a) Una vulnerabilidad conocida es aquella que ha sido explotada, mientras que una zero-day no tiene impacto real.

b) Una vulnerabilidad conocida tiene un parche disponible, mientras que una zero-day aún no ha sido divulgada ni corregida.

c) Una vulnerabilidad zero-day solo afecta a sistemas operativos, mientras que una vulnerabilidad conocida afecta a todas las plataformas.

d) Una vulnerabilidad conocida solo se encuentra en software propietario, mientras que una zero-day solo aparece en software de código abierto.

a) Proteger automáticamente los sistemas sin intervención humana.

b) Escanear sistemas y redes en busca de vulnerabilidades conocidas.

c) Explotar vulnerabilidades para probar la seguridad de una empresa.

d) Eliminar cualquier vulnerabilidad sin necesidad de parches.

a) ISO 27001

b) NIST SP 800-53

c) CVSS (Common Vulnerability Scoring System)

d) GDPR (General Data Protection Regulation)

a) Ignorar la vulnerabilidad hasta que haya una solución definitiva.

b) Aplicar medidas de mitigación como el bloqueo de puertos o la configuración de reglas de firewall.

c) Eliminar el sistema afectado sin evaluar el impacto.

d) Divulgar públicamente la vulnerabilidad antes de notificar al proveedor.

a) Un escaneo de vulnerabilidades solo identifica debilidades en el sistema, mientras que una prueba de penetración intenta explotarlas.

b) Una prueba de penetración solo se realiza con herramientas automáticas, mientras que el escaneo de vulnerabilidades requiere intervención manual.

c) Un escaneo de vulnerabilidades siempre implica explotación de fallos, mientras que una prueba de penetración solo analiza configuraciones de seguridad.

d) Un escaneo de vulnerabilidades solo se puede realizar en redes, mientras que las pruebas de penetración solo aplican a aplicaciones web.

Para garantizar que los testers puedan explotar cualquier sistema sin restricciones.

Para establecer los límites legales y garantizar que las pruebas no excedan el perímetro acordado.

Para asegurarse de que la organización pagará por cada vulnerabilidad encontrada.

Para permitir que los pentesters actúen sin seguir regulaciones o estándares de seguridad.

IMAP

POP3

SMTP

HTTPS