Bastionado de redes y sistemas 2
COMENTARIOS |
ESTADÍSTICAS |
RÉCORDS
|
Título del Test:
 Bastionado de redes y sistemas 2 Descripción: Lo importante |
Nuevo Comentario| Comentarios |
|---|
NO HAY REGISTROS |
|
¿Qué son los activos de información?. Solo los equipos físicos de la organización. Solo los datos digitales almacenados. Cualquier recurso valioso que debe ser protegido. Solo el software corporativo instalado. ¿Qué fórmula expresa el riesgo en ciberseguridad?. Amenaza + Vulnerabilidad + Impacto. Impacto × Probabilidad. SLE × ARO (pérdida × frecuencia anual). Activo × Factor de Exposición. ¿Qué es una vulnerabilidad en sistemas TI?. Un ataque que explota un fallo conocido. Una debilidad explotable en un sistema o configuración. Un acceso no autorizado a la red. Un programa malicioso en ejecución. ¿Qué tipo de malware cifra datos y pide rescate?. Virus. Troyano. Ransomware. Spyware. ¿Qué ataque satura servidores con tráfico falso para interrumpir servicios?. Phishing. Credential stuffing. Password spraying. DDoS. ¿Qué significa bastionar un sistema?. Instalar el software más actualizado disponible. Configurar contraseñas de administrador seguras. Eliminar servicios, cuentas y funciones innecesarios. Realizar copias de seguridad periódicas. ¿Cuál es el objetivo principal del bastionado?. Mejorar el rendimiento del sistema. Reducir la superficie de ataque. Facilitar el acceso de usuarios remotos. Centralizar la gestión del sistema. ¿Cuál es la diferencia entre política y guía de seguridad?. La política establece el qué; la guía explica el cómo. La política explica el cómo; la guía establece el qué. Ambas son documentos normativos certificables. Solo la guía se aplica en entornos reales. ¿Qué es un estándar de securización?. Una recomendación técnica no obligatoria. Una política interna de la organización. Una norma formal certificable por organismos reconocidos. Un procedimiento de auditoría interna. ¿Qué norma internacional certifica un SGSI?. NIST SP 800-53. CIS Benchmarks. OWASP Top 10. ISO/IEC 27001. ¿Qué proporciona NIST SP 800-30?. Certificación de sistemas de gestión de seguridad. Guía para identificar y medir riesgos en sistemas. Lista exhaustiva de vulnerabilidades conocidas. Estándar para el cifrado de datos en reposo. ¿Cómo se calcula la ALE (Annual Loss Expectancy)?. Amenaza × Vulnerabilidad × Impacto. Valor del activo × Factor de Exposición. SLE × ARO (pérdida única × frecuencia anual). (ALE antes - ALE después) / Coste del control. ¿Qué es el riesgo inherente?. El riesgo después de aplicar los controles. El riesgo que se transfiere a un tercero. El nivel de riesgo sin considerar controles existentes. El riesgo que se acepta formalmente. ¿Cuál NO es una categoría de activos según MAGERIT?. Personal (empleados, proveedores, usuarios). Instalaciones (CPD, oficinas, salas técnicas). Competidores comerciales del mismo sector. Activos intangibles (reputación, imagen). ¿Qué objetivos persiguen las políticas de seguridad (triada CID)?. Velocidad, rendimiento y disponibilidad del sistema. Confidencialidad, integridad y disponibilidad. Cifrado, autenticación y autorización. Auditoría, parcheo y monitorización. ¿Cuál es el riesgo que permanece tras aplicar controles?. Riesgo inherente. Riesgo aceptado. Riesgo residual. Riesgo transferido. ¿Qué tipo de amenaza surge de empleados con acceso a sistemas?. Amenaza de ransomware avanzado. Amenaza interna (insider threat). Amenaza de denegación de servicio. Amenaza de día cero. ¿Cuál es el primer perímetro real de seguridad moderno?. El firewall perimetral de la red. La identidad del usuario. El cifrado de las comunicaciones. La segmentación de red interna. ¿Qué diferencia hay entre autenticación y autorización?. La autorización verifica quién eres; la autenticación define qué puedes hacer. La autenticación verifica quién eres; la autorización define qué puedes hacer. Son sinónimos en el contexto del control de acceso. La autorización ocurre siempre antes que la autenticación. ¿Cuántas categorías de factores de autenticación existen?. Dos (sabe / tiene). Cuatro (sabe / tiene / es / hace). Tres (sabe / tiene / es). Cinco (sabe / tiene / es / hace / dónde). ¿Qué ataque usa credenciales de brechas previas en otros servicios?. Brute force. Password spraying. Credential stuffing. Phishing dirigido. ¿Qué ataque prueba pocas contraseñas comunes en muchas cuentas?. Brute force. Password spraying. Credential stuffing. Replay attack. ¿Cuántos intentos fallidos se recomiendan antes de bloquear la cuenta?. 3 intentos fallidos. 10 intentos fallidos. 5 intentos fallidos. 7 intentos fallidos. ¿Qué protocolo inseguro debe deshabilitarse (ejecución remota conocida)?. SSH (Secure Shell). TLS 1.3. SMBv1. HTTPS. ¿Qué longitud mínima se recomienda para contraseñas corporativas?. 8 caracteres mínimo. 10 caracteres mínimo. 6 caracteres mínimo. 12 caracteres mínimo. ¿Qué tipo de función se recomienda para almacenar contraseñas?. MD5 con sal aleatoria. bcrypt o Argon2 (funciones de coste elevado). SHA-256 sin sal. AES-256 simétrico. ¿Qué significa PKI?. Public Key Infrastructure (Infraestructura de Clave Pública). Private Key Interface (Interfaz de Clave Privada). Public Knowledge Index (Índice de Conocimiento Público). Primary Key Integration (Integración de Clave Primaria). ¿Qué campos contiene un certificado digital X.509?. Usuario, contraseña, rol y permisos. Subject, Issuer, clave pública y periodo de validez. IP, puerto, protocolo y algoritmo de red. Nombre, email, teléfono y dirección postal. ¿Qué función tiene la Root CA en una PKI?. Emitir certificados operativos directamente. Verificar identidades de los solicitantes. Ser el punto de máxima confianza de la PKI. Publicar las listas de revocación de certificados. ¿Cómo funciona la firma digital?. Se cifra el mensaje completo con la clave privada. Se genera hash, se firma con clave privada, se verifica con pública. Se cifra con clave pública y se descifra con clave privada. Se genera un token aleatorio enviado por canal seguro. ¿Cuál es la cadena de confianza en PKI?. Lista de todos los certificados emitidos por una CA. Protocolo de validación en tiempo real de certificados. Root CA -> Intermediate CA -> certificado del servidor. Conjunto de claves simétricas compartidas entre CAs. ¿Qué mecanismo verifica en tiempo real si un certificado está revocado?. CRL (Certificate Revocation List). OCSP (Online Certificate Status Protocol). LDAP (directorio activo corporativo). TLS (Transport Layer Security). ¿Cuáles son los pasos del ciclo de vida de las credenciales?. Creación, cifrado, distribución y caducidad. Registro, activación, suspensión y baja. Creación, uso, rotación y revocación. Generación, almacenamiento, uso y destrucción. ¿Qué estándar define la estructura de los certificados digitales?. Kerberos. SAML 2.0. X.509. TLS 1.3. ¿Qué usos tienen los certificados digitales en entornos corporativos?. Solo para cifrar el correo electrónico. WiFi 802.1X, VPN corporativa, TLS y firma electrónica. Únicamente para autenticar usuarios en la web. Solo para gestionar contraseñas corporativas. ¿Qué riesgo implica una PKI mal gestionada?. Imposibilidad de emitir certificados de máquina. Obligación de usar únicamente la Root CA. Compromiso de una SubCA y emisión de certificados falsos. Pérdida de acceso a los repositorios de CRL. ¿Qué hace la RA (Autoridad de Registro) en una PKI?. Emite y firma certificados digitales directamente. Publica las listas de revocación (CRL). Verifica la identidad del solicitante antes de que la CA emita el certificado. Gestiona la revocación de las claves privadas. ¿Para qué sirve OCSP en una PKI?. Emitir nuevos certificados de servidor. Consultar en tiempo real si un certificado está revocado. Cifrar las comunicaciones TLS entre cliente y servidor. Sincronizar las CAs distribuidas de una PKI. ¿Qué es la KEK (Key Exchange Key) en Secure Boot?. Autoriza las actualizaciones de las bases de datos db y dbx. Es la raíz de confianza del firmware del sistema. Contiene las claves de los principales proveedores de SO. Actúa como lista de revocación de firmas del sistema. ¿Qué establece el principio de mínimo privilegio?. Solo administradores acceden a todos los sistemas. Cada usuario tiene acceso total a los recursos que necesita. Cada usuario solo tiene los permisos estrictamente necesarios. El acceso se concede automáticamente según el departamento. ¿En qué se diferencia RBAC de ABAC?. RBAC usa atributos dinámicos; ABAC usa roles fijos. RBAC asigna permisos por rol; ABAC los evalúa por atributos y contexto. RBAC es más flexible; ABAC es más simple de gestionar. Ambos modelos son equivalentes en entornos modernos. ¿Cuál es la principal ventaja de RBAC?. Permite políticas basadas en hora y ubicación. Evalúa el estado del dispositivo para conceder acceso. Es fácil de implementar y de escalar en organizaciones. Adapta los permisos al contexto de cada acceso individual. ¿Cuál es la principal limitación de RBAC?. Es demasiado complejo de gestionar y mantener. No tiene en cuenta el contexto del acceso. Requiere más información del entorno para funcionar. Solo funciona correctamente en entornos Windows. ¿Qué son las cuentas privilegiadas en una organización?. Cuentas de usuarios con más de 5 años de antigüedad. Cuentas de administradores de sistemas, BBDD o redes. Cuentas de usuarios con acceso irrestricto a Internet. Cuentas creadas temporalmente para proyectos específicos. ¿Qué herramienta gestiona el acceso a cuentas privilegiadas?. IDS (Intrusion Detection System). SIEM (Security Information and Event Management). PAM (Privileged Access Management). NAC (Network Access Control). ¿Qué riesgo implica comprometer una cuenta de administrador?. Solo permite el acceso a los archivos del administrador. Permite movimiento lateral y control de la infraestructura. Bloquea el acceso al resto de los usuarios del sistema. Provoca únicamente una interrupción temporal del servicio. ¿Qué significa escalada de privilegios en un ataque?. Asignar más permisos a una cuenta de servicio legítima. Elevar permisos de una cuenta hasta nivel administrador. Obtener permisos superiores a los que el atacante tenía inicialmente. Transferir permisos de un usuario a otro del mismo nivel. ¿Qué evalúa un sistema NAC para conceder acceso a la red?. Solo las credenciales del usuario autenticado. Solo el tipo y modelo del dispositivo conectado. Identidad del usuario más el estado del dispositivo. Solo si el dispositivo tiene antivirus instalado. ¿Qué modelo sigue el NAC como base filosófica?. Modelo de confianza implícita en la red interna. Modelo de seguridad de perímetro clásico. Zero Trust (no confiar por defecto, verificar siempre). Modelo de seguridad por oscuridad. ¿Qué problema plantea el entorno BYOD en seguridad?. El dispositivo personal puede no cumplir los requisitos de seguridad corporativa. Las credenciales corporativas son inválidas en dispositivos personales. La VPN no funciona correctamente en dispositivos no corporativos. Los dispositivos personales no pueden autenticarse en redes WiFi. ¿Cómo funciona Kerberos para la autenticación en red?. Envía la contraseña cifrada en cada petición de servicio. Genera tickets que permiten acceder a servicios sin reenviar contraseña. Utiliza certificados digitales para cada nueva autenticación. Compara hashes de contraseñas con los del servidor AD. ¿Qué es el TGT en Kerberos?. El servidor central de distribución de claves. La clave de cifrado maestra del dominio. Ticket inicial que permite solicitar acceso a servicios. El protocolo de comunicación entre cliente y KDC. ¿Qué protocolo usa Windows cuando no puede usar Kerberos?. LDAP (Lightweight Directory Access Protocol). NTLM (NT LAN Manager). RADIUS (Remote Authentication Dial-In User Service). SAML (Security Assertion Markup Language). ¿Cuál es el elemento central del protocolo Kerberos?. El servidor de autenticación principal. El Centro de Distribución de Claves (KDC). La lista de revocación de certificados. El servidor RADIUS de la organización. ¿Para qué sirve RADIUS en la infraestructura de red?. Gestionar identidades en directorios LDAP corporativos. Emitir y revocar certificados digitales. Centralizar autenticación en redes, especialmente WiFi y NAC. Sincronizar relojes entre servidores del dominio. ¿Qué son SAML, OAuth 2.0 y OpenID Connect?. Tipos de firewalls para aplicaciones web. Protocolos de cifrado de tráfico de red. Estándares para la autenticación federada. Mecanismos de gestión de contraseñas corporativas. ¿Cuál es la ventaja principal de Kerberos sobre NTLM?. Es más sencillo de configurar e implementar. Usa algoritmos de cifrado más modernos. Las contraseñas no se transmiten por la red. Permite el inicio de sesión desde acceso remoto. ¿Qué riesgo principal implica una red plana?. Dificulta la asignación de IPs a los dispositivos. Facilita el movimiento lateral de un atacante. Aumenta el consumo de ancho de banda disponible. Complica la gestión del servicio DHCP. ¿Qué significa el principio Zero Trust?. Confiar en todos los usuarios de la red interna. No confiar por defecto en ningún usuario o dispositivo. Bloquear todo el tráfico proveniente de Internet. Usar VPN obligatoria para todos los accesos remotos. ¿Una VLAN es un mecanismo de seguridad suficiente por sí sola?. Sí, aísla completamente el tráfico entre segmentos. Sí, filtra el tráfico entre dispositivos automáticamente. No, sin control de tráfico no aporta seguridad real. Sí, equivale a la segmentación física de la red. ¿Qué relación debe existir entre VLAN y subred IP?. Cada subred puede abarcar múltiples VLANs distintas. Una VLAN debe corresponder a una sola subred IP. Las VLANs no tienen relación con el esquema IP. Una subred puede contener varias VLANs diferentes. ¿Dónde se decide realmente la seguridad en una red con VLANs?. En los puertos de acceso de los switches. En los identificadores numéricos de cada VLAN. En el inter-VLAN routing, donde se aplican las reglas. En el servidor DHCP de cada segmento de red. ¿Qué es una DMZ en arquitectura de red?. Un protocolo de cifrado para redes empresariales. Una zona intermedia donde se colocan los servicios expuestos a Internet. Un tipo de VLAN exclusivo para usuarios invitados. Un mecanismo de autenticación perimetral avanzado. ¿Qué criterio debe guiar el subnetting en seguridad?. Organizar las subredes por número de dispositivos. Segmentar únicamente por departamento de la empresa. Segmentar por nivel de riesgo y criticidad de los activos. Crear una subred por cada protocolo de red utilizado. ¿Qué es una matriz de flujos en diseño de red segura?. Tabla de IPs y MACs registradas en el DHCP. Documento que define comunicaciones permitidas (origen, destino, puerto). Lista de reglas del firewall perimetral ordenadas. Registro de eventos de seguridad del SIEM. ¿Cuál es el error crítico en la gestión de VLANs sin reglas?. Asignar una subred diferente a cada VLAN. Usar switches de capa 3 para el inter-VLAN routing. Permitir tráfico libre entre VLANs sin reglas de control. Usar autenticación 802.1X en los puertos de acceso. ¿Qué ventaja aporta el subnetting a la seguridad?. Aumenta la velocidad de transmisión entre segmentos. Reduce el alcance de exploración interna para un atacante. Permite asignar IPs automáticamente sin necesidad de DHCP. Elimina la necesidad de firewall entre zonas de la red. ¿Por qué se separa el plano de gestión del resto de la red?. Para que los usuarios accedan fácilmente a la consola. Para simplificar la topología general de la red. Para que la administración no sea accesible desde la red de usuarios. Para reducir el número de switches necesarios. ¿Qué es la microsegmentación?. Segmentación de la red entre switches y VLANs. Aislamiento granular hasta el nivel de aplicación o proceso individual. División de una VLAN en subredes IP más pequeñas. Segmentación entre la DMZ y la red LAN interna. ¿Qué establece la política de denegación por omisión en VLANs?. Solo se deniega el tráfico procedente de Internet. Solo se deniega el tráfico de usuarios no autenticados. Ninguna VLAN puede comunicarse con otra sin permiso explícito. Se permite la comunicación interna y se bloquea la externa. ¿Qué significa defensa en profundidad?. Contar con un único firewall muy potente. Usar múltiples capas de seguridad complementarias. Cifrar todas las comunicaciones internas de la red. Aplicar máxima seguridad solo en el perímetro externo. ¿Qué es un NGFW (Next Generation Firewall)?. Un firewall que solo filtra por dirección IP y puerto. Un firewall con inspección profunda de tráfico y control de aplicaciones. Un sistema antivirus especializado para redes corporativas. Un sistema de detección de intrusos en modo pasivo. ¿Qué analiza la inspección profunda de paquetes (DPI)?. Únicamente el encabezado IP del paquete. Solo el puerto y protocolo de transporte. El contenido completo del tráfico, no solo las cabeceras. El cifrado del tráfico entre dispositivos de red. ¿Cuál es la política por defecto recomendada en un firewall?. Permitir todo y bloquear lo específicamente peligroso. Deny by default: bloquear todo, permitir solo lo necesario. Permitir el tráfico interno y bloquear el externo. Solicitar autenticación para cada nueva conexión. ¿Qué protege el WAF (Web Application Firewall)?. La red interna frente a ataques de red externos. Las aplicaciones web frente a ataques HTTP/HTTPS. Los servidores frente al acceso físico no autorizado. Los usuarios finales frente a phishing y malware. ¿Cuál es la diferencia entre firewall y WAF?. El firewall protege la aplicación; el WAF protege la red. El firewall controla quién entra; el WAF controla qué hacen al entrar. Son equivalentes, solo operan en capas distintas del mismo modo. El WAF filtra por IP; el firewall analiza el contenido. ¿Cuáles son las tres zonas de la segmentación perimetral?. Intranet, Extranet, Internet. WAN, LAN, DMZ. Usuarios, Servidores, Administración. Pública, Privada, Restringida. ¿Qué tráfico describe la regla básica perimetral?. Solo el tráfico HTTP no cifrado desde Internet. Solo el tráfico hacia la LAN interna desde Internet. Internet a Web (80/443) permitido; el resto bloqueado por defecto. Solo protocolos modernos como TLS 1.3 y SSH. ¿Dónde se coloca el WAF en la arquitectura de red?. Detrás del servidor web en la LAN interna. Delante del servidor web, entre el firewall y la aplicación. En paralelo al IDS sin estar en la ruta del tráfico. En el router de borde, antes del firewall perimetral. ¿Qué son los logs en el contexto de la seguridad?. Reglas de filtrado configuradas en el firewall. Registros de eventos y actividades del sistema. Alertas generadas automáticamente por el IDS. Copias de seguridad incrementales del sistema. ¿Cuál es la diferencia entre IDS e IPS?. El IDS bloquea tráfico activamente; el IPS solo alerta. El IDS opera inline; el IPS opera en modo pasivo. El IDS detecta y alerta; el IPS detecta y bloquea. Son equivalentes, solo difieren en el nombre comercial. ¿En qué modo opera el IDS en la red?. Inline, dentro del flujo de tráfico activo. Modo activo, bloqueando conexiones sospechosas. Pasivo, analizando tráfico sin estar en la ruta. Distribuido, instalado en cada dispositivo de la red. ¿Qué función principal tiene un SIEM?. Bloquear ataques en tiempo real de forma automática. Centralizar logs y correlacionar eventos para detectar amenazas. Gestionar los certificados digitales de la organización. Analizar el tráfico web en busca de inyecciones SQL. ¿Qué es el SOC (Security Operations Center)?. Sistema centralizado de gestión de contraseñas. Firewall de nueva generación con inteligencia artificial. Equipo que analiza alertas e interpreta eventos de seguridad. Servidor de logs centralizado de la organización. ¿Cuál es el flujo correcto de detección de incidentes?. Alerta -> Log -> SIEM -> Evento -> Respuesta. Evento -> Log -> SIEM -> Alerta -> Análisis -> Respuesta. Log -> Evento -> Alerta -> SIEM -> SOC -> Bloqueo. Ataque -> Bloqueo -> Log -> Alerta -> Cierre. ¿Por qué un SIEM sin reglas no detecta amenazas?. Porque el SIEM solo almacena logs sin procesarlos. Sin reglas de correlación no identifica patrones sospechosos. Porque necesita conectividad con bases de datos externas. Porque los logs no llegan al SIEM sin las reglas activas. ¿Qué aporta el SIEM frente a los logs individuales?. Acelera la recolección de logs de cada dispositivo. Correlaciona eventos aislados para detectar amenazas complejas. Elimina los falsos positivos antes de generar alertas. Cifra los logs para evitar su manipulación posterior. ¿Qué implica la afirmación sin logs = sin visibilidad?. Sin logs el SIEM no puede arrancar correctamente. Sin logs no se puede detectar, analizar ni investigar incidentes. Sin logs el IPS pierde su capacidad de bloqueo. Sin logs el firewall no puede aplicar sus reglas. ¿Qué controla la BIOS/UEFI en cuanto a seguridad del arranque?. Los permisos de los usuarios del sistema operativo. El cifrado de los datos almacenados en disco. El proceso de arranque y la integridad del sistema. El control de acceso a la red corporativa. ¿Por qué se configura contraseña en la BIOS/UEFI?. Para cifrar el disco duro automáticamente al arrancar. Para evitar que se modifique la configuración de arranque. Para habilitar el Secure Boot en el sistema. Para sincronizar el reloj del hardware del sistema. ¿Qué riesgo evita deshabilitar el arranque desde USB?. Que el sistema arranque más lento de lo habitual. Que se ejecuten sistemas externos sin credenciales válidas. Que el cifrado de disco se desactive accidentalmente. Que el sistema no detecte las actualizaciones disponibles. ¿Qué garantiza Secure Boot?. Cifra el disco antes de que arranque el sistema operativo. Verifica criptográficamente cada componente del proceso de arranque. Establece contraseña obligatoria para el gestor de arranque. Aísla el firmware del resto del sistema operativo. ¿Qué herramienta cifra el disco en Windows?. LUKS (Linux Unified Key Setup). dm-crypt nativo de Linux. VeraCrypt multiplataforma. BitLocker. ¿Qué herramienta cifra el disco en Linux?. BitLocker (Windows). LUKS (Linux Unified Key Setup). EFS (Encrypting File System). dm-crypt sin capa LUKS. ¿Qué protege el cifrado de disco ante robo físico del equipo?. Impide arrancar el sistema en cualquier otro hardware. Los datos son inaccesibles sin la clave de descifrado. Alerta al propietario de la ubicación del dispositivo. Borra los datos automáticamente al intentar acceder. ¿Por qué el particionado seguro reduce el impacto de un ataque?. Hace el sistema más rápido al separar datos del SO. Aísla las particiones para que un fallo no afecte a todo. Permite aplicar distintos algoritmos de cifrado por partición. Facilita las copias de seguridad incrementales automáticas. ¿Por qué la seguridad lógica depende de la seguridad física?. Porque la BIOS solo funciona con protección física del equipo. El acceso físico permite saltarse todos los controles lógicos. Porque las contraseñas se almacenan en el hardware. Porque el cifrado requiere hardware específico para funcionar. ¿Qué es la ESP (EFI System Partition)?. Partición cifrada que almacena el sistema operativo. Partición que almacena los cargadores de arranque UEFI. Partición de recuperación ante fallos del sistema. Partición donde se guardan los logs del sistema. ¿Por qué la ESP no puede cifrarse?. El cifrado degrada significativamente el rendimiento. El firmware necesita leerla antes de que exista mecanismo de descifrado. Su sistema de archivos no es compatible con LUKS. Contiene información no sensible que no requiere cifrado. ¿Qué modo UEFI debe desactivarse para que Secure Boot funcione?. TPM (Trusted Platform Module). AHCI (Advanced Host Controller Interface). UEFI Shell interactivo. CSM (Compatibility Support Module). ¿Qué base de datos del firmware contiene hashes y firmas a rechazar en Secure Boot?. PK (Platform Key). KEK (Key Exchange Key). db (base de datos de confianza). dbx (base de datos de revocación). ¿Qué hace la opción noexec en el montaje de una partición?. Impide la ejecución con privilegios SUID del propietario. Impide que se interpreten archivos de dispositivo. Impide la ejecución de binarios desde esa partición. Impide el montaje de la partición en modo escritura. ¿Qué hace la opción nosuid en el montaje de una partición?. Impide la ejecución de cualquier binario en la partición. Impide la ejecución con privilegios SUID del propietario del fichero. Impide el acceso a archivos de dispositivo especiales. Impide el acceso sin autenticación previa al sistema. ¿Qué hace la opción nodev en el montaje de una partición?. Impide que se interpreten archivos de dispositivo en la partición. Impide la ejecución de binarios desde la partición. Impide la ejecución con privilegios SUID del propietario. Impide el montaje de la partición en modo solo lectura. ¿Cuál es el primer paso del hardening en producción?. Instalar las actualizaciones de seguridad disponibles. Configurar el firewall con reglas restrictivas de red. Identificar y eliminar servicios innecesarios activos. Cambiar todas las contraseñas configuradas por defecto. ¿Por qué cada servicio activo representa un riesgo de seguridad?. Consume recursos del sistema innecesariamente. Puede ser un vector de ataque o punto de entrada. Genera logs que saturan el sistema de monitorización. Puede interferir con otros servicios del mismo servidor. ¿Qué protocolo de acceso remoto debe eliminarse en hardening?. SSH (Secure Shell). HTTPS sobre TLS. Telnet. RDP con cifrado activo. ¿Por qué se elimina Telnet en entornos de producción?. Consume demasiado ancho de banda de red. Transmite credenciales y datos en texto claro. Es incompatible con los sistemas operativos modernos. Requiere privilegios de root para ejecutarse. ¿Qué es el parcheo en el contexto del hardening?. Aplicar parches estéticos a la interfaz del sistema. Actualizar el sistema para corregir vulnerabilidades conocidas. Instalar nuevas funcionalidades en el servidor. Hacer copias de seguridad previas a los cambios. ¿Qué implica no actualizar un sistema en producción?. Mayor rendimiento al evitar cambios no probados. Mayor estabilidad al mantener la versión original. Exposición a vulnerabilidades conocidas y documentadas. Menor compatibilidad con herramientas de seguridad. ¿Cuáles son las buenas prácticas de backup?. Copias mensuales en el mismo servidor de producción. Copias frecuentes, almacenamiento separado y pruebas de restauración. Copias semanales en disco local sin cifrar. Solo copias completas, sin copias incrementales. ¿Qué es el RPO (Recovery Point Objective)?. Tiempo máximo que el sistema puede estar inactivo. Número máximo de backups que se deben retener. Máxima cantidad de datos que se puede perder en un incidente. Velocidad mínima de restauración de datos. ¿Qué es el RTO (Recovery Time Objective)?. Tiempo máximo tolerable para recuperar el sistema tras un incidente. Máxima cantidad de datos que se puede perder. Número de copias de seguridad activas requeridas. Velocidad de cifrado durante la copia de seguridad. ¿Cuál es la función de una VPN en acceso remoto empresarial?. Proporcionar acceso completo a toda la red interna. Proporcionar acceso seguro y controlado a recursos específicos. Sustituir al firewall perimetral en entornos remotos. Cifrar únicamente el correo electrónico corporativo. ¿Qué error cometen las VPN corporativas mal configuradas?. Limitar demasiado el acceso de los usuarios remotos. Proporcionar acceso total a la red interna sin segmentación. No cifrar el tráfico entre cliente y servidor VPN. Generar demasiados logs que saturan el SIEM. ¿Qué hace AppArmor en Linux?. Gestiona las actualizaciones automáticas del sistema. Controla el acceso de cada proceso a los recursos del sistema. Monitoriza la integridad de los archivos del sistema. Gestiona la asignación de direcciones IP en la red. ¿Qué hace AIDE en Linux?. Gestiona las reglas del cortafuegos del sistema. Monitoriza la integridad de los archivos del sistema. Controla los perfiles de acceso de cada aplicación. Gestiona las actualizaciones de seguridad automáticas. ¿Qué es ASLR en sistemas operativos?. Sistema de autenticación de aplicaciones privilegiadas. Aleatorización del espacio de direcciones de memoria para dificultar exploits. Sistema de listas de revocación de certificados. Mecanismo de cifrado a nivel de sistema operativo. ¿Qué es ufw en Linux?. Un sistema de detección de intrusos basado en host. Una herramienta de gestión de actualizaciones. Un cortafuegos de Linux con interfaz simplificada. Un servicio de administración remota segura. ¿Qué valor de randomize_va_space activa ASLR completo?. 0 (desactivado). 1 (aleatorización parcial). 3 (modo experimental). 2 (aleatorización completa incluyendo heap). ¿Qué hace el parámetro LoginGraceTime en SSH?. Limita el tiempo de espera para completar la autenticación. Define el tiempo máximo de sesión activa. Establece el intervalo entre intentos de reconexión. Configura el tiempo de espera de transferencia de archivos. ¿Cuál es el comando para listar servicios activos en Linux?. ps aux. netstat -tulnp. systemctl list-units --type=service --state=running. lsof -i. ¿Cuál es el comando para ver puertos abiertos y procesos en Linux?. systemctl list-units. ps aux. lsblk -f. ss -tulpen. ¿Qué es MFA (Multi-Factor Authentication)?. Un tipo de firewall de nueva generación. Un método de cifrado de datos en tránsito. Sistema de verificación de identidad con dos o más factores distintos. Un protocolo de autenticación federada estándar. ¿Qué combina correctamente un sistema MFA?. Dos contraseñas distintas del mismo tipo (sabe + sabe). Factores de distintas categorías: sabe + tiene, o sabe + es. Dos preguntas de seguridad diferentes al iniciar sesión. Un PIN y una contraseña almacenados conjuntamente. ¿Qué es FIDO2/WebAuthn?. Protocolo de autenticación por contraseña mejorada. Estándar de autenticación sin contraseña resistente al phishing. Formato de certificado digital para navegadores web. Protocolo de sincronización de contraseñas entre dispositivos. ¿Por qué FIDO2 es resistente al phishing?. Genera contraseñas más largas y complejas automáticamente. La clave criptográfica está ligada al dominio del servicio. No requiere ningún factor adicional para funcionar. Cifra la contraseña antes de transmitirla al servidor. ¿Qué es la EER (Equal Error Rate) en biometría?. El porcentaje de usuarios que no pueden registrarse. Número de intentos antes de bloquear al usuario. Punto donde la tasa de falsa aceptación iguala a la de falso rechazo. La velocidad de procesamiento del sistema biométrico. ¿Cuándo se usan bcrypt o Argon2?. Para cifrar datos en tránsito entre servidores. Para almacenar contraseñas hasheadas resistentes a fuerza bruta. Para generar certificados digitales de corta duración. Para sincronizar contraseñas entre sistemas distintos. ¿Cuál es la diferencia entre HOTP y TOTP?. HOTP usa tiempo; TOTP usa un contador incremental. HOTP usa un contador incremental; TOTP usa el tiempo actual. HOTP dura 30 segundos; TOTP es permanente. HOTP requiere Internet; TOTP no requiere conectividad. ¿Cuál es la ventaja de las tarjetas inteligentes para autenticación?. Las operaciones criptográficas ocurren internamente sin exponer la clave privada. Permiten recuperar la clave privada en caso de pérdida. Eliminan la necesidad de un PIN adicional de seguridad. Renuevan automáticamente los certificados vencidos. ¿Qué son las passkeys (claves de acceso)?. Contraseñas largas almacenadas cifradas en la nube. Tokens físicos que generan códigos de un solo uso. Credenciales basadas en criptografía asimétrica sin contraseña. Preguntas de seguridad personalizadas mejoradas. ¿A qué categoría de factor de autenticación pertenece la biometría?. Algo que tienes (token, tarjeta inteligente). Algo que sabes (PIN, contraseña, pregunta). Algo que eres (huella dactilar, reconocimiento facial). Algo que haces (comportamiento, escritura). ¿Qué es Shadow IT?. Software malicioso instalado de forma oculta. La configuración de seguridad por defecto del sistema. Servicios externos adoptados sin aprobación del departamento TI. Un método para ocultar tráfico de red internamente. ¿Cómo se previene el Shadow IT en una organización?. Instalando antivirus en todos los dispositivos de la empresa. Deny by default en tráfico saliente y autorizando solo destinos legítimos. Bloqueando completamente el acceso a Internet. Auditando los equipos de usuarios cada mes. ¿Por qué se recomienda el enrolamiento automático de certificados?. Permite usar plantillas de certificados genéricas. Reduce errores, garantiza coherencia y facilita la rotación. Requiere intervención manual constante para mayor control. Aumenta la complejidad y la auditoría de la PKI. ¿Qué problema resuelve integrar gestores de secretos con CI/CD?. Aumenta la velocidad de los despliegues de aplicaciones. Evita almacenar credenciales estáticas en el código fuente. Simplifica la configuración del servidor de builds. Reduce el número de logs generados en los despliegues. ¿Cuál es el objetivo del análisis de riesgos?. Implementar todas las medidas técnicas disponibles. Identificar solo las amenazas externas a la organización. Tomar decisiones informadas sobre prevención y mitigación de amenazas. Diseñar la estrategia sin evaluar la exposición real. ¿Cuál es la diferencia entre pentesting y escaneo de vulnerabilidades?. El escaneo simula ataques; el pentesting detecta configuraciones erróneas. El pentesting simula ataques controlados; el escaneo detecta puntos débiles automáticamente. Son equivalentes, solo difieren en la herramienta utilizada. El pentesting solo puede realizarlo personal interno. ¿Qué hace el parámetro net.ipv4.icmp_echo_ignore_all = 1?. Bloquea todos los protocolos de red excepto TCP. Desactiva el reenvío de paquetes IPv4. Ignora las solicitudes de ping, reduciendo la visibilidad del sistema. Habilita el filtrado de mensajes ICMP redirect. ¿Qué hacen los bits NX/XD en un sistema?. Cifran las regiones de memoria con datos sensibles. Aleatorizan la ubicación de los procesos en memoria. Impiden que regiones de datos se ejecuten como código. Protegen la pila mediante valores canary de control. ¿Cuáles son los tres niveles de decisión de un sistema NAC?. Autenticación, cifrado y firma digital. Autenticación, validación de cumplimiento y asignación dinámica de red. Autenticación, autorización y auditoría (AAA). Control físico, control lógico y control remoto. ¿Qué valida el estándar 802.1X antes de conceder acceso a la red?. Solo las credenciales del usuario autenticado. Solo el tipo de dispositivo conectado al puerto. La identidad del usuario o del dispositivo antes de dar acceso. El contenido del tráfico de red del dispositivo. ¿Qué es LDAP en el contexto de autenticación corporativa?. Un protocolo de cifrado de comunicaciones corporativas. Un protocolo de acceso a directorios para autenticar usuarios. Un estándar de firma digital para documentos electrónicos. Un sistema de detección de intrusos en red. ¿Qué hace el servicio avahi-daemon en Linux?. Gestiona las actualizaciones automáticas del sistema. Gestiona la conectividad Bluetooth del equipo. Publica información del sistema mediante mDNS en la red local. Envía informes de fallos a servidores externos. ¿Qué servicio de Linux envía informes de fallos a servidores externos?. avahi-daemon. ModemManager. whoopsie y kerneloops. bluetooth. ¿Por qué TFTP es especialmente peligroso?. Cifra el tráfico con un algoritmo obsoleto y débil. Requiere privilegios de root para poder ejecutarse. Opera en puerto 69/UDP sin ningún mecanismo de autenticación. Publica el nombre del servidor en la red local. ¿Cuál es el protocolo estándar para administración remota en Linux?. RDP (Remote Desktop Protocol). VNC (Virtual Network Computing). Telnet. SSH (Secure Shell). ¿Qué hace el parámetro --delete en rsync?. Elimina archivos duplicados en el destino. Elimina del destino los archivos que ya no existen en el origen. Borra todos los archivos del destino antes de copiar. Elimina los archivos del origen después de copiarlos. ¿Qué son los stack canaries?. Herramienta para detectar intrusiones en la pila TCP/IP. Valores de control en la pila que detectan desbordamientos de buffer. Registros del sistema para detectar accesos no autorizados. Mecanismo para cifrar la memoria de la pila de llamadas. ¿Cuándo está justificado mantener el entorno gráfico en un servidor?. Nunca; debe eliminarse en cualquier circunstancia. Cuando existe justificación operativa explícita documentada. Siempre; es un componente necesario en todos los servidores. Solo en servidores con más de 16 GB de RAM instalada. ¿Qué servicio gestiona módems de comunicación móvil en Linux?. avahi-daemon. whoopsie. ModemManager. NetworkManager. ¿Qué es el journaling en sistemas de archivos?. Mayor velocidad de lectura al cachear operaciones en RAM. Compresión de datos para ahorrar espacio en disco. Capacidad de recuperar un estado consistente ante fallos inesperados. Cifrado automático de archivos al escribirlos en disco. ¿Qué implica la mentalidad de asumir compromiso en ciberseguridad?. Aceptar que habrá brechas y no invertir en prevención. Diseñar para contener el daño asumiendo que el atacante puede entrar. Confiar en los usuarios internos de la organización por defecto. Bloquear solo los ataques conocidos y documentados. ¿Qué es el movimiento lateral en un ciberataque?. El atacante cambia de IP para evitar su detección. El atacante se desplaza por la red accediendo a otros sistemas. El atacante escala privilegios dentro del mismo sistema. El atacante exfiltra datos hacia una IP externa. ¿Qué hace el IPS cuando detecta tráfico malicioso?. Genera una alerta y la registra en el SIEM. Notifica al administrador para que actúe manualmente. Bloquea el tráfico en tiempo real sin intervención humana. Desvía el tráfico a una zona de cuarentena para análisis. ¿Qué protocolo de red inalámbrica empresarial se recomienda actualmente?. WEP (Wired Equivalent Privacy). WPA3-Enterprise. WPA (Wi-Fi Protected Access primera versión). WPA2-Personal con PSK. ¿Qué componente del arranque verifica el gestor GRUB en Linux con Secure Boot?. El núcleo del sistema operativo directamente. El componente shim, firmado por Microsoft, que verifica GRUB. La partición ESP sin necesidad de validación. El TPM (Trusted Platform Module) del sistema. ¿Cuáles son los servicios clasificados como innecesarios en un servidor Linux?. NetworkManager y rsyslog. openssh-server y ufw. avahi-daemon, ModemManager, cups y bluetooth. syslog, cron y NetworkManager. ¿Qué diferencia a un HIDS de un NIDS?. El HIDS analiza el tráfico de red; el NIDS analiza el equipo local. El HIDS analiza el propio equipo; el NIDS analiza el tráfico de red. El HIDS bloquea ataques; el NIDS solo detecta y alerta. El HIDS funciona inline; el NIDS en modo pasivo. ¿Cuáles son las ACL y cuál es su propósito en redes?. Gestionar direcciones IP de forma dinámica. Crear túneles cifrados entre subredes. Filtrar el tráfico de red mediante directivas de acceso. Autenticar dispositivos antes de conectarlos a la red. ¿Qué aporta el DHCP por VLAN a la seguridad?. Permite asignar la misma IP a varios dispositivos. Facilita el control del gateway y la trazabilidad básica por segmento. Reemplaza la necesidad de reglas de firewall entre VLANs. Hace innecesaria la autenticación 802.1X en los puertos. ¿Qué pasa si un atacante compromete un equipo en una red segmentada?. Obtiene acceso directo a todos los sistemas de la empresa. Su alcance queda limitado al segmento donde está el equipo comprometido. El firewall bloquea automáticamente todas sus conexiones. El sistema comprometido se desconecta de la red automáticamente. ¿Por qué no se cifra la partición /boot en Linux con LUKS?. Porque el cifrado degrada el rendimiento del arranque. El gestor de arranque necesita leerla antes de activar LUKS. Porque el sistema de archivos ext4 no soporta LUKS. Porque las guías CIS no contemplan cifrar la partición de arranque. ¿Qué es el principio de economía circular aplicado a ciberseguridad?. Adquirir siempre las soluciones de seguridad más avanzadas. Evaluar capacidades infrautilizadas antes de adquirir nuevas herramientas. Contratar consultoría externa para cada decisión de seguridad. Renovar toda la infraestructura de seguridad cada 3 años. |