Tema 1

Hacking Ético

Introducción al hacking
ético
 Índice
Esquema 3

Ideas clave 4
1.1. Introducción y objetivos 4
1.2. Fases del hacking ético 6
1.3. Tipos de auditorías 9
© Universidad Internacional de La Rioja (UNIR)

1.4. Equipos de trabajo 11

1.5. APTs 13
1.6. Lecciones magistrales 15
1.7. Referencias bibliográficas 15

A fondo 17

Test 18
 © Universidad Internacional de La Rioja (UNIR)

Tema 1. Esquema
Esquema

Hacking Ético
3
 Ideas clave

1.1. Introducción y objetivos

Hoy en día, vivimos en un mundo interconectado que nos hace ser cada vez más
vulnerables, debido a la sobreexposición en la que nos encontramos. Por este motivo,
la mayoría de las empresas dotan a sus sistemas de la robustez necesaria para poder
enfrentarse a las nuevas amenazas tecnológicas del momento. En este tema
conoceremos qué procedimientos se siguen a la hora de ejecutar las actividades de
pentesting y podremos entender los diferentes tipos de auditorías existentes. Con
toda esta información, seremos capaces de entender el proceso que siguen los
vectores de ataque más frecuentes.

Los objetivos principales de este tema son:

 Introducir al estudiante en el conocimiento del hacking ético.

 Conocer los diferentes tipos de atacantes.
 Comprender los tipos de auditorías técnicas posibles.
 Entender los pasos que se deben seguir a la hora de realizar una auditoría técnica.
 Conocer los diferentes tipos de equipos de trabajo dentro de las auditorías.
 Introducir al alumno a los APTs.
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
4
Tema 1. Ideas clave
 Terminología:

 Vulnerabilidad: existencia de una debilidad o error en el diseño o implementación

que permite comprometer la seguridad de un sistema.
 Exploit: Brecha de seguridad de un sistema TI a través de ciertas vulnerabilidades.
 Payload: Parte del código de un exploit que permite realizar una acción maliciosa.
 0-day: Ataque que explota vulnerabilidades en aplicativos antes de que el
desarrollador de software parcheé dicha vulnerabilidad.
 Doxing: Conjunto de técnicas destinadas a recopilar información sobre un
objetivo.
 Bot: Es una aplicación software que puede ser controlada remotamente para
ejecutar o automatizar tareas predefinidas.
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
5
Tema 1. Ideas clave
 1.2. Fases del hacking ético

Las actividades de hacking ético consisten en realizar una serie de actividades

técnicas que permitan conocer y averiguar fallos de seguridad en alguna tecnología
o sistema de la compañía a la que se le realiza dicha actividad.

El objetivo principal de este tipo de actividades consiste en analizar, investigar,

detectar, probar y explotar las potenciales vulnerabilidades de los sistemas
auditados. Por tanto, se evalúa el nivel de seguridad y se puede verificar y evidenciar
la existencia de estas fallas.

La importancia de conocer estas vulnerabilidades va ligada a la importancia de

conocer los riesgos a los que una empresa se expone por la tecnología que utiliza. Es
ahí donde el auditor o «pentester» podrá esclarecer la situación real de la compañía
en el momento de la realización de la actividad de «pentesting» o hacking ético.
Conocer y saber cómo funcionan estás vulnerabilidades es vital para la seguridad.

Si no sabes atacar, no sabes defenderte.

Una vez se han detectado los fallos de seguridad, será la compañía afectada la que
deberá decidir si dichos riesgos los previene, los corrige, los acepta o los mitiga. Por
parte del auditor técnico, o pentester, recaerá la importante labor de redactar un
informe en el que queden constatadas las evidencias y pruebas que se llevaron a
cabo para explotar dicha vulnerabilidad.

Existe una gran polarización respecto a cómo se conoce a las personas que llevan a
© Universidad Internacional de La Rioja (UNIR)

cabo este tipo de actividades. Es importante contextualizar y saber conocer las

diferencias entre los diferentes términos utilizados, aunque no estén oficialmente
aprobados.

Hacking Ético
6
Tema 1. Ideas clave
  Cracker. Personas con conocimientos informáticos que vulneran o corrompen los
sistemas de seguridad de las compañías. Su motivación está principalmente
asociada con fines de lucro, protesta o desafío. También pueden conocerse como
usuarios maliciosos, piratas informáticos o ciberdelincuentes.

 Hacker. Actualmente son muy populares, debido a los aumentos en el cibercrimen

y las regulaciones durante la última década, aunque existen hace mucho más
tiempo del que se cree. Se encargan de encontrar y analizar las debilidades y las
deficiencias en sistemas. Son personas que están muy comprometidas con la
seguridad y suelen conocer las normativas y regulaciones vigentes para no
acometer ningún delito.

Como se ha comentado, este tipo de diferenciación no está estandarizado y es lo que

popularmente se conoce. También se encuentra la siguiente diferenciación:

 Script-kiddies. Usuarios con conocimientos limitados que utilizan herramientas

básicas. Dichas personas no se preocupan en conocer qué tipo de actividad
realizan estas herramientas automáticas, sino que únicamente buscan un fin sin
detenerse en entender el medio.

 White-Hat Hackers. Personas con altos conocimientos en seguridad informática.

Utilizan estos conocimientos para dar a conocer y ayudar a empresas o usuarios
de los fallos y vulnerabilidades que encuentran, por lo que utilizan un código de
ética.

 Black-Hat Hackers. Son personas que no cumplen con la ley en sus acciones. Son
los que comúnmente se conocen como ciberdelincuentes.
© Universidad Internacional de La Rioja (UNIR)

 Gray-Hat Hackers. Es una combinación de los White-Hat Hackers y los Black-Hat

Hackers. Utilizan sus conocimientos de manera ilegal para realizar acciones
bienintencionadas.

Hacking Ético
7
Tema 1. Ideas clave
  Suicide Hackers. Al igual que los anteriores, no cumplen con ningún tipo de ley y
sus acciones van más allá, ya que suelen intentar mostrar sus conocimientos de
manera pública y, en muchos casos, no les preocupa ser detenidos.

Una vez que conocemos los tipos de personas que pueden llevar a cabo la explotación
de vulnerabilidades, vamos a ver en qué consiste un pentest y sus fases. Un pentest
es la actividad y pasos que se siguen para encontrar y detectar vulnerabilidades en
los sistemas. Para ello, los profesionales se apoyan en diferentes metodologías para
realizar estos trabajos de una manera esquematizada y sistemática. Entre ellas,
podemos destacar las siguientes:

 OSSTMM (Open Source Security Methodology Manual).

 SANS. Contiene guías y certificaciones de seguridad informática.
 NIST (National Institute of Standards and Technology). Dispone de manuales y
guías de seguridad.
 OWASP (Open Web Application Security Project). Además de disponer de módulos
web, esta fundación sin ánimo de lucro se encarga de promover y ayudar a
potenciar la seguridad en empresas y usuarios.

Recogiendo estas metodologías y siguiendo las principales fases en común de cada

una de ellas, podemos desglosar las actividades de pentesting en 4 grandes fases:
© Universidad Internacional de La Rioja (UNIR)

Figura 1. Pasos de un pentesting. Fuente: Elaboración propia.

Hacking Ético
8
Tema 1. Ideas clave
 1. Recolección de información. En esta fase, se llevarán a cabo todas las acciones de
obtención y análisis de información, tanto pública como privada, con el objetivo
de poder conocer posibles malas configuraciones o versiones obsoletas de
sistemas. En esta fase, se pretende conocer todo lo posible del objetivo para poder
realizar la siguiente fase.

2. Una vez se obtiene toda la información posible de la víctima, se realiza un análisis

de dicha información, con el objetivo de encontrar potenciales vulnerabilidades
y vectores de ataque, gracias al conocimiento del versionado de las tecnologías
mediante técnicas «agresivas».

3. Explotación. Una vez se conocen las posibles vulnerabilidades, se crea un vector

de ataque para probar la existencia de la vulnerabilidad y poder evidenciarla.

4. Posexplotación. Después de haber explotado una vulnerabilidad por medio del

vector de ataque seleccionado, se pretende obtener acceso recurrente a la
máquina o sistema explotado, para no perder acceso a la red y poder realizar
tareas de pivoting.

Por último, el pentester deberá encargarse de realizar un informe técnico, y en

algunos casos ejecutivo, en el que se deberán desglosar las vulnerabilidades
encontradas por impacto y riesgo, con una o varias proposiciones de soluciones
mitigatorias.

1.3. Tipos de auditorías

© Universidad Internacional de La Rioja (UNIR)

El proceso habitual para la realización de una auditoría técnica de seguridad será, en

primer lugar, un acuerdo con la compañía a auditar para poder llevar a cabo las
acciones de intrusión ajustándonos al marco jurídico actual. Para ello, dicha
compañía nos tendrá que aprobar estas acciones.

Hacking Ético
9
Tema 1. Ideas clave
 Una vez se tiene acordada la realización de este tipo de auditorías, se deberán
conocer y acordar, a su vez, la modalidad de auditoría que se desea realizar.
Podemos distinguir entre las siguientes:

 Caja blanca. Se dispone de acceso y conocimiento de todo acerca del objetivo. Es

decir, se tendrán usuarios con permisos administrativos, usuarios de cualquier
perfil, mapa de red, etc.

 Caja negra. No se tiene ningún conocimiento del objetivo, únicamente la

información que se pueda encontrar públicamente. Se puede considerar como la
modalidad más realista en cuanto a un ataque, puesto que normalmente los
ciberdelincuentes no tienen conocimiento o acceso interno.

 Caja gris. Se dispone de información limitada. Normalmente es la compañía por

auditar la que decide qué información nos provee, usualmente un usuario con
permisos restringidos y un acceso a la red como mínimo.

Además de estas modalidades, podemos encontrarnos tantos tipos de auditorías

como tecnologías disponga el cliente. Entre las más comunes, podemos encontrar:
© Universidad Internacional de La Rioja (UNIR)

Figura 2. Tipos de auditorías. Fuente: Elaboración propia.

Hacking Ético
10
Tema 1. Ideas clave
 1.4. Equipos de trabajo

Cuando hablamos de seguridad informática y protección de datos, entran en juego

dos equipos fundamentales: los Read Team y los Blue Team. Ambos realizan un
trabajo complementario para detectar vulnerabilidades, prevenir ataques
informáticos y emular escenarios de amenaza. A estos dos equipos hay que añadirles
un tercero: el Purple Team.

Red Team

Los miembros del Red Team (seguridad ofensiva) se confunden habitualmente con
los pentesters, pero no son lo mismo. Aunque hay una cierta superposición entre las
funciones y habilidades de unos y otros.

Funciones del Red Team

Los Red Teams emulan a los atacantes utilizando sus mismas herramientas o
similares, explotando las vulnerabilidades de seguridad de los sistemas y/o
aplicaciones (exploits), técnicas de pivoting (saltar de una máquina a otra) y objetivos
(sistemas y/o aplicaciones) de la organización.

El Red Team realiza un proceso de emulación de escenarios de amenazas a los que se

puede enfrentar una organización, analizando la seguridad desde el punto de vista
de los atacantes, para dar al equipo de seguridad (Blue Team) la posibilidad de
defenderse de forma controlada y constructiva de ataques. Los pentesters realizan
un proceso de intrusión con técnicas de pivoting, ingeniería social y otras pruebas de
© Universidad Internacional de La Rioja (UNIR)

hacking, que finaliza con un informe en el que se identifican vulnerabilidades.

Por lo tanto, el Red Team es un entrenamiento para el Blue Team, donde se evalúa
la capacidad real que tiene una organización para proteger sus activos críticos y sus
capacidades de detección y respuesta considerando tanto el plano tecnológico, como

Hacking Ético
11
Tema 1. Ideas clave
 el de procesos y el humano. ¿Qué aporta más valor, un informe de vulnerabilidades
o que el Blue Team sepa cómo reaccionar ante un ataque?

Blue Team

Blue Team (seguridad defensiva): es el equipo de seguridad que defiende a las

organizaciones de ataques de una manera proactiva.

Funciones del Blue Team

 Realizan una vigilancia constante, analizando patrones y comportamientos que se

salen de lo común, tanto a nivel de sistemas y aplicaciones como de las personas,
en lo relativo a la seguridad de la información.
 Trabajan en la mejora continua de la seguridad, rastreando incidentes de
ciberseguridad, analizando los sistemas y aplicaciones para identificar fallos y/o
vulnerabilidades y verificando la efectividad de las medidas de seguridad de la
organización.

Por lo tanto, el principal objetivo del Blue Team es realizar evaluaciones de las
distintas amenazas que puedan afectar a las organizaciones, monitorizar (red,
sistemas, etc.) y recomendar planes de actuación para mitigar los riesgos. Además,
en casos de incidentes, realizan las tareas de respuesta, incluyendo análisis de
forense de las máquinas afectadas, trazabilidad de los vectores de ataque, propuesta
de soluciones y establecimiento de medidas de detección para futuros casos.

Purple Team
© Universidad Internacional de La Rioja (UNIR)

Los equipos morados (Purple Team) existen para asegurar y maximizar la efectividad
de los equipos rojo y azul. Lo hacen integrando las tácticas y controles defensivos
del Blue Team con las amenazas y vulnerabilidades encontradas por el Red Team.

Hacking Ético
12
Tema 1. Ideas clave
 Idealmente, no debería ser un equipo, sino una dinámica de cooperación entre los
equipos rojo y azul.

Funciones del Purple Team

El principal objetivo de un Purple Team es gestionar la seguridad de los activos de la

organización, realizar pruebas para comprobar la eficacia de los mecanismos y
procedimientos de seguridad y definir/desarrollar controles de seguridad adicionales
para disminuir el riesgo de la organización. El Purple Team como tal tiene sentido en
organizaciones pequeñas, donde debido a restricciones -como por ejemplo,
presupuesto insuficiente- no pueden soportar la existencia de un Red Team y un Blue
Team independientes.

Tanto para empresas como instituciones es fundamental implementar controles de

seguridad para minimizar los riesgos de un ataque cibernético y proteger los datos
que manejan.

1.5. APTs

En 2007, Estonia sufrió un ciberataque sin precedentes, que dejó inoperativos los
servicios de intercomunicación de todo el país durante horas, lo que impidió, entre
otras cosas, la realización de transacciones bancarias. La envergadura del ataque, que
además se relacionó con una protesta política, pone de manifiesto la vulnerabilidad
de los estados frente a ataques informáticos (lo que motiva la instalación del CCDCOE
de la OTAN en Tallin), y arroja un nuevo término que servirá en adelante para
© Universidad Internacional de La Rioja (UNIR)

nombrar un nuevo actor en el contexto de riesgo cibernético: las amenazas

persistentes avanzadas (Advanced Persistent Threat, o APT) (Ottis, s. f.).

Se conocen como APT aquellas amenazas que, por las capacidades que demuestran
tener (uso de exploits avanzados, realización de esfuerzos costosos en términos de

Hacking Ético
13
Tema 1. Ideas clave
 tiempo, etc.), solo pueden ser atribuidas a grupos con grandes recursos, como
mafias o incluso estados. Suelen tener como objetivo sistemas críticos, aunque
también pueden tener presencia en sistemas comunes buscando atacar la cadena de
suministro de los primeros. Mitre mantiene un catálogo con todos los grupos
considerados como APT, dentro del framework ATT&CK (MITRE ATT&CK, s. f.). Estos
grupos no se pueden definir a ciencia cierta, sino que son fruto de una atribución
basada en indicadores de compromiso, objetivos, y tácticas.

Así, por ejemplo, se asocian incidentes como Stuxnet (Wikipedia, 2021) a servicios
israelíes o estadounidenses, porque buscaba frenar el plan nuclear de Irán; o Careto
a fuentes de España, por contener cadenas de texto en español dentro de su código.

Aunque quizá el incidente con mayor impacto en la última década haya sido el
sufrido por SolarWinds entre 2020 y 2021, conocido como Solorigate (Microsoft,
2021). Es un buen ejemplo para caracterizar las APT frente a otras amenazas:

 Trabajan. En este incidente, un actor se mantuvo infiltrado en la compañía,

aprendiendo cómo programaban para instalar una puerta trasera FUD (Fully
UnDetectable) en su código, durante al menos 6 meses. Mantener un ataque
durante todo este tiempo es extremadamente costoso (grandes recursos).

 El objetivo fue instalar esa puerta trasera para llegar a sus clientes, en lo que se
conoce como supply-chain attack. Los clientes de SolarWinds eran grandes
compañías, entre las que se encontraba el Departamento de Defensa de Estados
Unidos (tiene como objetivo sistemas críticos).

 Finalmente, al no haber una evidencia definitiva de quién puede estar detrás, se

© Universidad Internacional de La Rioja (UNIR)

agruparon los ataques similares detrás de un grupo, que recibió el nombre de

UNC2452 (malpedia, s. f.). Como la mayor parte de ataques similares se atribuyen
a orígenes rusos, se determinaba que la procedencia de este ataque también era
ruso (promovido por un estado).

Hacking Ético
14
Tema 1. Ideas clave
 Manteniendo la línea de esta última proposición, es muy difícil realizar una
atribución fiable y por eso es tan importante la agregación de la información
recolectada (indicadores de compromiso, técnicas, tácticas y procedimientos) en los
procesos de análisis y la generación de inteligencia sobre la misma. Algunos
elementos identificativos del actor UNC2452 también se asocian con otros ataques,
que acaban conformando el grupo de APT29 (MITRE ATT&CK, 2021) en la clasificación
de Mitre; pero si en algún momento se consiguiese desenmascarar a uno de los
actores detrás de estos ataques, se podría aclarar el origen de todos los demás. O,
posiblemente, no…

1.6. Lecciones magistrales

En este vídeo, titulado Red Team y Blue Team, los estudiantes van a entender, de una
manera más detallada, las diferencias entre los conceptos de Red Team y Blue Team,
indagando sobre el ciclo de vida de la brecha y sus fases.

1.7. Referencias bibliográficas

Malpedia. (s. f.). UNC2452. https://malpedia.caad.fkie.fraunhofer.de/actor/unc2452

© Universidad Internacional de La Rioja (UNIR)

Microsoft. (2021, enero 20). Deep dive into the Solorigate second-stage activation:
From SUNBURST to TEARDROP and Raindrop.
https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-
solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/

Hacking Ético
15
Tema 1. Ideas clave
 MITRE ATT&CK. (2021, octubre 16). APT29. https://attack.mitre.org/groups/G0016/

MITRE ATT&CK. (s. f.). Groups. https://attack.mitre.org/groups/

Ottis, R. (s. f.). Analysis of the 2007 Cyber Attacks against Estonia from the
Information Warfare Perspective. Cooperative Cyber Defence Centre of Excellence.
https://ccdcoe.org/uploads/2018/10/Ottis2008_AnalysisOf2007FromTheInformatio
nWarfarePerspective.pdf

Wikipedia. (2021, julio 7). Stuxnet.

https://es.wikipedia.org/w/index.php?title=Stuxnet&oldid=136864738
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
16
Tema 1. Ideas clave
 A fondo
Fases de un pentesting

HackIsOn. (2019, junio 25). Penetration testing tutorial - Different types of phases
[Vídeo]. YouTube. https://www.youtube.com/watch?v=uk7bHcfyHig

Se describe cómo se realiza un pentest con varias fases parecidas a las vistas en la
teoría.

Purple Team y su importancia en el concepto

Bachiller, J. (2021, octubre 27). Purple Team: ¿pero esto qué es? Security at work.
https://www.securityartwork.es/2021/10/27/purple-team-pero-esto-que-es-i/

Explicación de la importancia del concepto de Purple Team y por qué no es un equipo,

sino una metodología.
© Universidad Internacional de La Rioja (UNIR)

Hackin Ético
17
Tema 1. A fondo
 Test
1. El hacking ético consiste en…
A. Tener los conocimientos fundamentales para determinar qué actividad
informática es lícita y cuál no.
B. Ser capaces de ejecutar cualquier actividad que suponga la explotación de
un sistema con fines lucrativos.
C. Ejecutar diferentes pasos que logren darnos información acerca de las
vulnerabilidades de los sistemas con el beneplácito del atacado.
D. El conjunto de leyes que regulan las actividades informáticas fraudulentas.

2. Las fases de un pentest son:

A. Búsqueda de información, análisis de vulnerabilidades, explotación de
vulnerabilidades y posexplotación.
B. Recolección de información, análisis de información, explotación y
posexplotación.
C. Recolección de información, análisis de vulnerabilidades, explotación y
borrado de huellas.
D. Búsqueda de información, análisis de exploits, explotación y posexplotación.

3. La fase de explotación consiste en…

A. Escanear los puertos de las máquinas y ejecutar herramientas de análisis de
vulnerabilidades.
B. Averiguar qué máquinas objetivo tienen vulnerabilidades y generar un vector
de ataque.
C. Generar y ejecutar un vector de ataque que pueda evidenciar la
© Universidad Internacional de La Rioja (UNIR)

vulnerabilidad potencial.
D. Todas las anteriores son ciertas.

Hacking Ético
18
Tema 1. Test
 4. Un scriptkiddie es…
A. Una persona que se encarga de aprender nuevos conocimientos de
seguridad informática.
B. Usuarios sin pretensión de aprender sobre seguridad informática pero que
utiliza herramientas para explotar vulnerabilidades.
C. Personas con acceso limitado a herramientas de seguridad que ejecutan
manualmente vectores de ataque para explotar una vulnerabilidad.
D. Todas las anteriores son incorrectas.

5. Las auditorías de caja blanca:

A. Nos permiten ejecutar pruebas de seguridad con conocimientos limitados.
B. Generan informes técnicos más completos que las demás.
C. Se centran en pruebas sobre infraestructuras externas o componentes
Wireless.
D. Se realizan con la máxima información y accesos posibles del destino.

6. El RedTeam y el BlueTeam se caracterizan porque…

A. El Red Team está enfocado a la parte ofensiva y el Blue Team a la defensiva.
B. Ambos se integran conjuntamente en sus actividades para retroalimentarse
de tal manera que fomentan la seguridad de la compañía.
C. El Read Team intenta conocer las vulnerabilidades y deficiencias de
configuración que puedan a llegar tener los equipos de Blue Team.
D. Todas las anteriores son ciertas.

7. Llamamos APT a:
A. Una Amenaza Persistente Avanzada.
B. Un protocolo de comunicación alternativo a TCP.
© Universidad Internacional de La Rioja (UNIR)

C. Los exploits utilizados en el contexto de la cyberwarfare.

D. Es una herramienta de auditoría Blue Team.

Hacking Ético
19
Tema 1. Test
 8. Una de las tendencias actuales con respecto a APTs es:
A. Ataque a las cadenas de suministro.
B. Ataques de ransomware.
C. Atacar desde Rusia.
D. Tratar de posicionarse en el ranking de Mitre.

9. La fase de explotación consiste en…

A. Escanear los puertos de las máquinas y ejecutar herramientas de análisis de
vulnerabilidades.
B. Averiguar qué máquinas objetivo tienen vulnerabilidades y generar un vector
de ataque.
C. Generar y ejecutar un vector de ataque que pueda evidenciar la
vulnerabilidad potencial.
D. Obtener acceso recurrente a la máquina o sistema explotado para no perder
acceso a la red y poder realizar tareas de pivoting.

10. La fase de posexplotación consiste en…

A. Escanear los puertos de las máquinas y ejecutar herramientas de análisis de
vulnerabilidades.
B. Averiguar qué máquinas objetivo tienen vulnerabilidades y generar un vector
de ataque.
C. Generar y ejecutar un vector de ataque que pueda evidenciar la
vulnerabilidad potencial.
D. Obtener acceso recurrente a la máquina o sistema explotado para no perder
acceso a la red y poder realizar tareas de pivoting.
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
20
Tema 1. Test
 11. La fase de explotación consiste en…
A. Escanear los puertos de las máquinas y ejecutar herramientas de análisis de
vulnerabilidades.
B. Averiguar qué máquinas objetivo tienen vulnerabilidades y generar un vector
de ataque.
C. Generar y ejecutar un vector de ataque que pueda evidenciar la
vulnerabilidad potencial.
D. Todas las anteriores son ciertas.

12. La fase de explotación consiste en…

A. Escanear los puertos de las máquinas y ejecutar herramientas de análisis de
vulnerabilidades.
B. Averiguar qué máquinas objetivo tienen vulnerabilidades y generar un vector
de ataque.
C. Generar y ejecutar un vector de ataque que pueda evidenciar la
vulnerabilidad potencial.
D. Todas las anteriores son ciertas.
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
21
Tema 1. Test