pps

¿Qué es un Sandbox (entorno de pruebas aislado)?. Un tipo de base de datos. Un lenguaje de programación. Entorno controlado y aislado donde se puede ejecutar código de forma segura sin afectar el sistema principal. Un juego infantil.

¿Cuáles son elementos principales de un programa?. Solo variables. Solo el archivo principal. Variables, funciones, estructuras de control, clases/objetos, módulos y bibliotecas. Solo comentarios.

¿Qué tipos de pruebas existen en desarrollo de software?. Unitarias, integración, funcionales, rendimiento, seguridad y aceptación. Solo pruebas manuales. Únicamente visuales. Solo pruebas de usuario final.

¿Cuál es la principal diferencia entre lenguajes interpretados y compilados?. Los interpretados ejecutan código línea por línea en tiempo de ejecución; los compilados traducen todo el código a lenguaje máquina antes de ejecutar. Los compilados son más lentos. No hay diferencia. Los interpretados no funcionan.

¿Qué aspectos de seguridad deben considerarse en entornos de ejecución?. Únicamente la velocidad. Solo el color de la interfaz. Control de acceso, permisos, aislamiento de procesos, validación de entradas y gestión de errores. Solo el nombre del servidor.

¿Qué son los fundamentos de la programación?. Solo frameworks. Conceptos básicos como variables, estructuras de control, funciones, tipos de datos y lógica algorítmica. Solo sintaxis de lenguajes. Únicamente diseño gráfico.

¿Qué es un entorno de desarrollo?. La oficina física. Solo el ordenador del programador. El servidor de producción. Conjunto de herramientas, configuraciones y recursos donde los desarrolladores escriben, prueban y depuran código.

¿Por qué es importante la seguridad en los lenguajes de programación?. Para prevenir vulnerabilidades como inyecciones, desbordamientos de búfer y accesos no autorizados. Para hacer el código más lento. Solo por requisitos legales. No es importante.

¿Qué es la ejecución de software?. Compilar el código. Proceso en el que el sistema operativo carga y ejecuta las instrucciones del programa. Descargar la aplicación. Instalar la aplicación.

¿Qué es el código fuente de una aplicación?. El ejecutable final. Solo comentarios. La base de datos. El código escrito por programadores en lenguaje de programación legible que define el comportamiento de la aplicación.

En el contexto de seguridad, ¿qué significa validar las entradas de usuario?. Ignorar los datos del usuario. Verificar y sanitizar datos de entrada para prevenir inyecciones y ataques basados en datos maliciosos. Solo comprobar la longitud. Aceptar cualquier dato sin revisar.

¿Qué es una función o método en programación?. Un comentario extenso. Bloque de código reutilizable que realiza una tarea específica y puede recibir parámetros. Un error de compilación. Un tipo de variable.

Las pruebas de seguridad en aplicaciones buscan detectar: Únicamente errores de rendimiento. Solo problemas de diseño visual. Vulnerabilidades como inyecciones SQL, XSS, CSRF, autenticación débil y exposición de datos. Solo errores de sintaxis.

¿Qué herramientas son típicas en un entorno de desarrollo?. Solo un navegador. IDE, compiladores/intérpretes, depuradores, control de versiones y gestores de dependencias. Solo Microsoft Word. Solo un editor de texto.

Ejemplos de lenguajes compilados incluyen: Solo JavaScript. No existen lenguajes compilados. C, C++, Java (a bytecode), Go y Rust. Solo Python.

¿Qué diferencia hay entre pruebas unitarias y pruebas de integración?. Las unitarias prueban componentes individuales; las de integración prueban la interacción entre componentes. Son lo mismo. Las de integración no son necesarias. Las unitarias son más lentas.

¿Qué estructuras de control son fundamentales en programación?. Solo funciones. Solo variables. Solo bucles. Condicionales (if/else), bucles (for/while), y estructuras de selección (switch/case).

Ejemplos de lenguajes interpretados incluyen: No existen lenguajes interpretados. Python, JavaScript, Ruby y PHP. Solo ensamblador. Solo C y C++.

¿Por qué son importantes los Sandboxes en seguridad?. No tienen relación con seguridad. Para decorar aplicaciones. Para aumentar la velocidad. Permiten ejecutar código potencialmente malicioso o no confiable de forma aislada sin comprometer el sistema.

¿Qué es el código objeto en programación?. La documentación del proyecto. El código fuente original. Los comentarios del código. Resultado de compilar el código fuente, en formato intermedio o lenguaje máquina.

¿Qué niveles de verificación define ASVS?. Diez niveles. Nivel 1 (básico), Nivel 2 (estándar) y Nivel 3 (avanzado). No define niveles. Solo uno.

¿Qué implica la "Sensitive Data Exposure"?. Usar bases de datos. Falta de protección adecuada de datos sensibles como contraseñas, números de tarjetas o datos personales. Publicar información en redes sociales. Compartir datos públicos.

Los requisitos de verificación de ASVS se aplican a: Aplicaciones web, móviles y servicios web/APIs. Solo aplicaciones móviles. Solo juegos. Solo aplicaciones web.

¿Qué es CSRF (Cross-Site Request Forgery)?. Un servidor web. Ataque que fuerza a usuarios autenticados a ejecutar acciones no deseadas en aplicaciones web. Un tipo de base de datos. Un lenguaje de programación.

¿Cuál de las siguientes NO es típicamente parte del OWASP Top Ten?. Broken Access Control. Diseño de logo atractivo. Inyección. Cryptographic Failures.

¿Qué es "Security Misconfiguration"?. Un error de sintaxis. Un problema de hardware. Un lenguaje de programación mal escrito. Configuraciones de seguridad incorrectas, incompletas o por defecto que exponen la aplicación.

¿Qué es el "Broken Authentication" en OWASP?. Un tipo de malware. Un error de instalación. Vulnerabilidades en la implementación de autenticación que permiten a atacantes comprometer cuentas. Un problema de red.

Las fuentes abiertas para desarrollo seguro incluyen: Únicamente foros de hackers. Solo blogs personales. OWASP, NIST, CWE, guías de seguridad y frameworks de desarrollo seguro. Solo software pirata.

El nivel de seguridad requerido por una aplicación depende de: Solo el presupuesto. Sensibilidad de los datos, impacto potencial de una brecha, requisitos regulatorios y perfil de riesgo. Solo la opinión del desarrollador. Únicamente la tecnología usada.

¿Por qué es importante usar componentes con vulnerabilidades conocidas?. Es importante EVITARLOS porque son puntos de entrada para atacantes. Son más modernos. Son más baratos. Son más rápidos.

¿Qué es ASVS (Application Security Verification Standard)?. Un lenguaje de programación. Un antivirus. Estándar de verificación de seguridad de aplicaciones que define niveles de requisitos de seguridad. Un navegador web.

¿Qué son las fuentes abiertas para desarrollo seguro?. Recursos, guías, frameworks y bibliotecas públicas que promueven buenas prácticas de seguridad. Solo software gratuito. Código malicioso público. Redes sociales.

¿Por qué es importante identificar vectores de ataque habituales?. Para crear nuevos ataques. Para hacer publicidad. Para implementar defensas específicas y reducir la superficie de ataque. No es importante.

¿Qué tipo de vulnerabilidad es la inyección SQL?. Inserción de código SQL malicioso en entradas de usuario para manipular la base de datos. Un error de hardware. Un error de diseño gráfico. Un problema de red.

¿Qué es el XSS (Cross-Site Scripting)?. Un protocolo de red. Un lenguaje de programación. Vulnerabilidad que permite inyectar scripts maliciosos en páginas web vistas por otros usuarios. Un tipo de servidor.

¿Qué es el OWASP Top Ten?. Un ranking de mejores desarrolladores. Lista de los 10 riesgos de seguridad más críticos en aplicaciones web. Un sistema operativo. Un lenguaje de programación.

¿Cuál es el objetivo principal del OWASP Top Ten?. Enseñar a hackear. Complicar el desarrollo. Concienciar sobre las vulnerabilidades más comunes y cómo mitigarlas. Vender software de seguridad.

¿Qué aspectos cubre ASVS?. Autenticación, control de acceso, criptografía, gestión de sesiones, validación de datos y más. Para aumentar costes. Para complicar el desarrollo. No tienen utilidad.

¿Para qué sirven los requisitos de verificación de seguridad?. Para aumentar costes. No tienen utilidad. Para complicar el desarrollo. Para establecer criterios medibles que deben cumplir las aplicaciones según su nivel de riesgo.

¿Qué es una comprobación de seguridad a nivel de aplicación?. Solo comprobar que funciona. Únicamente revisar el código fuente visualmente. Verificar que la aplicación implementa controles de seguridad adecuados contra vectores de ataque conocidos. Revisar solo el color de la interfaz.

¿Cuál de los siguientes atributos de cookie impide que sea accesible desde JavaScript?. Secure. HttpOnly. Max-Age. SameSite.

En MongoDB, aceptar directamente un objeto JSON como filtro puede permitir: Optimizar consultas automáticamente. Introducir operadores como $gt o $or para alterar la consulta. Reducir el tamaño de los documentos. Impedir ataques de denegación de servicio.

Indica si la siguiente afirmación es verdadera o falsa: “Si una aplicación solo se usa en una intranet, puede omitirse la validación en servidor”. Falso. Verdadero. Depende del número de usuarios. Solo si el acceso está restringido por IP.

¿Cuál es el objetivo de utilizar consultas preparadas en SQL?. Permitir concatenar parámetros dinámicos. Eliminar la posibilidad de inyección SQL en ese punto. Reducir el tiempo de ejecución de la consulta. Evitar el uso de validación en servidor.

En el ejemplo de control de acceso roto, ¿qué error permite acceder a la funcionalidad administrativa?. El uso de URL predecibles. El uso de sesiones basadas en PHP. La ausencia de comprobación de rol en el script del servidor. La falta de cifrado en la comunicación.

¿Cuál es el objetivo principal de algoritmos como BCrypt o Argon2?. Reducir el tamaño del hash almacenado. Aumentar el coste de los ataques por diccionario. Permitir recuperar la contraseña original. Evitar la necesidad de cifrar la base de datos.

¿Qué característica indica que se está utilizando una sesión real y no una simple cookie?. La cookie no tiene fecha de expiración. El identificador se almacena cifrado en el navegador. El identificador se asocia a estado mantenido en el servidor. El identificador puede leerse desde JavaScript.

¿Qué enfoque evita aceptar expresiones arbitrarias en filtros dinámicos?. Construir la consulta concatenando valores validados. Escapar manualmente los caracteres especiales. Delegar la validación en el cliente. Mapear campos y operadores permitidos a fragmentos definidos.

Regenerar el identificador de sesión tras autenticar al usuario: Sustituye la necesidad de usar cookies seguras. Permite evitar el uso de HTTPS. Incrementa el rendimiento del servidor. Reduce el riesgo de fijación de sesión.

¿Cuál es el problema principal de aceptar directamente una entidad JPA completa desde el frontend?. Se pierde compatibilidad con validaciones Bean Validation. El repositorio no puede aplicar transacciones correctamente. Se impide el uso de DTO en capas superiores. El cliente puede enviar campos que no debería poder controlar.

¿Cuál es la finalidad principal de la cabecera HSTS?. Permitir conexiones HTTP y HTTPS simultáneamente. Obligar al navegador a usar HTTPS. Sustituir el certificado digital. Reducir el tamaño de las cabeceras.

¿Para qué se utiliza una Content-Security-Policy (CSP)?. Para evitar ejecución de código no autorizado en el navegador. Para mejorar la velocidad de carga. Para cifrar automáticamente la base de datos. Para bloquear direcciones IP.

En OAuth 2.0, la autorización en APIs se basa en: Cookies sin atributos de seguridad. Parámetros enviados por el frontend sin validar. Tokens firmados emitidos por un servidor de identidad. Sesiones PHP tradicionales.

Integrar herramientas como OWASP ZAP en el pipeline CI/CD permite: Sustituir el uso de HTTPS. Desplegar automáticamente en producción sin revisión. Ejecutar escaneos repetibles en cada ciclo de despliegue. Eliminar la necesidad de control de acceso.

En un modelo ABAC, la decisión de acceso depende de: El tipo de servidor web utilizado. Atributos adicionales como departamento o nivel de riesgo. El número de sesiones activas. La versión del navegador.

¿Cuál es el principal problema de confiar en que el frontend oculte opciones administrativas?. El control de acceso no se aplica en el servidor. Obliga a usar HTTPS. Impide el uso de sesiones. Incrementa la carga del servidor.

¿Qué ventaja aporta declarar explícitamente protocolos y cifrados en el servidor web?. Mejora automática del rendimiento. Garantiza compatibilidad con navegadores obsoletos. Sustituye la necesidad de auditorías. Elimina comportamientos implícitos no auditados.

¿Cuál es el papel real de la automatización de pruebas de seguridad en el ciclo de vida del software?. Eliminar la necesidad de pruebas manuales. Evitar la configuración de servidores. Detectar regresiones de seguridad de forma consistente. Sustituir auditorías manuales.

¿Cuál es la función principal de un WAF con reglas OWASP CRS?. Detectar y bloquear patrones de ataque comunes antes de llegar al backend. Gestionar sesiones de usuario. Generar certificados TLS. Sustituir la validación en la aplicación.

En el modelo RBAC, la autorización se basa en: Ubicación geográfica del usuario. Roles predefinidos asignados al usuario. Tokens firmados exclusivamente. Claves simétricas compartidas.

¿Qué protocolo debe utilizarse para proteger las comunicaciones entre app y servidor?. Telnet. FTP. HTTP. TLS sobre HTTPS.

¿Qué permiso permite a una aplicación acceder al almacenamiento externo en Android?. READ_CONTACTS. ACCESS_WIFI_STATE. USE_BIOMETRIC. MANAGE_EXTERNAL_STORAGE.

¿Qué garantiza principalmente la firma digital de una aplicación?. Que la aplicación no necesita permisos. La integridad y origen del archivo APK. Que el desarrollador es confiable. Que la aplicación no tiene vulnerabilidades.

¿Cuál es el principal riesgo de conceder permisos excesivos a una aplicación móvil?. Incrementar el tamaño de la aplicación. Aumentar el consumo de batería. Ampliar la superficie de ataque del dispositivo. Reducir la velocidad de conexión.

¿Qué algoritmo se menciona para verificar la integridad de una aplicación?. DES. RSA. MD5. SHA-256.

¿Por qué no debe confiarse únicamente en validaciones realizadas en la aplicación móvil?. Porque reduce la usabilidad. Porque el código puede ser modificado o interceptado. Porque el usuario puede desinstalar la app. Porque aumenta el consumo de datos.

¿Qué herramienta permite analizar el código de una APK mediante ingeniería inversa?. Wireshark. Git. Docker. JADX.

¿Qué componente permite almacenar claves criptográficas de forma segura en Android?. SQLite. EncryptedSharedPreferences. Android Keystore. FileManager.

¿Qué problema supone almacenar datos sensibles en texto plano en el dispositivo?. Mejora el rendimiento. Reduce el tamaño de la app. Permite su lectura si el dispositivo es comprometido. Facilita la depuración.

¿Dónde se almacenan normalmente configuraciones simples en Android?. En la RAM exclusivamente. En el sistema de logs. En SharedPreferences. En el kernel.

¿Cuál es la finalidad de EncryptedSharedPreferences?. Ejecutar procesos en segundo plano. Cifrar datos almacenados localmente. Guardar imágenes comprimidas. Reducir consumo de memoria.

¿Cuál es el objetivo de aplicar el principio de mínimo privilegio en apps móviles?. Limitar el acceso solo a los recursos estrictamente necesarios. Incrementar la velocidad de ejecución. Solicitar todos los permisos posibles. Mejorar la interfaz gráfica.

¿Qué implica considerar el dispositivo móvil como “entorno hostil”?. Que el sistema operativo es inseguro. Que el usuario no puede instalar apps. Que el atacante puede tener control físico o lógico del dispositivo. Que no se puede usar cifrado.

¿Qué riesgo supone que una app solicite acceso innecesario a contactos o almacenamiento?. Posible filtración de datos personales. Optimización del sistema. Reducción del consumo energético. Mejora del rendimiento.

¿Qué problema puede producir validar compras integradas solo en el cliente?. Mejor rendimiento. Mayor consumo de datos. Posibilidad de manipular el proceso de pago. Bloqueo del dispositivo.

¿Qué permite detectar el análisis estático de una aplicación móvil?. Fallos en la red WiFi. Problemas físicos del dispositivo. Patrones de código potencialmente inseguros. Errores del sistema operativo.

¿Qué ataque consiste en reutilizar una petición válida para repetir una operación?. Cross-Site Scripting. SQL Injection. Buffer Overflow. Replay attack.

¿Por qué la biometría no sustituye el cifrado de datos?. Porque consume batería. Porque requiere internet. Porque es más lenta. Porque solo controla acceso, no protege almacenamiento interno.

¿Qué verifica la cadena de confianza en la firma digital?. El tamaño del archivo APK. La compatibilidad con Android. La relación entre certificado y desarrollador original. La velocidad de descarga.

¿Por qué es importante usar HTTPS en aplicaciones móviles?. Para aumentar la velocidad. Para cifrar la comunicación entre cliente y servidor. Para evitar permisos. Para reducir consumo de batería.

¿Qué finalidad tienen las ramas en un repositorio de código?. Reducir el número de commits. Aumentar el rendimiento del sistema. Permitir el desarrollo paralelo sin afectar al código principal. Eliminar la necesidad de pruebas.

¿Qué principio garantiza que un mismo despliegue produce siempre el mismo resultado?. Disponibilidad. Reproducibilidad. Escalabilidad. Redundancia.

¿Cuál es el objetivo del principio de reversión en un despliegue seguro?. Aumentar la velocidad del despliegue. Restaurar rápidamente una versión anterior ante fallos. Evitar el uso de backups. Automatizar la compilación.

¿Qué problema principal presentan los despliegues manuales en entornos profesionales?. Incrementan la probabilidad de errores humanos en el proceso. Aumentan la disponibilidad del sistema. Eliminan la necesidad de pruebas. Reducen la trazabilidad del código.

¿Qué permite el historial de cambios en un repositorio?. Reconstruir versiones anteriores del sistema. Eliminar errores automáticamente. Ejecutar el software. Reducir el tamaño del código.

¿Qué ventaja aporta automatizar el despliegue frente a hacerlo manualmente?. Reduce la variabilidad y aumenta la consistencia del proceso. Reduce la seguridad del sistema. Evita la ejecución de pruebas. Elimina la necesidad de control de versiones.

¿Qué información NO forma parte de un commit en un sistema de control de versiones?. Fecha de modificación. Descripción del cambio. Configuración del servidor de producción. Autor del cambio.

¿Qué caracteriza a un entorno de producción frente a desarrollo?. No necesita trazabilidad. No requiere disponibilidad continua. Requiere estabilidad y control de cambios estrictos. Permite modificaciones libres del código.

¿Cuál es el principal objetivo del modelo DevOps?. Sustituir a los administradores. Reducir el número de versiones del software. Eliminar la necesidad de pruebas. Integrar desarrollo y operación en un flujo continuo.

¿Por qué se establecen roles en un repositorio de código?. Para reducir el número de ramas. Para controlar quién puede modificar e integrar cambios. Para acelerar la compilación. Para eliminar errores automáticamente.

¿Qué diferencia existe entre entrega continua y despliegue continuo?. La entrega continua requiere aprobación antes del despliegue. La entrega continua elimina pruebas. No existe diferencia. El despliegue continuo requiere intervención manual.

¿Qué función cumple un pipeline de integración continua?. Sustituir el repositorio de código. Ejecutar únicamente pruebas manuales. Eliminar el proceso de build. Verificar automáticamente los cambios antes del despliegue.

¿Qué problema resuelve la infraestructura como código (IaC)?. Reducir el tamaño del software. Eliminar la necesidad de backups. Sustituir el control de versiones. Evitar diferencias de configuración entre entornos.

¿Qué riesgo existe si el proceso de build no es reproducible?. Reducir la trazabilidad. Aumentar la velocidad de despliegue. Generar artefactos distintos con el mismo código. Eliminar dependencias.

¿Qué objetivo tienen las pruebas de resiliencia?. Reducir el número de usuarios. Evaluar cómo responde el sistema ante fallos. Detectar errores de sintaxis. Mejorar la velocidad de ejecución.

¿Qué mide el RTO en un plan de recuperación ante desastres?. El tiempo de desarrollo del software. El tiempo máximo para restaurar el servicio. La cantidad de datos perdidos. El número de usuarios afectados.

¿Qué función tiene un orquestador de contenedores?. Crear código fuente automáticamente. Sustituir el sistema operativo. Ejecutar pruebas unitarias. Gestionar automáticamente el ciclo de vida de los contenedores.

¿Qué ocurre si falla una fase del pipeline de integración continua?. Se ignora el error automáticamente. Se detiene el proceso y se notifica el problema. Se despliega igualmente el software. Se elimina el commit.

¿Qué ventaja principal aportan los contenedores frente a máquinas virtuales?. Permiten ejecutar múltiples sistemas operativos completos. Son más ligeros al no incluir un sistema operativo completo. Sustituyen la red del sistema. Eliminan la necesidad de dependencias.

¿Qué objetivo tiene el proceso de build en el ciclo de vida del software?. Desplegar directamente en producción. Gestionar usuarios del sistema. Ejecutar pruebas de seguridad. Transformar el código en un artefacto ejecutable.