Bastionado de redes y sistemas - Repaso preguntas libro

Tema 1. Preguntas tema 1.

Según el estándar ISO/IEC 27001:2022, ¿cómo se define un activo de información?. a) Únicamente los datos digitales almacenados en servidores y bases de datos. b) Cualquier dato, recurso, servicio, infraestructura o aplicación que contribuye al funcionamiento de los sistemas de información. c) Exclusivamente el hardware y software de los sistemas informáticos. d) Los documentos y registros en papel con información sensible.

Según la metodología MAGERIT, ¿cuál de las siguientes respuestas NO está contemplada como una categoría de activos de información?. a) Personal (empleados, proveedores, usuarios con acceso). b) Activos intangibles (imagen corporativa, reputación, propiedad intelectual). c) Competidores comerciales (empresas del mismo sector). d) Instalaciones (oficinas, CPD, salas de servidores).

¿Por qué las vulnerabilidades organizativas son las más difíciles de resolver?. a) Porque requieren herramientas muy costosas inasequibles para muchas empresas. b) Porque están arraigadas en la cultura de la organización y requieren cambios profundos a largo plazo en mentalidad, actitud y apoyo de la dirección. c) Porque solo pueden ser detectadas mediante auditorías externas realizadas por empresas certificadas. d) Porque afectan únicamente a la alta dirección y no al resto de empleados.

En el análisis cuantitativo de riesgos, ¿cómo se calcula la ALE (Annual Loss Expectancy o pérdida anual esperada)?. a) Valor del activo × Factor de exposición. b) (ALE antes del control - ALE después del control) / Coste del Control. c) SLE × ARO (pérdida única esperada × frecuencia anual de ocurrencia). d) Amenaza × Vulnerabilidad × Impacto.

¿Cuántos controles identifica la norma ISO/IEC 27001 y cómo están organizados?. a) 93 controles en 4 categorías: organizativos, de personas, físicos y tecnológicos. b) 18 controles organizados en tres grupos de implementación (IG1, IG2, IG3). c) 4 controles divididos en fases de inventariado, evaluación, prueba y análisis. d) 37 controles organizativos y 34 controles tecnológicos exclusivamente.

Indica si la siguiente afirmación es verdadera o falsa: «Transferir el riesgo mediante seguros o proveedores especializados elimina dicho riesgo por completo y libera a la organización responsabilidad, especialmente en los casos que afecten a la protección de datos». a) Verdadero. b) Falso.

Según el modelo de economía circular, ¿cuál es el principio fundamental que debe aplicarse antes de adquirir nuevas herramientas de seguridad?. a) Contratar consultoría externa para evaluar el mercado de soluciones disponibles. b) Evaluar las capacidades infrautilizadas de los sistemas actuales. c) Realizar un análisis de retorno de inversión (ROI) de todas las opciones del mercado. d) Solicitar presupuesto a la dirección para implementar lo último en seguridad.

Indica si es verdadero o falso: Una organización debería resolver al menos el 60% de sus nuevas necesidades de seguridad optimizando sus recursos actuales. a) Verdadero. b) Falso.

¿Qué combinación de dos prácticas refleja mejor la aplicación del principio de mínimo privilegio?. a) Cifrar datos en tránsito y medir el MTTD en el SIEM. b) Asignación de un responsable operativo y Control de Acceso Basado en Roles (RBAC). c) Auditorías internas trimestrales y el uso de la Autenticación Multifactor (MFA). d) Formación al personal y la desactivación de servicios innecesarios (bastionado).

¿Qué marco es la norma de referencia internacional para la certificación de un Sistema de Gestión de Seguridad de la Información (SGSI)?. a) El catálogo de controles detallados NIST SP 800-53. b) La guía de vulnerabilidades de aplicaciones web OWASP Top 10. c) El Esquema Nacional de Seguridad (ENS). d) La norma ISO/IEC 27001:2022 de mejora continua.

Tema 2. Preguntas tema 2.

¿Qué combinación de factores representa correctamente un sistema de autenticación multifactor según las categorías descritas?. a) Dos preguntas de seguridad diferentes para recuperar la cuenta. b) Una huella dactilar y el reconocimiento facial del usuario. c) Una tarjeta inteligente acompañada de un código PIN. d) Una contraseña almacenada en una cookie de sesión.

En el contexto de la autenticación adaptativa o contextual, ¿cuál de las siguientes situaciones justificaría la solicitud de factores adicionales de autenticación?. a) Un usuario introduce correctamente su contraseña en el primer intento. b) Un empleado accede desde su dispositivo habitual durante su horario laboral. c) Se detecta un intento de acceso desde una ubicación geográfica diferente a las habituales. d) El sistema registra que el usuario ha iniciado sesión correctamente en los últimos 30 días.

¿Cuál de las siguientes funciones criptográficas de derivación de claves se recomienda específicamente para sistemas institucionales?. a) Argon2id con parámetros ajustados a la capacidad del servidor. b) AES-256 con sincronización mediante repositorios internos. c) ChaCha20-Poly1305 combinado con KeePassXC. d) PBKDF2 con cifrado mediante Azure Password Manager.

Indica si es verdadero o falso: Según las recomendaciones actuales del Centro Criptológico Nacional, ENISA y NIST, es más efectivo para la seguridad imponer cambios periódicos forzosos de contraseñas complejas que permitir el uso de contraseñas largas sin fecha de caducidad obligatoria. a) Verdadero. b) Falso.

Verdadero o falso: «Los gestores de contraseñas con cifrado de extremo a extremo eliminan completamente la necesidad de usar autenticación multifactor». a) Verdadero. b) Falso.

¿Qué papel desempeña la autoridad de registro (RA) dentro de la infraestructura de clave pública (PKI)?. a) Emitir, firmar y revocar certificados digitales de forma directa. b) Verificar la identidad de los solicitantes antes de que la CA emita el certificado. c) Publicar las listas de revocación de certificados (CRL) con los números de serie anulados. d) Actuar como CA raíz reconocida explícitamente por sistemas operativos y navegadores en el primer intento.

¿Cuál es la principal ventaja de seguridad que ofrecen las tarjetas inteligentes al almacenar certificados digitales?. a) Permiten la renovación automática de certificados sin intervención del usuario. b) Eliminan la necesidad de usar un PIN como segundo factor de autenticación. c) Facilitan la recuperación de la clave privada en caso de pérdida o robo de la tarjeta. d) Ejecutan operaciones criptográficas internamente sin que la clave privada abandone el dispositivo.

¿Qué diferencia fundamental existe entre los algoritmos HOTP y TOTP para la generación de contraseñas de un solo uso?. a) HOTP utiliza un contador compartido que se incrementa tras cada uso, mientras que TOTP utiliza el tiempo actual. b) HOTP requiere conexión a Internet para generar códigos, mientras que TOTP funciona sin conexión. c) HOTP genera códigos válidos durante 30 segundos, mientras que TOTP los genera para una única sesión. d) HOTP utiliza algoritmos HMAC-SHA256, mientras que TOTP emplea únicamente HMAC-SHA1.

¿Qué indicador se utiliza para evaluar el punto de equilibrio entre la tasa de falsa aceptación y la tasa de falso rechazo en un sistema biométrico?. a) El umbral de decisión ajustado dinámicamente según las condiciones ambientales. b) La tasa de validación criptográfica (Cryptographic Validation Rate, CVR). c) El nivel de precisión de captura biométrica (Biometric Capture Level, BCL). d) La tasa de error igual (Equal Error Rate, EER).

Tema 3. Preguntas tema 3.

¿Cuáles de las siguientes afirmaciones son correctas?. a) La eliminación de credenciales no forma parte del ciclo de vida, ya que los sistemas modernos gestionan automáticamente cualquier rastro de claves privadas. b) La creación de credenciales puede realizarse de forma descentralizada siempre que el responsable conozca la función del servicio o usuario asignado. c) La entrega insegura de la credencial inicial —como contraseñas enviadas sin cifrar, claves API compartidas o certificados exportados sin protección— es una de las causas principales de brechas de seguridad relacionadas con credenciales. d) La rotación manual de credenciales de servicio es un mecanismo válido en organizaciones grandes, siempre que se documente adecuadamente en un inventario actualizado.

¿Cuál es el principal motivo por el que las credenciales de servicio requieren controles más estrictos que las credenciales humanas?. a) Porque su uso es continuo y poco visible, lo que facilita abusos si no se controlan. b) Porque nunca pueden rotarse automáticamente. c) Porque siempre se usan con privilegios de administrador. d) Porque solo funcionan si se almacenan en texto simple.

¿Cuál de los siguientes riesgos está directamente relacionado con una gestión deficiente de la revocación en una PKI corporativa?. a) Que la Root CA tenga que firmar certificados operativos. b) Que los certificados revocados sigan considerándose válidos durante un tiempo. c) Que los certificados de servidor deban generarse siempre en un HSM. d) Que sea necesario tener múltiples SubCA para cada tipo de servicio.

¿Por qué una firma electrónica basada en certificados no debe depender de claves privadas almacenadas en el sistema operativo?. a) Porque el sistema operativo no puede validar certificados de firma. b) Porque la firma electrónica solo funciona con tarjetas inteligentes. c) Porque la firma electrónica requiere siempre conexión a un servidor OCSP. d) Porque extraer o copiar la clave privada comprometería la integridad y autenticidad de las firmas realizadas.

¿Qué problema se intenta evitar mediante la rotación automática de contraseñas privilegiadas?. a) Que una credencial operativa permanezca válida durante largos periodos y aumente la exposición. b) Que los administradores deban autenticarse mediante un sistema de tickets. c) Que los cofres de contraseñas tengan que integrarse con el directorio corporativo. d) Que las cuentas locales de administrador existan en estaciones y servidores.

¿Cuál de las siguientes situaciones representa un riesgo frecuente en el diseño de un sistema NAC?. a) Excepciones mal gestionadas que crean redes paralelas difíciles de controlar. b) Uso de VLAN dinámicas para segmentar dispositivos según su cumplimiento. c) Integración del NAC con el directorio corporativo mediante RADIUS. d) Evaluación del estado del dispositivo mediante agente o análisis sin agente.

Verdadero o falso: RADIUS y Kerberos se usan para resolver el mismo tipo de autenticación y, por tanto, no suelen coexistir en la misma infraestructura. a) Verdadero. b) Falso.

Tema 4. Preguntas tema 4.

¿Qué aporta la segmentación física que no depende de configuraciones lógicas?. a) Reduce el número de direcciones IP necesarias. b) Elimina el tráfico de difusión entre zonas. c) Obliga al tráfico interzona a pasar por puntos de control verificables. d) Ninguna de las anteriores.

¿Qué se requiere para que la separación física entre zonas no se degrade?. a) Que cada zona tenga su propio direccionamiento IP. b) Que el enrutamiento interzona esté distribuido en varios equipos. c) Que exista un único punto de interconexión controlado entre zonas. d) Que las comunicaciones interzona se permitan siempre que queden registradas.

¿Para qué se utiliza el subnetting en una red ya operativa?. a) Para reducir el número total de direcciones IP usadas. b) Para introducir segmentación sin rediseñar la infraestructura física. c) Para eliminar la necesidad de enrutamiento entre segmentos. d) Para simplificar la configuración de los equipos finales.

El subnetting permite mejorar la segmentación respetando los direccionamientos existentes. a) Verdadero. b) Falso.

¿Cuál de las siguientes afirmaciones sobre el uso de VLANs en un diseño bastionado es correcta?. a) Permiten separar dominios lógicos sobre infraestructura compartida. b) Sustituyen la necesidad de segmentación física. c) Eliminan la necesidad de dispositivos de enrutamiento. d) Todas son correctas.

¿Dónde reside la frontera real de seguridad en un entorno con VLAN?. a) En los puertos de acceso de los conmutadores. b) En el identificador numérico de la VLAN. c) En el enlace troncal entre conmutadores. d) En el punto de enrutamiento inter-VLAN.

¿Qué afirmaciones son correctas sobre el uso de una DMZ en un diseño bastionado?. a) Centraliza el acceso administrativo desde la red de usuarios. b) Elimina la necesidad de filtrado entre redes internas y externas. c) Aloja servicios expuestos evitando su acceso directo a la red interna. d) Permite que los sistemas internos inicien conexiones libremente hacia Internet.

¿ Cuál de las siguientes opciones describe correctamente un diseño seguro de red inalámbrica corporativa integrado en una arquitectura bastionada?. a) La red inalámbrica corporativa utiliza cifrado fuerte y autenticación de usuarios, pero comparte el mismo segmento de red que los sistemas internos para facilitar el acceso a los recursos y simplificar la gestión. b) La red inalámbrica se protege principalmente mediante el punto de acceso, delegando en este la autenticación y el control del tráfico, sin necesidad de segmentación adicional ni políticas específicas en otros dispositivos de red. c) La red inalámbrica de invitados se separa únicamente mediante un identificador de red distinto, permitiendo el acceso a Internet y a servicios internos siempre que el tráfico quede registrado. d) La red inalámbrica corporativa se autentica mediante mecanismos centralizados, se integra en un dominio de red segmentado y su tráfico queda sujeto a las mismas directivas de acceso y control que el acceso cableado.

Tema 5. Preguntas tema 5.

¿Por qué se configura el conmutador virtual de la LAN y la DMZ como privado?. a) Para permitir que el anfitrión Windows acceda directamente a las máquinas virtuales de la DMZ sin pasar por el cortafuegos. b) Para que solo las máquinas virtuales conectadas a ellos puedan intercambiar tráfico. c) Para habilitar el tráfico entre la LAN y la DMZ sin necesidad de reglas adicionales. d) Para que el cortafuegos pueda usar la misma interfaz física para ambas redes.

¿Qué directorio y nombre de archivo se indica explícitamente para los registros de auditoría de ModSecurity una vez configurado el módulo en Apache?. a) /var/log/modsec_audit.log. b) /var/log/apache2/access.log. c) /var/log/apache2/error.log. d) /var/log/apache2/modsec_audit.log.

¿ Cuál es el motivo por el que los sistemas y servicios envían sus registros a Graylog en lugar de analizarse localmente en cada máquina?. a) Porque la centralización permite correlacionar eventos procedentes de distintos dominios y detectar patrones que no serían visibles de forma aislada. b) Porque Graylog sustituye a los mecanismos de control del cortafuegos. c) Porque los sistemas en DMZ no pueden almacenar registros localmente por motivos de seguridad. d) Porque el envío de registros elimina la necesidad de reglas de cortafuegos específicas.

Indica si la siguiente afirmación es verdadera o falsa: El envío de registros a Graylog se considera una medida pasiva de monitorización y no influye en el bastionado. a) Verdadero. b) Falso.

¿ Qué indicador o indicadores (puede haber varias respuestas correctas) permiten identificar comportamiento automatizado contra un servicio SMTP expuesto?. a) Muchas conexiones breves que se cierran tras EHLO/HELO sin intento de entrega. b) La presencia de sesiones SMTP completas iniciadas por usuarios autenticados. c) Secuencias de instrucciones RCPT TO probando direcciones genéricas o inexistentes. d) El uso de protocolos cifrados y autenticación previa antes de enviar comandos SMTP.

Indica cuál o cuáles de las afirmaciones siguientes acerca del bastionado de VPN son correctas. a) El bastionado de una VPN depende principalmente del protocolo o producto utilizado. b) El tráfico procedente de una VPN puede someterse a controles menos estrictos que otros accesos externos si está autenticado. c) Las VPN deben tratarse siempre como mecanismos de acceso privilegiado, no como simples extensiones de una red. d) Una VPN garantiza que el dispositivo cliente sea confiable al establecer conectividad cifrada.

¿Cuál es el riesgo principal de un CASB mal bastionado?. a) Que no pueda inspeccionar tráfico cifrado TLS. b) Que genere un consumo elevado de ancho de banda en el perímetro. c) Que su configuración sea excesivamente permisiva y quede limitado a una monitorización pasiva. d) Que sustituya completamente al sistema de identidad corporativo.

Tema 6. Preguntas tema 6.

¿ Por qué debe desactivarse el modo CSM del firmware antes de instalar el sistema?. a) Reduce el tiempo de arranque del sistema. b) Es incompatible con el cifrado LUKS durante la instalación. c) Permite rutas de arranque fuera del modelo de confianza de UEFI, impidiendo que Secure Boot funcione correctamente. d) Impide que el firmware detecte discos con formato GPT.

¿Qué debemos hacer al detectar una interfaz de red con arranque PXE no prevista?. a) Analizarla antes de continuar, ya que puede introducir una ruta de arranque alternativa no controlada. b) Desactivarla únicamente si ocupa la primera posición en el orden de arranque. c) Ignorarla si no va a utilizarse durante la instalación. d) Inventarirala y continuar, ya que PXE solo actúa si se selecciona manualmente.

En un sistema Linux con Secure Boot activo y claves de fábrica, el administrador compila un núcleo personalizado sin firmarlo. ¿Qué ocurrirá al intentar arrancar?. a) El sistema arrancará, pero Secure Boot registrará el evento en el log del firmware. b) El firmware bloqueará el arranque porque el núcleo no está firmado por una autoridad reconocida en la base de datos db. c) El shim validará el núcleo igualmente, ya que está firmado por Microsoft. d) El sistema arrancará en modo degradado sin cargar los módulos del núcleo..

En un sistema con Secure Boot activo, ¿qué ocurre con los datos almacenados en un disco duro si un atacante con acceso físico lo extrae y lo conecta a otro equipo?. a) No puede acceder a ellos porque Secure Boot bloquea la lectura del disco fuera del equipo original. b) Solo puede acceder a la partición ESP, el resto permanece protegido. c) El firmware del equipo original invalida el disco al detectar su extracción. d) Puede leerlos sin restricción, ya que Secure Boot no protege los datos en reposo.

¿Por qué en un sistema Linux con LUKS sobre LVM, la partición /boot queda fuera del cifrado?. a) Porque el sistema de archivos ext4 no es compatible con LUKS. b) Porque cifrar /boot reduciría el rendimiento del arranque de forma inaceptable. c) Porque el gestor de arranque necesita acceder al núcleo antes de que exista ningún mecanismo de desbloqueo activo. d) Las guías CIS no contemplan el cifrado de particiones de arranque.

¿Qué sucede si un atacante consigue escribir un binario malicioso en una partición /tmp con la opción noexec e intenta ejecutarlo directamente?. a) La ejecución se bloquea, aunque el archivo sigue existiendo en el sistema de archivos. b) El binario se ejecuta, pero con privilegios reducidos al no tener el bit SUID. c) El sistema operativo elimina automáticamente el archivo al detectarlo como ejecutable. d) El intento queda registrado en /var/log y se notifica al administrador.

Tema 7. Preguntas tema 7.

¿Qué información proporciona la instrucción ss -tulpen que no ofrecen las otras comprobaciones del inventario inicial?. a) Lista los servicios configurados para iniciarse automáticamente con el sistema, incluyendo los que están detenidos en ese momento. b) Muestra el historial de servicios que han fallado durante el arranque y por qué. c) Indica qué puertos están abiertos y qué procesos los están utilizando. d) Compara el estado actual de los servicios con la configuración de arranque.

¿Por qué en el contexto del endurecimiento se prefiere apt purge sobre apt remove?. a) Porque apt remove no puede desinstalar paquetes que tienen dependencias activas. b) Porque apt remove elimina también los archivos de configuración, lo que dificulta la reinstalación futura. c) Porque apt purge elimina tanto el paquete como sus archivos de configuración, que podrían contener información sensible o reactivarse en una reinstalación. d) Porque apt remove requiere reiniciar el sistema para completar la desinstalación.

¿Qué valor del parámetro randomize_va_space activa la aleatorización completa del espacio de direcciones, incluyendo el heap?. a) 0. b) 1. c) 2. d) 3.

Indica si la siguiente afirmación es verdadera o falsa: Los bits NX/XD y los stack canaries requieren configuración manual en Ubuntu 20.04 para estar activos. a) Verdadero. b) Falso.

¿Por qué no es recomendable bloquear ICMP completamente en un servidor de administración?. a) Porque ufw no permite establecer reglas de filtrado sobre tráfico ICMP. b) Porque ICMP es fundamental para la red y bloquearlo puede dificultar la detección de problemas y provocar comportamientos anómalos en otros protocolos. c) Porque los mensajes ICMP de tipo redirect y timestamp son necesarios para el correcto enrutamiento del tráfico en la red interna. d) Porque deshabilitar ICMP requiere modificar el núcleo y afecta también a IPv6.

¿Por qué se configura el cortafuegos antes de ajustar los parámetros de sshd_config?. a) Porque un servidor SSH bien configurado pero accesible desde cualquier origen sigue suponiendo un riesgo elevado. b) Porque sshd no arranca si ufw no está activo. c) Porque ufw filtra la configuración de sshd_config antes de aplicarla. d) Porque sin ufw activo, SSH utiliza autenticación por contraseña por defecto.

¿Por qué la base de datos de AIDE debe inicializarse en un sistema limpio?. a) Porque aideinit solo puede ejecutarse durante el primer arranque del sistema. b) Porque una base de datos generada con el sistema en producción no puede actualizarse posteriormente. c) Porque AIDE no detecta cambios en archivos que no estaban presentes en el momento de la instalación. d) Porque si se inicializa tras una intrusión, AIDE considerará válidas las modificaciones realizadas por el atacante.

¿Qué implica mantener Automatic-Reboot en false en un servidor de administración?. a) Que las actualizaciones de seguridad no se descargan hasta el próximo reinicio. b) Que unattended-upgrades queda desactivado hasta que el administrador reinicie manualmente. c) Que el sistema aplica únicamente actualizaciones que no afecten al núcleo. d) Que el parche se aplica pero no será efectivo hasta el próximo reinicio, que debe gestionarse de forma controlada.

¿Cuáles de las siguientes afirmaciones sobre la estrategia de copias de seguridad es correcta?. a) El parámetro --delete en rsync puede usarse sin restricciones porque solo afecta a archivos obsoletos. b) El RTO determina la cantidad máxima de información que podemos permitirnos perder, expresada en tiempo. c) La regla 3-2-1 define las herramientas que deben usarse en la estrategia de respaldo. d) Una copia de seguridad que no se verifica es tan buena como no tener ninguna.

La Shadow IT en entornos de administración es detectable mediante AIDE, ya que implica la instalación de software no autorizado en el sistema. a) Verdadero. b) Falso.