Alta Disponibilidad UT2

¿Qué caracteriza principalmente a la seguridad activa frente a la pasiva?. Se centra únicamente en copias de seguridad. Actúa durante o inmediatamente después de un ataque. Solo protege el hardware. Funciona únicamente antes de que ocurra un incidente.

¿Cuál es un ejemplo claro de amenaza híbrida?. Un virus descargado desde Internet. Un fallo eléctrico en un CPD. El robo de un portátil cifrado. La manipulación de firmware para introducir malware.

En la fase de reconocimiento de un ataque, el atacante suele: Ejecutar el malware en la víctima. Cifrar los datos del sistema. Recopilar información sobre servicios, red y usuarios. Instalar mecanismos de persistencia.

¿Por qué los ataques modernos son más difíciles de detectar que los antiguos?. Porque ya no usan redes. Porque solo atacan hardware. Porque emplean técnicas en memoria y herramientas legítimas. Porque generan menos errores en el sistema.

¿Qué objetivo principal tiene la persistencia en un ataque?. Ejecutar el malware una sola vez. Mantener acceso tras reinicios del sistema. Propagar el malware por la red. Evitar la fase de reconocimiento.

¿Cuál de las siguientes opciones describe mejor un ataque fileless?. Un ataque que no utiliza red. Un malware que se ejecuta únicamente desde archivos comprimidos. Un ataque que se ejecuta principalmente en memoria. Un virus que se propaga por correo electrónico.

¿Qué tipo de malware se caracteriza por aparentar ser software legítimo?. Gusano. Virus. Troyano. Rootkit.

¿Qué característica diferencia principalmente a un gusano de un virus?. El gusano requiere interacción del usuario. El virus se propaga automáticamente por red. El gusano se propaga sin intervención del usuario. El virus no afecta a la disponibilidad.

¿Por qué el ransomware actual se considera especialmente peligroso?. Porque solo cifra archivos temporales. Porque suele combinar cifrado con robo de información. Porque solo afecta a usuarios domésticos. Porque no puede ser detectado.

¿Cuál es la finalidad principal de un entorno sandbox?. Eliminar malware automáticamente. Analizar el comportamiento del malware en un entorno aislado. Ejecutar software sin licencia. Aumentar el rendimiento del sistema.

¿Qué tipo de análisis de malware consiste en estudiar el código sin ejecutarlo?. Análisis dinámico. Análisis en memoria. Análisis forense. Análisis estático.

¿Por qué el malware moderno intenta detectar si se ejecuta en un sandbox?. Para cifrar los datos más rápido. Para evitar mostrar su comportamiento real. Para propagarse por la red. Para eliminar antivirus.

¿Cuál es el orden correcto del ciclo de gestión de un incidente de seguridad?. Erradicación, detección, recuperación, contención. Detección, contención, erradicación, recuperación. Contención, erradicación, detección, recuperación. Recuperación, detección, erradicación, contención.

¿Por qué no es suficiente eliminar solo el archivo malicioso tras una infección?. Porque el malware se replica automáticamente. Porque puede existir persistencia en el sistema. Porque el antivirus deja de funcionar. Porque el sistema queda inestable.

¿Cuál es una limitación del antivirus tradicional frente a amenazas actuales?. No puede analizar archivos. Solo funciona en sistemas Linux. Se basa principalmente en firmas conocidas. No permite actualizaciones.

¿En qué situación es más necesaria la eliminación manual de malware?. Cuando el antivirus detecta y elimina todo. Cuando existe persistencia avanzada. Cuando el sistema no tiene conexión a Internet. Cuando el malware es antiguo.

¿Qué protege principalmente el cifrado de datos en tránsito?. La disponibilidad. La confidencialidad. El rendimiento. La autenticación local.

¿Para qué se utilizan principalmente los certificados digitales X.509?. Para cifrar discos duros. Para autenticar identidades y establecer confianza. Para detectar malware. Para realizar copias de seguridad.

¿Qué elemento garantiza la confianza en una cadena de certificados?. El antivirus. La autoridad certificadora. El sistema operativo. El firewall.

¿Cuál de los siguientes protocolos Wi-Fi ofrece mayor protección frente a ataques de diccionario?. WEP. WPA. WPA2. WPA3.

¿Qué riesgo principal existe en redes Wi-Fi públicas sin protección adicional?. Pérdida de rendimiento. Interceptación del tráfico. Fallos de hardware. Aumento del consumo eléctrico.

¿Qué se entiende por superficie de ataque?. El tamaño físico del sistema. El número de usuarios conectados. El conjunto de servicios y puntos vulnerables expuestos. El ancho de banda disponible.

¿Por qué es recomendable desactivar servicios innecesarios en un sistema?. Para mejorar la velocidad. Para reducir la superficie de ataque. Para ahorrar energía. Para facilitar la administración.

¿Qué diferencia principal existe entre un HIDS y un NIDS?. El tipo de malware que detectan. El lugar donde realizan la monitorización. El sistema operativo utilizado. El método de cifrado empleado.

¿Qué problema genera un IDS mal configurado?. Bloquea todo el tráfico. Genera falsos positivos excesivos. Impide el cifrado. Desactiva el firewall.

¿Qué herramienta se usa para descubrir servicios expuestos?. Gmail. Nmap. Photoshop. Excel.

¿Qué diferencia existe entre HIDS y NIDS?. HIDS y NIDS son protocolos de cifrado. HIDS inspecciona la nube, NIDS solo discos duros. Ambos analizan solo firewalls. HIDS analiza host y registros, NIDS monitoriza tráfico de red.

¿Qué son los certificados X.509?. Contraseñas de un solo uso. Algoritmos de hashing. Discos cifrados por hardware. Certificados digitales usados en TLS y firmas.

¿Qué define a un troyano?. Malware que cifra datos automáticamente. Ataque de denegación de servicio. Protocolo de comunicación seguro. Programa malicioso que aparenta ser legítimo y abre puertas traseras.

¿Qué comando en PowerShell obtiene conexiones de red?. Get-NetTCPConnection. Stop-Service. Get-Item. Get-Date.

¿Qué diferencia principal existe entre amenazas lógicas y físicas?. Ambas afectan únicamente a software. Las físicas incluyen solo malware. Las lógicas afectan a la información digital, las físicas al hardware e instalaciones. Las lógicas siempre se producen por errores humanos.

¿Qué aporta la correlación de eventos en SIEM?. Evitar cifrado de backups. Reducir falsos positivos y mejorar detección. Instalar drivers automáticamente. Aumentar la capacidad de disco.

¿Qué hace un ransomware?. Instala actualizaciones de seguridad. Abre un túnel VPN. Cifra datos y exige rescate. Bloquea únicamente hardware.

¿Qué herramienta se usa para detectar persistencia en Windows?. Sysinternals Autoruns. Paint. Microsoft Word. WinRAR.

¿Qué característica define a un gusano (worm)?. Infecta únicamente documentos PDF. Es un tipo de firewall. Su capacidad de autorreplicación y propagación en red. Necesita siempre interacción del usuario.

¿Qué fases componen la anatomía clásica de un ataque?. Reconocimiento, entrega, explotación, persistencia, C2 y acciones finales. Explotación y recuperación de sistemas. Reconocimiento, cifrado y borrado de datos. Escaneo, borrado y reinstalación.

¿Qué es un sandbox en ciberseguridad?. Copia de seguridad cifrada. Algoritmo de cifrado simétrico. Sistema redundante de alta disponibilidad. Entorno controlado para ejecutar y analizar malware.

¿Qué comando en Linux detiene un servicio con systemd?. ls -l. systemctl stop <servicio>. pwd. echo "hola".

¿Qué aporta el cifrado TLS en redes públicas?. Instalación automática de drivers. Solo disponibilidad del servicio. Aceleración del tráfico. Confidencialidad e integridad de la comunicación.

¿Qué es un ataque fileless?. Un ataque que se ejecuta en memoria sin dejar archivos en disco. Un ataque basado en ingeniería social. Un virus que infecta documentos de texto. Un gusano que se propaga por USB.

¿Qué mejora introduce WPA3 frente a WPA2?. Autenticación SAE resistente a ataques de diccionario. Instala antivirus en los clientes. Garantiza disponibilidad de energía. Sustituye HTTPS en navegadores.

¿Qué permite observar el análisis dinámico en sandbox?. Únicamente tráfico cifrado TLS. Procesos, conexiones de red y cambios en el sistema. Las patentes de software registradas. Solo el código fuente del malware.

¿Qué es un rogue AP?. Un protocolo de VPN. Un firewall de nueva generación. Punto de acceso inalámbrico malicioso no autorizado. Un certificado autofirmado.

¿Qué función principal tiene un antivirus?. Detectar y eliminar software malicioso. Crear reglas de firewall. Cifrar discos duros automáticamente. Sustituir protocolos de comunicación.

¿Qué comando en Linux permite listar procesos activos?. chmod. mkdir. ps aux. cp -r.

¿Qué aporta la correlación de eventos en SIEM?. Evitar cifrado de backups. Aumentar la capacidad de disco. Reducir falsos positivos y mejorar detección. Instalar drivers automáticamente.

¿Qué comando en Linux permite cambiar permisos de un archivo?. ls. chmod. mv. cat.