Ciberseguridad

¿Cómo se presenta el ciberespacio?. Como un sistema exclusivamente físico de comunicaciones. Como un entorno operacional virtual donde convergen personas, infraestructura, redes y sistemas de información. Como una red aislada sin relación con operaciones militares. Como un repositorio de documentos digitales sin valor operacional.

¿Cuál es la idea central del ciberespacio como "quinto dominio operacional"?. Que reemplaza totalmente a los dominios terrestre, marítimo, aéreo y espacial. Que permite proteger, explotar o afectar sistemas e información dentro de la maniobra multidominio. Que se limita únicamente al empleo de redes sociales. Que solo se utiliza para comunicaciones administrativas.

¿Cuáles son las tres capas del ciberespacio?. Física, lógica y social/ciberpersona. Táctica, operacional y estratégica. Administrativa, logística y financiera. Defensiva, ofensiva y neutral.

La capa física del ciberespacio se relaciona principalmente con: Usuarios, identidades digitales y perfiles. Protocolos, servicios digitales y VPN. Infraestructura tangible como antenas, radares, fibra óptica y equipos. La moral del personal y la disciplina individual.

La capa lógica comprende: Procesamiento, servicios digitales, protocolos, sistemas C2 y VPN. Antenas, radares y fibra óptica exclusivamente. Comandantes, operadores y usuarios finales. Normas de comportamiento en el aula.

La capa social o ciberpersona se refiere a: El hardware instalado en un centro de datos. Los usuarios, identidades digitales y actores que interactúan en el ciberespacio. El tendido de fibra óptica y antenas. Los protocolos de enrutamiento solamente.

¿Cuál de los siguientes es un activo de información?. Información de inteligencia táctica y estratégica. Únicamente el armamento individual. Solo el edificio físico de la unidad. Exclusivamente el combustible de vehículos.

La seguridad de la información protege principalmente: La infraestructura tecnológica local. El contenido, independientemente del medio donde se almacene o transmita. Solo las aplicaciones web públicas. Las capacidades ofensivas del adversario.

La seguridad informática se enfoca en proteger: La infraestructura tecnológica: hardware, software local, redes, bases de datos y dispositivos. Solamente la soberanía nacional. La moral y disciplina de la fuerza. Únicamente documentos físicos clasificados.

La ciberseguridad protege: El ecosistema digital interconectado. Solo archivos impresos clasificados. Únicamente antenas de radio HF. Exclusivamente actividades de guerra electrónica.

La ciberdefensa protege principalmente: El contenido administrativo sin relación con la misión. La soberanía y las capacidades estratégicas del Estado en el ciberespacio. Solo computadores personales de oficina. El uso recreativo de internet.

¿Cuál es la tríada fundamental de la seguridad técnica?. Objetividad, seguridad y sorpresa. Confidencialidad, integridad y disponibilidad. Tierra, mar y aire. SOC, CERT y CSIRT.

La confidencialidad busca: Evitar que la información sea conocida por personal no autorizado. Garantizar que los sistemas nunca requieran mantenimiento. Aumentar la velocidad de internet. Eliminar toda necesidad de respaldo.

La integridad busca: Mantener la exactitud y no alteración indebida de la información. Permitir que todos los usuarios modifiquen datos libremente. Reemplazar a la disponibilidad. Evitar toda trazabilidad.

La disponibilidad se relaciona con: El acceso oportuno a información, servicios y sistemas cuando la misión lo requiere. La ocultación total de los registros. La eliminación de copias de seguridad. El bloqueo permanente de los servicios.

¿Cuál es el propósito de la ciberinteligencia?. Acumular datos sin procesarlos. Transformar información del ciberespacio en conocimiento útil para la decisión. Sustituir al comandante en la toma de decisiones. Evitar toda actividad de exploración.

¿Qué centro vigila la red, detecta eventos y genera alertas de seguridad?. SOC/COS. CCO/CyOC únicamente. Área financiera. Unidad logística.

¿Qué centro atiende técnicamente el incidente, contiene, erradica y recupera?. CSIRT/CIRT. Biblioteca institucional. Oficina de partes. Sección de cultura física.

ISO/IEC 27001 se asocia principalmente con: Un Sistema de Gestión de Seguridad de la Información formal, documentado, auditable y sujeto a mejora continua. Una lista aislada de antivirus. El diseño exclusivo de redes inalámbricas. La conducción de patrullas motorizadas.

NIST CSF organiza la ciberseguridad mediante funciones como: Govern, Identify, Protect, Detect, Respond y Recover. Atacar, destruir, ocultar y abandonar. Comprar, instalar, olvidar y reemplazar. Ordenar, sancionar, archivar y eliminar.

El ciberespacio es un entorno operacional virtual donde convergen personas, infraestructura, redes y sistemas de información. Verdadero. Falso.

El ciberespacio se limita únicamente al uso de computadores administrativos. Verdadero. Falso.

La capa física incluye infraestructura tangible como antenas, radares y fibra óptica. Verdadero. Falso.

La capa lógica se refiere exclusivamente al comportamiento psicológico del usuario. Verdadero. Falso.

La capa social/ciberpersona incluye usuarios e identidades digitales. Verdadero. Falso.

Los activos de información pueden incluir información, comunicaciones, sistemas, personal, infraestructura y servicios. Verdadero. Falso.

La seguridad de la información protege únicamente servidores y equipos de red. Verdadero. Falso.

La seguridad informática protege la infraestructura tecnológica. Verdadero. Falso.

La ciberseguridad supera el enfoque puramente tecnológico local para proteger un ecosistema digital global e interconectado. Verdadero. Falso.

La ciberdefensa se ubica en un nivel estratégico-militar orientado a proteger soberanía y capacidades estratégicas del Estado. Verdadero. Falso.

La tríada CIA está integrada por confidencialidad, integridad y disponibilidad. Verdadero. Falso.

La trazabilidad impide toda atribución de acciones en el sistema. Verdadero. Falso.

La resiliencia se relaciona con supervivencia operacional, resistencia, adaptación y recuperación. Verdadero. Falso.

Un ataque de phishing busca engañar al usuario para obtener acceso o inducir una acción maliciosa. Verdadero. Falso.

Un insider es siempre un actor externo desconocido sin relación con la organización. Verdadero. Falso.

La defensa pasiva prepara, protege, vigila y fortalece la infraestructura propia. Verdadero. Falso.

La defensa activa se orienta a la búsqueda de vulnerabilidades y neutralización de amenazas en redes propias autorizadas. Verdadero. Falso.

La ciberinteligencia consiste únicamente en instalar herramientas automáticas sin análisis humano. Verdadero. Falso.

El SOC/COS monitorea, detecta, analiza eventos y genera alertas. Verdadero. Falso.

ISO/IEC 27002 sirve para seleccionar controles concretos de seguridad. Verdadero. Falso.

¿Cuáles son los tres pilares de la Triada CIA?. Confidencialidad, Integridad y Disponibilidad. Confianza, Integración y Acceso. Control, Inspección y Auditoría. Cifrado, Integración y Autenticación.

¿Cuál de los siguientes controles fue mencionado para proteger la Confidencialidad?. Redes de distribución de contenido (CDN). Control de acceso basado en roles (RBAC). Balanceadores de carga. Hashing SHA-256.

¿Cuál de las siguientes funciones forma parte del NIST Cybersecurity Framework 2.0?. Implement. Maintain. Govern. Audit.

¿Cuál es el principio central de Zero Trust mencionado en la presentación?. Never Trust, Always Verify. Trust but Verify. Always Allow Internal Traffic. Trust the Network.

¿Cuál es el SLA recomendado para vulnerabilidades críticas expuestas a Internet?. ≤ 48 horas. ≤ 30 días. ≤ 7 días. ≤ 90 días.

En la respuesta a incidentes basada en NIST SP 800-61r2, ¿qué fase sigue a Contención?. Erradicación. Preparación. Lecciones aprendidas. Recuperación.

¿Cuál es la principal diferencia entre un Firewall Tradicional y un NGFW como FortiGate?. El firewall tradicional incluye IPS integrado de forma nativa. El NGFW realiza inspección profunda de paquetes (DPI) y control a nivel de aplicación (L7). El firewall tradicional soporta más usuarios simultáneos. El NGFW solo filtra por dirección IP y puerto.

¿Cuál de las siguientes acciones de hardening se recomienda realizar inmediatamente después del acceso inicial al FortiGate?. Deshabilitar completamente el puerto MGMT. Configurar MFA para el administrador y establecer Trusted Hosts. Dejar la contraseña en blanco para facilitar el acceso al equipo. Habilitar SNMP v1 para monitoreo remoto.

En VPN IPsec, ¿qué algoritmo de cifrado y grupo Diffie-Hellman se recomienda en la Fase I?. MD5 con DH Group 5. 3DES con DH Group 2. AES-256 con DH Group 14 o 19. DES con DH Group 1.

¿Qué perfil de seguridad UTM permite identificar más de 5,000 aplicaciones por firma DPI independientemente del puerto utilizado?. DNS Filter. Web Filter. IPS (Sistema de Prevención de Intrusos). Application Control.

¿Cuál es la principal ventaja de la inspección SSL/TLS en FortiGate?. Aumenta la velocidad de navegación de los usuarios. Permite ver y analizar el contenido del tráfico cifrado que de otro modo sería invisible. Solo funciona con tráfico HTTP sin cifrar. Elimina la necesidad de certificados digitales en la red.

¿Qué tipo de log en FortiGate registra cada conexión aceptada o denegada y es esencial para auditoría?. Security Logs. Event Logs. Traffic Logs. System Logs.

¿Qué porcentaje aproximado del tráfico de red queda invisible sin la habilitación de SSL Inspection en FortiGate?. 70%. 20%. 40%. 55%.

¿Cuáles son las cuatro funciones principales que cumple la criptografía moderna?. Codificación, traducción, publicación y visualización. Virtualización, segmentación, monitoreo y respaldo. Confidencialidad, integridad, autenticación y no repudio. Compresión, disponibilidad, indexación y almacenamiento.

¿Qué tipo de cifrado es recomendable en web services?. SSLv3. TLS 1.3. Polybus. Bacon (cifrado de Bacon).

¿Cuál de los siguientes es un mecanismo de cifrado post-cuántico?. ChaCha20-Poly1305. 3DES (Triple DES). AES-256. ML-KEM-768 o ML-KEM-1024.

Según la presentación, ¿sobre qué elementos trabaja principalmente la criptografía moderna?. Bits, bytes, bloques, claves, enteros grandes y operaciones matemáticas como XOR o sumas modulares. Solamente números telefónicos, señales de radio y alfabetos fonéticos. Únicamente letras visibles, alfabetos manuales y reglas de transposición antiguas. Exclusivamente imágenes, videos y archivos comprimidos sin uso de claves.

¿Cuál es la diferencia principal entre una función hash y un cifrado reversible?. La función hash cifra bloques fijos de 128 bits para luego descifrarlos con la misma clave. La función hash calcula una huella o resumen y no está diseñada para recuperar el mensaje original. La función hash convierte texto Unicode en nombres de dominio mediante Punycode. La función hash siempre usa una llave pública y una llave privada para descifrar mensajes.

¿Qué describe mejor al cifrado simétrico?. Usa una clave pública para cifrar y una clave privada diferente para descifrar. Se limita a verificar integridad mediante un resumen hash sin confidencialidad. No usa claves, solo transforma letras en coordenadas dentro de una cuadrícula. Usa la misma clave para cifrar y descifrar; AES es un ejemplo moderno conocido.

En el ejercicio de PGP propuesto, ¿con qué llave se debe cifrar el mensaje destinado a un compañero?. Con la llave pública del compañero, para que él pueda descifrarlo con su llave privada. Con la llave privada propia, para que cualquier persona pueda descifrarlo con Internet. Con ROT13, porque es un mecanismo seguro para comunicaciones corporativas. Con una función hash, porque el objetivo es recuperar el mensaje original.

¿Cuál es una medida prioritaria para reducir el riesgo de credenciales comprometidas en entornos cloud?. Compartir claves de administrador por correo para acelerar operaciones. Aplicar MFA, federación SSO, roles temporales y acceso just-in-time. Mantener llaves estáticas de larga duración para todos los administradores. Crear usuarios locales permanentes en cada proveedor cloud sin federación.

¿Cuál es una recomendación adecuada para proteger el cifrado en tránsito en entornos cloud?. Asumir que el tráfico dentro de la VPC no requiere cifrado. Usar TLS 1.2 como mínimo y preferir TLS 1.3, además de forzar HTTPS en los endpoints. Permitir SSLv3 y TLS 1.0 para asegurar compatibilidad con cualquier cliente. Evitar el uso de certificados gestionados porque dificultan la rotación.

En el diseño de una VPC segura, ¿qué tipo de recursos deberían ubicarse en subredes públicas?. Bases de datos con información sensible para facilitar el mantenimiento remoto. Backups, snapshots y repositorios con información confidencial. Solo balanceadores, bastion hosts u otros componentes estrictamente necesarios de exposición controlada. Cualquier servidor de aplicaciones, sin necesidad de restricciones de entrada.

¿Cuál es una diferencia correcta entre Security Groups y NACL en AWS?. Los Security Groups son stateless y operan únicamente a nivel de datacenter físico. Los Security Groups son stateful y operan a nivel de instancia/ENI; las NACL son stateless y operan a nivel de subnet. Ambos funcionan exactamente igual y se aplican al mismo nivel de red. Las NACL solo permiten reglas allow y nunca reglas deny.

¿Cuál es un riesgo típico de seguridad en arquitecturas serverless o FaaS?. Obligación de exponer SSH/RDP directamente a internet para administrar la función. Imposibilidad absoluta de recibir eventos desde servicios como S3, SQS o Pub/Sub. Ausencia total de costos operativos aunque exista abuso o denegación de servicio. Permisos IAM excesivos en la función, dependencias vulnerables o secretos en variables de entorno.

¿Cuál es la secuencia recomendada de respuesta a incidentes en la nube presentada en el material?. Detectar, contener, preservar, erradicar, recuperar y aprender. Aislar el datacenter físico, reemplazar cables, reinstalar hardware y cerrar el caso. Publicar el incidente, eliminar recursos, activar MFA y luego detectar. Recuperar, borrar evidencias, apagar logs, contener y aprender.

Según el panorama de amenazas 2026, el "reloj del zero-day" muestra que el tiempo medio de explotación se ha invertido. ¿Qué significa el valor de -7 días proyectado para 2026?. En promedio, los atacantes explotan la vulnerabilidad ~7 días antes de que exista el parche. Las brechas tardan 7 días en detectarse. Los parches se publican 7 días antes que el exploit. El parcheo automático reduce la exposición a 7 días.

Según el panorama de amenazas 2026 ¿qué describe mejor el papel de la IA como multiplicador de fuerza ofensivo?. Es una tecnología defensiva exclusiva de los SOC. Sustituye por completo a los operadores humanos en los ataques. Únicamente afecta a modelos de lenguaje, no a la infraestructura. Automatiza reconocimiento, genera exploits polimórficos y orquesta movimiento lateral, reduciendo el tiempo hasta el compromiso.

Un actor del ecosistema criminal vende acceso autenticado a redes ya comprometidas, credenciales VPN y web shells, pero no despliega el ransomware él mismo. ¿Qué rol es?. RaaS Operator (Ransomware as a Service). Bulletproof Hosting. Initial Access Broker (IAB). Exploit Broker.

En el SOC, ¿cuál es el rol responsable de la defensa de primera línea, monitorear alertas y atender incidentes?. Threat Intelligence Analyst. Threat Hunter. Security Architect. Security Analyst.

¿Qué tecnología se usa para inspeccionar contenido y encabezados de correo y detectar spam, phishing y spear phishing?. Email Gateway (Secure Email Gateway). Antivirus (AV) de endpoint. NIDS (Network Intrusion Detection System). Firewall de red perimetral.

Según la presentación, la afirmación "la identidad es el nuevo perímetro" se justifica porque: El perímetro tradicional se disolvió con SaaS y proveedores cloud, y IAM, MFA y SSO pasan al centro de la defensa. Los firewalls dejaron de funcionar completamente. La biometría es ahora el único método de acceso válido. El cifrado reemplazó a la segmentación de red.

EI SIEM eleva una alerta de prioridad alta: w3wp.exe lanza powershell.exe con -EncodedCommand, seguido de una conexión saliente a una IP externa nueva, todo en 90 segundos. ¿Cuál es la interpretación y la acción inicial correctas?. Es actividad sospechosa de alta confianza (posible web shell); contener el host y escalar a respuesta a incidentes. Es un verdadero negativo; deshabilitar el monitoreo de PowerShell en ese servidor. Es un falso positivo típico de mantenimiento; cerrar la alerta y documentar. Es tráfico cifrado normal; añadir la IP a la lista de permitidos.