prueba-06-E

Para prevenir amenazas del tipo configuración incorrecta de seguridad, durante la fase de pruebas, las mismas deben buscar que el software falle de forma controlada y validar los mensajes de error para asegurarse de que no revelen ningún detalle que no sea necesario. Verdadero. Falso.

¿Qué tipo de aplicaciones suelen dejar de funcionar en dispositivos rooteados o con jailbreak?. Apps de pago y financieras. Herramientas de comunicación. Redes sociales. Juegos.

En un proyecto donde una solución de negocio contempló el uso de una API pública y privada, se realizó una implementación con OAuth 2.0, con lo cual se han garantizado funcionalidades de OAuth 2.0, en este proceso de integración con terceros. ¿Cuál sería la acción más adecuada para garantizar la continuidad en el tiempo para la seguridad del negocio?. Proteger directamente campos de implementación de OAuth 2.0 en tiempo temprano de ejecución de la aplicación, con menor esfuerzo y mayor control. Implementar un servicio de verificación de OAuth 2.0 con firmas criptográficas. Establecer protocolos de OAuth 2.0 y OAuth 2.0 híbrido en tiempo de evaluación en etapas tempranas de evaluación del negocio y diseño. Aplicar DoS exhaustiva de ensayo sin protección con la finalidad de evaluación del OAuth 2.0. Incorporar el refresco de tokens y verificación en OAuth 2.0 para liberar de proyecciones omitidas los estados de OAuth 2.0 en entornos de producción. Implementación de OAuth 2.0 con refresh token y verificación por tiempo para manejar controles de autorización y validación de datos. Configurar únicamente los parámetros estrictos del OAuth 2.0 para evitar mayor complejidad en OAuth 2.0 sin exenciones en controles de autorización y validación de datos.

¿Qué control intenta garantizar la integridad de la funcionalidad de la aplicación evitando modificaciones en el código y los recursos originales?. MASVS-RESILIENCE. MASVS-AUTH. MASVS-CRYPTO. MASVS-DEVOPS. MASVS-STORAGE. MASVS-NETWORK.

Durante una validación, se detecta que las cabeceras Cache-Control no están presentes. ¿Qué puede ocurrir?. Reducción del rendimiento. Headers duplicados. Indexación de contenido sensible por proxies o navegadores. Inyección JSON.

En el contexto de la automatización de procesos en entornos de computación en la nube, ¿cuál elemento de acceso debe protegerse de manera efectiva dentro de la cadena de operaciones?. El acceso con privilegios para evitar abusos. Los scripts de automatización. Los datos de usuarios. El tráfico de red.

Una aplicación de gestión de flotas necesita evitar que comandos enviados a vehículos sean interceptados y modificados. ¿Qué técnica usarías?. Usar cifrado simétrico sin autenticación. Enviar comandos sin cifrado en redes privadas. Permitir comandos sin validación de integridad. Cifrado con firma digital y verificación de integridad punto a punto. Confiar en que la red de datos es segura. Usar claves precompartidas sin renovación.

Un desarrollador diseña un modelo de IA con métricas de precisión aceptables. Sin embargo, omite balancear los conjuntos de datos, lo que causa sesgos contra ciertos grupos demográficos. ¿Qué recomendación de OWASP no se aplicó correctamente?. Entrenar con datos balanceados para minimizar el sesgo. Establecer políticas de retención de datos. Utilizar técnicas de transparencia como SHAP. Proteger los datos mediante cifrado robusto.

¿Qué se considera como parte de la seguridad de una base de datos?. Protección de los datos, DBMS y aplicaciones asociadas. Solo el servidor de base de datos. Solo la protección de los datos. Protección del software de la aplicación.

Durante una evaluación, se observó que la configuración segura de buckets de almacenamiento en la nube no se efectuó correctamente (con un tipo de bucket de formato Equipo inválido). En consecuencia, se muestra que el nivel de riesgos relevantes se incrementó. ¿Cuál medida técnica será el siguiente paso en el proceso para mejorar la seguridad?. Implementar una solución integral con monitoreo de configuración en tiempo real y correcciones remotas con claves de validación adjuntas y procedentes. Realizar la remediación correctiva por configuración zonal de buckets de almacenamiento. Usar comprobaciones en auditorías completas para configuración zonal de buckets de almacenamiento. Integrar herramientas de configuración segura de buckets de almacenamiento y revisar tiempos de latencia. Un análisis retrospectivo del ciclo de configuración segura de buckets de almacenamiento en la nube. Aplicar un parche manual sólo por configuración segura de buckets de almacenamiento en pruebas. Dependencia únicamente de auditorías para corregir fallas de seguridad de buckets de almacenamiento.

Un desarrollador entrena un modelo con todos los datos de clientes sin verificar si son relevantes para el objetivo. Es permitido si los datos se almacenan en la nube. Es aceptable si mejora la precisión. Es válido si se obtiene consentimiento al final. Es incorrecto porque viola el principio de minimización de datos, que limita la recolección a lo estrictamente necesario.

Un usuario de la nube desarrolla manualmente en un proceso, bajo una capa legal, explícito por que bases deña designa. ¿Qué principio se está aplicando?. Minimización de datos. Administración descentralizada. Segmentación automatizada. Transparencia del modelo.

Un analista recomienda mejorar un riesgo identificado porque el costo de mitigar el riesgo es menor que el posible impacto o materialización. Transferir el riesgo. Mitigar el riesgo. Aceptar el riesgo. Evitar el riesgo.

Una empresa actualiza su política de seguridad para capacitar continuamente al personal sobre nuevas amenazas y medidas preventivas. ¿Qué concepto aplica aquí?. Privacidad por diseño. Seguridad como un proceso continuo. Seguridad como un estado estático. Seguridad perimetral.

Una organización quiere identificar vulnerabilidades antes de que sean explotadas. ¿Qué práctica debería usar?. Uso de VPN. Pruebas de penetración. Modelado de amenazas. Auditorías de configuración.

Durante una auditoría externa, se encontró que la integración de Vault con Kubernetes presenta deficiencias en su implementación. Si se aplican estándares internacionales, ¿qué acción debería tomar el equipo para resolverlo de forma definitiva?. Implementar una solución integral para integración de Vault con Kubernetes con monitoreo continuo, validación automatizada y procedimientos de respuesta documentados. Usar configuraciones por defecto para manejar integración de Vault con Kubernetes. Delegar la responsabilidad de integración de Vault con Kubernetes a un equipo externo sin supervisión. Reducir la funcionalidad afectada por integración de Vault con Kubernetes sin evaluar impactos. Depender únicamente de auditorías anuales para detectar integración de Vault con Kubernetes. Aplicar un parche manual rápido para integración de Vault con Kubernetes sin pruebas previas. Ignorar temporalmente integración de Vault con Kubernetes hasta la próxima ventana de mantenimiento.

¿Qué protocolo se recomienda para proteger datos en tránsito?. FTP. SMTP. HTTP. TLS.

Cuando un proveedor efectúa funciones internas de bloqueo a API externas a otras componentes o interfaces privadas, ¿qué tipo de vulnerabilidad afecta al riesgo empleado para limitar comprometer los resultados de los usuarios?. Gobernar de servicios sin interacción. Autenticación de objeto rota. Autenticación rota. Acceso no autorizado a reglas sensibles.

Cuando una API permite que los usuarios envíen solicitudes sin un límite establecido, facilitando la saturación de recursos y derivando en un ataque de Denegación de Servicio (DoS), ¿qué vulnerabilidad específica está siendo aprovechada en este escenario?. Autorización de objeto rota. Autenticación rota. Consumo de recursos sin restricción. Acceso no autorizado a flujos sensibles.

¿Qué se recomienda al realizar validación de entradas para evitar ataques de inyección?. No validar entradas de usuarios. Validar solo en el servidor. Validar solo en el cliente. Validar tanto en cliente como servidor.

Al cifrar datos sumamente sensibles como, por ejemplo, una clave criptográfica usada en un cifrado simétrico, se utiliza un cifrado asimétrico. Usando este tipo de cifrado, una llave se divulga libremente y otra se mantiene en secreto. En ese sentido, ¿cuál es la llave que se mantiene libre?. Llave de sellado. Llave pública. Llave única. Llave de cifrado. Llave privada. Llave singular.

Selecciona con la respuesta correcta DREAD'. D. R. E. A. D'.