Cuestionario de Ciberseguridad y Protección de Datos 2

Una empresa recibe un correo aparentemente enviado por su proveedor habitual solicitando cambiar urgentemente el número de cuenta para el pago de una factura. No hay adjuntos ni malware, pero el mensaje parece legítimo y presiona para actuar rápido. ¿Qué ataque encaja mejor?. Phishing genérico, porque siempre implica una web falsa para robar contraseñas. BEC, porque explota la confianza en un proveedor o directivo para provocar una acción económica. Ransomware, porque busca obtener dinero de la víctima mediante extorsión.

Un usuario autenticado en su banco visita otra web maliciosa. Sin darse cuenta, su navegador envía una petición al banco aprovechando que su sesión seguía abierta. ¿Qué ataque describe mejor esta situación?. XSS, porque el atacante ejecuta JavaScript dentro del navegador. CSRF, porque se fuerza una acción usando la sesión autenticada del usuario. SQLi, porque se manipula una consulta de base de datos desde un formulario.

Una web permite introducir comentarios. Un atacante consigue que al abrir la página otros usuarios ejecuten código JavaScript que roba cookies de sesión. ¿Cuál es la descripción más precisa?. CSRF, porque el navegador envía peticiones sin consentimiento del usuario. SQLi, porque el atacante introduce código que modifica la base de datos. XSS, porque el código se ejecuta en el navegador de la víctima como si fuera legítimo.

¿Qué combinación de ataque y mitigación está mejor emparejada?. CSRF — Content Security Policy. SQL Injection — HSTS. Buffer Overflow — DEP, ASLR y canarios de pila.

Una aplicación web evita construir consultas SQL concatenando directamente texto introducido por el usuario. ¿Qué ataque está mitigando principalmente?. SQL Injection. Cross-Site Scripting. Man-in-the-Middle.

En una WiFi abierta, un atacante se sitúa entre el usuario y el servidor para interceptar o modificar la comunicación. ¿Qué defensa reduce directamente este riesgo en navegación web?. CSP y X-Frame-Options. Tokens anti-CSRF y cookies SameSite. TLS y HSTS.

Un malware destruye de forma irreversible los datos de una organización y no pide rescate. ¿Qué tipo de malware es más probable?. Ransomware moderno. Wiper. RAT.

¿Qué diferencia mejor un ransomware moderno de un wiper?. El ransomware moderno solo muestra publicidad, mientras que el wiper cifra ficheros. El ransomware puede cifrar y robar datos para extorsionar; el wiper busca destruirlos sin rescate. El ransomware actúa solo en navegadores; el wiper solo en servidores DNS.

Un atacante permanece oculto durante meses dentro de una red corporativa, extrayendo información poco a poco. ¿Qué concepto encaja mejor?. RAT, porque cualquier acceso remoto ya implica persistencia avanzada. APT, porque implica un ataque sofisticado, prolongado y persistente. Adware, porque se mantiene instalado durante mucho tiempo.

¿Cuál de estas opciones distingue mejor IOC de IOA?. Un IOC indica comportamiento de ataque en curso; un IOA es siempre una IP bloqueada. Un IOC es una evidencia de compromiso; un IOA indica comportamiento que sugiere un ataque en curso. IOC e IOA son equivalentes, pero el IOC se usa solo en ataques web.

¿Por qué el cifrado simétrico se usa para proteger grandes volúmenes de datos?. Porque no necesita claves. Porque evita el problema de distribución de claves. Porque es mucho más rápido que el cifrado asimétrico.

¿Cuál es el principal problema práctico del cifrado simétrico?. Distribuir la clave de forma segura entre las partes. Que no permite cifrar grandes cantidades de datos. Que solo puede usarse con certificados X.509.

En TLS, ¿por qué no se usa normalmente RSA o Diffie-Hellman para cifrar todos los datos de la sesión?. Porque los algoritmos asimétricos no ofrecen autenticación. Porque el cifrado asimétrico es más lento y se usa sobre todo para autenticación o acuerdo de claves. Porque TLS solo permite cifrado simétrico y nunca usa criptografía asimétrica.

¿Qué ventaja aporta Diffie-Hellman efímero en una conexión TLS?. Permite verificar que un archivo no ha cambiado. Permite acordar una clave de sesión y favorece el forward secrecy. Permite firmar digitalmente el certificado del servidor.

Si se roba la clave privada de un servidor, ¿qué propiedad evita que puedan descifrarse conversaciones antiguas capturadas previamente?. Firma digital. Hash SHA-256. Forward secrecy.

¿Cuál describe mejor una función hash?. Transforma datos en una salida fija que puede revertirse si se conoce la clave. Transforma datos en una salida fija y no permite recuperar el original. Cifra datos usando una clave pública y una privada.

¿Qué garantiza una firma digital correctamente realizada?. Confidencialidad, porque el mensaje queda cifrado para terceros. Autenticidad, integridad y no repudio. Disponibilidad, porque impide ataques DDoS.

Si un mensaje está firmado digitalmente pero no cifrado, ¿qué afirmación es correcta?. Nadie puede leer su contenido salvo el destinatario. Puede verificarse quién lo envió y si fue alterado, pero el contenido no queda oculto. Solo garantiza que el mensaje llegará al destinatario.

¿Qué papel cumple una Autoridad de Certificación en el uso de certificados X.509?. Firma certificados para vincular una identidad con una clave pública. Genera la clave privada de todos los usuarios. Decide qué puertos HTTPS puede usar un servidor.

¿Qué opción describe mejor una cipher suite TLS?. Una lista de dominios autorizados para cargar scripts. Una combinación de algoritmos para intercambio de claves, autenticación, cifrado y hash. Un certificado que contiene titular, clave privada y fecha de expiración.

¿Qué diferencia principal hay entre CVSS y EPSS?. CVSS estima probabilidad de explotación y EPSS mide impacto legal. CVSS puntúa gravedad; EPSS estima probabilidad de explotación en los próximos 30 días. Ambos miden exactamente lo mismo, pero CVSS se usa solo en España.

¿Qué organización se asocia correctamente con CVE y ATT&CK?. NIST. MITRE. FIRST.

¿Cuál es la relación más correcta entre NIST, NVD y CPE?. NIST gestiona CVE y ATT&CK, y NVD depende de MITRE. NIST mantiene la NVD y usa CPE para identificar software y hardware. NIST mantiene OWASP Top 10 y CVSS 4.0.

¿Qué describe mejor Zero Trust?. Permitir todo el tráfico interno y bloquear solo el externo. Verificar identidad y contexto siempre, incluso dentro de la red corporativa. Confiar solo en usuarios con certificado personal.

¿Qué idea representa mejor Security by Design / by Default?. Aplicar parches solo cuando aparezca una vulnerabilidad crítica. Añadir seguridad al final del proyecto para no retrasar el desarrollo. Diseñar el sistema con seguridad desde el principio y configuración restrictiva por defecto.

¿Qué diferencia mejor un EDR de un antivirus basado en firmas?. El EDR solo compara archivos con una base de datos de malware conocido. El EDR recoge telemetría continua y permite detectar, investigar y responder. El EDR sustituye al firewall bloqueando todo el tráfico de red.

¿Cuál de estas afirmaciones sobre HIDS es correcta?. Bloquea tráfico HTTP malicioso en capa 7. Monitoriza logs, ficheros y procesos locales de un servidor concreto. Sustituye a Nmap en el descubrimiento de puertos.

En una auditoría, quieres saber qué puertos están abiertos y qué servicios se ejecutan en un host. ¿Qué herramienta usarías primero?. Metasploit. Nessus. Nmap.

¿Qué diferencia mejor Nessus y Metasploit?. Nessus explota vulnerabilidades y Metasploit solo las lista. Nessus escanea y reporta vulnerabilidades; Metasploit permite ejecutar exploits. Ambos son antivirus comportamentales.

¿Qué afirmación sobre SMTP es más precisa?. SMTP se usa para leer correo y sus puertos principales son 143 y 993. SMTP se usa para enviar correo; 25 entre servidores, 465 con TLS desde el inicio y 587 con STARTTLS. SMTP descarga correos al cliente y normalmente los borra del servidor.

Un usuario quiere leer el mismo buzón desde móvil, portátil y web manteniendo los correos sincronizados en el servidor. ¿Qué protocolo encaja mejor?. POP3. SMTP. IMAP.

¿Qué combinación está mejor descrita?. SPF firma el mensaje; DKIM lista IPs autorizadas; DMARC traduce dominios. SPF indica IPs autorizadas; DKIM firma el mensaje; DMARC define política si fallan. SPF rechaza correos; DKIM decide quarantine; DMARC contiene la clave privada.

Si un dominio publica una política DMARC en modo "reject", ¿qué indica?. Que solo se registrarán los fallos sin afectar al correo. Que los mensajes fallidos se enviarán a spam. Que los mensajes que fallen la validación deben rechazarse.

¿Qué registro DNS indica qué servidores reciben correo para un dominio?. TXT. MX. A.

¿Cuál es un ejemplo correcto de autenticación multifactor?. Contraseña y PIN, porque ambos son factores distintos. Contraseña y app TOTP, porque combinan algo que sé y algo que tengo. Huella y reconocimiento facial, porque ambos pertenecen a algo que tengo.

En biometría, si un sistema acepta demasiados impostores como usuarios válidos, ¿qué métrica está fallando especialmente?. FRR. EER. FAR.

¿Qué cabecera HTTP mitiga principalmente el riesgo de cargar scripts no autorizados?. X-Frame-Options. Content-Security-Policy. Referrer-Policy.

¿Qué cabecera ayuda a evitar SSL stripping obligando al navegador a usar HTTPS?. X-Content-Type-Options. Permissions-Policy. Strict-Transport-Security.

¿Por qué robots.txt no debe considerarse una medida de seguridad?. Porque solo funciona con páginas HTTPS. Porque es público y solo da instrucciones a buscadores, no impide el acceso real. Porque cifra rutas sensibles pero no las oculta.

¿Qué combinación de código HTTP y significado es correcta?. 401 — recurso no encontrado. 403 — prohibido. 500 — redirección permanente.

¿Qué diferencia mejor PUT y PATCH?. PUT borra recursos y PATCH los crea. PUT actualiza el recurso completo; PATCH realiza una actualización parcial. PUT solo se usa con HTTPS y PATCH solo con HTTP.

¿Qué correspondencia con capas OSI es más correcta?. Switch tradicional — capa 3; router — capa 2; WAF — capa 4. Router — capa 7; WAF — capa 3; switch — capa 1. Switch tradicional — capa 2; router — capa 3; WAF — capa 7.

¿Cuál describe mejor TCP frente a UDP?. TCP es sin conexión y más rápido; UDP usa handshake. TCP es orientado a conexión y fiable; UDP es más rápido pero sin garantías de entrega u orden. TCP se usa solo para DNS; UDP se usa solo para correo electrónico.

¿Qué proceso corresponde a DHCP?. SYN → SYN-ACK → ACK. Reconocimiento → entrega → explotación → instalación. DISCOVER → OFFER → REQUEST → ACK.

¿Qué diferencia mejor IDS e IPS?. El IDS bloquea y el IPS solo alerta. El IDS detecta y alerta; el IPS detecta y bloquea. Ambos bloquean siempre en tiempo real.

¿Qué diferencia mejor un firewall stateless de uno stateful?. El stateless recuerda conexiones; el stateful solo mira IP de origen. El stateless filtra sin recordar estado; el stateful tiene en cuenta el estado de la conexión. El stateless trabaja en capa 7; el stateful solo en capa física.

¿Qué solución se asocia más con controlar acceso a servicios SaaS?. ZTNA. WAF. CASB.

¿Qué RAID ofrece striping sin tolerancia a fallos?. RAID 1. RAID 0. RAID 5.

En RAID 5, ¿qué afirmación es correcta?. Tolera dos fallos simultáneos y requiere mínimo cuatro discos. Usa paridad distribuida, requiere mínimo tres discos y tolera un fallo. Duplica todos los discos y ofrece siempre el 50% de capacidad útil.

¿Qué tipo de backup requiere para restaurar la copia completa y todos los incrementales posteriores en orden?. Diferencial. Incremental. Sintética.

¿Qué tipo de backup copia los cambios desde la última copia completa?. Incremental. Diferencial. Snapshot.

¿Qué combinación describe mejor RPO y RTO?. RPO mide tiempo máximo de caída; RTO mide datos perdidos. RPO mide pérdida máxima aceptable de datos; RTO mide tiempo máximo de recuperación. RPO y RTO son equivalentes, pero se usan en metodologías distintas.

¿Por qué las cintas LTO pueden ser útiles frente al ransomware?. Porque permiten replicación síncrona con RPO = 0. Porque son baratas, offline y difíciles de cifrar por un atacante conectado a la red. Porque sustituyen a la necesidad de copias completas.

¿Qué caracteriza a la replicación síncrona?. RPO mayor que cero y adecuada para largas distancias con alta latencia. RPO = 0, pero requiere baja latencia y puede penalizar el rendimiento. No necesita confirmar escrituras en destino.

¿Qué banda WiFi ofrece mayor cobertura y penetración, pero suele estar más saturada?. 5 GHz. 6 GHz. 2.4 GHz.

¿Qué mejora introduce WPA3 frente a WPA2 según los apuntes?. Usa WEP reforzado con RC4. SAE, resistencia a ataques de diccionario y forward secrecy. Elimina la necesidad de cifrado individual por dispositivo.

¿Qué es OWE?. Un protocolo de autenticación empresarial basado en RADIUS. Una forma de cifrado automático en redes abiertas sin contraseña. Un identificador único de la tarjeta SIM.

¿Qué diferencia mejor SSID y BSSID?. SSID es la MAC del AP; BSSID es el nombre visible de la red. SSID es el nombre de la red; BSSID es la MAC del punto de acceso. Ambos identifican siempre al terminal móvil.

¿Qué identificador se asocia con la SIM y puede ser capturado por IMSI-catchers?. IMEI. ICCID. IMSI.

¿Qué afirmación sobre GPS es correcta?. Necesita señal de al menos dos satélites para posición 3D. Necesita señal de al menos cuatro satélites y es vulnerable a jamming y spoofing. No tiene alternativas internacionales.

¿Cuál es la fórmula más habitual del riesgo en los apuntes?. Riesgo = Amenaza + Control. Riesgo = Probabilidad × Impacto. Riesgo = Confidencialidad × Integridad × Disponibilidad.

¿Qué diferencia mejor análisis de riesgos y gestión de riesgos?. El análisis decide controles; la gestión solo identifica activos. El análisis identifica activos, amenazas y vulnerabilidades; la gestión decide e implementa qué hacer con el riesgo. Son conceptos equivalentes y se usan indistintamente.

¿Qué estrategia de riesgo consiste en aceptar el riesgo porque el coste de mitigarlo supera el impacto esperado?. Transferir. Reducir. Asumir.

¿Qué tipo de salvaguarda son los backups?. Preventiva. Detectiva. Correctiva.

¿Qué ejemplo corresponde mejor a una salvaguarda detectiva?. Cifrado de disco. IDS y logs. Control de acceso.

¿Qué diferencia principal hay entre MAGERIT y OCTAVE?. MAGERIT se centra solo en activos críticos; OCTAVE analiza todos los activos. MAGERIT es exhaustiva y propone medidas; OCTAVE se centra en activos críticos y exige plan estratégico. MAGERIT es internacional; OCTAVE es española del CSAE.

¿Qué dato sería considerado personal según los apuntes?. Las medidas de seguridad de una central nuclear. Una dirección IP asociable a una persona. Una norma interna sin referencia a usuarios.

¿Qué datos pertenecen a categoría especial o nivel alto?. Datos fiscales y de solvencia patrimonial. Nombre, teléfono y dirección postal. Salud, biometría identificativa, ideología u orientación sexual.

¿Cuál es una base de legitimación válida para tratar datos personales?. Interés comercial genérico sin informar al usuario. Consentimiento, contrato, obligación legal, intereses vitales, interés público o interés legítimo. Cualquier finalidad si los datos están en internet.

¿Qué requisito debe cumplir el consentimiento según el RGPD?. Puede ser tácito si el usuario no se opone. Debe ser libre, específico, informado e inequívoco. Puede obtenerse mediante casillas premarcadas.

¿Qué diferencia mejor responsable y encargado del tratamiento?. El encargado decide la finalidad y el responsable solo ejecuta instrucciones. El responsable decide para qué y cómo se tratan los datos; el encargado actúa siguiendo sus instrucciones. Ambos tienen exactamente las mismas funciones y autonomía.

¿Cuál es el plazo general para responder a los derechos del interesado?. 72 horas. 1 mes. 1 año.

¿Cuál es el plazo máximo general para suprimir imágenes de videovigilancia si no son prueba de delito?. 72 horas. 1 mes. 6 meses.

¿Cuándo puede consentir un menor el tratamiento de sus datos en España según los apuntes?. A partir de los 12 años. A partir de los 14 años. Solo a partir de los 18 años.

¿Qué diferencia correcta hay entre ENS e ISO 27001?. ISO 27001 es obligatoria para el sector público español; ENS es internacional voluntaria. ENS es obligatorio para el sector público español y proveedores; ISO 27001 es un estándar internacional certificable de SGSI. Certificarse en ENS implica automáticamente ISO 27001.

¿Qué principio del RGPD exige recoger solo los datos necesarios para la finalidad prevista?. Limitación del plazo de conservación. Minimización de datos. Exactitud.

¿Qué principio implica que el responsable debe poder demostrar que cumple la normativa?. Limitación de finalidad. Integridad y confidencialidad. Responsabilidad proactiva.

¿Cuándo sería obligatoria una EIPD?. Siempre que una empresa tenga página web. Cuando el tratamiento suponga alto riesgo, como perfilado masivo o datos sensibles a gran escala. Solo cuando los datos sean de nivel básico.

¿Cuál sería la multa máxima para infracciones muy graves del RGPD según los apuntes?. 10 millones de euros o 2% de facturación. 20 millones de euros o 4% de facturación, lo que sea mayor. 5 millones de euros o 1% de facturación.