ARI 2026

Dentro de la jerarquía documental de un SGSI, ¿qué función cumplen los "Registros"?. a) Describir quién, qué, cuándo y dónde se hacen las cosas. b) Dictar las políticas generales de la alta dirección. c) Servir como evidencia objetiva del cumplimiento del SGSI. d) Detallar las instrucciones paso a paso para el usuario final.

¿Cuáles son los elementos fundamentales que debe incluir obligatoriamente la documentación de un SGSI?. Código fuente, diagramas de red y manuales de usuario. La política, el alcance y los objetivos del SGSI, así como procedimientos y controles. Planillas de presupuesto, roles de pago y actas de reuniones. Únicamente los registros de auditoría externa.

¿Cuál es la principal utilidad de emplear modelos de madurez como CMMI o O-ISM3?. Escanear vulnerabilidades en la red. Situar y/o evaluar el grado de desarrollo de una gestión sistemática de seguridad. Reemplazar las normativas ISO. Generar contraseñas seguras automáticamente.

¿Cuáles son los tres pilares estructurales en los que se basa el modelo O-ISM3?. Confidencialidad, Integridad y Disponibilidad. Hardware, Software y Redes. Gestión de riesgos, controles de seguridad y gestión de la seguridad. Prevención, Detección y Respuesta.

¿En qué principios se basa la arquitectura de un control de accesos?. Criptografía simétrica y asimétrica. Separación de responsabilidades y principio de mínimo privilegio. Autenticación de dos factores y biometría. Redundancia y alta disponibilidad.

A nivel técnico, ¿cuál es la diferencia entre Identificación y Autenticación?. Son sinónimos técnicos en ciberseguridad. La identificación comprueba la identidad, la autenticación reclama los permisos. La identificación es el reclamo de una identidad concreta; la autenticación es comprobar esa identidad. La identificación usa contraseñas, la autenticación usa nombres de usuario.

¿Qué significan las siglas del modelo "Triple A"?. Antivirus, Antispyware, Antimalware. Accesibilidad, Adaptabilidad, Agilidad. Autenticación, Autorización y Accountability. Administración, Auditoría, Análisis.

¿Cuáles son tres tecnologías o protocolos que implementan el modelo Triple A?. HTTP, FTP, SMTP. RADIUS, DIAMETER, TACACS+. SSL, TLS, IPsec. IPv4, IPv6, ICMP.

¿Cuáles son los tres métodos base de autorización?. Discrecional (DAC), Obligatorio (MAC) y Basado en roles (RBAC). Estático, Dinámico y Heurístico. Físico, Lógico y Administrativo. Interno, Externo y Perimetral.

¿Cuál es el propósito del mecanismo de accountability?. Bloquear ataques de denegación de servicio. Encriptar las bases de datos de contraseñas. Garantizar que se registren las sesiones y transacciones para propósitos de auditoría. Asignar permisos a carpetas compartidas.

¿Cuáles son las entradas necesarias para las pruebas de seguridad en la fase de codificación?. Casos de prueba funcionales y manual de usuario. Requerimientos de seguridad, casos de abuso y análisis de riesgo (modelado de amenazas). El presupuesto del proyecto y el cronograma. Diagramas de clases y de secuencia.

¿Cuáles son los objetivos de las pruebas basadas en riesgos?. Cumplir con la fecha de entrega y reducir costos. Optimizar la interfaz gráfica de usuario. Operación bajo estrés, fiabilidad, falta de defectos y capacidad de supervivencia. Evaluar el rendimiento SEO del sistema.

¿Cuáles son las dos perspectivas desde las que se deben realizar las pruebas de seguridad?. Frontend y Backend. Funcionales y perspectiva del atacante. Hardware y Software. Usuarios locales y remotos.

Desde la perspectiva del atacante, las pruebas se clasifican en: Unitarias, de integración y de sistema. Caja negra, caja blanca y caja gris. Alfa, Beta y Gamma. Estáticas, dinámicas y heurísticas.

¿Cuáles son las fases generales de las pruebas de seguridad?. Planificación, ejecución y cierre. Análisis, diseño y codificación. Descomponer el sistema, identificar interfaces y encontrar problemas de seguridad. Entrevista, documentación y auditoría.

¿Qué es el Análisis Estático (SAST)?. Una prueba de caja negra en producción. Una prueba de rendimiento de red. Una prueba de caja blanca (White box) que comprueba a fondo el código previo a ejecución. Un análisis de vulnerabilidades en hardware.

¿Cuál es la principal desventaja de las herramientas SAST?. Son muy lentas de instalar. Borran el código fuente accidentalmente. Producen muchos falsos positivos (mucho ruido). Solo funcionan en lenguaje C++.

¿Qué provocan los falsos negativos en las herramientas SAST?. Un "sentido falso de seguridad". Alertas constantes y bloqueos del sistema. Corrupción en la base de datos. Mejor rendimiento de la aplicación.

¿De qué trata el Análisis Dinámico (DAST)?. Revisar el código fuente línea por línea. Entrevistar a los desarrolladores sobre sus prácticas. Verificar cómo el SW se comporta y resiste ataques (caja negra) previo a producción. Diseñar la arquitectura inicial del software.

Si una prueba DAST no revela defectos, ¿qué significa?. Que el software es 100% invulnerable. Que las pruebas estáticas ya no son necesarias. No garantiza seguridad; se deben revisar políticas, peores escenarios y amenazas. Que se puede omitir la fase de mantenimiento.

¿Qué tipo de prueba es el "Test de penetración"?. Una prueba SAST. Una auditoría de cumplimiento normativo. Una revisión de código manual. Una prueba de tipo DAST.

¿Cuáles son los pasos para ejecutar pruebas de tipo DAST/Pentest?. Codificar, compilar, desplegar. Revisar casos de abuso, identificar vulnerabilidades, buscar exploit, ejecutar exploit, realizar DAST/Fuzzing. Entrevistar al usuario, diagramar, programar, entregar. Comprar antivirus, instalar firewall, monitorizar logs.

¿Cuál es la idea de utilizar patrones de ataque?. Automatizar la escritura de código seguro. Constituir un mecanismo para capturar y representar la perspectiva del atacante. Crear contraseñas más largas. Cumplir con las leyes de protección de datos.

¿Qué es CAPEC y quién lo desarrolla?. Un estándar de cifrado creado por la NSA. Un lenguaje de programación creado por Google. Common Attack Pattern Enumeration and Classification, por MITRE. Un framework de frontend creado por Meta.

Un patrón de ataque debe describir, como mínimo: El incidente, habilidades/recursos para ejecutarlo y el contexto. El costo económico del ataque y el nombre del hacker. Las líneas de código exactas para parchar la vulnerabilidad. El proveedor de internet del atacante.

¿Qué es un árbol de ataque?. Un gráfico circular de los lenguajes más vulnerables. Un método que caracteriza la seguridad basándose en combinación y dependencias de vulnerabilidades. Una estructura de carpetas en el servidor. Un organigrama del equipo de ciberseguridad.

¿Qué es un caso de abuso?. Un manual de sanciones disciplinarias. Una función o acción que el sistema no debe permitir (inversa de un caso de uso). Un registro de fallos del servidor. Un exceso en el consumo de memoria RAM.

¿A qué se deben el 95% de los ataques con éxito?. A contraseñas débiles de los usuarios. A ataques de ingeniería social. A software mal programado (errores en diseño). A falta de presupuesto en TI.

¿Cuándo se debe implementar la identificación y mitigación de problemas de diseño?. Solo después de que ocurra un hackeo. Al finalizar la fase de pruebas de usuario. Desde la fase de análisis y diseño (Análisis de riesgo arquitectónico). Durante el mantenimiento anual.

¿Qué es el modelado de amenazas?. Un software de dibujo en 3D. Un proceso sistemático que facilita la identificación de debilidades de diseño. Una póliza de seguro contra ciberataques. Un curso de concientización para empleados.

¿Cuáles de las siguientes son metodologías de modelado de amenazas?. Scrum, Kanban, XP. Waterfall, V-Model, Spiral. CORAS, Microsoft Threat Analysis, PTA, Trike, PASTA. SAST, DAST, IAST, RASP.

¿Cuáles son las cuatro etapas de Microsoft Threat Analysis and Modeling?. Planificación, Análisis, Diseño, Implementación. Modelado, Identificación de amenazas, Mitigación, Validación. Iniciación, Ejecución, Monitoreo, Cierre. Identificación, Contención, Erradicación, Recuperación.

En la fase de modelado, "Descomponer la aplicación" implica: Borrar el código antiguo. Definir límites, analizar flujos de datos (DFD), entradas, perfiles y accesos. Dividir el equipo de trabajo en células pequeñas. Desinstalar el software del servidor.

¿Qué significan las siglas de la metodología STRIDE?. Security, Trust, Reliability, Integrity, Data, Encryption. Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege. System, Threat, Risk, Incident, Defense, Exploit. Software, Testing, Review, Inspection, Debugging, Evaluation.

¿Para qué se utiliza el método DREAD?. Para encriptar bases de datos. Para programar copias de seguridad. Para valorar las amenazas determinando su impacto y probabilidad. Para borrar datos de forma segura.

Según DREAD, ¿cuál es la fórmula conceptual del Riesgo?. Riesgo = Costo / Tiempo. Riesgo = Amenaza + Vulnerabilidad. $Riesgo = Probabilidad \times Impacto$ potencial. Riesgo = Falsos Positivos - Falsos Negativos.

La etapa de mitigación en el modelado de amenazas busca: Ocultar los fallos al cliente. Aumentar la velocidad de la red. Responder a las amenazas e identificar salvaguardas. Despedir a los programadores responsables.

¿Por qué el software requiere ser seguro desde su construcción y no solo depender de controles externos?. Porque los firewalls son muy costosos. Porque los controles tecnológicos solo mitigan ataques, pero no eliminan la amenaza ni las debilidades de diseño. Porque el software seguro es más rápido de programar. Porque lo exige el equipo de marketing.

¿Cuáles son causas comunes para la aparición de vulnerabilidades en el SW?. Usar metodologías ágiles en exceso. Documentación excesivamente detallada. Debilidades en requerimientos, diseño sin valoración de riesgos y falta de prácticas seguras. Actualizar el sistema operativo frecuentemente.

¿Qué se entiende por "Seguridad en el Software"?. Instalar un antivirus en el servidor de despliegue. Comprar una licencia de software propietario. La confianza de que el software está libre de vulnerabilidades y funciona según lo especificado. Ocultar el código fuente al público.

¿Qué significa S-SDLC?. Simple Software Development Life Cycle. Secure Software Development Life Cycle (incluir actividades de seguridad al SDLC). Standard System Design and Logic Code. Symmetric Security Data Link Control.

Al clasificar una vulnerabilidad, ¿qué factores se le definen?. Fecha, hora, autor, revisor y aprobador. Productos afectados, componente, causa técnica, impacto y vector. Costo, duración, esfuerzo, alcance y calidad. Hardware, software, red, datos y personas.

¿Qué factores del ambiente de desarrollo pueden influir en las vulnerabilidades?. El color de la interfaz de usuario. El huso horario de los servidores. Herramientas de desarrollo, componentes adquiridos y configuraciones del ambiente. La marca de los monitores de los programadores.

Aparte de confidencialidad, integridad y disponibilidad, ¿qué atributos se buscan en el software seguro?. Portabilidad, escalabilidad y mantenibilidad. Fiabilidad, autenticación, trazabilidad, robustez y resiliencia. Estética, usabilidad y accesibilidad. Compresión, velocidad y ligereza.

¿Cuáles son ejemplos de controles para garantizar la Integridad?. Balanceadores de carga y clusters. Listas de control de acceso (ACL) y biometría. Cifrado, firma digital y sistemas de monitorización de integridad. Sistemas de alimentación ininterrumpida (UPS).

¿Por qué "La seguridad por oscuridad" se considera un error en diseño?. Porque oscurece la pantalla del usuario. Porque asume que mantener el diseño en secreto protegerá el sistema, lo cual falla si el diseño subyacente es débil. Porque requiere más líneas de código. Porque encarece el mantenimiento.

El principio de "Defensa en profundidad" se refiere a: Aplicar múltiples capas de seguridad o controles superpuestos. Proteger solo la base de datos principal. Defender el sistema únicamente desde el firewall perimetral. Subcontratar la seguridad a una empresa externa.

El principio de "Seguridad por defecto" dicta que: El usuario debe configurar la seguridad manualmente. El software debe venir en su configuración inicial lo más restrictiva y segura posible. Las contraseñas deben expirar cada 30 días. El software acepta cualquier conexión entrante por defecto para evitar errores.

Los principios de "Separación de privilegios" y "Separación de dominios" buscan: Que cada empleado tenga una computadora distinta. Aislar lógicamente los componentes, código, ejecutables y configuraciones. Separar físicamente los servidores en distintos países. Que los programadores no hablen con los testers.

En la Metodología de McGraw (S-SDLC), ¿en qué fase se ubican las Pruebas de Penetración?. En la fase de requerimientos. En el diseño de arquitectura. En la fase de pruebas, junto con las pruebas de seguridad basadas en riesgos. Únicamente en el mantenimiento post-lanzamiento.