Cuestionario Integral de Seguridad Informática

¿Cómo define el compendio el concepto de "activo" en el contexto de una organización?. Únicamente los datos digitales almacenados en servidores y bases de datos locales. Cualquier cosa con valor tangible o intangible que deba protegerse, incluyendo infraestructura, software y personas. El conjunto de herramientas de encriptación y cortafuegos que protegen la red. Solamente los recursos financieros y las cuentas bancarias de la empresa.

¿Cuál es la principal amenaza de seguridad que afecta directamente al hardware de un sistema informático?. Amenaza a la disponibilidad debido a daños físicos o robos. Ataques de phishing dirigidos a los componentes electrónicos. Pérdida de integridad por la modificación no autorizada de circuitos integrados. Intercepción pasiva de las señales de radiofrecuencia del monitor.

En el análisis de amenazas técnicas, ¿en qué categorías se agrupan los problemas relacionados con los servicios públicos de energía eléctrica?. Emisiones electromagnéticas, interferencia y estática. Apagones, cortocircuitos e incendios eléctricos. Consumo excesivo, falta de conexión a tierra y recalentamiento. Bajo voltaje, sobrevoltaje y ruido.

Dentro de las Amenazas Persistentes Avanzadas (APT), ¿qué aspecto define específicamente la característica de ser "Persistente"?. La capacidad del atacante para resistir los intentos de eliminación por parte del antivirus. La aplicación determinada de ataques durante un período prolongado para maximizar el éxito. El uso de malware altamente sofisticado que se replica automáticamente. Que el ataque proviene siempre de una fuente interna de la organización.

¿Por qué los ataques pasivos son considerados muy difíciles de detectar por los administradores de red?. Porque saturan los registros de auditoría con información falsa. Porque el atacante no interactúa activamente con el sistema ni manipula los datos. Porque solo ocurren durante la fase de fabricación del hardware. Porque requieren el uso de técnicas de ingeniería social extremadamente complejas.

¿Qué distingue a un ataque de distribución de los otros tipos de ataques mencionados?. La manipulación del hardware o software ocurre en su origen o durante el tránsito antes de la instalación. Es un ataque realizado por personas de confianza dentro de la red local. Se basa en el uso coordinado de múltiples computadoras para realizar un DoS. El ataque se distribuye masivamente a través de correos electrónicos no deseados.

De acuerdo con el material, ¿cuál es la fórmula expandida para calcular el riesgo en tecnologías de la información?. Riesgo Impacto Vulnerabilidad-Controles. Riesgo-Activo Amenaza. Riesgo-Probabilidad+Consecuencia. Riesgo = Amenaza x Vulnerabilidad x Valor del activo.

En la gestión de riesgos, ¿qué acción se debe tomar cuando un riesgo es clasificado como "Extremo o Alto"?. Se requieren medidas inmediatas para combatir el riesgo e imponer controles para reducirlo. Se deben tomar únicamente medidas preventivas para mitigar efectos menores a largo plazo. Ignorar el riesgo si el costo de los controles supera el valor del hardware. No se requiere acción inmediata, pero debe implementarse una solución en el próximo ciclo de mantenimiento.

El NIST define la confidencialidad como la preservación de restricciones autorizadas sobre el acceso. ¿Qué otro aspecto incluye esta definición?. Validar la identidad de los usuarios que intentan ingresar al sistema. Asegurar que los servicios estén disponibles para los usuarios en todo momento. Garantizar que los datos no hayan sido alterados de manera no autorizada. Medios para proteger la privacidad personal y la información de propiedad exclusiva.

¿Cuáles son las cuatro fases clave del proceso de gestión de riesgos mencionadas en la Unidad 1?. Encriptación, Cortafuegos, Autenticación y Auditoría. Análisis de activos, Clasificación de datos, Eliminación de amenazas y Cierre. Prevención, Detección, Respuesta y Recuperación. Identificación, Evaluación, Tratamiento y Seguimiento/Revisión.

¿Cuál es la principal diferencia conceptual entre la seguridad física y la seguridad lógica según la analogía del edificio bancario?. La seguridad física es independiente de la lógica y no afecta la integridad de los sistemas digitales. La seguridad física protege el acceso a los datos digitales, mientras que la lógica protege el hardware. La seguridad física se ocupa de las instalaciones y el hardware, mientras que la lógica protege el software y los accesos digitales. La seguridad lógica previene desastres naturales, mientras que la física previene ataques de malware.

En el contexto de una auditoría de seguridad, ¿por qué el Footprinting activo conlleva un mayor riesgo que el pasivo?. Porque implica una interacción directa con el objetivo que puede ser detectada por sistemas de seguridad como los IDS. Porque el atacante debe estar físicamente presente en las instalaciones de la organización. Porque requiere el uso de herramientas legales que son fáciles de rastrear por las autoridades. Porque la información obtenida en el Footprinting activo suele ser menos precisa que la de fuentes públicas.

¿Qué técnica de enumeración permitiría a un atacante obtener una lista completa de la infraestructura de red si el servidor está mal configurado?. Comandos VRFY de SMTP. Enumeración NetBIOS. Transferencia de zona DNS. Enumeración LDAP.

Un ataque de ingeniería social dirigido específicamente a altos ejecutivos (CEOs o directores) para robar sus credenciales se denomina: Scareware. Whaling. Phishing. Watering Hole.

Diferencie entre la escalación de privilegios horizontal y la vertical. La horizontal ocurre cuando un usuario accede a recursos de otro con su mismo nivel, mientras que la vertical busca obtener permisos de un nivel superior. La escalación vertical se realiza mediante hardware y la horizontal mediante software. Ambas son idénticas en ejecución, pero se diferencian únicamente por el sistema operativo atacado. La horizontal implica obtener privilegios de administrador, mientras que la vertical permite acceder a datos de un compañero.

¿Cuál es la función principal de la herramienta Maltego en el proceso de reconocimiento?. Visualizar conexiones entre personas, correos, dominios y perfiles sociales mediante OSINT. Detectar inyecciones SQL en formularios de bases de datos. Bloquear intentos de ingeniería social en tiempo real. Realizar escaneos de vulnerabilidades en aplicaciones web.

En el análisis de vulnerabilidades, ¿qué diferencia a un escaneo autenticado de uno no autenticado?. El escaneo no autenticado es siempre legal, mientras que el autenticado es ilegal. El escaneo no autenticado permite obtener nombres de usuario y contraseñas cifradas. El escaneo autenticado no requiere conexión a la red. El escaneo autenticado busca configuraciones incorrectas y parches faltantes desde el interior del sistema.

La técnica de hacking web que consiste en insertar código malicioso en formularios para manipular la base de datos se conoce como: Secuestro de Cookies. CSRF (Cross-Site Request Forgery). Cross-Site Scripting (XSS). SQL Injection (SQLi).

¿Cuál es la característica principal de OpenVAS en comparación con Nikto2?. Nikto2 es una herramienta de pago y OpenVAS es de código abierto. Nikto2 ofrece contramedidas automáticas y OpenVAS solo genera diagnósticos. OpenVAS solo analiza aplicaciones web, mientras que Nikto2 analiza redes enteras. OpenVAS es un escáner integral de red que recibe actualizaciones diarias y sugiere contramedidas.

En el ciclo de un ataque de ingeniería social, ¿qué ocurre generalmente durante la fase de 'Salida'?. Se establece el primer contacto con el objetivo para ganar su confianza. El atacante cifra todos los datos de la víctima para pedir un rescate. El atacante desaparece sin dejar un rastro obvio tras haber obtenido la información o el acceso buscado. El atacante realiza un escaneo de puertos activo para identificar vulnerabilidades.

¿Cuál es la diferencia fundamental entre la criptografía y la esteganografía según el material proporcionado?. La criptografía oculta el significado del mensaje mientras que la esteganografia oculta su existencia. La esteganografía utiliza algoritmos matemáticos complejos y la criptografía solo usa tintas invisibles. La esteganografía es una rama de la criptografía que solo se utiliza en entornos digitales modernos. La criptografía no permite recuperar el mensaje original y a la esteganografía sí.

En el contexto de la seguridad de la información, ¿a qué se refiere el objetivo de 'integridad'?. A la imposibilidad de que un emisor niegue haber enviado un mensaje específico. Asegura que la información no haya sido manipulada ni alterada durante su procesamiento o transmisión. A Garantizar que solo las personas autorizadas tengan acceso a la lectura del mensaje. A la capacidad de un sistema para estar siempre disponible para los usuarios legítimos.

En un sistema criptográfico utiliza el método de transcripción, ¿Qué acción está realizando sobre el mensaje?. Cambiando las letras por otras letras o símbolos siguiendo un diccionario. Codificando las letras en números para aplicar operaciones aritméticas complejas. Reubicando o barajando las letras del mensaje original para formar un anagrama. Ocultando el mensaje dentro de una imagen digital de alta resolución.

El cifrado de Vernam (OTP) se considera el precursor de los cifradores en flujo. ¿Cuál es su principal característica de seguridad?. Divide el mensaje en bloques de 64 bits para procesarlos simultáneamente. Permite que la clave sea más corta que el mensaje original mediante algoritmos deterministas. Se basa en la dificultad de factorizar números primos de gran tamaño. Utiliza la clave binaria aleatoria tan larga como el texto y de un solo uso.

En el estándar DES (Data Encryptation Standar), ¿Cuál es la longitud efectiva de la clave utilizada para el cifrado?. 48 bits. 128 bits. 64 bits. 56 bits.

Para que un cifrado en bloque se considere viable, debe cumplir con la propiedad de cambio de los bits de entrada. ¿Qué implica esto?. Al cambiar un solo bit del texto claro, debe cambiar aproximadamente la mitad de los bits del texto cifrado. Cada bit del texto cifrado debe depender exclusivamente de un único bit de la clave original. El sistema debe permitir que el receptor cambie los bits de la clave para descifrar más rápido. Los bits de entrada deben transformarse siempre en el mismo orden para evitar la aleatoriedad.

¿Cuál es la principal ventaja de la criptografía de clave pública (asimétrica) frente a la de clave privada?. Utiliza la misma clave tanto para cifrar como para descifrar, simplificando el proceso. Es significativamente más rápida en el procesamiento de grandes volúmenes de datos. No requiere ninguna confirmación de la identidad del remitente. Elimina la necesidad de transmitir o compartir claves secretas entre los usuarios.

En el criptosistema RSA, si un remitente quiere enviar un mensaje P a un destinatario, ¿Qué operación matemática básica realiza para obtener el cifrado C?. C = (P^d)/n. C = P * e (mod n). C = P + K_AB. C = P^e (mod n).

¿Qué define formalmente a un protocolo criptográfico según el autor Schoenmakers?. Un algoritmo distribuido que describe las interacciones entre entidades para lograr objetivos de seguridad. Un dispositivo físico que genera claves aleatorias de forma automática. Una ley internacional que prohíbe el uso de claves menores a 80 bits. Un diccionario de sustitución compartido exclusivamente entre dos personas.

En los protocolos de compromisos de bits, ¿qué propiedad asegura que el usuario A no pueda cambiar su valor después de haberlo enviado?. La capacidad del usuario B de adivinar el bit antes de que A lo abra. La propiedad de que el valor comprometido no puede ser modificado, aunque cambie la forma de abrirlo. La necesidad de que un juez notario supervise el intercambio en tiempo real. El uso obligatorio de firmas digitales para cada bit enviado.

¿Cuál es el objetivo principal del escaneo de red en el contexto del mantenimiento y la seguridad del sistema?. Eliminar físicamente los puntos finales no autorizados de la infraestructura cableada. Bloquear automáticamente todo el tráfico entrante de direcciones IP públicas desconocidas. Encriptar los paquetes de datos durante su tránsito por el sistema de distribución. Recopilar información detallada sobre los sistemas informáticos para evaluar vulnerabilidades.

¿Cuál es la diferencia fundamental entre un análisis de vulnerabilidades y una prueba de penetración?. Solo las pruebas de penetración requieren el permiso previo de las partes interesadas de la organización. El análisis de vulnerabilidades solo detecta hardware, mientras que la prueba de penetración detecta software desactualizado. El análisis de vulnerabilidad identifica hosts potenciales, mientras que la prueba de penetración intenta explotar activamente esas debilidades. El análisis de vulnerabilidades es un proceso manual y la prueba de penetración es estrictamente automatizada.

En un sistema cortafuegos, ¿qué implica configurar una posición de denegación predeterminada?. Que el sistema detectará ataques de día cero pero no podrá prevenirlos activamente. Que los nodos y hosts internos son los únicos responsables de la estabilidad de la red. Que todo el tráfico entrante y saliente está bloqueado a menos que cumpla con requisitos específicos de excepción. Que el cortafuegos solo filtrará el tráfico que provenga de fuentes externas a la red privada.

¿Cómo se define un 'Falso Positivo' en el contexto de un Sistema de Detección de Intrusos (IDS)?. Una situación donde se activan múltiples alarmas ante actividades que son benignas o válidas. La ausencia de una alarma cuando hay una amenaza real presente en la red interna. Un ataque de día cero que el sistema no tiene capacidad de identificar por falta de firmas. El proceso de ajustar el dispositivo para reducir la cantidad de tráfico malicioso en la red inalámbrica.

Dentro de los componentes de una WLAN, ¿cuál es la función del Sistema de Distribución (DS)?. Cambiar dinámicamente las claves de encriptación mediante el protocolo TKIP. Monitorear exclusivamente las bandas de radio para identificar puntos de acceso no autorizados. Actuar como el medio que conecta los dispositivos cliente con las LAN cableadas y redes externas. Administrar lógicamente el rango de distancia de las señales de radio de los teléfonos inteligentes.

¿Qué caracteriza a un sistema de comunicación inalámbrica de tipo 'Ad-hoc'?. El uso obligatorio de un centro de conmutación móvil (MSC) para gestionar la movilidad. La implementación de múltiples conjuntos de servicios básicos (BSS) interconectados por cables. La restricción de servicios solo a equipos que funcionan con microondas fijas. La conexión directa entre dispositivos sin necesidad de una infraestructura de red troncal fija.

¿Qué mejora técnica introdujo WPA al utilizar el protocolo TKIP en comparación con WEP?. La eliminación total de la necesidad de ingresar contraseñas para los usuarios empresariales. La limitación del acceso basada estrictamente en la dirección MAC del dispositivo. El cambio dinámico de la clave de encriptación para evitar que intrusos creen su propia clave. El uso del algoritmo AES, que es significativamente más robusto e ininterrumpido.

En la clasificación de ataques a redes WLAN, ¿en qué consiste un 'Ataque de Repetición' (Replay)?. En implementar un punto de acceso falso para que los clientes se conecten inadvertidamente a él. En el monitoreo silencioso de patrones de comunicación para obtener inteligencia sin alterar datos. En monitorear transmisiones legítimas y retransmitirlas posteriormente para suplantar a un usuario autorizado. En inundar la red con una gran cantidad de mensajes a alta velocidad para causar interferencia.

¿Por qué se considera que un ataque pasivo es más difícil de detectar electrónicamente para una organización?. Porque los ataques pasivos solo ocurren en redes cableadas tradicionales fuera del alcance de WIDPS. Porque requieren miles de millones de años de cálculos para ser procesados por las computadoras modernas. Porque el uso de firewalls de software en los hosts bloquea automáticamente el análisis de flujo de tráfico. Porque el atacante no genera sus propias transmisiones ni altera el flujo de datos original.

¿Qué ventaja operativa ofrecen las 'configuraciones estandarizadas' en los componentes de una WLAN?. Garantizan que los ataques de día cero nunca afecten a los dispositivos portátiles de la red. Permiten que los sensores WIDPS funcionen sin necesidad de estar conectados al sistema de distribución (DS). Hacen que el cifrado de datos sea innecesario al crear perímetros de seguridad físicos infranqueables. Mejoran la coherencia de la seguridad y reducen el tiempo necesario para realizar auditorías y evaluaciones.

En el contexto de una investigación pericial, ¿cuál es el propósito fundamental de realizar una imagen forense bit a bit antes de iniciar cualquier análisis?. Garantizar que el análisis se realice sobre una copia exacta, preservando la integridad del dispositivo original para evitar la alteración de fechas o sobrescritura de datos. Aumentar la velocidad de búsqueda de archivos eliminados mediante la compresión de los datos del disco original. Eliminar virus y malware del dispositivo para asegurar que las herramientas de análisis no se infecten durante el proceso. Reparar sectores dañados del disco duro original para facilitar el acceso a particiones que no pueden ser montadas por el sistema operativo.

¿Cuál es la función específica del 'Especialista en la escena del delito informático' según la jerarquía de roles en la investigación forense?. Delimitar el área del incidente y recolectar las evidencias físicas y digitales asegurando que no sufran alteraciones durante el transporte. Redactar el informe pericial definitivo y defender las conclusiones técnicas ante un tribunal de justicia. Actuar como enlace jurídico entre la empresa afectada y el Consejo de la Judicatura para gestionar las órdenes de allanamiento. Procesar y analizar técnicamente los datos recolectados utilizando herramientas avanzadas para reconstruir los hechos.

Desde la perspectiva técnica de un sistema de ficheros, ¿por qué es posible recuperar un archivo que ha sido 'vaciado' de la papelera de reciclaje?. Porque el sistema solo elimina la referencia en el índice y marca el espacio como disponible, pero los datos físicos permanecen en el disco hasta ser sobrescritos. Porque los metadatos del archivo se sincronizan con la nube de forma obligatoria, permitiendo su descarga posterior. Porque los sistemas operativos modernos mantienen una copia oculta de cada archivo borrado en una partición de recuperación invisible al usuario. Porque la tabla de particiones MBR duplica automáticamente la información de los archivos en el sector de arranque por seguridad.

Si un perito debe trabajar con un disco antiguo cuya capacidad máxima direccionable es de 2 TB y admite hasta 4 particiones primarias, ¿qué esquema de particionado está analizando?. Master Boot Record (MBR). File Allocation Table (FAT32). Sistema de archivos NTFS. GUID Partition Table (GPT).

¿Cuál es la principal diferencia conceptual entre la seguridad física y la seguridad lógica según la analogía del edificio bancario?. A. La seguridad física es independiente de la lógica y no afecta la integridad de los sistemas digitales. B. La seguridad física protege el acceso a los datos digitales, mientras que la lógica protege el hardware. x. C. La seguridad física se ocupa de las instalaciones y el hardware, mientras que la lógica protege el software y los accesos digitales. D. La seguridad lógica previene desastres naturales, mientras que la fisica previene ataques de malware.

Un analista forense nota que es casi imposible recuperar archivos borrados en un disco de estado sólido (SSD) moderno a comparación de un disco mecánico (HDD). ¿Cuál es el factor tecnológico responsable?. La función TRIM, que ordena al SSD limpiar fisicamente los bloques de memoria marcados como libres para optimizar el rendimiento. El uso de la tabla GPT, que sobrescribe automáticamente el espacio libre con ceros por motivos de seguridad. La fragmentación excesiva que sufren los archivos en memorias flash, impidiendo la técnica de file carving. La encriptación nativa de los controladores SATA que impide la lectura de datos sin el índice original del sistema de ficheros.

¿Cuál de los siguientes elementos es crítico para garantizar la validez legal de la evidencia digital desde su recolección hasta el juicio?. La cadena de custodia, que registra documentadamente quién manipuló la evidencia, cuándo y mediante qué procedimiento. La presencia fisica de un notario público durante todo el proceso de análisis forense en el laboratorio. La eliminación de todos los metadatos del archivo para proteger la privacidad de los involucrados en el caso. El uso exclusivo de herramientas de software con licencia comercial aprobadas por el fabricante del sistema operativo.

En una investigación sobre el uso no autorizado de dispositivos de almacenamiento externos en Windows, ¿qué fuente de evidencia permitiría ver el historial de USBs conectados?. El Registro de Windows (Windows Registry). La tabla de particiones MBR del disco duro principal. El proceso 'explorer.exe' en tiempo real. Los metadatos EXIF de los archivos del sistema.

Al analizar un archivo de imagen, un perito encuentra información sobre el modelo de la cámara, la fecha de captura y las coordenadas GPS. Estos datos se clasifican como: Metadatos. Clusters de datos. Imagen forense. Firmas de archivo (File Signatures).

Un perito informático recibe un computador que fue formateado rápidamente. ¿Qué técnica debería aplicar si los índices del sistema de ficheros han desaparecido pero los datos físicos aún existen?. File Carving (Recuperación por firmas). Cálculo de valores hash en el original. Reconfiguración de la UEFI para restaurar el arranque. Análisis proactivo de redes.

¿Cuál es la diferencia principal entre el análisis forense de redes reactivo y el proactivo?. El reactivo investiga tras la detección de un incidente, mientras que el proactivo vigila el tráfico para detectar anomalías antes de que ocurra un daño mayor. El reactivo utiliza herramientas de hardware y el proactivo se basa únicamente en protocolos legales. El reactivo busca archivos borrados y el proactivo analiza metadatos de correos electrónicos. El reactivo se aplica solo en dispositivos móviles y el proactivo en infraestructuras de la nube (Cloud).

Si un perito utiliza algoritmos SHA1 o MD5 y obtiene códigos distintos al comparar el original con la copia, ¿qué conclusión debe extraer?. La información ha sido alterada o borrada en algún punto del proceso. La copia se realizó correctamente pero en un sistema operativo diferente. El archivo está protegido por una contraseña que impide el cálculo exacto. Se debe a un error normal de redondeo del procesador del servidor.

¿Por qué es crucial evitar el lenguaje excesivamente técnico en la presentación del informe pericial?. Porque los destinatarios finales suelen ser jueces, fiscales o gerentes no especializados. Para reducir el peso digital del archivo del informe final. Porque los estándares internacionales como IDIP prohíben el uso de tecnicismos. Para evitar que otros peritos descubran las herramientas de software utilizadas.