cuestionario honypot

1. ¿Cuál es la definición principal de un "Honeypot" en seguridad de la información?. • A) Un firewall perimetral de última generación que bloquea todo el tráfico malicioso conocido. • B) Un recurso de red legítimo diseñado para acelerar el procesamiento de datos del e-commerce. • C) Un recurso de información cuyo valor radica en el uso no autorizado o ilícito del mismo. • D) Una herramienta automatizada para eliminar virus y ransomware de las bases de datos de red. • E) Un protocolo de cifrado simétrico que protege la transferencia de archivos corporativos críticos.

2. Si un Honeypot simula únicamente un servicio específico (como un servidor SSH o una base de datos) utilizando scripts interactivos limitados, ¿de qué tipo se clasifica?. • A) Honeynet de producción. • B) Honeypot de baja interacción. • C) Honeynet híbrida corporativa. • D) Honeytoken dinámico de red. • E) Honeypot de alta interacción.

3. ¿Cuál es la principal ventaja de un Honeypot de "alta interacción"?. • A) Consume muy pocos recursos del sistema y es imposible de evadir por los atacantes. • B) Permite al atacante interactuar con un sistema operativo real, capturando técnicas avanzadas. • C) No requiere supervisión de TI ni aislamiento lógico de red para operar de forma segura en la nube. • D) Está diseñado exclusivamente para simular impresoras físicas en redes y entornos logísticos. • E) Automatiza el bloqueo de direcciones IP maliciosas en todos los firewalls perimetrales.

4. ¿Qué define conceptualmente a una "Honeynet"?. • A) Una red compuesta por dos o más honeypots que simula una infraestructura corporativa completa. • B) Una red privada virtual (VPN) utilizada por los administradores para conectarse de forma remota. • C) Una red de producción real altamente protegida por múltiples sistemas de detección de intrusos. • D) Un protocolo de enrutamiento dinámico diseñado para desviar el tráfico basura de internet. • E) Un sistema centralizado de distribución de parches de seguridad para servidores Linux y Windows.

5. En el diseño de una Honeynet, ¿cuál es la función del componente denominado "Honeywall"?. • A) Encriptar las bases de datos de los clientes en producción para evitar fugas de información masivas. • B) Servir como un balanceador de carga para los servidores web principales expuestos a internet. • C) Eliminar automáticamente las cuentas de usuario de los atacantes que ingresan al sistema corporativo. • D) Monitorear, capturar y controlar de forma estricta todo el tráfico que entra y sale de la Honeynet. • E) Bloquear de forma física los puertos de los conmutadores de red cuando se detecta un escaneo de puertos.

6. ¿Qué es un "Honeytoken"?. • A) Una criptomoneda utilizada para pagar rescates en ataques complejos de ransomware corporativo. • B) Un token de autenticación multifactor (MFA) de uso exclusivo para el equipo de seguridad informática. • C) Un activo de información falso colocado estratégicamente para detectar accesos no autorizados. • D) Un certificado digital caducado que bloquea la conexión de usuarios a servidores antiguos obsoletos. • E) Un algoritmo de hash utilizado para verificar la integridad de las copias de seguridad del sistema.

7. Si un administrador de base de datos introduce un registro falso con una dirección de correo inexistente en la tabla de clientes para rastrear si alguien está extrayendo información ilegalmente, está utilizando un: • A) Honeypot físico perimetral. • B) Firewall de aplicación web (WAF). • C) Sistema de prevención de intrusos (IPS). • D) Dispositivo de descifrado SSL pasivo. • E) Honeytoken de base de datos.

8. Desde la perspectiva de la recopilación de alertas, ¿por qué los Honeypots generan una tasa extremadamente baja de falsos positivos?. • A) Porque filtran el tráfico web entrante utilizando listas blancas rigurosas de direcciones IP. • B) Porque por definición, ningún usuario legítimo tiene una razón operativa para interactuar con ellos. • C) Porque resuelven los problemas de seguridad automáticamente sin necesidad de alertar al administrador. • D) Porque operan únicamente en redes aisladas de internet que no reciben solicitudes externas de red. • E) Porque utilizan motores de inteligencia artificial que descartan el tráfico sospechoso de los usuarios.

9. ¿Cuál de los siguientes riesgos es el más crítico al implementar un Honeypot de alta interacción en una red corporativa?. • A) Que consuma demasiado ancho de banda de la red durante el horario laboral de la compañía. • B) Que los atacantes lo ignoren por completo debido a que su diseño técnico es demasiado simple. • C) Que las aplicaciones en la nube de los clientes finales sufran caídas críticas de rendimiento. • D) Que el atacante comprometa el honeypot y lo utilice como plataforma de salto hacia la red real. • E) Que altere las políticas de enrutamiento internas de los conmutadores principales de producción.

10. ¿Cuál es el propósito fundamental de un Honeypot de producción?. • A) Realizar investigaciones académicas a largo plazo sobre el comportamiento de las botnets globales. • B) Servir como servidor de respaldo (backup) principal en caso de desastre tecnológico en el centro de datos. • C) Proteger la red de una organización específica desviando y detectando ataques en tiempo real. • D) Analizar el rendimiento técnico del personal de TI durante los turnos nocturnos de soporte. • E) Auditar el cumplimiento de las licencias de software de los sistemas operativos de la empresa.

11. ¿Cuál es la diferencia operativa entre un Honeypot de investigación y uno de producción?. • A) El de investigación busca obtener información de tácticas; el de producción mitigar riesgos inmediatos. • B) El de investigación se compra con licencias comerciales y el de producción es siempre software libre. • C) El de producción no captura registros de auditoría detallados y el de investigación sí los almacena. • D) El de investigación simula hardware físico y el de producción solo opera en contenedores Docker. • E) El de producción se ubica fuera del firewall perimetral y el de investigación se instala en la intranet.

12. Un registro de configuración que contiene credenciales falsas de una base de datos crítica de e-commerce y que se deja intencionalmente en un repositorio público de GitHub corporativo es un ejemplo de: • A) Honeynet híbrida externa. • B) Fuga de información involuntaria. • C) Escáner de vulnerabilidades pasivo. • D) Honeytoken de credencial. • E) Mecanismo de control de acceso lógico.

13. ¿Qué mecanismo se utiliza primordialmente en una Honeynet para evitar que los atacantes utilicen los recursos comprometidos para lanzar ataques DoS (Denegación de Servicio) hacia el exterior de internet?. • A) El apagado automático del sistema cada vez que se detecta una conexión externa entrante. • B) La eliminación por completo de los protocolos de comunicación TCP/IP en la red falsa. • C) El bloqueo total y permanente de cualquier tipo de conexión de entrada al entorno simétrico. • D) El enrutamiento de todo el tráfico malicioso hacia bucles de retorno locales dentro del servidor. • E) El control y limitación estricta de la velocidad de salida de datos (Data Control) en el gateway.

14. Al realizar un análisis forense de la interacción de un intruso en un Honeypot de alta interacción, ¿dónde se deben almacenar los logs para evitar que el atacante los modifique o elimine?. • A) En el disco duro local del mismo Honeypot utilizando atributos de archivos ocultos del sistema. • B) En un servidor de logs centralizado seguro fuera del entorno del Honeypot vía Syslog cifrado. • C) En la memoria caché del navegador web del administrador que realiza el monitoreo diario de la red. • D) En un archivo de texto plano ubicado dentro del directorio principal del sistema operativo simulado. • E) En los enrutadores de la red perimetral que conectan el centro de datos con el proveedor de internet.

15. En el contexto de un ataque informático, ¿qué significa el término "Fingerprinting de Honeypots"?. • A) El proceso mediante el cual un administrador rastrea la huella digital física del atacante en su teclado. • B) El cifrado de los archivos de registro de red usando algoritmos avanzados de hashing como SHA-256. • C) Las técnicas que emplean los atacantes para identificar si el sistema es un entorno real o una trampa. • D) La autenticación biométrica requerida para ingresar al centro de datos donde se ubica el Honeypot físico. • E) La firma digital que el sistema operativo falso estampa en los archivos descargados por el intruso.

16. ¿Cuál de las siguientes herramientas de código abierto es ampliamente conocida para desplegar múltiples Honeypots de baja interacción de forma simultánea?. • A) Wireshark Network Analyzer. • B) Metasploit Hacking Framework. • C) Network Mapper (Nmap). • D) Dionaea o Kippo/Cowrie. • E) Snort Intrusion Detection.

17. Si se despliega un Honeytoken consistente en un archivo PDF titulado "Salarios_Ejecutivos_2026.pdf" en una carpeta compartida de la red interna, ¿cómo detecta el equipo de seguridad que ha sido comprometido?. • A) El archivo se borra automáticamente del disco duro al ser abierto por un usuario intruso de la red. • B) El sistema operativo bloquea la sesión de la computadora del usuario que intentó mover el archivo de red. • C) El PDF realiza una petición web silenciosa a un servidor de control interno al ser abierto por el intruso. • D) El antivirus corporativo genera una alerta de malware genérica indicando la presencia de un exploit. • E) El switch de red deshabilita el puerto físico asociado a la dirección IP que leyó el documento PDF.

18. ¿Por qué las tecnologías de engaño (deception) complementan de forma efectiva a los sistemas IDS clásicos basados en firmas?. • A) Porque no requieren energía eléctrica ni recursos de procesamiento para funcionar en entornos en la nube. • B) Porque reemplazan de forma definitiva la necesidad de contar con analistas humanos en el equipo del SOC. • C) Porque bloquean físicamente los cables de red perimetrales ante la presencia de cualquier anomalía de datos. • D) Porque detectan ataques de día cero y tácticas de movimiento lateral sin requerir una firma conocida previa. • E) Porque duplican el ancho de banda disponible de los servidores de producción de la infraestructura interna.

19. Al implementar una Honeynet en una arquitectura de nube (AWS, Azure o GCP), ¿qué aspecto normativo y de seguridad es fundamental revisar antes del despliegue?. • A) El límite máximo de capacidad de almacenamiento de los discos de estado sólido virtuales asignados. • B) Las políticas del proveedor de nube respecto al despliegue de software de engaño y tráfico malicioso. • C) El esquema de colores y la interfaz gráfica del panel de control de administración de la nube pública. • D) La compatibilidad de los sistemas operativos falsos con lenguajes de programación obsoletos en la empresa. • E) La cantidad de memoria RAM física instalada en los servidores del proveedor de servicios de internet.

20. En la gestión de incidentes, el uso de datos recopilados por una Honeynet corporativa ayuda principalmente a: • A) Rediseñar el logotipo y la identidad visual de la empresa tras sufrir un incidente de seguridad crítico. • B) Alimentar el sistema de Inteligencia de Amenazas local con Indicadores de Compromiso (IoCs) del atacante. • C) Aumentar la velocidad de descarga de la red local de los usuarios internos de la compañía en producción. • D) Automatizar los procesos de pago de nóminas del área de sistemas y soporte técnico de la organización. • E) Validar las pólizas de seguro contra incendios de las instalaciones físicas del centro de cómputo principal.

21. Al aplicar tecnologías de engaño en entornos de Active Directory, ¿cuál es el método más efectivo para detectar ataques de movimiento lateral?. • A) Modificar las contraseñas de todos los administradores legítimos del sistema global cada 24 hours continuas. • B) Deshabilitar de forma permanente el protocolo Kerberos en todos los controladores de dominio de la red. • C) Insertar cuentas de usuario y SPN falsos en el directorio que generen alertas críticas al ser consultados. • D) Instalar agentes de software de antivirus en cada una de las estaciones de trabajo de los empleados operativos. • E) Restringir el acceso físico a las terminales de red de las oficinas administrativas de la organización corporativa.

22. ¿Cuál es una de las principales desventajas de los honeypots de baja interacción frente a los atacantes expertos?. • A) Requieren licencias comerciales de software extremadamente costosas para poder operar de forma legal en la red. • B) Su emulación limitada de servicios puede ser descubierta rápidamente mediante comandos de prueba avanzados. • C) Consumen toda la memoria RAM de los servidores principales de producción donde son instalados localmente. • D) Obligan a detener los servicios web legítimos de la compañía durante los procesos de actualización de código. • E) Generan una cantidad masiva de falsos positivos que saturan las consolas de monitoreo del equipo defensivo.

23. ¿Por qué es fundamental realizar el aislamiento de un honeypot corporativo mediante el uso de redes virtuales (VLANs) dedicadas?. • A) Para mejorar los tiempos de respuesta de los servidores web de los clientes finales que acceden por internet. • B) Para reducir los costos de facturación de los servicios de infraestructura en la nube del proveedor externo. • C) Para garantizar que el tráfico malicioso quede contenido y no afecte los sistemas de producción reales. • D) Para permitir que los empleados de la compañía realizar pruebas de desarrollo de software sin restricciones. • E) Para automatizar la asignación de direcciones IP dinámicas en las estaciones de trabajo de los usuarios informáticos.

24. Dentro de las técnicas de engaño basadas en identidades, ¿qué es un "Honey-user"?. • A) Un perfil de usuario con altos privilegios reales otorgado al director de tecnología para auditorías sorpresivas. • B) Un empleado real entrenado de forma avanzada por la empresa para detectar ingenieros sociales externos sospechosos. • C) Una cuenta ficticia atractiva creada en el sistema informático para delatar intentos de inicio de sesión maliciosos. • D) Un software automatizado que responde correos electrónicos de phishing para saturar los servidores de los atacantes. • E) Una credencial de acceso temporal que caduca automáticamente después de cinco minutos de uso operativo real.

25. En una arquitectura de red perimetral típica, ¿cuál es la ubicación más común para instalar un honeypot de producción expuesto a internet?. • A) Dentro de la base de datos de recursos humanos que almacena la información confidencial de los empleados de TI. • B) En las estaciones de trabajo físicas de los analistas de soporte técnico de nivel uno de la organización empresarial. • C) En la Zona Desmilitarizada (DMZ) para capturar y analizar los intentos de intrusión previos a la red interna. • D) Directamente en el enrutador principal del proveedor de servicios de internet fuera del alcance del firewall local. • E) En los servidores de copias de seguridad desconectados de la red que se resguardan en ubicaciones físicas externas.

26. ¿Cómo se puede utilizar un Honeytoken dentro de las cabeceras de respuesta HTTP de un servidor web corporativo?. • A) Cifrando todo el contenido de la página web mediante algoritmos simétricos avanzados antes de enviar los datos. • B) Bloqueando las conexiones entrantes provenientes de navegadores web que no estén actualizados a la última versión. • C) Registrando de forma obligatoria la dirección física de la tarjeta de red de cada dispositivo móvil que se conecta. • D) Redirigiendo a todos los usuarios legítimos hacia servidores de respaldo ubicados en diferentes regiones geográficas. • E) Incluyendo metadatos de servidores falsos o cookies señuelo para identificar herramientas de escaneo automatizado.

27. Desde el punto de vista de la responsabilidad legal, ¿qué implicación puede tener la falta de control de datos salientes en una Honeynet?. • A) La pérdida automática de los derechos de uso de las licencias de software comercial instaladas en la empresa. • B) La obligación legal de pagar multas por no cumplir con los estándares de diseño gráfico de los sitios corporativos. • C) Demandas por negligencia si el sistema comprometido es utilizado por atacantes para agredir de forma dañina a terceros. • D) La cancelación inmediata del contrato de servicios de internet por parte del proveedor de telecomunicaciones local. • E) El bloqueo de las cuentas de correo electrónico de todos los directores de la organización afectada por el incidente.

28. ¿Qué tipo de Honeypot especializado se requiere para simular entornos industriales y sistemas SCADA de control operativo?. • A) Un honeypot de baja interacción configurado exclusivamente para emular sistemas operativos de teléfonos móviles. • B) Un sistema de archivos distribuidos que replique las estructuras de almacenamiento de datos de las nubes públicas. • C) Un script de automatización de pruebas de software integrado en el flujo de desarrollo de las aplicaciones web. • D) Una red inalámbrica virtualizada que simule la conexión de sensores de proximidad en centros de distribución físicos. • E) Soluciones especializadas como Conpot, capaces de imitar protocolos de comunicación industrial como Modbus.

29. ¿Cómo se implementa una técnica de engaño basada en Honeytokens para mitigar ataques masivos de Ransomware en servidores de archivos?. • A) Eliminando de forma permanente la capacidad de modificar las extensiones de los archivos guardados en el disco duro. • D) Desconectando los discos duros de los servidores de archivos de la red local de forma automática cada dos horas continuas. • C) Creando carpetas y archivos señuelo al inicio del orden alfabético para detectar procesos tempranos de cifrado. • B) Obligando a los usuarios a ingresar claves cifradas cada vez que intentan abrir un documento de texto corporativo. • E) Reemplazando todos los documentos de formato PDF por archivos ejecutables protegidos por sistemas antivirus de red.

30. ¿Qué se conoce técnicamente como una "Darknet" o espacio de direcciones IP oscuras en la supervisión de seguridad defensiva?. • A) Un segmento de la internet profunda utilizado exclusivamente por bandas criminales para coordinar ataques informáticos. • B) Un bloque de direcciones IP asignadas a la empresa sin servicios activos, donde todo tráfico recibido es sospechoso. • C) Una red privada virtual de alta velocidad implementada por el equipo de TI para transferir grandes bases de datos. • D) Un protocolo de enrutamiento secreto que oculta la ubicación física del centro de datos principal de la organización. • E) Un software de escaneo de vulnerabilidades que opera únicamente durante los fines de semana de forma automatizada.

31. Frente al desafío del "Fingerprinting", ¿cómo reaccionan los sistemas de engaño avanzados para evitar ser descubiertos por intrusos experimentados?. • A) Modificando dinámicamente sus tiempos de respuesta y respuestas internas para imitar el comportamiento de un entorno real. • B) Apagando el servidor simulado de forma inmediata para impedir que el atacante ejecute comandos de red avanzados. • C) Cambiando de forma automática las direcciones IP asignadas al entorno de engaño cada cinco minutos transcurridos. • D) Bloqueando las funciones del teclado y del ratón de la computadora utilizada por el atacante externo a la red. • E) Enviando correos electrónicos automáticos de advertencia a los proveedores de servicios de internet del intruso detectado.

32. ¿Cuál es el propósito de integrar un Honeytoken en los registros de un servidor de nombres de dominio (DNS) de la empresa? . • A) Aumentar la velocidad de resolución de nombres de los sitios web corporativos accedidos por los usuarios finales. • B) Bloquear de forma automática las consultas DNS provenientes de países que no pertenezcan a la región de operación. • C) Insertar registros de subdominios inexistentes pero atractivos para detectar técnicas de reconocimiento externo de la red. • D) Cifrar las consultas de red de los empleados de la compañía mediante protocolos de seguridad informática perimetral. • E) Validar de forma continua que los servidores DNS externos no sufran caídas técnicas de enlace de datos de internet.

33. ¿Qué beneficio operativo principal aporta la integración de alertas de Honeypots dentro de una consola de monitoreo SIEM en un SOC?. • A) Elimina la necesidad de realizar copias de seguridad de los registros de eventos de los servidores de producción de la empresa. • B) Reduce de forma drástica el consumo de energía eléctrica de las pantallas del centro de operaciones de seguridad de red. . • C) Reemplaza por completo las funciones de los analistas de seguridad de nivel tres encargados de la caza de amenazas activas. • D) Proporciona alertas de alta fidelidad con contexto técnico detallado que facilitan la priorización de incidentes críticos. • E) Automatiza los procesos de generación de informes de cumplimiento normativo para auditorías externas de calidad ISO.

34. Si colocas un Honeytoken consistente en una clave de API falsa dentro del código fuente de una aplicación en desarrollo, ¿qué estás auditando principalmente?. • A) El rendimiento del procesador del servidor web cuando la aplicación móvil de entregas recibe miles de consultas simultáneas. • B) El cumplimiento de los estándares de diseño de interfaces gráficas por parte de los desarrolladores externos contratados. • D) La compatibilidad de la aplicación móvil con diferentes sistemas operativos de teléfonos inteligentes del mercado de consumo. • E) El consumo de datos de internet de los usuarios finales cuando navegan por las diferentes secciones del sistema de e-commerce. C) La cadena de suministro y la posible fuga o extracción de propiedad intelectual por actores internos o externos de la red.

35. ¿Cuál es la especialización técnica de herramientas de engaño de código abierto como "HoneyThing"?. • A) Simular bases de datos de sistemas bancarios de gran escala para capturar técnicas avanzadas de inyección de código SQL. • B) Diseñar páginas web corporativas falsas orientadas a mitigar campañas masivas de ingeniería social basadas en phishing. • C) Cifrar los archivos compartidos en redes locales para evitar que el ransomware afecte los sistemas informáticos de la empresa. • D) Emular de forma específica vulnerabilidades y protocolos de comunicación de dispositivos de Internet de las Cosas (IoT). • E) Monitorear de forma pasiva el tráfico de las redes inalámbricas de las oficinas administrativas de la organización empresarial.

36. Al diseñar la topología de un honeypot de producción perimetral, ¿cuál es el criterio más importante para asegurar la efectividad del engaño?. • A) Configurar el sistema para que utilice una interfaz de usuario idéntica a la del panel de control de la nube pública del proveedor. • B) Asignar al servidor simulado la capacidad de procesamiento más alta disponible en el hardware del centro de datos corporativo. • C) Clonar con exactitud el sistema operativo, parches de seguridad y configuraciones de red de los servidores reales de la empresa. • D) Habilitar todos los puertos de comunicación del sistema simulado sin ningún tipo de restricción técnica o de seguridad perimetral. • E) Mantener el servidor de engaño completamente aislado de internet operando únicamente en entornos locales de desarrollo interno.

37. ¿Qué es un Honeytoken de tipo "URL canaria" (Canary token) en la detección de intrusiones informáticas?. • A) Un enlace web utilizado por los administradores de sistemas para descargar parches de seguridad aprobados por el fabricante de software. • B) Un enlace web único y oculto que genera una alerta inmediata en el servidor de control al registrar cualquier tipo de acceso web. • C) Una dirección de correo electrónico institucional de uso exclusivo para recibir alertas de fallas de los sistemas de energía eléctrica. • D) Un protocolo de enrutamiento dinámico que distribuye el tráfico malicioso entre múltiples servidores falsos de baja interacción. • E) Un software de análisis de código que busca vulnerabilidades conocidas en las aplicaciones web antes de ser publicadas en internet.

38. ¿Qué acción defensiva automatizada puede ejecutarse de forma segura tras la activación de un honeypot de producción en la red corporativa?. • A) Detener los servicios de energía eléctrica de todo el edificio de las oficinas centrales para proteger los activos informáticos de la red. • B) Formatear de manera completa y permanente los discos duros de los servidores de bases de datos reales para evitar la fuga de datos. • C) Coordinar a través del SIEM el bloqueo inmediato de la dirección IP del atacante en los firewalls perimetrales de la infraestructura. • D) Enviar notificaciones de alerta por SMS a todos los clientes registrados en la plataforma de e-commerce de la compañía afectada. • E) Reinstalar el sistema operativo de todas las estaciones de trabajo de los empleados de la organización empresarial de forma remota.

39. En el ámbito del análisis de amenazas inalámbricas, ¿cómo opera un honeypot de red inalámbrica (Wireless Honeypot)?. • A) Bloqueando las señales de radiofrecuencia de los teléfonos móviles de los empleados que se encuentran cerca de las bodegas físicas. • B) Cifrando los canales de comunicación de los enrutadores legítivos de la empresa mediante algoritmos de seguridad de grado militar. • C) Creando puntos de acceso WiFi falsos con nombres corporativos atractivos para capturar las herramientas de ataque de actores locales. • D) Registrando las ubicaciones físicas de los vehículos de reparto mediante la triangulación de antenas de telefonía celular externas. • E) Duplicando la potencia de transmisión de los sensores inalámbricos instalados en las áreas de carga de los centros de distribución.

40. ¿Cuál es uno de los principales desafíos operativos al mantener una infraestructura de engaño corporativa a lo largo del tiempo?. • A) El alto costo recurrente del pago de licencias de uso de software libre a las comunidades de desarrolladores independientes de la web. • B) La necesidad de cambiar la ubicación física de los servidores de engaño dentro del centro de datos corporativo de forma bimestral. • C) Modificar el diseño gráfico del panel de control de los honeypots cada vez que la empresa actualiza su identidad de marca corporativa. • D) Capacitar a todos los clientes externos de la compañía para que aprendan a diferenciar los entornos falsos de los servidores reales. • E) Actualizar continuamente el entorno de engaño en paralelo a la red real para evitar desfaces técnicos que delaten la simulación.