franquismo2026

¿Cuál es la principal diferencia entre CASB y SASE?. CASB se enfoca en la gestión y seguridad de dispositivos móviles, mientras que SASE combina funciones de seguridad en la nube y de red. CASB se enfoca en la seguridad de acceso a la nube, mientras que SASE combina funciones de seguridad en la nube y de red. CASB proporciona una solución más completa para la seguridad y acceso a la red en entornos distribuidos, mientras que SASE se centra en la seguridad de acceso a la nub escalabilidad, acceso seguro y optimizado. CASB se centra en la protección contra amenazas de red en la nube, mientras que SASE proporciona una seguridad y acceso seguros y unificados.

¿Cuál de las siguientes no es una recomendación en las apps móviles para la Manipulación e Ingeniería inversa?. Anti-Ofuscacion. Anti-emulador. Anti-Tampering. Anti-debug.

¿Cuál es el objetivo principal de un CASB (Cloud Access Security Broker)?. Proporcionar servicios de almacenamiento en la nube. Proporcionar una capa adicional de seguridad y control sobre los datos y las aplicaciones en la nube. Monitorear la actividad de los usuarios en los dispositivos locales. Actuar como intermediario entre los usuarios y los servicios en la nube.

Las arquitecturas de aplicaciones móviles incorporan cada vez más marcos cómo OAuth2 ¿En que consiste el OAuth2?. Ninguna de las anteriores. Son marcos de autorización que delegan la autenticación a un servicio separado o subcontratan el proceso de autenticación a un proveedor de autenticación. Uso de certificados válidos emitidos por un proveedor de autenticación. Uso de algoritmos de criptografía de última generación.

¿Cuál de los siguientes puntos no esta en la guía para el desarrollo seguro de aplicaciones móviles de ENISA?. Proteger sólo los servicios de la plataforma. Identificar y proteger los datos sensibles en el dispositivo móvil. Garantizar la protección de los datos sensibles en tránsito. Implementar correctamente la autenticación, autorización y gestión de sesión.

Para prevenir la vulnerabilidad M5: Comunicación insegura no se recomienda. utilizar certificados firmados por un proveedor de CA de que no sea de confianza [CORRECTA]. exigir siempre la verificación de la cadena ssl. asumir que la capa de red no es segura u es susceptible de ser escuchada. no enviar datos sensibles a través de canales alternativos (por ejemplo sms, notificaciones, etc).

Un atacante utiliza una contraseña de 4 dígitos fácilmente deducible para acceder a una cuenta. M3: Autenticación y autorización inseguras. M7: Protecciones de los binarios insuficientes. M10: Criptografía insuficiente. M1: Uso inadecuado de credenciales.

Un atacante descifra datos interceptados debido a la utilización de un algoritmo de cifrado débil. M4: Validación de entrada/salida insuficiente. M6: Controles de privacidad inadecuados. M10: Criptografía insuficiente. M1: Uso inadecuado de credenciales.

Una aplicación móvil permite la ejecución de código remoto mediante entrada maliciosa no validada. M4: Validación de entrada/salida insuficiente. M6: Controles de privacidad inadecuados. M10: Criptografía insuficiente. M8: Configuración incorrecta de seguridad.

Escenario: Una aplicación móvil solicita permisos excesivos que no son esenciales para su funcionalidad principal. Por ejemplo, una sencilla aplicación de linterna que solicita acceso a los contactos, la ubicación y la cámara del usuario. Esto expone los datos del usuario a riesgos innecesarios, ya que la aplicación podría hacer un mal uso de los permisos otorgados o filtrar involuntariamente información confidencial. M8: Mala configuración de seguridad. M2: Seguridad inadecuada de la cadena de suministro. M5: Comunicación insegura. M9: Almacenamiento de datos inseguro.

Datos personales sensibles se incluyen en copias de seguridad sin protección adecuada. M1: Uso inadecuado de credenciales. M7: Protecciones de los binarios insuficientes. M5: Comunicación insegura. M6: Controles de privacidad inadecuados.

Escenario: Un atacante puede insertar código malicioso en el código base de la aplicación móvil o modificar el código durante el proceso de compilación para introducir puertas traseras, software espía u otro código malicioso. M2: Seguridad inadecuada de la cadena de suministro. M4: Validación insuficiente de la entrada y salida de datos. M9: Almacenamiento de datos inseguro. M8: Mala configuración de seguridad.

Escenario: La aplicación móvil y un punto final se conectan correctamente y realizan un protocolo de enlace TLS para establecer un canal seguro. Sin embargo, la aplicación móvil no inspecciona el certificado ofrecido por el servidor y acepta incondicionalmente cualquier certificado que le ofrezca el servidor. Esto destruye cualquier capacidad de autenticación mutua entre la aplicación móvil y el punto final. La aplicación móvil es susceptible a ataques de intermediario a través de un proxy TLS. M8: Mala configuración de seguridad. M5: Comunicación insegura. M9: Almacenamiento de datos inseguro. M6: Controles de privacidad inadecuados.

Un atacante accede a una aplicación móvil utilizando credenciales almacenadas de forma insegura en el dispositivo. M1: Uso inadecuado de credenciales. M4: Validación insuficiente de la entrada y salida de datos. M8: Mala configuración de seguridad. M9: Almacenamiento de datos inseguro.

Escenario: Un atacante identifica una aplicación móvil que carece de validación y desinfección de entradas adecuadas. Al crear una entrada maliciosa que contiene caracteres inesperados, explotan el comportamiento de la aplicación. Debido a una validación insuficiente, la aplicación maneja mal la entrada, lo que genera vulnerabilidades. El atacante ejecuta con éxito código arbitrario y obtiene acceso no autorizado a los recursos y datos confidenciales del dispositivo. M8: Mala configuración de seguridad. M9: Almacenamiento de datos inseguro. M4: Validación insuficiente de la entrada y salida de datos. M3: Autenticación y autorización inseguras.

Un atacante utiliza ingeniería inversa para acceder a un modelo de IA no protegido y vende esa información. M7: Protección binaria insuficiente. M1: Uso inadecuado de credenciales. M6: Controles de privacidad inadecuados. M10: Criptografía insuficiente.

Un atacante accede a funciones de pago de una aplicación manipulando el binario para eludir controles de seguridad. M1: Uso inadecuado de credenciales. M3: Autenticación / Autorización insegura. M7: Protección binaria insuficiente. M9: Almacenamiento de datos inseguro.

Un desarrollador no valida adecuadamente la entrada de un usuario, permitiendo una inyección SQL. M8: Configuración incorrecta de seguridad. M6: Controles de privacidad inadecuados. M9: Almacenamiento de datos inseguro. M4: Validación de entrada/salida insuficiente.

Escenario: Exclusión de datos personales en las copias de seguridad o por no configurar has FragileUserData (configurado a true implica que una aplicación puede conservar sus datos al desinstalarse). M10: Criptografía insuficiente. M5: Comunicación insegura. M6: Controles de privacidad inadecuados. M9: Almacenamiento de datos inseguro.

Una aplicación móvil transmite credenciales de usuario a través de HTTP en lugar de HTTPS. M5: Comunicación insegura. M1: Uso inadecuado de credenciales. M8: Configuración incorrecta de seguridad. M3: Autenticación / Autorización insegura.

¿Qué se recomienda controlar en la vulnerabilidad M3: Autenticación y autorización inseguras?. Si la aplicación móvil es capaz de ejecutar de forma anónima una solicitud de servicio API backend sin proporcionar un token de acceso. Todas las anteriores. Si la aplicación móvil almacena cualquier contraseña o secreto compartido localmente en el dispositivo. Si la aplicación móvil utiliza una función como TouchID.

Un desarrollador utiliza componentes de terceros sin validarlo adecuadamente, resultando en la inyección de código malicioso. M4: Validación de entrada/salida insuficiente. M10: Criptografía insuficiente. M2: Seguridad inadecuada de la cadena de suministro. M7: Protección binaria insuficiente.

Un desarrollador no aplica suficientes controles de privacidad y la información de identificación personal (PII) se filtra. M8: Mala configuración de seguridad. M6: Controles de privacidad inadecuados. M5: Comunicación insegura. M1: Uso inadecuado de credenciales.

Un desarrollador deja configuraciones de permisos inncesarios en la aplicación. M2: Seguridad inadecuada de la cadena de suministro. M9: Almacenamiento de datos inseguro. M8: Mala configuración de seguridad. M5: Comunicación insegura.

Escenario: Un agente de amenazas internas o un atacante pueden inyectar código malicioso durante la fase de desarrollo de la aplicación y luego pueden comprometer las claves de firma o los certificados de la aplicación para firmar código malicioso como confiable. M3: Autenticación y autorización inseguras. M8: Mala configuración de seguridad. M2: Seguridad inadecuada de la cadena de suministro. M9: Almacenamiento de datos inseguro.

Una aplicación móvil acepta certificados SSL incorrectos sin verificar su autenticidad. M5: Comunicación insegura. M10: Criptografía insuficiente. M3: Autenticación / Autorización insegura. M1: Uso inadecuado de credenciales.

Una aplicación móvil almacena contraseñas en texto plano dentro de un archivo local. M8: Mala configuración de seguridad. M5: Comunicación insegura. M9: Almacenamiento de datos inseguro. M3: Autenticación y autorización inseguras.

Una aplicación móvil utiliza una autenticación débil que permite el acceso no autorizado mediante malware. M7: Protecciones de los binarios insuficientes. M1: Uso inadecuado de credenciales. M3: Autenticación y autorización inseguras. M5: Comunicación insegura.

Escenario: Si se consigue físicamente el dispositivo móvil, se conectará el dispositivo móvil a un ordenador con software de libre acceso. Estas herramientas permiten al hacker ver todos los directorios de aplicaciones de terceros que a menudo contienen información personal identificable (PII) almacenada u otros activos de información sensibles. M8: Mala configuración de seguridad. M5: Comunicación insegura. M9: Almacenamiento de datos inseguro. M6: Controles de privacidad inadecuados.

Un dispositivo robado contiene datos confidenciales que son fácilmente accesibles. M9: Almacenamiento de datos inseguro. M7: Protecciones de los binarios insuficientes. M3: Autenticación y autorización inseguras. M8: Mala configuración de seguridad.

Escenario: Debido a los requisitos de usabilidad, las aplicaciones móviles permiten contraseñas de 4 dígitos. El código del servidor almacena correctamente una versión hash de la contraseña. Sin embargo, debido a la longitud extremadamente corta de la contraseña, un adversario podrá deducir rápidamente las contraseñas originales utilizando tablas hash de arcoíris. M1: Uso inadecuado de credenciales. M3: Autenticación y autorización inseguras. M9: Almacenamiento de datos inseguro. M4: Validación insuficiente de la entrada y salida de datos.

Un atacante inyecta malware durante la fase de desarrollo de una aplicación para firmarla como confiable. M6: Controles de privacidad inadecuados. M1: Uso inadecuado de credenciales. M2: Seguridad inadecuada de la cadena de suministro. M4: Validación de entrada/salida insuficiente.

Un atacante escucha la comunicación de red de una aplicación y accede a datos transmitidos sin cifrar. M5: Comunicación insegura. M9: Almacenamiento de datos inseguro. M4: Validación insuficiente de la entrada y salida de datos. M2: Seguridad inadecuada de la cadena de suministro.

Escenario: Una aplicación médica que cuenta con una IA para responder a las solicitudes de los usuarios dadas como necesidades de entrada de voz o texto libre. Esta aplicación incluye su modelo de IA especializado y de calidad garantizada en su código fuente para permitir el acceso sin conexión y evitar alojar servidores de descarga propios. Este modelo de IA es el activo más valioso de esta aplicación y su desarrollo requirió muchos años-persona. Un atacante podría intentar extraer este modelo del código fuente y venderlo a la competencia. Si el binario de la aplicación no está suficientemente protegido, el atacante no sólo podría acceder al modelo de IA, sino también aprender cómo se utiliza, vendiendo esta información junto con los parámetros de entrenamiento de la IA. M9: Almacenamiento de datos inseguro. M7: Protecciones de los binarios insuficientes. M6: Controles de privacidad inadecuados. M10: Criptografía insuficiente.

El vector de ataque típico para la vulnerabilidad M9: Almacenamiento de datos inseguro se basa en que. un atacante debe realizar un análisis del binarios del núcleo final para determinar su tabla de cadenas original, el código fuente, las bibliotecas, los algoritmos y los recursos incrustados en la aplicación. un atacante explotará la modificación del código a través de formas maliciosas de las aplicaciones alojadas en tiendas de aplicaciones de terceros. se consigue físicamente el acceso al dispositivo móvil, se conectará el dispositivo móvil a un ordenador donde se puede ver todos los directorios de aplicaciones de terceros que a menudo contienen información personal identificable. la aplicación debe exponer un servicio web o una llamada a la API que sea consumida por la aplicación móvil.

la aplicación debe exponer un servicio web o una llamada a la API que sea consumida por la aplicación móvil. Si la aplicación móvil utiliza una función como touchID. Desbordamiento de buffer. Presencia de vulnerabilidades de referencia directa a objetos inseguros (IDOR). Todas las anteriores.

Un atacante intercepta credenciales transmitidas a través de una red WI-FI no segura. M5: Comunicación insegura. M3: Autenticación / Autorización insegura. M2: Seguridad inadecuada en la cadena de suministros. M1: Uso inadecuado de credenciales.

Escenario: Un atacante inyecta malware en una aplicación móvil popular durante la fase de desarrollo. Luego, el atacante firma la aplicación con un certificado válido y la distribuye a la tienda de aplicaciones, evitando los controles de seguridad de la tienda de aplicaciones. M8: Mala configuración de seguridad. M2: Seguridad inadecuada de la cadena de suministro. M9: Almacenamiento de datos inseguro. M4: Validación insuficiente de la entrada y salida de datos.

Escenario: Un atacante obtiene acceso físico al dispositivo de un usuario y extrae las credenciales almacenadas de la aplicación móvil. El atacante utiliza estas credenciales para obtener acceso no autorizado a la cuenta del usuario. M8: Mala configuración de seguridad. M5: Comunicación insegura. M1: Uso inadecuado de credenciales. M9: Almacenamiento de datos inseguro.

Una aplicación móvil no asegura adecuadamente las claves de cifrado, permitiendo el acceso no autorizado. M10: Criptografía insuficiente. M3: Autenticación y autorización inseguras. M7: Protecciones de los binarios insuficientes. M8: Mala configuración de seguridad.

Escenario: Las aplicaciones móviles pueden admitir múltiples protocolos o algoritmos de cifrado para establecer conexiones seguras. Si se permite la criptografía débil como opción alternativa, los atacantes pueden aprovechar esta debilidad y forzar a la aplicación a utilizar un cifrado débil. Como resultado, pueden descifrar los datos interceptados más fácilmente y lanzar ataques posteriores. M7: Protecciones de los binarios insuficientes. M2: Seguridad inadecuada de la cadena de suministro. M5: Comunicación insegura. M10: Criptografía insuficiente.

¿Qué componente de la arquitectura proporciona un contenedor seguro respaldado por hardware para almacenar claves criptográficas en dispositivos Android?. ¿Qué componente de la arquitectura proporciona un contenedor seguro respaldado por hardware para almacenar claves criptográficas en dispositivos Android?. Android Keystore. SharedPreferences. SQLite Secure.

Cuál es el mecanismo de almacenamiento seguro nativo utilizado para gestionar contraseñas, certificados y claves en el sistema operativo iOS?. Keystore. Keychain. Secure Enclave. CoreData.

Identifique los formatos de archivo empaquetado estándar para la distribución e instalación de aplicaciones nativas en iOS y Android, respectivamente. .apk para iOS, .ipa para Android. .app para iOS, .jar para Android. .ipa para iOS, .apk para Android. .exe para iOS, .apk para Android.

¿Qué archivo central define la estructura, los componentes (actividades, servicios) y solicita los permisos de seguridad necesarios en una aplicación Android?. build.gradle. Info.plist. config.xml. AndroidManifest.xml.