Cuestionario de Ciberseguridad y Hardening

¿En el contexto de hardening de servidores web, cuál de las siguientes medidas es fundamental para minimizar la superficie de ataque del sistema operativo subyacente?. Implementar el cifrado de datos en reposo para todas las bases de datos y archivos sensibles. Configurar un balanceador de carga HTTP para distribuir el tráfico entre múltiples servidores web. Exigir autenticación de dos factores para todos los inicios de sesión de administradores del servidor. Deshabilitar todos los servicios del sistema operativo no esenciales y desinstalar el software no utilizado. Asegurar la segregación de la red del servidor web del resto de la red corporativa.

¿En el análisis de riesgos de ciberseguridad, cuál es la distinción fundamental entre 'vulnerabilidad' y 'amenaza'?. Una vulnerabilidad es un intento de ataque exitoso, y una amenaza es un ataque fallido. Una vulnerabilidad es el impacto financiero de un ataque, y una amenaza es el control de seguridad implementado. Una vulnerabilidad es una debilidad que puede ser explotada, y una amenaza es un evento o actor que busca explotar esa debilidad. Una vulnerabilidad es un control de seguridad ineficaz, y una amenaza es un informe de auditoría. Ambos términos son sinónimos y describen cualquier debilidad en un sistema informático.

¿Por qué es crucial implementar el principio de 'mínimo privilegio' en la configuración de un sistema operativo en un entorno de hardening?. Simplifica la gestión de usuarios y grupos al estandarizar los permisos para todos los componentes del sistema. Asegura que todas las aplicaciones tengan acceso completo a todos los recursos para garantizar su correcto funcionamiento. Minimiza el impacto de una posible brecha de seguridad al limitar los permisos de usuarios y procesos a lo estrictamente necesario. Facilita la auditoría de seguridad al eliminar la necesidad de registrar los cambios de permisos. Mejora el rendimiento general del sistema al reducir la cantidad de recursos que cada proceso puede utilizar.

Al aplicar hardening a una base de datos crítica, ¿cuál de los siguientes elementos representa la principal 'superficie de ataque' y requiere una atención prioritaria en su configuración y gestión?. Las credenciales de los usuarios de la base de datos y sus privilegios de acceso. El tamaño total de los datos almacenados en la base de datos. La ubicación física del servidor donde reside la base de datos. La velocidad de procesamiento del servidor de la base de datos. El tipo de hardware subyacente que aloja la base de datos (ej. HDD vs SSD).

¿En la seguridad de aplicaciones web, qué técnica de hardening es más efectiva para mitigar ataques de inyección SQL?. Almacenar todas las contraseñas de usuario mediante algoritmos de hashing fuerte. Implementar un Web Application Firewall (WAF) sin validar las entradas de usuario. Aplicar solo validación de entrada del lado del cliente sin saneamiento en el servidor. Cifrar todas las comunicaciones entre el cliente y el servidor utilizando HTTPS. Utilizar consultas parametrizadas (prepared statements) en todo acceso a bases de datos.

Dentro del hardening de seguridad de red, ¿cuál es el objetivo principal de la implementación de la micro-segmentación?. Aumentar el ancho de banda total de la red para aplicaciones de alto rendimiento. Reducir la latencia de las comunicaciones entre los diferentes servidores de la red. Restringir el movimiento lateral de un atacante dentro de la red, limitando el impacto de una brecha. Proporcionar redundancia para los enlaces de red críticos y evitar puntos únicos de fallo. Simplificar la gestión de direcciones IP y la asignación de redes VLAN.

¿Qué principio de seguridad es el más directamente abordado por la implementación de listas blancas (whitelisting) de aplicaciones en un sistema operativo endurecido?. Control de acceso y denegación por defecto (implicit deny). Confidencialidad, cifrando las comunicaciones entre aplicaciones. Integridad, verificando que los archivos de las aplicaciones no hayan sido modificados. No repudiación, asegurando que el origen de cada aplicación sea verificable. Disponibilidad, garantizando que todas las aplicaciones estén siempre operativas.

En un entorno de hardening de red, ¿cuál es el propósito principal de configurar un Servidor Bastion (o Jump Server)?. Distribuir el tráfico de red entre múltiples servidores para mejorar el rendimiento y la disponibilidad. Servir como una VPN gateway para usuarios remotos que necesitan acceder a la red interna. Actuar como un servidor DNS autoritativo para la resolución de nombres de dominio internos. Almacenar copias de seguridad cifradas de los datos de los servidores internos. Proporcionar un punto de acceso seguro y monitoreado para la administración remota de sistemas internos críticos, aislando la red.

Cuando se realiza un hardening de un servidor Linux, ¿cuál de las siguientes es una medida clave para la seguridad del kernel?. Deshabilitar completamente el acceso SSH al servidor. Configurar iptables para permitir todo el tráfico saliente y bloquear todo el entrante. Deshabilitar la memoria swap para mejorar el rendimiento del sistema. Implementar un módulo de seguridad obligatorio (MAC) como SELinux o AppArmor. Asegurarse de que el espacio libre en disco sea siempre superior al 50%.

En el contexto de hardening, ¿cuál es el beneficio primario de la aleatorización del espacio de direcciones (ASLR) en los sistemas operativos modernos?. Cifrar el contenido de la memoria para proteger la confidencialidad de los datos en tiempo real. Reforzar los algoritmos de autenticación de usuarios al aleatorizar las claves de sesión. Acelerar el acceso a la memoria RAM para mejorar el rendimiento de las aplicaciones. Facilitar la depuración de programas al proporcionar un mapa de memoria consistente. Mitigar ataques de desbordamiento de búfer y otros exploits que dependen de ubicaciones de memoria predecibles.

En un escenario de hardening de bases de datos, ¿cuál de las siguientes afirmaciones sobre la 'auditoría de seguridad de bases de datos' es fundamental para la detección y respuesta a incidentes?. La auditoría es una medida preventiva que bloquea automáticamente los ataques antes de que ocurran. La auditoría de seguridad de bases de datos es principalmente una herramienta para optimizar el rendimiento de las consultas. La auditoría debe registrar accesos fallidos, cambios de privilegios y operaciones sobre datos sensibles para permitir la detección de anomalías y análisis forense. Los registros de auditoría deben ser accesibles y modificables por cualquier administrador para facilitar la gestión. La auditoría solo debe registrar los inicios de sesión exitosos para evitar sobrecargar el sistema.

Desde la perspectiva del hardening, ¿qué implica el concepto de 'segmentación de red' en relación con la reducción de la superficie de ataque?. Aumentar el número total de dispositivos de red para distribuir la carga de trabajo. Eliminar completamente todo el tráfico de red interno para prevenir escuchas no autorizadas. Asignar una dirección IP pública única a cada dispositivo dentro de la red interna. Reemplazar todos los firewalls perimetrales con VPNs de sitio a sitio. Dividir la red en zonas lógicas y aplicar controles de seguridad específicos entre ellas para limitar el alcance de un posible ataque.

En el análisis de riesgos de ciberseguridad, ¿cuál es la función principal de una 'matriz de riesgo' en relación con las vulnerabilidades y amenazas identificadas?. Clasificar y priorizar los riesgos en función de la probabilidad de que una amenaza explote una vulnerabilidad y el impacto potencial resultante. Reemplazar completamente la necesidad de implementar controles de seguridad al identificarlos todos. Eliminar todas las vulnerabilidades del sistema antes de la implementación de controles de seguridad. Medir la velocidad de procesamiento de los datos sensibles en un sistema. Generar automáticamente reportes de cumplimiento normativo sin necesidad de análisis humano.

En el contexto de la seguridad de red y el hardening, ¿cuál es la función principal de un Sistema de Detección/Prevención de Intrusiones (IDS/IPS)?. Proporcionar una lista exhaustiva de vulnerabilidades en el código fuente de las aplicaciones. Monitorear el tráfico de red o la actividad del sistema para detectar y, en el caso de un IPS, prevenir actividades maliciosas en tiempo real. Optimizar la configuración de los routers y switches para una mayor eficiencia. Distribuir el tráfico de red entre múltiples servidores para mejorar el rendimiento. Cifrar todo el tráfico de red entre los dispositivos conectados.

Desde la perspectiva del hardening de aplicaciones, ¿por qué es fundamental implementar una validación de entrada robusta tanto del lado del cliente como del servidor?. Ambas validaciones son redundantes y solo deben implementarse para cumplir con regulaciones no técnicas. La validación del lado del cliente es fácilmente eludible por atacantes, mientras que la validación del lado del servidor es crucial para la seguridad y la integridad de los datos procesados. La validación del lado del servidor solo es necesaria para mejorar la velocidad de carga de la página web. La validación del lado del cliente es suficiente para prevenir todos los tipos de ataques de inyección. La validación del lado del cliente es para la seguridad y la del servidor es solo para la usabilidad.

En el contexto de hardening de una base de datos, ¿por qué es crítico deshabilitar todas las funcionalidades y módulos no utilizados?. Cada funcionalidad o módulo habilitado pero no utilizado representa una posible vulnerabilidad y aumenta la superficie de ataque, facilitando su explotación por parte de un atacante. Simplifica la auditoría de seguridad al reducir la cantidad de registros generados. Mejora significativamente el rendimiento de la base de datos al liberar recursos de procesamiento y memoria. Es una medida obligatoria solo para cumplir con regulaciones específicas de la industria financiera. Facilita la recuperación de la base de datos en caso de un fallo catastrófico.

En un programa de análisis de riesgos, ¿qué técnica se enfoca en determinar el valor monetario de los activos, las pérdidas potenciales y el costo de los controles de seguridad para justificar las inversiones en ciberseguridad?. Auditorías de cumplimiento. Pruebas de penetración (Pentesting). Análisis de riesgo cuantitativo. Gestión de vulnerabilidades. Análisis de riesgo cualitativo.

En ciberseguridad, ¿cuál es la diferencia conceptual principal entre un 'ataque de día cero' ('zero-day exploit') y un 'ataque de fuerza bruta' ('brute-force attack')?. El ataque de día cero explota una vulnerabilidad de software desconocida por el fabricante, mientras que el de fuerza bruta prueba todas las combinaciones de una contraseña. Ambos son el mismo tipo de ataque, solo que el de día cero es más sofisticado. Un ataque de día cero es siempre un ataque de phishing, y uno de fuerza bruta es siempre de inyección SQL. El ataque de día cero busca denegar el servicio, mientras que el de fuerza bruta solo busca robar información. El ataque de día cero requiere interacción del usuario, pero el de fuerza bruta no.

Considerando la seguridad de aplicaciones, ¿cuál es el riesgo principal de una 'deserialización insegura' y cómo se mitiga eficazmente?. Causa un ataque de Denegación de Servicio (DoS) al consumir excesivos recursos; se mitiga aumentando la capacidad del servidor. Permite la ejecución remota de código (RCE) por parte de un atacante; se mitiga evitando la deserialización de datos de fuentes no confiables y validando rigurosamente los datos. Permite el acceso no autorizado a bases de datos directamente; se mitiga usando consultas parametrizadas. Fuga de información sensible del lado del cliente; se mitiga implementando cifrado de extremo a extremo. Degrada el rendimiento de la aplicación al procesar datos no estructurados; se mitiga optimizando la estructura de la base de datos.

Al considerar la seguridad de aplicaciones, ¿cuál es la implicación principal de la 'inmutabilidad de la infraestructura' (Infrastructure as Code) para el hardening y la gestión de vulnerabilidades?. Requiere que todos los componentes de la infraestructura se mantengan inactivos la mayor parte del tiempo. Asegura la consistencia de la configuración de seguridad y facilita la gestión de parches al reemplazar componentes en lugar de modificarlos, reduciendo la deriva de configuración. Es una práctica exclusiva de entornos de desarrollo, no aplicable a producción. Elimina completamente la necesidad de realizar pruebas de seguridad en las aplicaciones desplegadas. Prioriza el rendimiento sobre la seguridad al permitir despliegues más rápidos sin controles intermedios.