Ciberdelitos y Regulación de la Ciberseguridad

El RGPD entiende por dato de carácter personal: Toda información sobre una persona física identificada o identificable. Cualquier información concerniente a personas físicas o jurídicas identificadas o identificables. Cualquier información concerniente a personas jurídicas identificadas. Cualquier información concerniente a personas jurídicas identificables.

Según el RGPD, ¿la prestación de un servicio que implique acceso a datos por parte de un tercero al responsable del tratamiento deberá figurar en un contrato?. Depende de si los datos de carácter personal que se comunican son sensibles o no. Sí, salvo que el tercero acredite tener las mismas medidas de seguridad que el titular del fichero. Sí, siempre. No.

Las medidas de seguridad deberán ser: Solo de índole organizativa. De índole técnica y organizativa. Únicamente de índole técnica. Técnicas organizativas y automatizadas.

En relación con los derechos de los interesados, el RGPD: No aporta novedades respecto de la regulación de la Directiva 95/46 y la LOPD. Aporta novedades, entre las que se incluye el derecho de portabilidad de los datos. Aporta novedades, entre las que se incluye la adición del derecho de acceso. Aporta novedades, entre las que se incluye la adición del derecho de transferencias internacionales.

Respecto de los supuestos de realización de evaluaciones de impacto en el RGPD: No hay previstos supuestos de obligación. Solo debe realizarse cuando estemos ante categorías especiales de datos. Hay supuestos obligatorios, pero la organización también puede realizarla cuando lo estime conveniente. Cada autoridad de control establecerá los supuestos obligatorios, ya que no los define el RGPD.

El responsable del tratamiento es: La persona física o jurídica que trata los datos por cuenta del encargado del tratamiento. La persona física o jurídica que decide los fines y los medios del tratamiento. La persona jurídica que decide los fines y los medios del tratamiento junto con el encargado del tratamiento. La persona física que decide los fines y los medios del tratamiento.

La única forma de tratar el riesgo en protección de datos es: Aceptarlo. Trasladarlo. Mitigarlo. Ninguna de las respuestas anteriores es correcta.

Una vez realizada la evaluación de impacto, las posibles conclusiones son: Siempre se podrá bajar el riesgo a un nivel de riesgo aceptable. Se podrá bajar el riesgo a un nivel de riesgo aceptable. Es posible que se pueda bajar el riesgo a un nivel de riesgo aceptable o no, y en este último caso se puede hacer una consulta a la autoridad de control. Es posible que se pueda bajar el riesgo a un nivel de riesgo aceptable o no, y en este último caso se puede asumir el exceso de riesgo elevado.

Las brechas o violaciones de seguridad: Se notificarán a la autoridad de control cuando la violación de la seguridad constituya un alto riesgo para los derechos y las libertades de las personas físicas. Deben notificarse siempre a la autoridad de control y, en algunos casos, a los interesados. Serán notificadas por el responsable del tratamiento a la autoridad de control, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Siempre que se notifiquen a la autoridad de control, deberán notificarse también a los interesados en cumplimiento del deber de transparencia.

El derecho a la protección de datos personales: Es un derecho fundamental autónomo e independiente del derecho a la intimidad. Es un derecho fundamental que depende del derecho a la intimidad. Es un derecho muy importante, pero no tiene el rango de derecho fundamental. Es un derecho fundamental que depende del derecho al honor y a la intimidad.

¿Cuál de los siguientes no es uno de los principios del ENS?. Seguridad integral. Gestión de riesgos. Prevención, reacción y recuperación. Seguridad gestionada.

¿Cuál de las siguientes afirmaciones no es cierta?. El ENS es una norma de obligado cumplimiento para todos los sistemas de información de las AA. PP., independientemente de su ubicación. El ENS es exigible a aquellos sistemas de información operados por terceros que desarrollan funciones, misiones, cometidos o servicios para las AA. PP. El ENS es exigible a aquellos sistemas de información en dependencias de terceros que desarrollan funciones, misiones, cometidos o servicios para las AA. PP. El ENS es exigible solo a la Administración pública.

¿Cuál de los siguientes no es un requisito básico de seguridad?. Profesionalidad. Autorización y control de los accesos. Protección de las instalaciones. Control de proveedores críticos.

¿Cuál de las siguientes afirmaciones es cierta?. Las dimensiones de seguridad en el ENS son: disponibilidad, integridad, confidencialidad, trazabilidad y autenticidad. Las dimensiones de seguridad en el ENS son: disponibilidad, integridad, confidencialidad, portabilidad y autenticidad. Las dimensiones de seguridad en el ENS son: disponibilidad, eficiencia, confidencialidad, trazabilidad y autenticidad. Las dimensiones de seguridad en el ENS son: disponibilidad, integridad, confidencialidad, concentración y autenticidad.

¿Cuál de las siguientes afirmaciones es cierta?. La integridad es la propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada. La integridad es la propiedad o característica consistente en que el activo de información ha sido alterado de manera no autorizada. La integridad es la propiedad o característica consistente en que la degradación que sufre el activo no supera el riesgo asumible. La integridad es la propiedad o característica consistente en que el activo de información no puede ser accesible por terceros sin autorización.

Indica la respuesta correcta: La dimensión básica del servicio es la autenticidad. La dimensión básica del servicio es la confidencialidad. La dimensión básica del servicio es la integridad. La dimensión básica del servicio es la disponibilidad.

Indica la respuesta correcta: Las medidas de seguridad se dividen en tres grupos: marco organizativo, marco operacional y medidas de protección. Las medidas de seguridad se dividen en tres grupos: marco organizativo, marco operacional y medidas jurídicas. Las medidas de seguridad se dividen en tres grupos: marco organizativo, marco jurídico y medidas tecnológicas. Las medidas de seguridad se dividen en tres grupos: marco organizativo, marco técnico y marco reputacional.

Indica la respuesta correcta: El ENS y la norma UNE ISO/IEC 27001:2013 difieren en su naturaleza, en su ámbito de aplicación en su obligatoriedad, pero no en sus objetivos. El ENS y la norma UNE ISO/IEC 27001:2013 difieren en su ámbito de aplicación, en su obligatoriedad y en los objetivos que persiguen, pero no en su naturaleza. El ENS y la norma UNE ISO/IEC 27001:2013 difieren en su naturaleza, en su ámbito de aplicación, en los objetivos que persiguen, pero no en su obligatoriedad. El ENS y la norma UNE ISO/IEC 27001:2013 difieren en su naturaleza, en su ámbito de aplicación, en su obligatoriedad y en los objetivos que persiguen.

Indica la respuesta correcta: El ENS obliga a realizar auditorías de seguridad cuando se están evaluando sistemas o servicios cuya categoría sea de nivel medio o alto, al menos cada dos años. El ENS obliga a realizar auditorías de seguridad cuando se están evaluando sistemas o servicios cuya categoría sea de nivel alto, al menos cada dos años. El ENS obliga a realizar auditorías de seguridad cuando se están evaluando sistemas o servicios cuya categoría sea de nivel medio o alto, al menos cada año. El ENS no obliga a realizar auditorías de seguridad.

Indica la respuesta correcta: Disponer de una certificación bajo ISO/IEC 27001 supone el cumplimiento del ENS. Disponer de una certificación bajo ISO/IEC 27001 no supone el cumplimiento del ENS. Disponer de una certificación bajo ISO/IEC 27001 puede suponer el cumplimiento del ENS, según el alcance de la certificación. Disponer de una certificación bajo ISO/IEC 27001 puede suponer el cumplimiento del ENS, según lo estime o no la Administración pública correspondiente.

La Directiva NIS fue transpuesta al derecho español por: Real Decreto 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Real Decreto 43/2021, de 26 de enero. Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

La Directiva NIS 2: Restringe el ámbito de aplicación de la Directiva NIS. Elimina la distinción entre operadores de servicios esenciales y proveedores de servicios digitales. Indica que debe notificarse cualquier incidente que tenga un impacto en la prestación de sus servicios. No existe una Directiva NIS 2, sino un Reglamento europeo en materia de ciberseguridad.

La Directiva NIS 2 se propone en: El marco de la nueva Estrategia de Ciberseguridad de la UE para la Década Digital. La propia Directiva NIS, que prevé la existencia de la Directiva NIS 2. Una iniciativa de ENISA. No existe una Directiva NIS 2.

Según la Directiva NIS 2, los órganos de dirección de las entidades esenciales e importantes: Únicamente deberán supervisar que las medidas para la gestión de riesgos de ciberseguridad adoptadas por dichas entidades sean adecuadas. No es necesario que las medidas para la gestión de riesgos de ciberseguridad adoptadas por dichas entidades sean aprobadas por los órganos de dirección. Deberán aprobar las medidas para la gestión de riesgos de ciberseguridad adoptadas por dichas entidades, supervisar su puesta en práctica y responder por el incumplimiento por parte de las entidades de no adoptar dichas medidas. Deberán aprobar las medidas para la gestión de riesgos de ciberseguridad adoptadas por dichas entidades y supervisar su puesta en práctica, pero no responderán por el incumplimiento por parte de las entidades de no adoptar dichas medidas.

De acuerdo con la Directiva NIS 2, los órganos de dirección de las entidades esenciales e importantes: Deberán asistir a formaciones en materia de gestión de riesgos de ciberseguridad. No están obligados a recibir formación, pero sí a que los empleados implicados en la seguridad la reciban. Es conveniente que asistan a formaciones en dicha materia. No son las personas que han de recibir formación en materia de seguridad.

La Directiva NIS creó un grupo de cooperación que se mantiene en la Directiva NIS 2: Formado por representantes de los Estados miembros, la Comisión y la ENISA. Formado por representantes de los Estados miembros. Formado por representantes de los Estados miembros y la ENISA. Formado por representantes de los Estados miembros y sus CSIRT.

Las entidades esenciales e importantes deberán notificar, sin demora indebida, a su CSIRT o, en su caso, a su autoridad competente: Cualquier incidente que tenga un impacto considerable en la prestación de sus servicios, bien porque ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad o bien porque ha afectado o puede afectar a otras personas físicas o jurídicas, al causar perjuicios materiales o inmateriales considerables. Cualquier incidente que tenga un impacto considerable en la prestación de sus servicios, bien porque ha causado o puede causar graves incomodidades operativas de los servicios o bien porque ha afectado o puede afectar a otras personas físicas. Cualquier incidente que tenga un impacto significativo en la prestación de sus servicios, bien porque ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad o bien porque ha afectado o puede afectar a otras personas físicas o jurídicas, al causar perjuicios materiales o inmateriales considerables. Cualquier incidente que tenga trascendencia considerable en la prestación de sus servicios, bien porque ha causado o puede causar graves incomodidades operativas de los servicios o bien porque ha afectado o puede afectar a otras personas físicas.

La Directiva NIS 2: Mantiene la distinción entre operadores de servicios esenciales y proveedores de servicios digitales. Mantiene la distinción entre operadores de servicios esenciales y proveedores de servicios digitales e introduce que la clasificación se haga en función de su importancia. Elimina la distinción entre operadores de servicios esenciales y proveedores de servicios digitales y se aplica a las entidades públicas y privadas cuyo tipo se enmarque en el de las entidades esenciales del anexo I y en el de las entidades importantes del anexo II. Propone que la clasificación se haga en función del sector al que pertenezcan.

Las entidades afectadas deberán presentar al CSIRT o, en su caso, a la autoridad competente: Una alerta temprana, sin demora indebida y, en cualquier caso, en el plazo de veinticuatro horas desde que se haya tenido constancia del incidente significativo y una notificación del incidente sin demora indebida y, en cualquier caso, en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo. Una alerta temprana, sin demora indebida y, en cualquier caso, en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo y una notificación del incidente sin demora indebida y, en cualquier caso, en el plazo de veinticuatro horas desde que se haya tenido constancia del incidente significativo. Una alerta temprana, sin demora indebida y, en cualquier caso, en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo y una notificación del incidente sin demora indebida y, en cualquier caso, en el plazo de noventa y seis horas desde que se haya tenido constancia del incidente significativo. Una alerta temprana, sin demora indebida y, en cualquier caso, en el plazo de treinta y seis horas desde que se haya tenido constancia del incidente significativo y una notificación del incidente sin demora indebida y, en cualquier caso, en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo.

Respecto a los equipos de respuesta a incidentes de seguridad informática (CSIRT), de acuerdo con la Directiva NIS: Cada Estado miembro designará uno o varios CSIRT. Cada Estado miembro designará un CSIRT. Cada Estado miembro designará un CSIRT salvo que justifique que no es necesario. Cada Estado miembro designará un CSIRT salvo que llegue a un acuerdo con la Comisión Europea y justifique debidamente su decisión.

A efectos de aplicación de la LSSI, esta se aplica a aquellos servicios de la sociedad de la información que constituyan actividad económica para su prestador: Existe actividad económica cuando su responsable recibe ingresos directos (por las actividades de comercio electrónico que lleve a cabo, etc.) o indirectos (por publicidad, patrocinio, etc.) derivados de la actividad que realice por medios electrónicos. Existe actividad económica solo cuando su responsable recibe ingresos directos (por las actividades de comercio electrónico que lleve a cabo, etc.). Existe actividad económica cuando su responsable recibe ingresos directos (por las actividades de comercio electrónico que lleve a cabo, etc.) o indirectos (por publicidad, patrocinio, etc.) derivados de la actividad que realice por medios electrónicos solo cuando se trate de relación empresa-consumidor. Existe actividad económica cuando su responsable recibe ingresos solo de actividades empresa-empresa.

Indica la respuesta correcta: La LSSI contempla el principio de necesidad de autorización previa para cualquier actividad. La LSSI no requiere la necesidad de autorización previa para la prestación de servicios de la sociedad de la información, sin perjuicio de que aquellas actividades que requieran autorización administrativa o cualquier otro requisito deberán cumplir con ellos. La LSSI no requiere la necesidad de autorización previa para la prestación de servicios de la sociedad de la información, lo que implica también la inexistencia de posibles requisitos de autorización administrativa o de cualquier otro tipo. La LSSI parte de la necesidad de autorización judicial para el inicio de actividades en la red.

Indica la respuesta correcta: No se requiere el conocimiento efectivo para considerar que el prestador de alojamiento tiene conocimiento de la presencia de contenidos ilícitos entre los alojados en sus servicios. Sí se requiere el conocimiento efectivo para considerar que el prestador de alojamiento tiene conocimiento de la presencia de contenidos ilícitos entre los alojados en sus servicios y es necesario que sea una autoridad judicial la que lo comunique. Sí se requiere el conocimiento efectivo para considerar que el prestador de alojamiento tiene conocimiento de la presencia de contenidos ilícitos entre los alojados en sus servicios y tiene que ser una autoridad administrativa la que lo comunique. Sí se requiere el conocimiento efectivo para considerar que el prestador de alojamiento tiene conocimiento de la presencia de contenidos ilícitos entre los alojados en sus servicios, pero no es necesario que haya una resolución previa de un órgano competente, sino que el conocimiento le puede haber llegado por otra vía.

Indica la respuesta correcta: Cuando una página web almacene cookies, la mera actividad del usuario implica la prestación del consentimiento por sí misma. Cuando una página web almacene cookies de los usuarios, no debe solicitar su consentimiento, pero sí informar. Cuando una página web almacene cookies de los usuarios, debe solicitar su consentimiento y debe informar. Cuando una página web almacene cookies, se exige la preceptiva autorización de la Agencia Española de Protección de Datos para ello.

El contrato electrónico es: Cualquier contrato cuyo objeto son bienes y servicios informáticos solo entre empresas. Cualquier contrato cuyo objeto son bienes y servicios informáticos. Cualquier contrato que, con independencia de su objeto, se ha celebrado por medios electrónicos. Cualquier contrato cuyo objeto son bienes y servicios informáticos solo entre empresa y particular.

El lugar en el que se presumirá celebrado un contrato electrónico entre una empresa y un consumidor es: El lugar del domicilio social o establecimiento mercantil del empresario (prestador de servicios) que celebra el contrato. El lugar de residencia habitual del consumidor que celebra el contrato. El lugar del domicilio social o establecimiento mercantil de la empresa que provee el ancho de banda. El lugar del domicilio social del ISP que actúe de intermediario.

Indica la respuesta correcta: Es necesario obtener el consentimiento del usuario antes de utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios. Se pueden instalar cookies siempre que informemos previamente. No siempre es necesario obtener el consentimiento previo del usuario para la instalación de cookies. Si la información sobre cookies está disponible de forma permanente en la página web, no es necesario obtener el consentimiento.

¿Cuál de los siguientes no es un beneficio de los códigos de conducta para las entidades que se adhieren a ellos?: Generan confianza en los usuarios. Pueden aumentar sus ventas. Puede permitirles posicionarse frente a su competencia. Les permiten estar exentos de probar los contratos electrónicos.

En una contratación electrónica, la LSSI establece obligación de informar: Toda la información deberá ofrecerse al comprador antes de la contratación. Deberá informarse al comprador después de la contratación. Deberá informarse al comprador tanto antes como después de la contratación. Deberá informarse al comprador solo si así lo solicita.

En relación con las comunicaciones comerciales por vía electrónica: En ningún caso podrán enviarse sin el consentimiento expreso del destinatario. Podrán enviarse sin necesidad de consentimiento expreso y, si no desea recibirlas, bastará con que solicite la baja. Podrán enviarse si se cuenta con el consentimiento expreso del receptor, excepto en el caso de que hubiera existido una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. Solo podrán enviarse a las personas que cada dos años renueven su consentimiento.

Los prestadores de servicios de confianza que expidan certificados electrónicos: Podrán disponer de un servicio de consulta sobre el estado de validez o revocación de los certificados emitidos accesible al público. Deberán disponer de un servicio de consulta sobre el estado de validez o revocación de los certificados emitidos accesible al público. No son responsables del estado de validez o revocación de los certificados que hayan expedido. Deberán atender cualquier consulta sobre el estado de validez o revocación de los certificados emitidos.

La Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza: Tiene por objeto regular determinados aspectos de los servicios electrónicos de confianza, como complemento del Reglamento (UE) 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. No complementa ningún aspecto del Reglamento (UE) 910/2014. No complementa ningún aspecto del Reglamento (UE) 910/2014, ya que su objeto es la derogación de la Ley 59/2003 de firma electrónica. Tiene por objeto regular los servicios electrónicos cualificados de confianza y la firma electrónica no es uno de ellos.

El período de vigencia de los certificados electrónicos cualificados es: No superior a cinco años. Los certificados electrónicos se extinguen por caducidad a la expiración de su período de vigencia, por lo que su duración dependerá de si se ha renovado o no. Los certificados electrónicos se extinguen por revocación de los prestadores de servicios electrónicos de confianza, por lo que su duración persistirá en tanto no sean revocados. No superior a seis años.

Respecto a la comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado: La firma de la solicitud de expedición de un certificado cualificado deberá legitimarse notarialmente. La identificación de la persona física que solicite un certificado cualificado exigirá su personación ante los encargados de verificarla y se acreditará mediante el Documento Nacional de Identidad, pasaporte u otros medios admitidos en derecho. La identificación de la persona física que solicite un certificado cualificado se acreditará mediante el Documento Nacional de Identidad, pasaporte u otros medios admitidos en derecho. El solicitante podrá elegir entre la personación ante los encargados de verificar su identidad o presentar copia de su Documento Nacional de Identidad, pasaporte u otros medios admitidos en derecho.

Sobre la identidad del solicitante de un certificado cualificado: El solicitante de un certificado no podrá consignar un pseudónimo, siempre ha de constar su identidad real. Los prestadores de servicios electrónicos de confianza que consignen un pseudónimo en un certificado electrónico deberán constatar la verdadera identidad del titular del certificado y conservar la documentación que la acredite. Los prestadores de servicios electrónicos de confianza podrán consignar un pseudónimo en un certificado electrónico bajo la responsabilidad del titular del certificado, quien deberá conservar la documentación que la acredite. Los prestadores de servicios electrónicos de confianza no pueden saber si el certificado se ha realizado bajo un pseudónimo o bajo la identidad real del solicitante.

Los prestadores de servicios de confianza no cualificados: No deberán comunicar el inicio de su actividad. Necesitan verificación administrativa previa de cumplimiento de requisitos para iniciar su actividad. Deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses desde que la inicien. No deberán comunicar el inicio de su actividad, ni necesitan verificación administrativa previa para iniciar su actividad.

Si se produce una violación de seguridad: Los prestadores cualificados y no cualificados de servicios electrónicos de confianza únicamente deberán notificarla al Ministerio de Asuntos Económicos y Transformación Digital. Los prestadores cualificados de servicios electrónicos de confianza la notificarán al Ministerio de Asuntos Exteriores, Unión Europea y Cooperación. Los prestadores cualificados y no cualificados de servicios electrónicos de confianza notificarán al Ministerio de Asuntos Económicos y Transformación Digital, sin perjuicio de su notificación a la Agencia Española de Protección de Datos. Los prestadores cualificados y no cualificados de servicios electrónicos de confianza únicamente deberán notificarlo a la Agencia Española de Protección de Datos.

En relación con los prestadores de servicios de confianza no cualificados y cualificados: El Ministerio de Asuntos Económicos y Transformación Digital publicará un listado en su página web con la descripción detallada y clara de las características propias y diferenciales de los prestadores cualificados y de los prestadores no cualificados. El Ministerio de Asuntos Económicos y Transformación Digital publicará en su página web dos listas diferentes con la descripción detallada y clara de las características propias y diferenciales de los prestadores cualificados y de los prestadores no cualificados. El Ministerio de Economía y Digitalización publicará en su página web dos listas diferentes con la descripción detallada y clara de las características propias y diferenciales de los prestadores cualificados y de los prestadores no cualificados. El Ministerio de Economía y Digitalización publicará un listado en su página web con la descripción detallada y clara de las características propias y diferenciales de los prestadores cualificados y de los prestadores no cualificados.

Con el Reglamento 910/2014 (eIDAS): Se mantiene la denominación de firma electrónica avanzada basada en un certificado reconocido. La firma electrónica avanzada basada en un certificado reconocido pasa a denominarse firma electrónica reconocida. La firma electrónica avanzada basada en un certificado reconocido pasa a denominarse firma electrónica cualificada. La firma electrónica avanzada basada en un certificado reconocido pasa a denominarse firma electrónica certificada.

Los prestadores cualificados de servicios electrónicos de confianza: Deberán conservar la información relativa a los servicios prestados durante un período de quince años desde la extinción del certificado o la finalización del servicio prestado. Deberán conservar la información relativa a los servicios prestados durante un período de diez años desde la extinción del certificado o la finalización del servicio prestado. Deberán conservar la información relativa a los servicios prestados durante un período de cinco años desde la extinción del certificado o la finalización del servicio prestado. Deberán conservar la información relativa a los servicios prestados durante un período de veinte años desde la extinción del certificado o la finalización del servicio prestado.

Entre las características que definen a la ciberdelincuencia, no se encuentra la siguiente: Son delitos de fácil comisión. Las pruebas no se pueden alterar ni manipular. Con frecuencia tienen un elemento internacional. En algunos casos, la víctima no es consciente de serlo.

¿En cuál de las siguientes motivaciones podríamos englobar a los ciberdelincuentes que, siguiendo las instrucciones de una empresa, acceden ilícitamente a los sistemas de una compañía de la competencia con la finalidad de robar información relacionada con el desarrollo de un producto?: Motivos terroristas. Motivos laborales. Motivos económicos-empresariales. Otras motivaciones.

¿Cuál de los siguientes términos estaría relacionado con la ciberdelincuencia que actúa con motivaciones políticas?: Crakers. Phishers. Hacktivistas. Hackers.

Según la clasificación de EUROPOL, para que exista delincuencia organizada se tienen que dar, entre otros, alguno de los siguientes indicadores. Señala la incorrecta: Colaboración de dos o más personas. Existencia de mecanismos de control y disciplina interna. Permanencia en el tiempo. Sospecha de comisión de delitos leves.

Un ejemplo del potencial delictivo que las TIC ofrecen a la ciberdelincuencia lo encontramos en relación con los: Delitos medioambientales. Delitos contra la seguridad vial. Delitos económicos. Ninguno de los anteriores.

¿Entre las facilidades que ofrece Internet a los ciberdelincuentes, se encuentra su utilidad en la búsqueda y selección de víctimas, toda vez que a través de consultas y búsquedas se puede llegar a obtener: Direcciones físicas de las potenciales víctimas. Fotografías personales de las potenciales víctimas. Matrículas de vehículos. Cualquiera de los datos anteriores.

Cuando se habla de ciberdelincuencia organizada en la que existe una distribución clara de papeles desarrollados por cada componente de la organización, se suele poner como ejemplo a los grupos dedicados a las estafas conocidas como phishing. Entre las funciones que desarrollan, no se encuentra: Creación o modificación de malware para explotar vulnerabilidades. Falsificación física de documentación. Recepción en cuentas bancarias de dinero procedente de estafas y posterior remisión a la organización delictiva a través de compañías de envío internacional de dinero. Búsqueda, organización y mantenimiento de redes de mulas.

Al Convenio sobre la ciberdelincuencia del Consejo de Europa se le conoce también como: Convenio de Bucarest. Convenio de Ginebra. Convenio de Budapest. Convenio de La Haya.

En la sec. I del cap. II del Convenio sobre la ciberdelincuencia del Consejo de Europa se hace referencia a las conductas que se deben tipificar como delito, que se dividen en los cuatro grupos siguientes: Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos. Delitos informáticos y delitos relacionados con el contenido. Delitos relacionados con infracciones de la propiedad intelectual y los derechos afines. Todos los anteriores.

España, en relación con el Convenio sobre la ciberdelincuencia: No lo ha firmado. Lo ha firmado, pero no ratificado. Lo ha firmado y ratificado, pero no está en vigor. Lo ha firmado, ratificado y se encuentra en vigor.

Entre los estafadores considerados tradicionales y los que cometen sus estafas a través de Internet existen grandes similitudes y también diferencias. De entre las siguientes características que se citan, indica cuáles corresponden con los ciberestafadores: Son necesarias grandes cualidades interpretativas o teatrales. Requieren una inversión económica previa considerable. Asumen siempre riesgo físico. Ninguna de las anteriores se corresponde con características de los ciberestafadores.

El pharming consiste en: Modificar el servicio de DNS. Un ataque al correo electrónico. Un ataque a una web. Ninguna de las anteriores.

Las acciones llevadas a cabo por delincuentes con el fin de obtener, por distintas vías, la información necesaria para acceder de manera no autorizada a las cuentas bancarias online de otras personas se conocen como: Skimming. Piercing. Phishing. Smishing.

En este tema se ha dividido el ciclo del phishing en tres fases. ¿Cuál de la siguientes se corresponde con una de ellas?. Captación de mulas. Identificación de cuentas. Traslado de efectivo. Localización de víctimas.

En los correos electrónicos fraudulentos enviados por las organizaciones de phishers, se suele hacer mención a distintas cuestiones relacionadas con la seguridad de la banca electrónica, entre las que se encuentran: Cambios en la política de seguridad. Detección de presuntos fraudes. Actualización de sistemas. Todas las anteriores.

La técnica para obtener datos privados mediante la utilización de mensajes de texto se conoce como: Skimming. Piercing. Phishing. Smishing.

En cuanto a la modalidad dirigida a usuarios concretos de banca online, elegidos por su perfil al suponer que disponen de mayor capacidad económica, se conoce como: Skimming. Whaling. Phishing. Smishing.

Los programas informáticos que recogen en un fichero las pulsaciones que se realizan sobre el teclado del equipo informático en el que están instalados se conocen como: Troyanos. Capturadores. Cracks. Keyloggers.

La técnica diseñada para capturar información personal mediante la modificación del servidor de DNS se conoce con el término: Pharming. Dnsing. Phishing. Smishing.

Dentro del ciclo del phishing, ¿a qué fase pertenece un correo electrónico que incluye el siguiente texto?: Captura de datos. Captación de mulas. Trasferencia, monetización y envío. Ninguna de las anteriores: no se incluye dentro del ciclo del phishing, sino del skimming.

En los fraudes online existe el mayor índice de delitos no denunciados principalmente porque: Los importes suelen ser bajos. Falta información sobre dónde denunciar el delito. Hay desconfianza policial. Ninguna de las anteriores es cierta.

En la redacción del Código Penal, se hace distinción entre dos tipos de fraudes relacionados con Internet. ¿Cuáles son?: Según la cantidad estafada, se dividen en estafas graves y estafas menos graves. Los que cuentan con Internet como elemento facilitador de su comisión y las identificadas como estafas informáticas. Los que se cometen a través de correo electrónico y los que se realizan por vía web. Las estafas informáticas y las estafas tecnológicas.

El carding o card no present fraud consiste en la utilización de determinados datos relacionados con una tarjeta bancaria con el fin de realizar compras o pagos fraudulentos. ¿Cuáles son esos datos concretos?: La numeración de la tarjeta. La entidad bancaria. El nombre del cliente. Ninguna de las anteriores.

El ciberdelito que consiste en realizar una copia de la información de una tarjeta de crédito que no aparece a simple vista se denomina: Pharming. Vishing. Skimming. Ninguna de las anteriores.

Las bandas magnéticas de las tarjetas de crédito poseen tres pistas. ¿En cuál de ellas está grabada el código PIN?: Primera. Segunda. Tercera. Ninguna de las anteriores.

Existen dos técnicas para apoderarse de la información de las tarjetas en sistemas de pago. Una de ellas es instalar físicamente sistemas que permitan copiar la información, ¿cuál es la otra técnica?: Solo existe la técnica citada. Contar con empleados desleales. La violencia física. Ninguna de las anteriores es correcta.

Uno de los principales mercados negros de venta de tarjetas de crédito es: Aplicaciones de mensajería instantánea. Darknet. Redes sociales. Ninguna de las anteriores.

La comunicación de una ganancia económica, proveniente de una herencia, subvención internacional o robo, es la estafa denominada: Romancescam. Carta nigeriana. Ransomware. Ninguna de las anteriores.

La estafa denominada «novia rusa» es del tipo: Romancescam. Carta nigeriana. Ransomware. Ninguna de las anteriores.

Rogue es un tipo concreto de malware que: Se instala en dispositivos USB durante la navegación por webs poco seguras. Se instala durante la navegación por webs de la darknet. Se instala de manera oculta durante la navegación por webs poco seguras. Ninguna de las anteriores.

Los delitos que se pueden considerar como puramente informáticos son los recogidos bajo el término «daños informáticos», que se definen como ataques contra el principio de: Correo electrónico. Integridad. Indisponibilidad. Lealtad.

Dejar fuera de servicio un sistema informático podría incluirse como un ataque contra el principio de: Funcionalidad. Productividad. Confidencialidad. Disponibilidad.

Se podría decir que el salto cualitativo en el diseño de malware se dio a partir del diseño de: Malware dirigido a smartphones. Utilización de la ingeniería social. Malware polimórfico. Troyanos.

Entre los objetivos buscados en los ataques especialmente diseñados para dispositivos móviles, no se encuentra: Utilizar el smartphone para enviar mensajes a números de teléfonos privados. Capturar la información referida a las conexiones con redes sociales. Robo de información particular. Utilización del sistema telefónico como parte de una botnet móvil.

No forma parte de las características de una APT: Está desarrollada específicamente para un objetivo concreto. Los autores cuentan con altísimos recursos económicos para su comisión. Una vez instalada la APT, el malware no se modifica a fin de no ser detectado. Permanece activa por un período muy prolongado de tiempo.

Entre las fases en las que se puede dividir un ataque ATP, no se encuentra la siguiente: Reconocimiento. Obtención de credenciales de usuario. Desinstalación del software de comunicaciones. Escalada de privilegios.

¿Qué nombre se le da a una red de ordenadores que, tras ser infectada por un malware, es controlada de manera coordinada y remota?. Red de malware. Red de phishing. Red de troyanos. Red de botnet.

El malware conocido como ransomware es también identificado como: Virus troyano. Virus de secuestro. Virus de la policía. Virus mutante.

El éxito del ransomware se basa, entre otras cosas, en: La facilidad de desinfección. La individualización del mensaje presentado, en función del sistema operativo instalado en el equipo informático de la víctima. El pago del rescate a través de sistemas de pago directo. La sencillez del código del malware.

Entre las vías para la obtención de beneficios asociadas a las webs de distribución de obras sujetas a propiedad intelectual, no se encuentra: Publicidad. Venta de direcciones de correos electrónicos. Cobro por descargas priorizadas. Distribución de críticas cinematográficas.

De las vías que existen para poner en conocimiento de las autoridades la existencia de un ciberdelito, ¿cuál de ellas se puede realizar a través de un mensaje electrónico?. La querella. La denuncia. La comunicación. Cualquiera de ellas.

A la hora de presentar una denuncia, se debe tener en cuenta que: Se debe describir todo lo ocurrido de manera general. El lenguaje que se debe emplear será el adecuado para ser comprendido por personas sin formación técnica. Se debe describir lo ocurrido de manera detallada. No se aportará información más allá del hecho ocurrido.

En una querella: El querellante forma parte del proceso. El querellante no forma parte del proceso. No existe el querellante. Ninguna de las anteriores.

A fin de contar con las máximas garantías de éxito en la resolución de un ciberdelito, es recomendable que una denuncia siga algunas pautas como, por ejemplo: Se debe presentar cuando se tengan todos los datos, sin que el tiempo que se tarde afecte en algo a la investigación. Es obligatorio presentarla por escrito. Es aconsejable que la denuncia sea confeccionada únicamente por el responsable técnico de la empresa víctima, ya que es él quien conoce lo que ha ocurrido exactamente. El objeto de la denuncia es que lo que en ella se exponga sea comprendido por todos los actores jurídicos y policiales que intervengan.

En la denuncia se debe incluir: Datos de identificación del autor del delito. Todos los elementos que se relacionen con el hecho denunciado descritos detalladamente. Los orígenes de la víctima. Los orígenes del autor del delito.

¿Cómo entendemos a aquella información que, hallándose almacenada en un sistema informático o electrónico, pueda resultar determinante para la resolución de un delito, para conocer cómo se ha producido o qué efectos concretos ha causado?. Datos identificativos. Relación de hechos. Evidencia digital. Prueba digital.

Entre las características de las evidencias digitales, se encuentran: Que son resistentes. Que son inalterables. Que son fuertes. Que son alterables.

Entre los procesos que se desarrollan durante la recogida de las evidencias, no se encuentra: Identificación. Alteración. Recogida. Preservación.

El proceso completo que se sigue para retirar los dispositivos físicos del lugar donde se encuentren, con objeto de realizar sobre ellos un análisis forense, se conoce cómo: Adquisición. Toma de muestras. Duplicado. Recogida.

Entre la información que se debe incluir en la documentación que acompañe a toda evidencia se debe incluir: Identificación del autor del delito. Número de evidencia común para todos los dispositivos identificados como posibles evidencias. Lugar en el que se encontraba en el momento de ser identificada. Descripción general del dispositivo.

Entre las características que definen a la cibedelincuenica, no se encuentra la siguiente. Los indicios de la comisión de un hecho delictivo suelen hallarse en servidores donde no se almacenan por periodos prolongados de tiempo. Existe una importante cifra negra de delitos, al no denunciarse por distintos motivos como puede ser que la víctima no sea consciente de ello. Los resultados de los delitos se manifiestan en todos los casos de manera instantánea. Con relativa frecuencia tienen un elemento internacional.

¿En cuál de las siguientes motivaciones podríamos englobar a los ciberdelincuentes que trasladan a Internet un conflicto político, llamando la atención sobre sus reivindicaciones?. Motivos terroristas. Motivos Laborales. Otras motivaciones. Motivos políticos.

Según la clasificación de EUROPOL, para que exista delincuencia organizada se tienen que dar, entre otros, alguno de los siguientes indicadores. Señalar la incorrecta. Sospecha comisión delitos leves. Permanencia en el tiempo. Existencia de mecanismos de control y disciplina interna. Colaboración de dos o más personas.

Las acciones llevadas a cabo por delincuentes con el fin de obtener, por distintas vías, la información necesaria para acceder de manera no autorizada a las cuentas bancarias online de otras personas (víctimas), se conoce como: Phishing. Smishing. Vishing. Traping.

La técnica diseñada para capturar información personal mediante la modificación del servidor de DNS, se conoce con el término: Carding. Grooming. Pharming. Whaling.

El derecho a la protección de datos. Es un derecho fundamental que forma parte del derecho fundamental a la intimidad. Es un derecho fundamental independiente del derecho a la intimidad. Es un derecho de rango ordinario. Está en vías de ser aprobado como derecho fundamental.

Comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado: La firma de la solicitud de expedición de un certificado cualificado deberá legitimarse notarialmente. La identificación de la persona física que solicite un certificado cualificado exigirá su personación ante los encargados de verificarla y se acreditará mediante el Documento Nacional de Identidad, pasaporte u otros medios admitidos en Derecho. La identificación de la persona física que solicite un certificado cualificado se acreditará mediante el Documento Nacional de Identidad, pasaporte u otros medios admitidos en Derecho. El solicitante podrá elegir entre la personación ante los encargados de verificar su identidad o presentar copia de su Documento Nacional de Identidad, pasaporte u otros medios admitidos en Derecho.

En relación con la certificación de conformidad requerida por el Esquema Nacional de Seguridad para sistemas de nivel medio y alto: La pueden emitir sólo las entidades acreditadas para certificar ISO 27001. La pueden emitir sólo las entidades acreditadas para ENAC específicamente para certificar ENS. La puede emitir la misma organización. Sólo puede emitirlas el CCN.

Indica la respuesta correcta: La “Privacidad desde el diseño” debe incluir todo el ciclo de vida del dato (desde la recogida hasta la cancelación). La “Privacidad desde el diseño” se refiere a la recogida de datos por defecto. La “Privacidad desde el diseño” sólo afecta al sector privado. La “Privacidad desde el diseño” sólo afecta al sector público.

Indica la respuesta correcta respecto del consentimiento en el RGPD: Para los datos no sensibles es válido el consentimiento tácito. Es exigible el consentimiento expreso sólo para datos de menores. Dependerá del país de destino (transferencias internacionales). Debe de ser siempre “inequívoco” y “explícito”.

El principio de seguridad establecido en el RGPD implica que : El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Supone que el responsable y el encargado del tratamiento deberán adoptar obligatoriamente el catálogo de medidas de seguridad establecidas en el RGPD. El responsable y el encargado del tratamiento adoptarán las medidas de seguridad que les indique el Delegado de Protección de Datos. Deberán adoptar las medidas de seguridad que indique la Evaluación de Impacto que obligatoriamente todo responsable y el encargado del tratamiento debe realizar en cualquier caso.

En el Esquema Nacional de Seguridad la categoría de un sistema es: BAJO, si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior. BAJO, si la mayoría de sus dimensiones de seguridad alcanzan el nivel BAJO. BAJO, si al menos la mitad de sus dimensiones de seguridad alcanzan el nivel BAJO. Ninguna de las anteriores.

En el tiempo, Los resultados del delito pueden manifestarse... Mucho tiempo después de haberse realizado. Depende de si el delito es nacional o internacional. Es dependiente de las características del ciberdelincuente. Ninguna de las anteriores.

Para poder definir lo que se entiende por delincuencia organizada, EUROPOL cita como un indicador... Colaboración de más de dos personas. Colaboración de más de tres personas. Colaboración de solo una persona. Ninguna de las anteriores.

Una característica que define a la ciberdelincuencia y que la distinguen de la que podemos calificar como delincuencia tradicional es el... Una víctima se asocia a un ciberdelito. Los indicios de la comisión de un delito suelen hallarse en los PC ́s de los ciberdelincuentes. Son delitos de fácil comisión. Ninguna de las anteriores.

Respecto a las pistas existentes en la banda magnética de una tarjeta de crédito... La pista 1 y la 2, son únicamente de lectura. Las tres pistas son de lectura/escritura. Tiene una de lectura y otra de escritura. Ninguna de las anteriores.

¿Que es un Screenlogger?. Capturador de porciones de pantalla. Es un keylogger con funciones reducidas. Estafa basada en el correo electrónico. Ninguna de las anteriores.

A fin de contar con las máximas garantías de éxito en la resolución de un ciberdelito, es aconsejable que las denuncias sigan algunas pautas, entre las que se encuentra por ejemplo: Es aconsejable que la denuncia sea confeccionada únicamente por el responsable técnico de la empresa víctima, ya que es él que conoce lo que ha ocurrido exactamente. Es obligatorio que la denuncia se presente por escrito. Es esencial que lo que se exponga en la denuncia sea comprendido por todos los actores jurídicos y policiales que intervengan. Se debe presentar cuando se tengan todos los datos, sin que el tiempo que se tarde afecte en algo a la investigación.

Si se produce una violación de seguridad: Los prestadores cualificados y no cualificados de servicios electrónicos de confianza únicamente deberán notificarlo al Ministerio de Asuntos Económicos y Transformación Digital. Los prestadores cualificados de servicios electrónicos de confianza la notificarán al Ministerio de Asuntos Económicos y Transformación Digital. Los prestadores cualificados y no cualificados de servicios electrónicos de confianza notificarán al Ministerio de Asuntos Económicos y Transformación Digital sin perjuicio de su notificación a la Agencia Española de Protección de Datos. Los prestadores cualificados y no cualificados de servicios electrónicos de confianza únicamente deberán notificarlo a la Agencia Española de Protección de Datos.

En el Esquema Nacional de Seguridad la categoría de un sistema es: BAJO, si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior. BAJO, si todas sus dimensiones de seguridad alcanzan el nivel BAJO. BAJO, si la mayoría de sus dimensiones de seguridad alcanzan el nivel BAJO. BAJO, si al menos la mitad de sus dimensiones de seguridad alcanzan el nivel BAJO.

El principio de seguridad establecido en el RGPD implica que : El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Supone que el responsable y el encargado del tratamiento deberán adoptar obligatoriamente el catálogo de medidas de seguridad establecidas en el RGPD. El responsable y el encargado del tratamiento adoptarán las medidas de seguridad que les indique el Delegado de Protección de Datos. Deberán adoptar las medidas de seguridad que indique la Evaluación de Impacto que obligatoriamente todo responsable y el encargado del tratamiento debe realizar en cualquier caso.

El responsable del tratamiento es: La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros almacene los datos. La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. La persona física o jurídica, autoridad pública, servicio u otro organismo, cuyos datos se tratan. La persona física cuyos datos se tratan.

Entre las fases en las que se puede dividir un ataque ATP, se encuentra: Monetización. Reconocimiento. Desinstalar software de comunicaciones. Búsqueda de comisiones.

Entre las vías para obtención de beneficios asociadas a las webs de distribución de obras sujetas a propiedad intelectual, no se encuentra: Venta de direcciones de correos electrónico. Distribución de criticas cinematográficas. Cobro por descargas priorizadas. Publicidad.

A fin de contar con las máximas garantías de éxito en la resolución de un ciberdelito, es aconsejable que las denuncias sigan algunas pautas, entre las que se encuentra por ejemplo: Es aconsejable que la denuncia sea confeccionada únicamente por el responsable técnico de la empresa víctima, ya que es él que conoce lo que ha ocurrido exactamente. Es obligatorio que la denuncia se presente por escrito. Es esencial que lo que se exponga en la denuncia sea comprendido por todos los actores jurídicos y policiales que intervengan. Se debe presentar cuando se tengan todos los datos, sin que el tiempo que se tarde afecte en algo a la investigación.

En la redacción del Código Penal, se hace distinción entre dos tipos de fraudes relacionados con Internet.¿Cuáles son?. Según la cantidad estafada se dividen en estafas graves y estafas menos graves. Las estafas informáticas y las estafas tecnológicas. Los que cuentan con Internet como elemento facilitador de su comisión y las identificadas como “estafas informáticas”. Según la cantidad estafada se dividen en estafas graves y estafas menos graves.

Entre las siguientes características, ¿cuál define a las evidencias digitales?. Son permanentes en el tiempo. No son fáciles de manipular. La permanencia en el tiempo, es similar a la de las relacionadas con los delitos tradicionales. Son fáciles de manipular.