispersos. Con las amenazas externas, los intrusos no tienen acceso a información de ese nivel y rara vez usan el uniforme de un mensajero comprado por $20.
42 – ¿Qué es el riesgo residual?
Para ilustrarlo, citaré a Ed Norton: “Un nuevo automóvil fabricado por mi compañía se mueve a 100 km/h. Luego, el diferencial trasero se bloquea, el automóvil se estrella, se incendia y todos quedan atrapados dentro. Y ahora, la pregunta es, ¿deberíamos hacer un retiro de automóviles? Tomamos la cantidad de automóviles salidos de la línea de producción (A), multiplicamos por la probabilidad de que ocurra una situación como esta (B), y luego por el costo promedio de una resolución extrajudicial (C). A * B * C = D. Si D es menor que el costo del retiro, entonces no lo haremos“. El riesgo residual es todo lo que queda después de implementar todas las medidas económicamente efectivas para aumentar la seguridad y cuando las acciones posteriores solo llevan al derroche de recursos. El riesgo residual abarca eventos adversos que la empresa anticipa pero no toma medidas para prevenir, esperando que esos eventos no ocurran.
43 – ¿Por qué los datos eliminados realmente no desaparecen?
Cuando ejecutas el comando “eliminar”, el archivo no desaparece en realidad, simplemente se marca el bit necesario para indicarle al sistema operativo que el archivo ya no es necesario y se puede sobrescribir si es necesario. Hasta que se sobrescriba, la información puede recuperarse, ya sea que los archivos estén en la papelera de reciclaje o no. Hay utilidades especiales para la sobreescritura y limpieza del disco, pero lleva tiempo completar este proceso y alcanzar el nivel deseado de limpieza.
44 – ¿Qué es la cadena de responsabilidad?
Cuando se rastrean sistemas de información o equipos en litigios, es crucial poder reconstruir todos los estados intermedios hasta el estado inicial. Por lo tanto, mantener un registro de quién tenía acceso a qué y por cuánto tiempo es crucial en tales situaciones. Cualquier compromiso de información puede llevar a problemas legales para las partes involucradas, así como a violaciones durante la investigación o al incumplimiento de las órdenes judiciales (según el escenario).
45 – ¿Cómo prevenir permanentemente la amenaza de que la información caiga en manos equivocadas?
Si la información está en un disquete, CD o papel, las trituradoras y los fragmentadores ayudan a convertir plástico y papel en confeti. Con discos duros, la situación se complica. A menudo se usa un método de destrucción de dos etapas. Primero, un programa especial para limpiar el disco. Luego, se saca el disco duro, se extraen los platos y se rayan hasta que sean irreconocibles, luego se acercan a un imán potente. Después de este procedimiento, los datos no se pueden recuperar con métodos convencionales.
46 – ¿Qué es la exfiltración?
La infiltración es agregar elementos (secretamente) a algún lugar. La exfiltración está destinada a la tarea opuesta: extraer secretamente información confidencial u otros objetos. En un entorno con altos niveles de seguridad, realizar una exfiltración es extremadamente difícil pero posible. Si recordamos una de las preguntas anteriores donde se menciona disfrazarse como mensajero, entonces se entiende que existen formas de infiltrarse sin dificultades aparentes.
47 – Tienes un negocio. En tu empresa hay 4 empleados y una tienda en línea. No tienes tiempo, ni deseos, ni recursos para contratar a un técnico de manera permanente. ¿Por qué deberías preocuparte por los exploits y otros aspectos de seguridad?
Estamos enfrentando un círculo vicioso clásico donde no hay dinero para seguridad, pero al mismo tiempo la empresa no puede permitirse los costos en caso de compromiso. Por otro lado, la empresa no puede tener a un especialista permanente, solo un consultor contratado. Si puedes encontrar palabras menos alarmantes, el propietario del negocio entenderá que la seguridad de la tienda afecta los pagos entrantes, que a su vez influyen en mejorar el nivel de seguridad.
48 – Eres el director de una empresa de la lista Fortune 500. Ganas en un día más de lo que yo gano en un año. La seguridad no me preocupa mucho porque solo consume tiempo/dinero y ralentiza los procesos comerciales. ¿Por qué debería preocuparme por estas tonterías?
Este problema es aún más agudo: los líderes lidian con mentiras, fraudes y robos constantemente, y cuando alguien dice que la empresa seguirá perdiendo dinero hasta que pague, la respuesta es “no”. Por lo tanto, es crucial para el jefe reflexionar sobre las consecuencias y apoyar al departamento de TI. Realizar auditorías de sitios web, crear informes analíticos y escenarios detallados sobre qué y dónde está sucediendo ayudará a comprender mejor la situación y continuar respaldando los proyectos necesarios.
49 – Eres un abogado en una gran corporación. Tenemos requisitos de documentación de activos y cambios en el código, pero el presupuesto es limitado. ¿Cómo resolver este problema?
Esta tarea se resuelve de manera sencilla. Supongamos que una parte informada te ha pedido ayuda con algo importante. Hay algo de dinero asignado al proyecto (puede que no sea mucho, pero es mejor que nada). En la forma más básica, el problema se resuelve con Excel, lo que requiere mucho tiempo para ingresar datos. Luego, dependiendo de los recursos, pasamos a escáneres de red automáticos que documentan todos los hallazgos en una base de datos, y a programas que verifican las versiones de otros programas y archivos diferentes. Todo depende del tamaño del proyecto y de la empresa.
50 – Eres nuevo. En tu trabajo anterior, trabajabas como programador y tu manager te pide que escribas algunas aplicaciones específicas. Necesitas derechos de administrador de dominio para resolver esta tarea. El jefe te ofrece dos opciones: cumplir con sus instrucciones o ser despedido y buscar a alguien más capaz. ¿Cómo responder?
Lamentablemente, en algún momento de tu carrera te encontrarás con alguien así. En este caso, es hora de hablar con tu manager, quien puede estar de acuerdo o negarse dependiendo del proyecto y estar dispuesto a asumir las consecuencias si es necesario.
¿Qué te parecieron estas preguntas sobre seguridad informática? ¿Has enfrentado alguna de ellas en tus entrevistas o en tu experiencia laboral? Nos encantaría conocer tu opinión y experiencias. ¡Déjanos tu comentario abajo y únete a la conversación sobre ciberseguridad!
