prueba-04-E

Durante una revisión de seguridad, se observa que el sistema aún incluye usuarios por defecto activos y servicios innecesarios en ejecución. ¿Qué principio de seguridad ha sido claramente ignorado?. Detección de intrusos. Principio de menor privilegio y configuración segura. Recuperación ante desastres. Auditoría de código.

¿Cuál es la principal ventaja de realizar la actividad de modelado de amenazas durante la fase de diseño?. Permite hacer ingeniería inversa más fácilmente. Permite que se aborden las fallas de diseño antes de escribir una sola línea de código. Añade bajo acoplamiento a la aplicación. Reduce los costos de desarrollo. Agiliza el proceso de desarrollo. Ninguna de las anteriores.

En un entorno donde un equipo opta por implementar contenedores sin habilitar mecanismos de cifrado para los datos en reposo o en tránsito, ¿qué riesgos de seguridad podrían generarse?. No habrá vulnerabilidades. El contenedor será más rápido. Los contenedores serán más fáciles de manejar. Exposición de datos confidenciales y acceso no autorizado.

Durante el uso de un conector, el tráfico de red no se está controlando correctamente. ¿Cuál es la principal preocupación?. No hay fuga de datos y accesos no autorizados. No hay necesidad de revisar el tráfico de red. El conector se replicará muy rápido. El monitoreo de la red aumentará.

¿Cuál es la razón fundamental por la que los desarrolladores deben garantizar que la interfaz de usuario no exponga directa o indirectamente datos confidenciales?. Para optimizar la velocidad y fluidez de la interfaz, evitando la carga y renderizado de datos innecesarios o sensibles que puedan ralentizar la experiencia del usuario. Para ofrecer una presentación más limpia y enfocada, eliminando información sensible que pueda distraer o saturar la interfaz, y contribuyendo así a una experiencia visual más agradable y segura. Para salvaguardar la imagen y credibilidad de la aplicación, evitando incidentes de filtración de datos que puedan afectar la confianza de los usuarios y el prestigio de la marca. Para impedir que la información sensible pueda visualizarse o capturarse en pantallas compartidas, grabaciones o capturas de pantalla, reduciendo el riesgo de divulgación no autorizada.

Una aplicación móvil comparte a un dispositivo IoT (Internet of Things) claves privadas sin métodos adicionales de cifrado. ¿Qué medio de explotación podría afectar?. Despliegue de Bluetooth. Utilizar una VPN. Interceptar un sistema. Usar sólo conexiones Wi-Fi.

Una app de mensajería debe garantizar la confidencialidad de los mensajes que son interceptados al viajar por terceros no autorizados. ¿Qué consideración será la más segura?. Permitir debilidades en la autenticación privada. Cambio de entornos diferentes, autenticación al procesamiento y basado en graficaciones no confiables. Permitir acceso con entornos públicos sin encriptación. No implementar control en la seguridad de la red hipotética. Usar cifrado débil para mejorar rendimiento.

Un desarrollador identifica que la página de búsqueda de su aplicación expone información del usuario. ¿Qué debe hacer?. Aumentar el tamaño de la base de datos. Desactivar la página temporalmente. Proteger el punto de entrada. Cambiar el diseño gráfico.

¿Qué medida ayuda a prevenir ataques de inyección SQL al recibir las entradas de los usuarios?. Cifrado de contraseñas. Uso de listas de datos. Uso de consultas parametrizadas. Validación de entrada.

Un equipo de IA decide no auditar un modelo después de un ajuste o implementación. Esto es riesgoso porque no se detectarán sesgos o errores nuevos. Esto solo afecta la velocidad del modelo. Esto ahorra costos y es recomendable. Esto es seguro si la precisión sigue alta.

El sistema de recuperación de contraseñas no impone límites de uso por IP ni CAPTCHA. ¿Qué tipo de explotación se facilita?. Enumeración de usuarios. Regex Injection. SQLi. CSRF.

En el marco de las actividades de un equipo de operaciones encargado de mantener recursos tecnológicos, surge necesidad de contar con un ecosistema de infraestructura gestionado apropiadamente y mediante la implementación tanto de buenas prácticas como opciones tecnológicas o plataformas desplegadas mediante infraestructura virtualizada para generar alta tenencia y garantizar un control delegado de los entornos virtualizados. ¿Qué acción sería la más apropiada?. Fijar la virtualización de la infraestructura. Usar repositorios únicos internamente. Implementar infraestructura como código (IaC). Configurar manualmente la infraestructura en cada entorno.

Un sistema con controles de acceso centralizados en más lugares que uno solo tiene la habilidad de redundar en auditorías. Verdadero. Falso.

Un modelo de IA implementado en un proceso de selección de personal comienza a mostrar sesgos contra ciertos grupos demográficos. ¿Qué falló según OWASP?. Se omitió una política de almacenamiento. Se usaron datos sintéticos. El conjunto de datos de entrenamiento no fue auditado ni balanceado adecuadamente. El modelo fue demasiado transparente.

Una empresa recopila datos médicos para cumplir con requisitos de HC. El equipo de marketing prepara un dataset para entrenar un modelo de recomendación. El equipo de IA indica: Es válido si se extraen los nombres de los pacientes. Es aceptable si se evita el último diagnóstico. Es inapropiado porque se está usando información sensible con un fin distinto al propósito original. Es correcto si los datos son añadidos antes de usarlos.