prueba-03-E

Un analista evalúa una vulnerabilidad y concluye que es muy posible que el atacante le produzca un gran perjuicio sobre el negocio. ¿Cómo se clasifica este riesgo?. Baja severidad. Alta severidad. No crítico. Severidad incremental.

¿Qué método ayuda a encontrar defectos de codificación mediante datos estructurados y conocidos?. Dumb fuzzing. Validación de datos. Smart fuzzing. Inyección de fallas.

En el caso propuesto, ¿qué tipo de amenaza de seguridad se identifica considerando que los parámetros incluidos en el Channel de entrega de URL es visible y manipulable? Ingresando de seguridad de motor para proporcionar desde proveedor o mantener expuesta información sensible o tokens no autorizados trastiene vulnerabilidad entradas de usuario y vulnerar sesiones del navegador. Controles de privacidad insuficientes. Autorizaciones/Autenticación insegura. Uso innecesario de credenciales. Validación de entradas insuficiente. Proveedores Distrust insuficientes.

¿Qué es el análisis de código estático?. Inspección del código en ejecución. Inspección del código sin necesidad de ejecución. Eliminación de errores de compilación. Ejecución del código en un entorno controlado.

Una empresa entrena un modelo de IA utilizando datos financieros obtenidos a través de procesos KYC. Posteriormente decide usar estos datos para personalizar anuncios de productos. ¿Qué acción va en contra de las buenas prácticas de seguridad en IA?. Informar a los usuarios sobre el procesamiento de sus datos. Reutilizar datos sensibles de KYC para propósitos de marketing. Aplicar técnicas de anonimización en los datos recolectados. Usar aprendizaje federado para reducir la centralización de datos.

En el marco del modelo de responsabilidad compartida aplicado a servicios en la nube, ¿qué aspectos específicos son responsabilidad directa de los proveedores de servicios en la nube?. Los sistemas operativos de los usuarios. La seguridad de la infraestructura subyacente, como almacenamiento y redes. La seguridad de las aplicaciones en la nube. Los secretos de las aplicaciones.

Un banco rechaza permitir que su app de pagos se ejecute en dispositivos Android rooteados. ¿Qué razón respalda esta decisión?. Aumenta la velocidad de carga. Reduce el consumo de datos. Evitar riesgos de seguridad asociados a dispositivos rooteados. Mejora el rendimiento del sistema.

¿Cuál es el propósito principal de las pruebas de penetración?. Medir la resistencia frente a ataques. Evaluar el diseño del servicio. Validar la perspectiva del negocio. Probar la integridad del código.

Una empresa que ofrece servicios web decide instalar un WAF para inspeccionar y bloquear paquetes maliciosos. ¿Qué tipo de control es este según su función?. Administrativo. Preventivo. Físico. Correctivo.

¿Cuál de las siguientes acciones ayuda a prevenir configuraciones incorrectas de seguridad?. Hacer cambios frecuentes sin validación. Actualizar y aplicar parches regularmente. Utilizar contraseñas por defecto. Usar servicios de autenticación de terceros.

Con el fin de lograr prevenir la amenaza del tipo Double Injection, existe poder advertir en el proceso de ejecución de la prueba, realizando una verificación de actividad del software según un estándar e incluso la adecuación del software en función del impacto que se mantuviese la amenaza. Verdadero. Falso.

Una base de datos está bien protegida, pero su backup en la nube no está cifrado. ¿Qué riesgo se presenta?. Alta latencia. Duplicación innecesaria. Pérdida de mantenimiento. Exposición de información confidencial.

Durante una auditoría de ciberseguridad, se detecta que la API que maneja datos personales sensibles no cuenta con medidas específicas frente a registro y monitoreo seguro. Ante esta situación, ¿qué acción debe priorizar el equipo para alinearse con las mejores prácticas y normativas internacionales?. Reducir el alcance de registro y monitoreo seguro limitando endpoints, pero sin controles de autenticación ni validación de datos. Registro y monitoreo seguro, incorporando validaciones estrictas, monitoreo en tiempo real, y revisiones periódicas de seguridad para detectar y bloquear actividad maliciosa antes de que cause daño. Confiar únicamente en la configuración por defecto del servidor para manejar registro y monitoreo seguro, sin revisiones posteriores. Delegar completamente la gestión de registro y monitoreo seguro a un tercero sin auditar su cumplimiento. Aplicar reglas genéricas de firewall sin personalización para registro y monitoreo seguro. Implementar medidas para registro y monitoreo seguro solo en entornos productivos, omitiendo las etapas de desarrollo y pruebas. Basar la protección de registro y monitoreo seguro únicamente en ofuscación del código.

Un equipo de desarrollo integra un firewall de aplicaciones web (WAF) en su software antes de la primera entrega. ¿Qué tipo de control es?. Preventivo. Administrativo. Correctivo. Detectivo.

¿Cómo se puede mejorar la autorización de nivel de propiedad de objeto roto?. Permitiendo el acceso a todas las propiedades. Implementando el control de acceso basado en atributos (ABAC). Ignorando las propiedades sensibles. No haciendo comprobaciones de entrada.