option
Cuestiones
ayuda
daypo
CREAR TEST
buscar.php

IAT_B4_9_Seguridad y protección en redes de comunicaciones

COMENTARIOS ESTADÍSTICAS RÉCORDS
REALIZAR TEST
Título del Test:
IAT_B4_9_Seguridad y protección en redes de comunicaciones

Descripción:
IAT_B4_9 Seguridad y protección en redes de comunicaciones
Fecha de Creación: 2026/02/10

Categoría: Otros

Número Preguntas: 100

Valoración:(0)
COMPARTE EL TEST
Nuevo ComentarioNuevo Comentario
Comentarios
NO HAY REGISTROS
Temario:

1. El objetivo principal de una VPN es: a) Aumentar el ancho de banda. b) Proporcionar un canal seguro (confidencialidad/integridad/autenticación según tecnología) sobre una red no confiable. c) Sustituir DNS. d) Eliminar la necesidad de firewall.

2. Un IDS (Intrusion Detection System) se orienta principalmente a: a) Detectar actividad maliciosa/sospechosa. b) Bloquear siempre el tráfico (como firewall). c) Asignar IPs. d) Resolver DNS.

3. Un IPS (Intrusion Prevention System) se orienta principalmente a: a) Solo registrar logs. b) Detectar y además bloquear/mitigar en línea. c) Cambiar MACs. d) Cambiar MX.

4. Un firewall “stateful” se caracteriza por: a) No conocer el estado de las conexiones. b) Mantener tabla de estado y permitir tráfico de retorno relacionado. c) Operar solo en capa 1. d) Sustituir TLS.

5. Un firewall “stateless” decide principalmente en base a: a) Estado de conexión. b) Reglas por paquete (5-tuple) sin estado (simplificado). c) Contenido de aplicación siempre. d) Certificados X.509.

6. NAT aporta seguridad porque: a) Sustituye a un firewall. b) Oculta direcciones internas, pero no es un control de seguridad suficiente por sí mismo. c) Cifra el tráfico automáticamente. d) Evita el phishing.

7. Una DMZ se usa típicamente para: a) Poner todos los equipos internos. b) Alojar servicios expuestos a Internet separándolos de la LAN interna. c) Eliminar necesidad de IDS. d) Sustituir DNS.

8. Un objetivo clave de segmentación es: a) Facilitar movimiento lateral. b) Limitar alcance de un compromiso y aplicar políticas por zona. c) Eliminar necesidad de parches. d) Desactivar logs.

9. IPsec opera principalmente en: a) Capa 7. b) Capa 3. c) Capa 2. d) Capa 1.

10. AH (Authentication Header) en IPsec proporciona principalmente: a) Confidencialidad (cifrado). b) Integridad y autenticación (sin cifrado del payload). c) Resolución de nombres. d) NAT.

11. ESP (Encapsulating Security Payload) en IPsec puede proporcionar: a) Confidencialidad (cifrado) y también integridad/autenticación (según configuración). b) Solo DNS. c) Solo routing BGP. d) Solo MAC learning.

12. Modo “túnel” de IPsec suele implicar: a) Proteger solo el payload de capa 4. b) Encapsular el paquete IP completo dentro de otro (típico site-to-site). c) Cambiar VLAN tags. d) Sustituir TLS.

13. IKE en IPsec se usa para: a) Negociar parámetros/llaves y establecer SA (Security Associations). b) Resolver DNS. c) Enviar correo. d) Detectar colisiones.

14. TLS proporciona principalmente: a) Confidencialidad e integridad en tránsito + autenticación del servidor (y opcional del cliente). b) Routing. c) Asignación de IP. d) Direccionamiento MAC.

15. Un certificado X.509 se usa típicamente para: a) Probar identidad (clave pública + firma de CA) en TLS. b) Hacer NAT. c) Hacer VLAN. d) Hacer ARP.

16. WPA2-PSK (AES) se asocia típicamente a: a) Wi-Fi sin cifrado. b) Seguridad Wi-Fi con clave compartida (pre-shared key). c) BGP. d) SMTP.

17. WPA3 mejora respecto a WPA2-PSK principalmente porque: a) Elimina cifrado. b) Introduce SAE y mejora resistencia a ataques de diccionario offline (entre otros). c) Usa WEP. d) No necesita autenticación.

18. 802.1X se usa para: a) Autenticación de acceso a red (port-based) usando EAP, con backend AAA (RADIUS). b) Enviar correo. c) Enrutar paquetes. d) Hacer NAT.

19. RADIUS se asocia típicamente a: a) AAA (autenticación/autorización/accounting) para acceso a red. b) DNS. c) DHCP. d) FTP.

20. ARP spoofing/poisoning en una LAN busca: a) Cambiar rutas BGP. b) Asociar IP de un host a la MAC del atacante para MITM/DoS. c) Romper TLS por fuerza bruta. d) Cambiar MX.

21. Una mitigación típica contra ARP spoofing en switches gestionables es: a) Desactivar DHCP. b) Dynamic ARP Inspection (DAI) y/o DHCP snooping, y segmentación. c) Cambiar DNS. d) Activar WEP.

22. Un ataque “Man-in-the-Middle” (MITM) implica: a) El atacante solo observa sin posibilidad de alterar. b) El atacante se interpone entre dos partes y puede interceptar/alterar comunicación. c) Solo ocurre en BGP. d) Solo ocurre en Wi-Fi.

23. Una razón por la que HTTPS mitiga MITM es: a) Porque oculta la IP destino. b) Porque autentica el servidor con certificados y cifra el canal. c) Porque usa ARP. d) Porque elimina el routing.

24. Señala la afirmación INCORRECTA: a) IDS detecta y alerta. b) IPS puede bloquear en línea. c) NAT no sustituye a un firewall. d) AH cifra el payload y ESP solo autentica.

25. Señala la afirmación más correcta: a) DMZ sirve para separar servicios expuestos de la LAN interna. b) WPA3 es menos seguro que WEP. c) 802.1X es un protocolo de correo. d) IKE asigna IPs por DHCP.

26. Una VPN “de capa 2” suele: a) Encapsular tramas/enlace (p. ej. PPP/L2TP) para extender un segmento L2. b) Encapsular solo HTTP. c) Ser siempre IPsec túnel. d) Sustituir NAT.

27. Una VPN “de capa 3” típicamente es: a) PPP puro. b) IPsec (túneles IP). c) ARP. d) WEP.

28. Una “SSL VPN” (término común) suele implicar: a) Acceso remoto usando TLS (p. ej. OpenVPN, portales, túneles). b) Enrutamiento BGP. c) Conmutación Ethernet. d) DHCP.

29. PPTP es: a) Un protocolo histórico de VPN con debilidades de seguridad conocidas (no recomendado hoy). b) El estándar más seguro actual. c) Un protocolo de DNS. d) Un protocolo de Wi-Fi.

30. L2TP por sí solo (sin IPsec) ofrece: a) Cifrado fuerte. b) Túnel de capa 2 pero sin cifrado robusto (se suele combinar con IPsec). c) Autenticación PKI obligatoria. d) Routing inter-AS.

31. “L2TP/IPsec” significa: a) L2TP como túnel y IPsec como protección/cifrado. b) IPsec como DNS y L2TP como correo. c) WEP sobre PPP. d) VLAN sobre ARP.

32. WireGuard se caracteriza típicamente por: a) Diseño moderno, minimalista, con criptografía moderna y configuración relativamente simple. b) Ser PPTP renombrado. c) No usar criptografía. d) Ser un protocolo de correo.

33. OpenVPN se caracteriza típicamente por: a) Basarse en TLS para establecer el canal seguro (funciona sobre UDP o TCP). b) Ser un protocolo de routing. c) Ser un mecanismo de ARP spoofing. d) Ser un estándar Wi-Fi.

34. El uso de MFA en acceso remoto ayuda principalmente a: a) Sustituir cifrado. b) Reducir riesgo si la contraseña se compromete. c) Aumentar latencia de forma obligatoria. d) Evitar DDoS.

35. Un “rogue AP” suele ser: a) Un AP no autorizado conectado a la red corporativa. b) Un firewall. c) Un servidor DNS. d) Un switch L3.

36. “Evil twin” suele referirse a: a) Un AP malicioso que imita SSID del legítimo para captar credenciales/tráfico. b) Un ataque de SQL injection. c) Un ataque BGP hijack. d) Un tipo de NAT.

37. Una medida para mitigar “evil twin” es: a) Conectar siempre al Wi-Fi de mayor potencia sin verificar nada. b) Usar WPA2/WPA3-Enterprise (802.1X) con validación de certificado del servidor, y concienciación. c) Desactivar TLS. d) Cambiar MX.

38. En una Wi-Fi abierta (sin cifrado), un atacante en el mismo SSID puede: a) Ver contenido cifrado por HTTPS únicamente como texto plano. b) Sniffar tráfico no cifrado y metadatos; HTTPS protege contenido pero no todo el metadata. c) No ver nada nunca. d) Cambiar BGP.

39. DNS over TLS (DoT) significa: a) DNS cifrado sobre TLS (normalmente a un resolver). b) DNS firmado con DNSSEC. c) DNS sobre ARP. d) DNS sin transporte.

40. DNS over HTTPS (DoH) significa: a) DNS encapsulado en HTTPS. b) DNS sin cifrado. c) Sustituir HTTP. d) Cambiar rutas BGP.

41. Diferencia conceptual principal entre DNSSEC y DoT/DoH: a) DNSSEC cifra el canal; DoH firma. b) DNSSEC aporta integridad/autenticidad de datos; DoT/DoH aportan confidencialidad en tránsito (canal). c) No hay diferencia. d) DoH elimina necesidad de resolver.

42. STARTTLS en SMTP se usa para: a) Desactivar cifrado. b) Negociar actualización de conexión a TLS (oportunista). c) Cambiar MX. d) Firmar DKIM.

43. STARTTLS oportunista implica que: a) Siempre hay cifrado garantizado end-to-end. b) Puede caer a no cifrado si no se soporta o si se bloquea (dependiendo de política). c) Sustituye a PGP. d) Elimina spoofing.

44. Una mitigación habitual contra DDoS volumétrico a gran escala es: a) Solo cambiar contraseñas. b) Scrubbing/mitigación en proveedor o CDN, rate limiting y capacidad elástica. c) Desactivar DNS. d) Quitar firewall.

45. Autenticación significa: a) Determinar qué puede hacer un usuario. b) Verificar identidad (quién eres). c) Registrar actividad (logs). d) Traducir IPs.

46. Autorización significa: a) Verificar identidad. b) Determinar permisos (qué puede hacer). c) Cifrar tráfico. d) Resolver DNS.

47. Accounting en AAA se refiere a: a) Contabilidad/registro de uso y actividad (auditoría). b) Cifrado. c) Asignación de IP. d) NAT.

48. Señala la afirmación INCORRECTA: a) PPTP se considera inseguro hoy. b) L2TP suele combinarse con IPsec. c) DoT/DoH cifran el canal DNS. d) DNSSEC cifra el canal DNS.

49. Señala la afirmación más correcta: a) Evil twin es un AP malicioso que imita al legítimo. b) Rogue AP es siempre un servidor DNS público. c) WireGuard no usa criptografía. d) OpenVPN es un protocolo de correo.

50. Señala la afirmación más correcta: a) MFA evita cualquier phishing al 100%. b) STARTTLS garantiza cifrado siempre sin excepciones. c) Una SSL VPN suele basarse en TLS. d) DoH elimina necesidad de DNSSEC.

51. Un SYN flood busca: a) Agotar recursos del servidor llenando la cola de conexiones semiabiertas (SYN recibidos sin completar handshake). b) Romper DNSSEC. c) Cambiar rutas BGP. d) Enviar spam por SMTP.

52. Una mitigación típica contra SYN flood es: a) Desactivar TCP. b) SYN cookies / ajuste de backlog / protección a nivel firewall/IPS. c) Cambiar MX. d) Activar WEP.

53. IP spoofing consiste en: a) Falsificar dirección IP origen en paquetes. b) Cambiar la MAC del switch. c) Cambiar el DNS del dominio. d) Cambiar el certificado TLS.

54. Un ataque de amplificación (reflection/amplification) suele: a) Usar una víctima como reflector. b) Usar IP spoofing y servicios que responden con respuestas más grandes (amplificación) hacia la víctima. c) Ser imposible con UDP. d) Requerir TLS siempre.

55. Una CA (Certification Authority) sirve para: a) Firmar certificados y establecer confianza en una PKI. b) Enrutar paquetes. c) Asignar IPs. d) Hacer NAT.

56. La revocación de certificados sirve para: a) Aumentar ancho de banda. b) Invalidar un certificado antes de su expiración (p. ej. clave comprometida). c) Cambiar DNS. d) Eliminar TLS.

57. Una CRL (Certificate Revocation List) es: a) Lista publicada por la CA con certificados revocados. b) Un protocolo de routing. c) Un algoritmo de cifrado. d) Un tipo de firewall.

58. OCSP se usa para: a) Preguntar en tiempo casi real por el estado de revocación de un certificado. b) Resolver DNS. c) Asignar IPs. d) Hacer ARP.

59. En TLS, el cliente confía en el certificado del servidor si: a) El servidor lo dice. b) El certificado encadena a una CA confiable y el nombre coincide (y no está revocado, según validación). c) La MAC coincide. d) El TTL es alto.

60. Un certificado “self-signed” implica: a) Siempre es confiable por defecto. b) No encadena a una CA pública; requiere confianza explícita del cliente (o CA interna). c) Es inválido criptográficamente siempre. d) No puede usarse en TLS.

61. Una medida operativa clásica para reducir incidentes BGP es: a) No filtrar nada nunca. b) Filtrar prefijos (prefix-lists), max-prefix, y buenas políticas con upstream/peers. c) Usar WEP. d) Usar ARP inspection.

62. RPKI ayuda a mitigar principalmente: a) Phishing. b) Route origin hijacking (origen no autorizado) mediante validación de origen. c) ARP spoofing. d) SQL injection.

63. Proteger la sesión BGP entre routers suele implicar: a) DKIM. b) Mecanismos de autenticación (p. ej. TCP MD5 o similares según despliegue) + ACLs. c) WEP. d) NTP.

64. En 802.1X, el “supplicant” es: a) El cliente que solicita acceso (host/usuario). b) El switch/AP (autenticador). c) El servidor RADIUS. d) El router BGP.

65. En 802.1X, el “authenticator” suele ser: a) Cliente. b) Switch/AP que controla el puerto y reenvía EAPOL/EAP. c) Servidor DNS. d) CA.

66. En 802.1X, el “authentication server” suele ser: a) RADIUS. b) DHCP. c) HTTP. d) SMTP.

67. EAP se usa para: a) Negociar método de autenticación (marco) en 802.1X y otros. b) Cifrar siempre con AES. c) Enviar correo. d) Enrutar paquetes.

68. KRACK afectó a: a) WPA2 (reinstalación de claves en handshake, en ciertas condiciones). b) DNSSEC. c) BGP. d) IMAP.

69. Una medida clave tras KRACK fue: a) Cambiar MX. b) Aplicar parches/actualizaciones en clientes/APs (correcciones de implementación). c) Desactivar TLS. d) Activar WEP.

70. DHCP spoofing (rogue DHCP) busca: a) Dar respuestas DHCP falsas (gateway/DNS malicioso) para redirigir tráfico. b) Enrutar BGP. c) Cifrar la Wi-Fi. d) Firmar DKIM.

71. Una mitigación típica en switches contra rogue DHCP es: a) DHCP snooping. b) WEP. c) DKIM. d) OCSP.

72. Un SIEM se usa para: a) Centralizar correlación de eventos/logs y alertas de seguridad. b) Sustituir firewalls. c) Sustituir DNS. d) Sustituir TLS.

73. Señala la afirmación INCORRECTA: a) SYN flood explota handshake TCP. b) OCSP consulta estado de revocación. c) Self-signed requiere confianza explícita del cliente. d) CRL es un protocolo de enrutamiento interno (IGP).

74. Señala la afirmación más correcta: a) IP spoofing solo es posible con TCP. b) Amplificación/reflection suele apoyarse en UDP y spoofing. c) RPKI cifra el tráfico BGP. d) DHCP snooping sirve para evitar SQL injection.

75. Señala la afirmación más correcta: a) En 802.1X el RADIUS es el supplicant. b) En 802.1X el switch/AP actúa como authenticator. c) El authenticator es siempre el servidor DNS. d) EAP es un protocolo de correo.

76. Un WAF (Web Application Firewall) se orienta principalmente a: a) Ataques a nivel de aplicación web (SQLi, XSS, etc.). b) Routing BGP. c) Asignar IPs. d) Conmutar MAC.

77. Un firewall tradicional de red (L3/L4) decide principalmente por: a) Contenido HTML del body. b) IP/puertos/protocolo/estado (según sea stateful). c) DKIM/DMARC. d) Serial del SOA.

78. “Zero Trust” (concepto) implica: a) Confiar siempre dentro de la LAN. b) No confiar implícitamente: verificar identidad/estado/contexto continuamente y aplicar mínimo privilegio. c) Eliminar autenticación. d) Sustituir cifrado por NAT.

79. VLAN hopping se refiere a: a) Saltar entre VLANs explotando configuraciones/troncos (p. ej. double-tagging o DTP mal configurado). b) Cambiar de canal Wi-Fi. c) Un ataque BGP hijack. d) Un ataque de fuerza bruta a contraseñas.

80. Una mitigación típica contra VLAN hopping es: a) Activar DTP en todos los puertos. b) Deshabilitar negociación automática de trunk (DTP), fijar puertos como access, y configurar VLAN nativa adecuadamente. c) Desactivar DNSSEC. d) Usar PPTP.

81. “Port security” en switches se usa para: a) Limitar/validar MACs por puerto y reaccionar ante violaciones (shutdown/restrict). b) Enrutar por BGP. c) Firmar certificados. d) Asignar IPs.

82. Un objetivo de “storm control” es: a) Aumentar broadcast storms. b) Limitar tráfico broadcast/multicast/unknown unicast para evitar saturación. c) Cifrar Wi-Fi. d) Sustituir IDS.

83. RA spoofing (IPv6) implica: a) Enviar Router Advertisements falsos para que hosts usen gateway/DNS malicioso. b) Enviar correos con DKIM inválido. c) Cambiar ASN. d) Cambiar MX.

84. Una mitigación típica contra RA spoofing en redes gestionadas es: a) RA Guard (en switches) y segmentación. b) WEP. c) OCSP stapling. d) Cambiar SOA.

85. Un principio básico de hardening es: a) Exponer todos los servicios “por si acaso”. b) Minimizar superficie de ataque: cerrar puertos, deshabilitar servicios innecesarios, aplicar parches. c) Desactivar logs. d) Desactivar autenticación.

86. “Least privilege” significa: a) Dar permisos de admin por defecto. b) Dar solo los permisos necesarios para la tarea. c) No dar permisos nunca. d) Sustituir ACL por NAT.

87. Para administración remota segura, se prefiere: a) Telnet. b) SSH. c) HTTP. d) FTP.

88. En SNMP, una mejora clave de SNMPv3 respecto a versiones previas es: a) Eliminar autenticación. b) Añadir seguridad (autenticación e integridad y, opcionalmente, cifrado). c) Cambiar DNS. d) Cambiar BGP.

89. Centralizar logs de red ayuda a: a) Evitar necesidad de parches. b) Detección/correlación y respuesta ante incidentes (forense). c) Aumentar colisiones Wi-Fi. d) Evitar DNS caching.

90. En 802.1X, si el supplicant no se autentica, lo típico es: a) El puerto queda sin restricción total. b) El puerto queda bloqueado o en VLAN de cuarentena/guest (según diseño). c) Se cambia el ASN. d) Se reinicia DNS.

91. WPS es riesgoso principalmente porque: a) Usa AES. b) Puede ser vulnerable a ataques sobre el PIN (según implementación), facilitando acceso. c) Es obligatorio en WPA3-Enterprise. d) Sustituye 802.1X.

92. Un ataque STP (si no se protege) puede intentar: a) Forzar al atacante como root bridge para interceptar/alterar tráfico (topología). b) Cambiar DNSSEC. c) Cambiar DKIM. d) Cambiar ASN.

93. Una mitigación típica en switches contra manipulación STP es: a) BPDU Guard/Root Guard (según caso) y configuración adecuada. b) Activar WEP. c) Desactivar VLAN. d) Cambiar MX.

94. SPAN/port mirroring se usa para: a) Enviar correos más rápido. b) Copiar tráfico de un puerto/VLAN a otro para análisis (IDS, sniffer). c) Cifrar tráfico. d) Cambiar MTU.

95. Señala la afirmación INCORRECTA: a) WAF protege aplicaciones web. b) VLAN hopping puede mitigarse deshabilitando DTP y fijando access/trunk correctamente. c) RA Guard ayuda frente a RA spoofing. d) Port security sirve para validar certificados TLS.

96. Señala la afirmación INCORRECTA: a) Zero Trust enfatiza verificación continua. b) SNMPv3 añade seguridad. c) WPS puede ser un riesgo. d) Telnet cifra por defecto.

97. Señala la afirmación más correcta: a) Un firewall L3/L4 inspecciona siempre el body HTTP para bloquear SQLi. b) Un WAF se centra en capa 7, mientras firewall L3/L4 en IP/puertos/estado. c) VLAN hopping se evita activando negociación automática en todos los puertos. d) RA spoofing no existe en IPv6.

98. En una red corporativa, una práctica recomendable para gestión de equipos es: a) Exponer SNMPv2c a Internet con community “public”. b) Usar SNMPv3 y segmentar/filtrar acceso a la red de gestión. c) Usar Telnet siempre. d) Desactivar logs.

99. Señala la afirmación INCORRECTA: a) Least privilege reduce impacto de compromisos. b) Hardening incluye parches y deshabilitar servicios innecesarios. c) Storm control limita broadcast/multicast excesivo. d) RA Guard sirve para evitar DHCP spoofing en IPv4.

100. Señala la afirmación más correcta: a) NAT es un sustituto completo de un WAF. b) Un SIEM puede ayudar a correlacionar eventos de seguridad de red y sistemas. c) Un open relay es recomendable para mejorar entregabilidad. d) WEP es más seguro que WPA3.
Denunciar Test