prueba-prueba

Un empleado recibe un correo muy convincente que parece de la jefatura solicitando credenciales. ¿Qué tipo de ataque es?. Spear phishing. Malware. DOS. Inyección SQL.

¿Qué herramienta recomendaría OWASP para proporcionar estructuras referencia de los estándares de los desarrollos de un modelo de IA?. LIME o SHAP. Distribución automática. Pruebas automatizadas. OWASP 2DAI.

En un escenario donde una organización ofrece servicios críticos a través de una API pública y privada, y se detecta un patrón de tráfico anómalo que podría estar relacionado con cifrado de datos en tránsito, ¿cuál de las siguientes estrategias sería la más efectiva para garantizar la continuidad operativa y la seguridad de los datos?. Basar la protección de cifrado de datos en tránsito únicamente en ofuscación del código. Implementar medidas para cifrado de datos en tránsito solo en entornos productivos, omitiendo las etapas de desarrollo y pruebas. Aplicar reglas genéricas de firewall sin personalización para cifrado de datos en tránsito. Delegar completamente la gestión de cifrado de datos en tránsito a un tercero sin auditar su cumplimiento. Confiar únicamente en la configuración por defecto del servidor para manejar cifrado de datos en tránsito, sin revisiones posteriores. Reducir el alcance de cifrado de datos en tránsito limitando endpoints, pero sin controles de autenticación ni validación de datos. Cifrado de datos en tránsito, incorporando validaciones estrictas, monitoreo en tiempo real, y revisiones periódicas de seguridad para detectar y bloquear actividad maliciosa antes de que cause daño.

Una empresa usa datos de ubicación y contacto para autenticar usuarios en su sistema. Un equipo de marketing solicita usar esos mismos datos para enviar promociones sin avisar al usuario. ¿Cuál sería la acción correcta según las prácticas de seguridad y privacidad de la IA?. Usar los datos si el equipo de marketing los cifra antes. Usar los datos porque ya están en la base de la empresa. No usar los datos salvo que exista consentimiento explícito del usuario. Usar solo la ubicación, no el contacto, para evitar problemas.

Un equipo de seguridad realiza pruebas en un sistema de recomendación de productos, simulando varios ataques para ver cómo responde el modelo a entradas manipuladas. ¿Qué tipo de pruebas están realizando?. Pruebas de caja blanca. Evaluación de riesgos. Pruebas de vulnerabilidad. Monitoreo continuo.

Ocurre cuando las API procesan solicitudes que contienen direcciones controladas por el usuario y recuperan recursos remotos desde el servidor sin aplicar validaciones adecuadas sobre dichas solicitudes. ¿A qué tipo de vulnerabilidad corresponde este comportamiento?. Falsificación de solicitudes del lado del servidor. Gestión inadecuada del inventario. Configuración incorrecta de seguridad. Autorización de nivel de función rota. Autorización de nivel de propiedad de objeto rota. Acceso sin restricciones a flujos comerciales sensibles.

El sistema expone mensajes como “Usuario no encontrado” y “Contraseña incorrecta”. ¿Qué riesgo introduce?. Mejora usabilidad. Exposición de lógica. Fortalece la autenticación. Ayuda al atacante con enumeración de usuarios.

Un sistema de IA almacena información de clientes con cifrado, pero la mantiene por más tiempo del necesario. Esto es aceptable porque hay cifrado. Es correcto si no se usan esos datos. Esto mejora la precisión del modelo. Esto viola el principio de limitación de retención, aunque exista cifrado.

¿Qué práctica enfatiza OWASP para asegurar que cada paso en el proceso de toma de decisiones pueda ser revisado y comprendido?. Auditorías de código. Supervisión constante. Cifrado de datos. Trazabilidad.

¿Cuál de las siguientes prácticas o medidas preventivas contribuye a través del tiempo a elevar la adopción de configuraciones correctas o niveles en los parámetros de seguridad de un sistema?. Mantener el uso de controles preestablecidos. Implementar servicios de identificación proporcionados por terceros con acceso apropiado a los servicios avanzados de verificación del estándar “Senior ID”. Realizar de forma periódica la actualización del software y la aplicación de parches de seguridad. Realizar mantenimientos constantes en la configuración al despegue (o fresh) en procesos de validación o verificación.

Un equipo de desarrollo detecta que su aplicación financiera es vulnerable a ataques Man-in-the-Middle en redes Wi-Fi públicas. ¿Qué estrategia técnica podría mitigar el riesgo sin afectar significativamente el rendimiento?. Utilizar un cifrado simétrico débil para acelerar las conexiones. Implementar certificate pinning y forzar el uso de TLS 1.3 con validación estricta. Permitir conexiones HTTP para usuarios con dispositivos antiguos. Confiar en que las redes Wi-Fi públicas sean seguras. Desactivar la verificación de certificados para evitar errores.

Durante una auditoría externa, se encontró que fallos en pipelines de integración continua. Si se aplican estándares internacionales, ¿Qué acción debería tomar el equipo para resolverlo de forma definitiva?. Implementar una solución integral para fallos en pipelines de integración continua con monitoreo continuo, validación automatizada y procedimientos de respuesta documentados. Usar configuraciones por defecto para manejar fallos en pipelines de integración continua. Delegar la responsabilidad de fallos en pipelines de integración continua a un equipo externo sin supervisión. Aplicar un parche manual rápido para fallos en pipelines de integración continua sin pruebas previas. Depender únicamente de auditorías anuales para detectar fallos en pipelines de integración continua. Reducir la funcionalidad afectada por fallos en pipelines de integración continua sin evaluar impactos. Ignorar temporalmente fallos en pipelines de integración continua hasta la próxima ventana de mantenimiento.

Durante el diseño de arquitectura de seguridad, el objetivo es prevenir amenazas antes de que ocurran. ¿Qué tipo de enfoque es?. Detectivo. Reactivo. Proactivo. Correctivo.

Un analista detecta múltiples intentos de login con combinaciones distintas en corto tiempo. ¿Qué tipo de ataque se sospecha?. Fuerza bruta. Man-in-the-middle. Inyección SQL. Phishing.

Una empresa no actualiza el JDK utilizado en desarrollo. ¿Qué riesgo existe?. Menor compatibilidad con navegadores. Exposición a vulnerabilidades conocidas. Carga lenta del sistema. Uso excesivo de RAM.

Una aplicación en la nube permite a un usuario ver datos de otro sin autenticar. ¿Qué falla describe esto?. Fallo en la seguridad multicapas (layer). Error en el direccionamiento de flujo. Fallo en el firewall de red. Falta de hashing de contraseñas.

Cuando un usuario carecen de privilegios respectivos requiere la realización de un chequeo mediante la API, ¿qué tipo de vulnerabilidad específica se usa mayormente en el sistema?. Autorización de nivel de propiedad rota. Autenticación rota. Función de autorización rota. Acceso no autorizado a reglas sensibles.

En un escenario donde un proveedor de servicios en la nube ha desplegado medidas de seguridad a nivel de infraestructura, ¿qué responsabilidades y acciones debe asumir el cliente para garantizar la protección de sus datos?. Dejar la protección de datos en manos del proveedor. Proteger las aplicaciones y los datos en la nube. Solo asegurar los servicios de almacenamiento. Descartar las aplicaciones no críticas.

Con el fin de lograr prevenir la amenaza del tipo Diseño inseguro, decide realizar cambios en el proceso de desarrollo de software, introduciendo metodologías de desarrollo de software seguro, las cuales incluyen la actividad del modelado de amenazas. ¿Esto logrará impedir que se materialice la amenaza?. Verdadero. Falso.

Una empresa recolecta direcciones de correo para verificar identidad y luego las usa para enviar promociones sin avisar. ¿Cuál es el problema principal?. Se excedió el tiempo de retención de datos. Se usó un algoritmo de compresión ineficiente. Se reutilizaron datos para un propósito distinto al acordado. No se aplicó cifrado AES-256.

¿Qué medidas preventivas y estrategias de mitigación deben implementarse para salvaguardar interfaces de proveedores de implementación, de integración y de interfaces en el caso ataque de Denegación de Servicio Distribuido (DDoS)? Seleccione cuál de las siguientes es la más adecuada: Omitir el uso de cifrado TLS. Asignar un número limitado de solicitudes hacia la API. Eliminar por completo los mecanismos de autenticación. Implementar un API Gateway con políticas de limitación de velocidad.

Un modelo de conducta inadecuada al emplear datos y facilitar modificaciones en seguridad de acceso puede provocar un ataque. ¿En qué se traduce esto?. En un ataque informático. En un problema de mantenimiento. En un problema de despliegue. En una falla del hardware.

Una compañía implementa sensores IDS que notifican actividad sospechosa en sus servidores. ¿Qué tipo de control están aplicando?. Detectivo. Administrativo. Preventivo. Correctivo.

En un equipo de desarrollo, se produce un error repetitivo en el despliegue debido a una falta de coherencia entre los entornos. ¿Qué solución puede adoptar el equipo?. Implementar Infraestructura como Código (IaC). Usar configuraciones manuales para cada entorno. Depender del aprovisionamiento físico manual. Eliminar todos los entornos de pruebas.

Un desarrollador omite una implementación de consulta dinámica en donde el usuario final pueda introducir los datos y que muestre en pantalla las órdenes de compra de esa transacción. Como consecuencia puede ser manipulada y encontrada de lo más sencillo y comprometedora con inyecciones SQL. ¿Qué tipo de vulnerabilidad corresponde a esta amenaza?. Comunicación insegura: los datos se transmiten en un canal abierto no protegido (como redes inalámbricas, exponiendo en el medio sensible). Denegación de servicio: el dialogo de la aplicación no cuenta con barreras por parte del usuario final, frustrando el objetivo y quedando inestable con reintentos. Autenticación insegura: los parámetros de acceso son incorrectos o los usuarios no acceden correctamente a los módulos, permitiendo el acceso no autorizado a módulos o cuentas de usuarios. Validación incorrecta: cualquier campo puede ser además manipulado y vulnerado sin protección ni filtrado adecuado.

Un atacante se aprovecha de un punto de entrada de datos y realiza una inyección XSS. ¿A qué vulnerabilidad corresponde?. Validación de entrada insuficiente. Protección binaria insuficiente. Criptografía insuficiente. Almacenamiento inseguro de datos.

Durante un ejercicio de penetración de herramientas, no se encontraron las pautas de fallo. ¿Qué resultado puede presentarse?. Resultados en el sistema. Reducción en rendimiento. Fuga de información sensible. Mayor tráfico en la red.

Gracias a este tipo de requerimientos, se puede llevar a cabo investigaciones sobre el flujo conducido de eventos, esto investigativo para averiguar para creer y menos tan enviar actividades anómalas o no autorizadas. ¿Qué tipo de requerimientos son?. Requerimientos de seguridad. Requerimientos de integridad. Requerimientos de trazabilidad. Requerimientos de manejo de configuración. Requerimientos de confidencialidad.

Un auditor encuentra una vulnerabilidad en un Middleware de terceros usado en una aplicación móvil para procesar datos sensibles. ¿Qué vulnerabilidad se está viendo reflejada?. Autenticación insegura. Seguridad insuficiente de fuentes de terceros. Criptografía insuficiente. Configuración incorrecta de seguridad.

Una organización usa una herramienta de seguridad avanzada, pero no define políticas de uso. ¿Qué riesgo se presenta?. Se evita el uso excesivo. Se ahorra tiempo en capacitación. La herramienta se vuelve ineficaz. Mejora la interoperabilidad.

¿Qué práctica de codificación asegura que las contraseñas se mantengan seguras?. Utilizar contraseñas simples. Cifrado de contraseñas. Autenticación de múltiples factores. Codificación en texto plano.

¿Cuál es un ejemplo de "expansión de secretos" en un entorno de desarrollo?. La automatización de la entrega continua sin validación de credenciales. a eliminación de claves SSH de los repositorios de código. El almacenamiento de secretos en ubicaciones no seguras como computadoras portátiles o servidores de compilación. El uso de contraseñas encriptadas en código abierto.

Un atacante utiliza un dispositivo comprometido para interceptar datos transmitidos sin cifrado entre la aplicación y el servidor. ¿Qué vulnerabilidad está siendo explotada?. Protección binaria insuficiente. Comunicación insegura. Autenticación insegura. Almacenamiento inseguro de datos.

Un equipo desea hacer un seguimiento preciso de las configuraciones de su infraestructura a lo largo del tiempo. ¿Qué debería hacer?. Hacer un seguimiento manual de todas las configuraciones. Gestionar las configuraciones sin ningún sistema de control de versiones. No utilizar ninguna herramienta de gestión de configuraciones. Usar Infraestructura como Código (IaC) para gestionar y versionar configuraciones.

¿Qué estrategias de Rate-Limiting y medidas de sobreprotección (sobreesfuerzo) son recomendables a la superficie de ataque de una interfaz de programación de aplicaciones (API)?. Habilitar todos los puntos de acceso sin aplicar restricciones. Restringir la cantidad de solicitudes que un cliente puede realizar a la API en un período determinado. Utilizar una clave de API para todos el ingreso. Poner al acceso público la totalidad de las funciones de la API.

En un sistema web, un firewall revisa y bloquea paquetes que considera peligrosos. ¿Qué tipo de control es?. Detectivo. Correctivo. Preventivo. Administrativo.

¿Qué técnica permite procesar los datos del usuario solo después de comprobar que no contienen amenazas?. Validación de entrada. Encriptación simétrica. Minificación de código. Normalización semántica.

Un modelo se entrena con datos desactualizados y erróneos. Esto puede generar decisiones incorrectas. Esto aumenta la transparencia. Esto reduce el sesgo. Esto mejora la rapidez de entrenamiento.

En un despliegue de producción, el equipo detecta que el aislamiento de namespaces presenta fallas. Si se busca garantizar la disponibilidad y seguridad sin interrumpir el servicio, ¿qué medida debe aplicarse prioritariamente?. Ignorar temporalmente el aislamiento de namespaces hasta la próxima ventana de mantenimiento. Usar configuraciones por defecto para manejar aislamiento de namespaces. Implementar una solución integral para aislamiento de namespaces con monitoreo continuo, validación automatizada y procedimientos de respuesta documentados. Aplicar un parche manual rápido para aislamiento de namespaces sin pruebas previas. Depender únicamente de auditorías anuales para detectar aislamiento de namespaces. Reducir funcionalidad afectada por aislamiento de namespaces sin evaluar impactos. Delegar la responsabilidad de aislamiento de namespaces a un equipo externo sin supervisión.

Un desarrollador omite la implementación de controles adecuados para validar y sanitizar los datos introducidos por el usuario. Como consecuencia, un atacante logra manipular las consultas a la BD mediante inyección SQL. ¿Qué tipo de vulnerabilidad está siendo aprovechada en este escenario?. Autenticación insegura: los mecanismos de control de acceso no protegen adecuadamente las credenciales, permitiendo el acceso no autorizado a recursos o cuentas de usuario. Comunicación insegura: los datos se transmiten sin cifrado, permitiendo su interceptación por atacantes, especialmente en redes no confiables como Wi-Fi público. Protección binaria insuficiente: el código de la aplicación no cuenta con mecanismos que dificulten su ingeniería inversa, facilitando su análisis, modificación o explotación por parte de atacantes. Validación insuficiente: la cual permite que datos maliciosos manipulados por el usuario sean procesados sin filtrado adecuado.

Una aplicación de banca móvil debe protegerse contra ataques de falsificación e inyección en los que un atacante remoto utiliza sesiones válidas para extraer información no autorizada. ¿Qué método técnico sería más adecuado?. Realizar los mismos tokens para múltiples ocasiones. Utilizar tokens únicos por transacción con expiración corta y verificación de firmas. Permitir que el cliente decida cuándo expira un token. Usar únicamente HTTPS sin validación adicional. Diseñar un re-enderogers sin integridad en los resultados.

Una startup desarrolla una app de mensajería móvil y quiere proteger la comunicación de extremo a extremo. ¿Cuál sería la mejor práctica inicial para garantizar la privacidad de los mensajes?. Cifrar solo el texto pero no los archivos multimedia. Confiar únicamente en la seguridad de la red Wi-Fi del usuario. Usar el mismo par de claves para todos los usuarios. Implementar cifrado asimétrico para el intercambio de claves y cifrado simétrico para el contenido.

Qué control de seguridad asegura que toda información confidencial almacenada de forma intencional por la aplicación esté protegida mediante mecanismos adecuados, sin importar la ubicación o medio de almacenamiento en el que se guarde?. MASVS-AUTH. MASVS-NETWORK. MASVS-DEVOPS. MASVS-RESILIENCE. MASVS-CRYPTO. MASVS-STORAGE.

Una empresa envía un modelo para detectar fraudes para una evaluación de modelos respaldados para cumplir con la PC. ¿Cuál es el problema principal?. Se está usando información sensible para fines distintos y sin permiso. No se ha adecuado explícitamente información. El modelo no está optimizado para generarse volumétrico del GPU. La base de datos está incompleta.

Un usuario no tiene la posibilidad de gestionar o revocar permisos otorgados por una aplicación, lo que le impide limitar el acceso a funciones sensibles. ¿Qué tipo de vulnerabilidad está siendo explotada en este caso?. Autenticación insegura, relacionada con métodos de verificación de identidad débiles o mal implementados. Criptografía insuficiente, asociada al uso de algoritmos débiles o mal implementados para proteger la información. Protección binaria insuficiente, vinculada a la ausencia de técnicas que impidan el análisis o modificación del código ejecutable de la aplicación. Configuración incorrecta de seguridad, vinculada a la imposibilidad de controlar permisos de la aplicación, lo que expone al usuario a riesgos innecesarios.

Una app usa hashing de contraseñas pero sin aplicar sal. ¿Qué vulnerabilidad sigue presente?. Autenticación débil. LFI. XSS. Ataques por rainbow tables.

Un desarrollador está buscando mejorar la velocidad de integración de su código. ¿Qué proceso DevOps debería adoptar?. Desplegar solo una vez al final del proyecto. Ignorar la automatización en las pruebas. Depender de las pruebas manuales. Integración continua (CI).

¿Qué puede hacer vulnerable a un componente?. Ser una versión actualizada. Mantener compatibilidad con bibliotecas modernas. No realizar mantenimientos o actualizaciones. Automatizar procesos de administración de parches.

Si para explotar una vulnerabilidad un atacante solo necesita un navegador web, ¿qué letra de “DREAD” se debe usar para este análisis?. D. A. E. R.

En un entorno de desarrollo y operación basado en contenedores, un equipo ejecuta cambios frecuentes en las imágenes o configuraciones de contenedores sin implementar ningún mecanismo de monitoreo ni auditoría. ¿Qué problemas potenciales podrían surgir?. Los contenedores se implementarán más rápido. No será necesario hacer más pruebas. Los cambios serán más fáciles de revertir. La introducción de vulnerabilidades no identificadas.