Pruebas de Examen

Las fallas de SSRF ocurren cuando una aplicación web está obteniendo un recurso remoto sin validar la URL proporcionada por el usuario. Falso. Verdadero.

¿Cómo se denomina al proceso de combinar las funciones necesarias, las variables y las dependencias, archivos y bibliotecas necesarias para que la máquina ejecute un programa?. Validación. Interpretación. Compilación. Vinculación.

Las ___________________________ surgen en las APIs cuando estas autorizaciones de nivel de función fallan, lo que permite a los atacantes acceder ilegítimamente a funciones y características y realizar acciones restringidas como modificación o eliminación de datos / características, acceso no autorizado, ataques de escalada de privilegios, etc. Server Side Request Forgery. Unrestricted Resource Consumption. Unrestricted Access to Sensitive Business Flows. Broken Function Level Authorization.

¿Qué estrategia es efectiva para mitigar los riesgos asociados con SSRF?. Bloquear todas las solicitudes entrantes. Implementar listas blancas de URL permitidas. Deshabilitar todas las funcionalidades de solicitud de servidor. Uso exclusivo de protocolos de red interna.

¿Cómo se denomina el proceso de evaluar los controles de seguridad de la información e implementar el proceso y las herramientas correctas en los sistemas de TI para proteger los datos que utiliza y almacena una organización?. Modelado de amenazas. Prioridad de las amenazas. Arquitectura de seguridad. Análisis post-mortem.

Implementar controles de acceso granulares y detallados basados en la autorización de nivel de función, validar y aplicar comprobaciones de autorización para cada función o acción dentro de la API. Las anteriores son ejemplos de soluciones ante cuál de las categorías del OWASP API Security Top 10. Server Side Request Forgery. Unrestricted Access to Sensitive Business Flows. Unrestricted Resource Consumption. Broken Function Level Authorization.

¿Cuál es el propósito principal de identificar límites de confianza en la identificación de amenazas?. Mejorar la eficiencia de los procesos de negocio. Facilitar la gestión de proyectos de software. Identificar que acciones o comportamientos del software son permitidos o no. Optimizar el rendimiento del hardware.

¿Cuál de las siguientes es una de las mejores prácticas recomendadas para asegurar la seguridad?. Almacenar las claves de cifrado y los datos sensibles en el mismo lugar para facilitar el acceso. Utilizar la última versión del software de gestión de bases de datos y aplicar todos los parches de seguridad. Mantener una única copia de la base de datos para simplificar la gestión de seguridad. Permitir a todos los usuarios acceso de lectura a la base de datos para garantizar la transparencia.

Seleccione 2 ejemplos de errores de configuración de acuerdo a la categoría de Security Misconfiguration. Sanitización. Mensajes de error detallados que contienen información confidencial. Aceptar configuraciones predeterminadas que no son seguras. Utilice el modelado de amenazas.

La __________________ se produce cuando las APIs procesan solicitudes de direcciones URLs controladas por el usuario y obtienen recursos internos o remotos del servidor sin validar primero la solicitud del usuario. Improper Inventory Management. Server Side Request Forgery. Unrestricted Access to Sensitive Business Flows. Security Misconfiguration.

En el contexto del uso incorrecto de credenciales, ¿qué representa un mayor riesgo de seguridad?. Uso de herramientas de autenticación de terceros. Actualizaciones regulares de la aplicación. Credenciales codificadas en el código fuente. Cifrado fuerte de las credenciales.

¿Qué se busca al clasificar los riesgos en seguridad informática?. Priorizar los controles basándose en la gravedad de la amenaza. Seleccionar el personal para el proyecto. Establecer la programación del desarrollo de software. Determinar el presupuesto del proyecto.

¿Cuál es una de las razones fundamentales por las que la seguridad en aplicaciones web es crucial en el mundo actual?. La dependencia de las aplicaciones para funciones esenciales como banca en línea y trabajo remoto. La popularidad de las aplicaciones web en redes sociales. El alto costo de desarrollo de aplicaciones web. La facilidad de acceso a las aplicaciones web desde dispositivos móviles.

Se trata de un análisis exhaustivo del código fuente que tiene como propósito detectar problemas de sintaxis y posibles vulnerabilidades que podrían impactar el rendimiento y la seguridad del software. Ofuscación. Bombas lógicas. Firmado digital. Revisión de código.

¿Qué tipo de aplicaciones móviles se benefician principalmente del desarrollo nativo?. Aplicaciones educativas. Aplicaciones de redes sociales. Aplicaciones de juegos. Aplicaciones empresariales.

Un diseño inseguro no se puede arreglar con una implementación perfecta, ya que, por definición, los controles de seguridad necesarios nunca se crearon para defenderse de ataques específicos. Verdadero. Falso.

¿En qué estrategia de manejo de riesgos se elige no hacer nada?. Transferir el riesgo. Ignorar el riesgo. Aceptar el riesgo. Mitigar el riesgo.

En el modelo de responsabilidad compartida, ¿qué es responsabilidad del proveedor de servicios en la nube?. Proteger la infraestructura subyacente como servicios de almacenamiento y redes. Administrar los sistemas operativos invitados y los datos del cliente. Implementar medidas de seguridad en las aplicaciones del cliente. Gestionar la seguridad de las aplicaciones instaladas por el cliente.

¿Cuál es una medida efectiva para proteger las máquinas virtuales?. Evitar el uso de antivirus y sistemas de escaneo. Usar plantillas para implementar máquinas virtuales. Implementar una única política de seguridad para todas las máquinas virtuales. Permitir el acceso irrestricto a la consola de la máquina virtual.

¿Cúal es una clave a considerar en el diseño y desarrollo de aplicaciones Web para garantizar su seguridad?. Implementación de controles de acceso y autenticación robustos. Enfocarse exclusivamente en el diseño responsivo. Priorizar la velocidad de carga sobre otros factores. Uso innecesario de animaciones y gráficos.

De acuerdo al OWASP MASVS ¿qué control intenta garantizar la integridad de la funcionalidad prevista de la aplicación evitando modificaciones en el código y los recursos originales?. MASVS-STORAGE (Controles de Seguridad de Almacenamiento). MASVS-CODE (Controles de Seguridad de Código). MASVS-AUTH (Controles de Seguridad de Autenticación). MASVS-RESILIENCE (Controles de Seguridad de Resiliencia).

Los atacantes prueban sistemáticamente varias combinaciones de claves hasta que encuentran la correcta para descifrar los datos. ¿A qué categoría de OWASP Mobile Top 10 corresponde?. Fail Secure. Autenticación/autorización insegura. Manejo de errores y excepciones. Criptografía insuficiente.

Propósito de usar WAF en aplicaciones web. Gestiona nuestra aplicación web para tener un mayor rendimiento. Herramienta multifactor de autenticación. Bloquean solicitudes para detener los ataques de bots. Cumplir con los requisitos del servidor.

Son espacios de almacenamiento de memoria interna especializada dentro del propio procesador. Registros. Unidad Aritmética Lógica (ALU). RAM. Unidad de control.

En el contexto de seguridad de contenedores, ¿cuál es la importancia de utilizar un registro privado?. Evita la necesidad de actualizar las imágenes de contenedor. Permite la integración con cualquier herramienta de CI/CD sin restricciones de seguridad. Proporciona control de acceso basado en roles y ayuda a rastrear vulnerabilidades. Permite el acceso público a las imágenes de contenedor para facilitar la colaboración.

Se tendrá debilidades Identification and Authentication Failures si la aplicación permite contraseñas por defecto, débiles o bien conocidas. Falso. Verdadero.

¿Qué ventaja de las aplicaciones Web es también crucial para la seguridad?. Uso de tecnologías de vanguardia. Compatibilidad entre diferentes sistemas operativos. Capacidad de integración con otras aplicaciones. Mayor velocidad de desarrollo.

El diseño para auditoría (logs) es extremadamente importante en caso de una infracción, principalmente con fines forenses. Verdadero. Falso.

Los datos o la información pueden considerarse el activo más valioso que tiene una empresa, solo superado por su personal. Falso. Verdadero.

Por ejemplo, si su servicio de Backend dio una respuesta en XML, pero el solicitante la necesita en JSON, un API Gateway podría encargarse automáticamente de ello. Falso. Verdadero.

¿Qué representa "A01:2021 - Broken Access Control" en el contexto de la seguridad de aplicaciones web?. Una Práctica recomendada en el desarrollo de aplicaciones. Una herramienta para el monitoreo del rendimiento de la aplicación. Un tipo de Vulnerabilidad relacionada con el control de acceso. Una técnica de encriptación segura.

El código back-end que procesa la solicitud no se molesta en verificar que la identidad asociada con una solicitud tiene derecho a ejecutar el servicio. Por lo tanto, los atacantes pueden acceder a funcionalidad administrativa remota utilizando cuentas de usuario con privilegios bastantes bajos. ¿A qué categoría del OWASP Mobile Top 10 corresponde el ejemplo anterior?. Comunicación insegura. Validación de entrada y salida. Autenticación/Autorización insegura. Seguridad inadecuada en la cadena de suministro.

¿Qué tipo de malware se usa principalmente para control remoto o para escuchas de software?. Adware. Rootkits. Spyware. Troyanos.

¿Qué criterio del modelo DREAD considera la exposición de una amenaza a la detección por parte de investigadores externos o atacantes?. Descubrimiento. Daño potencial. Usuarios Afectados. Reproductibilidad.

¿Cuál es una responsabilidad clave del cliente en el modelo de responsabilidad compartida para la seguridad en la nube?. Actualizar y mantener los servidores físicos del proveedor de la nube. Gestionar la seguridad de las aplicaciones y de datos alojados en la nube. Proteger la infrestructura de red del procesador de la nube. Asegurar la infraestructura fisica de los centros de datos.

Los administradores pueden supervisar cómo cambian las configuraciones con el tiempo y asegurarse de que están controladas por versiones. Esto es similar al código fuente. Es posible ver qué cambios se realizaron antes de que ocurriera el problema o volver a una versión anterior si es necesario. Escalabilidad. Consistencia. Auditabilidad. Control de versiones.

¿Es posible detectar si un dispositivo ha pasado por un proceso de rooting o jailbreaking?. Falso. Verdadero.

Un juego móvil puede publicar su aplicación y los primeros niveles de forma gratuita. Si a los usuarios les gusta el juego, pagan por el acceso completo. Todos los recursos para los niveles posteriores se envían con la aplicación. Solo están protegidos por una verificación de licencia, donde la licencia se descarga cuando el usuario paga. Un atacante podría aplicar ingeniería inversa a la aplicación e intentar comprender cómo se realiza la verificación del pago. Podría ser fácil localizar la comprobación de licencia y simplemente reemplazarla con una declaración de éxito estática. El atacante puede volver a compilar la aplicación y jugarla gratis o incluso venderla con otro nombre en las tiendas de aplicaciones. ¿A qué categoría del OWASP Mobile Top 10 corresponde el ejemplo anterior?. Protección binaria insuficiente. Criptografía insuficiente. Autenticación/autorización insegura. Almacenamiento de datos inseguro.

¿En cuál de las siguientes situaciones una aplicación es vulnerable a amenazas de tipo Security Logging and Monitoring Failures?. Se invocan consultas dinámicas o no parametrizadas sin codificar los parámetros de forma acorde al contexto. Si no conoce las versiones de todos los componentes que utiliza. Se requiere separar los datos de los comandos y las consultas. La aplicación no puede detectar, escalar ni alertar sobre ataques activos en tiempo real o casi en tiempo real.

¿Cuál es el propósito en las aplicaciones web sobre la accesibilidad?. Ser atractivo para los usuarios. Se instalan en cada dispositivo. No permite lectura digital. Por diseño permite acceder de forma remota.

¿Qué tipo de comprobación de seguridad se debería de aplicar en la etapa de Testing de un Pipeline de acuerdo a DevSecOps?. Uso de herramientas de pruebas de aplicaciones estáticas (SAST). Uso de herramientas de linting. Uso de herramientas de pruebas dinámicas de seguridad de aplicaciones (DAST). Pruebas de penetración.

En el contexto de seguridad de Docker, ¿qué práctica se recomienda?. Permitir que todos los usuarios controlen el demonio Docker. Evitar el uso de registros con certificados de registro válido o TLS. Usar siempre la versión más actualizada de Docker. Deshabilitar las características de seguridad por defecto de Docker.

¿Cuál de las siguientes es una forma de evitar amenazas de tipo Identification and Authentication Failures?. Limite o incremente el tiempo de espera entre intentos fallidos de inicio de sesión. Sanitización. Se requiere separar los datos de los comandos y las consultas. Realice un inventario continuo de las versiones de los componentes.

¿Qué estadística nos indica la principal causa para la seguridad de aplicaciones web?. Más de las tres cuartas partes de los delitos cibernéticos apuntan a aplicaciones y sus vulnerabilidades. Más del 50% de las aplicaciones web usan tecnologías obsoletas. Cerca del 60% de las aplicaciones web no utilizan cifrado de datos. Alrededor del 40% de las aplicaciones web no reciben actualizaciones regulares.

La criptografía NO juega un papel especialmente importante en la seguridad de los datos del usuario, más aún en un entorno móvil, donde los atacantes que tienen acceso físico al dispositivo del usuario es un escenario probable. Falso. Verdadero.

En las _______________ se intenta emular, y se realizan las acciones de un agente de amenaza potencial (hacker, malware, etc.). Bombas lógicas. Pruebas de seguridad. Pruebas de rendimiento. Pruebas de penetración.

¿Qué es la criptografía asimétrica?. Una forma de cifrado que reduce claves. Un algoritmo de cifrado que usa claves diferentes para cifrar y descifrar datos. Un agente basado en la sustitución de caracteres. Un algoritmo de cifrado que usa una misma clave para cifrar y descifrar datos.

¿Qué consecuencia puede tener el uso de bibliotecas de software de terceros con vulnerabilidades conocidas en la cadena de suministro de una aplicación móvil?. Acceso no autorizado a la aplicación o servidores backend. Aumento de la eficiencia operativa. Mejora en la interoperabilidad de la aplicación. Reducción de costos de desarrollo.

La aplicación móvil y un punto de conexión se conectan correctamente y realizan un protocolo de enlace TLS para establecer un canal seguro. Sin embargo, la aplicación móvil no inspecciona el certificado ofrecido por el servidor y la aplicación móvil acepta incondicionalmente cualquier certificado que le ofrezca el servidor. ¿A qué categoría del OWASP Mobile Top 10 corresponde el ejemplo anterior?. Seguridad inadecuada en la cadena de suministro. Autenticación/autorización insegura. Comunicación insegura. Validación de entrada/salida insuficiente.

¿Qué técnica de autenticación puede mitigar ataques de reutilización de credenciales?. Autenticación basada en certificados. Autenticación multi-factor. Autenticación mediante huella digital. Autenticación basada en contraseña.

¿Qué tipo de comprobación de seguridad se debería de aplicar en la etapa de Deployment de un Pipeline de acuerdo a DevSecOps?. Uso de herramientas de pruebas dinámicas de seguridad de aplicaciones (DAST). Pruebas de penetración. Uso de herramientas de pruebas de aplicaciones estáticas (SAST). Uso de herramientas de linting.

¿Qué criterio del modelo DREAD evalúa la dificultad y las condiciones requeridas para llevar a cabo una amenaza especifica?. Explotabilidad. Daño Potencial. Reproducibilidad. Usuarios afectados.

Los desarrolladores dejan sus APIs y recursos vulnerables a infracciones y ataques si los atacantes pueden piratear proveedores internos y externos. ¿A que categoría del OWASP API Security Top 10 hace referencia el enunciado anterior?. Broken Object Property Level Authorization. Unsafe Consumption of APIs. Unrestricted Resource Consumption. Security Misconfiguration.

¿Qué método se utiliza para examinar los requisitos de seguridad en todas las etapas de creación del software desde la planeación hasta mantenimiento, garantizando su integración en cada fase del proceso de desarrollo?. S-SDLC. DREAD. Ágiles. STRIDE.

Se refiere a un proceso que permite comprobar la existencia de vulnerabilidades en las primeras fases del desarrollo del software. Utilizar Herramientas de Seguridad Automatizadas. Desplazar la Seguridad a la Izquierda. Promover que las Personas sean conscientes de la Seguridad. Desplazar la Seguridad a la Derecha.

¿Qué técnica se recomienda para asegurar las imágenes de contenedor en DevSecOps?. Dar acceso a todos los usuarios a las imágenes de contenedor para facilitar la colaboración. Asignaciones basadas en roles y metadatos para rastrear vulnerabilidades. Dar acceso a las imágenes solo al equipo de desarrollo. Utilizar imágenes publicas sin verificar.

¿Cuáles serían las tareas de seguridad en la etapa de pruebas de verificación y validación?. Análisis estático de código. Análisis dinámico sobre la aplicación y revisiones de código. Superficie de un ataque al software. Aplicación de estándares de desarrollo.

De acuerdo al estándar de OWASP-MASVS, ¿qué categoría establece que es deseable alguna forma adicional de autenticación para acciones adicionales dentro de la aplicación?. MASVS-PLATFORM (Controles de Seguridad de Plataforma). MASVS-STORAGE (Controles de Seguridad de Almacenamiento). MASVS-CODE (Controles de Seguridad de Código). MASVS-AUTH (Controles de Seguridad de Autenticación).

¿Cuál de los siguientes proporciona el punto de vista de los usuarios hostiles?. Diagrama de Deployment. Casos de uso. Gráfica de Gantt. Casos de mal uso.

Las pruebas realizadas deben intentar hacer que el software falle y cuándo falla el software, los mensajes de error deben comprobarse para asegurarse de que no revelen ningún detalle que no sea necesario. Falso. Verdadero.

Las debilidades en la lógica de las aplicaciones no se limitan a fallos en la implementación por parte de los desarrolladores. Estas surgen cuando la aplicación responde de manera inesperada ante desviaciones del comportamiento estándar de una función, ya sea originadas por un usuario convencional o un agente con intenciones maliciosas. Falso. Verdadero.

Lista blanca de URLs o direcciones IP permitidas para restringir los destinos de las solicitudes del lado del servidor. Utilizar bibliotecas o funciones de análisis de URL que impongan una validación estricta y solo permitan URLs válidas. ¿A qué categoría del OWASP API Security Top 10 hace referencia el enunciado anterior?. Unrestricted Access to Sensitive Business Flows. Improper Inventory Management. Security Misconfiguration. Server Side Request Forgery.

Una validación de salida inadecuada puede provocar daños en los datos o vulnerabilidades en la presentación, lo que permite a los actores malintencionados inyectar código malintencionado o manipular información confidencial que se muestra a los usuarios. Verdadero. Falso.

¿Cómo se denomina a la liberación automática de memoria, cuyo objetivo principal es reducir las pérdidas de memoria, es decir, recuperar objetos de memoria inalcanzable?. Resource Allocation. Garbage Collection. Freezing. Releasing.

¿Cómo se previenen amenazas del tipo Vulnerable and Outdated Components?. Cifrar todos los datos en tránsito con protocolos seguros como TLS. Actualizar y aplicar parches regularmente a todos los componentes que utiliza. Realizar un inventario continuo de las versiones de los componentes. Aceptar configuraciones predeterminadas que no son seguras.

¿Qué técnica se realiza normalmente para superar las limitaciones en los dispositivos de Android que los proveedores de servicios o los fabricantes de hardware suelen implementar?. Jailbreaking. Reseteo. Liberación. Rooting.

¿Cuál es una ventaja clave del Análisis de Código Estático (SAST) en comparación con el Análisis del Código Dinámico (DAST)?. SAST puede detectar errores y vulnerabilidades en una etapa temprana del desarrollo de software. SAST puede detectar errores y vulnerabilidades después de que el software ha sido implementado.

¿Quién proporciona un conjunto de complemento de controles de seguridad que se pueden usar para evaluar la seguridad de las aplicaciones móviles en varias plataformas por ejemplo Android, IOS?. OWASP Top 10. OWASP MASVS. OWASP Mobile Top 10. PCI DSS.

De acuerdo al estándar de Seguridad en Aplicaciones Móviles, ¿cuál control intenta validar que el sistema operativo no se ha visto comprometido y, por lo tanto, se puede confiar en sus características de seguridad?. MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-RESILIENCE (Controles de Seguridad de Resiliencia). MASVS-CODE (Controles de seguridad de Código). MASVS-AUTH (Controles de seguridad de Autenticación).

¿Cómo se le conoce a la inspección del código cuando este se está ejecutando?. DAST. SAST. IaC. Fuzzing.

¿Qué categoría del OWASP Top 10 2021, ocupa ahora el 1er lugar, desplazando a la categoría Inyection que dominó en ediciones anteriores?. Injection. Broken Access Control. Cryptographic Failures. Security Misconfiguration.

¿Qué es una política de seguridad informática?. Un conjunto de reglas y prácticas para gestionar la seguridad de la información. Un software que detecta y elimina virus. Un protocolo de comunicación cifrado. Un dispositivo utilizado para proteger la red.

¿Cómo se denomina al mecanismo de seguridad que evita que el software que se ejecuta en un sistema acceda al sistema operativo host?. Encriptación. Sandboxing. Tokenización. Ofuscación.

El hecho de que el código se compile sin ningún error, que pueda analizarse mediante el análisis de código estático, significa que se ejecutará sin ningún error. Falso. Verdadero.

¿Cuál de las siguientes prácticas permite a los equipos de DevOps crear y versionar rápidamente la infraestructura de la misma manera que versionan el código fuente y realizar un seguimiento de estas versiones para evitar inconsistencias entre los entornos de TI que pueden provocar problemas graves durante la implementación?. Continuous Delivery (CD). DevSecOps. Infrastructure-as-a-Service (IaaS). Infrastructure-as-Code (IaC).

Las llamadas que se realizan con AJAX ejecutan en segundo plano sin ninguna interacción del usuario, lo que implica que el usuario no es consciente de lo que se está realizando en un sitio web. Esta circunstancia puede ser explotada por la página para realizar un robo de cookies. Falso. Verdadero.

¿Cuál es la ventaja clave de Análisis de Código Estático (SAST) en código?. SAST requiere un entorno de producción para ejecutarse. SAST puede detectar errores y vulnerabilidades en una etapa temprana del desarrollo de software. SAST puede detectar errores y vulnerabilidades después de que el software ha sido implementado. SAST es más efectivo en identificar vulnerabilidades en tiempo de ejecución.

¿Cómo podemos prevenir ataques de tipo Server-Side Request Forgery (SSRF)?. Realice un inventario continuo de las versiones de los componentes. Asegúrese de que las transacciones de alto valor poseen un seguimiento de auditoría. Deshabilite las redirecciones HTTP. Análisis de código estático.

Un _______________ es el gestor de tráfico que interactúa con los datos o el servicio backend real y aplica políticas, autenticación y control de acceso general para las llamadas de una API para proteger datos valiosos. UDDI Server. API Gateway. SOAP Router. WAF.

En el contexto de componentes vulnerables y desactualizados, ¿qué herramienta es recomendada para supervisar continuamente fuentes como CVE y NVD?. Dynamic Application Security Testing (DAST). OWASP Dependency Check. Security Information and Event Management (SIEM). Static Application Security Testing (SAST).

De acuerdo al OWASP API Security Top 10, ¿qué tipo de vulnerabilidades permiten a los atacantes acceder a objetos de datos (cuyo acceso debería haberse restringido)?. Unrestricted Access to Sensitive Business Flows. Broken Object Level Authorization. Unrestricted Resource Consumption. Server Side Request Forgery.

¿Qué control garantiza que estos datos no terminen filtrándose involuntariamente debido a mecanismos como capturas de pantallas generadas automáticamente o divulgadas accidentalmente?. MASVS-CODE (Controles de Seguridad de Código). MASVS-AUTH (Controles de Seguridad de Autenticación). MASVS-STORAGE (Controles de Seguridad de Almacenamiento). MASVS-PLATFORM (Controles de Seguridad de Plataforma).

¿Cuál de los siguientes es un elemento producido durante el proceso de desarrollo, que puede ser un modelo de datos, un prototipo, requisitos del usuario, un diagrama de flujo de trabajo o un documento de diseño?. Agile Software Development. Commit. Continuous Delivery. Artifact.

¿El riesgo de _____________ se produce porque las organizaciones tienen multitud de APIs internas y de terceros que se inventarían, documentan y administran incorrectamente?. Broken Object Level Authorization. Unrestricted Resource Consumption. Improper Inventory Management. Security Misconfiguration.

A cualquier tipo de protección o contramedida utilizada para evitar, detectar, contrarrestar o minimizar los riesgos de seguridad de la propiedad física, la información, los sistemas informáticos u otros activos se le conoce como __________. Modelado de amenazas. Modelo de datos. Control de Seguridad. Prioridad de las amenazas.

Selecciona dos ejemplos de ataques de fuerza bruta: Ataques tipo auditoría. Ataques tipo búsqueda. Ataques tipo surfing. Ataques tipo diccionario.

La aplicación móvil almacena en caché datos confidenciales, como tokens de autenticación de usuario o información de sesión, sin implementar las medidas de seguridad adecuadas. Si un atacante obtiene acceso a la memoria caché del dispositivo, puede obtener estas credenciales y hacerse pasar por el usuario. Implementación insegura. Almacenamiento de datos inseguro. Criptografía insuficiente. Protección binaria insuficiente.

El __________ consiste en esencia en un programa código que se instala en el sistema informático y asume el control muchas veces sin que la empresa sea consiente. Phishing. Whaling. Ransomware. Malware.

¿Cuál sería una práctica efectiva para mejorar la seguridad en máquinas virtuales?. Usar plantillas para implementar máquinas virtuales. Utilizar software y sistemas de detección de intrusiones. Utilizar el mismo sistema operativo en todas las máquinas virtuales. Permitir el acceso irrestricto a la consola de la máquina virtual.

Es crucial considerar cuidadosamente los flujos de negocio que exponen un punto de enlace de API, ya que algunos flujos contienen información más confidencial que podría causar un daño significativo si se accede sin las restricciones adecuadas. ¿A qué categoría del OWASP API Security Top 10 hace referencia el enunciado anterior?. Unrestricted Resource Consumption. Unrestricted Access to Sensitive Business Flows. Server Side Request Forgery. Broken Function Level Authorization.

Los sistemas operativos móviles modernos son posiblemente más seguros que los sistemas operativos de escritorio tradicionales, pero aún pueden aparecer problemas cuando no consideramos cuidadosamente la seguridad durante el desarrollo de aplicaciones móviles. Verdadero. Falso.

Una aplicación RESTful debe tener una comunicación cliente-servidor sin estado. Esto significa que el contenido de los clientes no se almacena en el servidor entre las solicitudes, sino que la información sobre el estado de la sesión queda en el cliente. Verdadero. Falso.

Buena practica para la Revisión de código y pruebas de seguridad de aplicaciones web. Desarrollar utilizando solo un lenguaje. Revisión de código por pares. Solo utilizar software de código abierto. No hacer una revisión exhaustiva del código.

¿Cuál de las siguientes opciones representa una practica efectiva para manejar componentes vulnerables y desactualizados en aplicaciones web?. Utilizar solo bibliotecas y frameworks de código abierto. No dar acceso a la aplicación web a usuarios confiables. Utilizar solamente software propietario. Actualización regular de componentes y sus dependencias.

Con este problema de seguridad un script obtenido en un origen puede cargar o modificar propiedades del documento desde otro origen no igual al primero. Duplex Origin Policy. Cross-Origin Resource Sharing. Ejecución de código malicioso. Same Origin Policy.

¿Qué es una función hash en el contexto de la encriptación de datos?. Un método para crear una copia exacta de los datos. Una técnica para aumentar la velocidad de transmisión de datos. Un algoritmo que convierte los datos en un valor de longitud fija. Un procedimiento para comprimir archivos de datos.

Se refiere a la importancia de centrarse en la seguridad una vez desplegada la aplicación. Promover que las Personas sean conscientes de la Seguridad. Desplazar la Seguridad a la Derecha. Utilizar Herramientas de Seguridad Automatizadas. Desplazar la Seguridad a la Izquierda.

¿Qué formato de texto utilizan las peticiones de SOAP?. CSV. XML. YAML. JSON.

De acuerdo al estándar de OWASP MASVS ¿qué control tiene como objetivo dificultar al máximo la realización de análisis dinámicos, así como evitar la instrumentación dinámica que podría permitir a un atacante modificar el código en tiempo de ejecución?. MASVS-AUTH (Controles de Seguridad de Autenticación). MASVS-RESILIENCE (Controles de Seguridad de Resiliencia). MASVS-STORAGE (Controles de Seguridad de Almacenamiento). MASVS-CODE (Controles de Seguridad de Código).

¿Cuál de los siguientes describe mejor un riesgo asociado con el uso incorrecto de credenciales en aplicaciones móviles?. Compatibilidad de dispositivos. Reducción de costos de desarrollo. Exposición de funcionalidades confidenciales. Acceso no Autorizado a información confidencial.

Completa la siguiente frase: Una ___________ es simplemente la posibilidad de un evento no deseado que sería dañino si se presentara. Activo. Amenaza. Vulnerabilidades. Ataque.

¿Cuál es el reto principal en la seguridad del Cloud Computing?. La gestión de múltiples proveedores de servicios en la nube. El manejo de la alta disponibilidad y redundancia de datos.

¿Qué tipo de nube proporciona mayores controles de seguridad?. Pública. De comunidad. Híbrida. Privada.

Se le conoce como el proceso de aprovisionamiento y administración de infraestructura definida a través de código en un repositorio. Infrastructure-as-Code (IaC). Continuous Delivery (CD). Infrastructure-as-a-Service (IaaS). Governance.

¿Qué categoría de riesgos abarca aspectos tecnológicos, como violaciones de seguridad, interrupción en el servicio de internet o daños a la propiedad, dentro del contexto de una empresa?. Riesgo estratégico. Riesgo técnico. Riesgo financiero. Riesgo operativo.

¿Cómo se deben proteger las claves SSH de API en un entorno de nube?. Eliminándolas del código fuente y asegurando el acceso solo a aplicaciones autorizadas. Almacenándolas en repositorios públicos para un acceso fácil. Usando una única clave SSH para todos los servicios en la nube. Incrustándolas directamente en el código fuente de las aplicaciones.

"Un agente que intencionalmente causa que una amenaza suceda, sin saber realmente el daño que puede causar”, ¿qué concepto describe el enunciado anterior?. Descubrimiento accidental. Atacante curioso. Insider.

Deshabilite características y servicios en módulos innecesarios que no son necesarios para la funcionalidad de la API. Implementar mecanismos adecuados de manejo de errores y registro para evitar que la información confidencial se exponga en los mensajes de error. Los anteriores son ejemplos de soluciones ante cuál de las categorías del OWASP API Security Top 10. Security Misconfiguration. Server Side Request Forgery. Broken Object Level Authorization. Unrestricted Resource Consumption.

¿Qué criterios se consideran para asegurar la confiabilidad y prevenir modificaciones no autorizadas en los requisitos de un sistema?. Requerimientos de autenticación. Requerimientos de disponibilidad. Requerimientos de integridad. Requerimientos de confidencialidad.

El objetivo de MASVS es tener un bajo nivel de confianza en la seguridad de las aplicaciones móviles al no proporcionar un conjunto de controles que aborden los problemas de seguridad de las aplicaciones móviles más comunes. Falso. Verdadero.

¿Cuál es el principio de seguridad que establece que los mecanismos de seguridad deben diseñarse para maximizar el uso, la adopción y la aplicación automática?. Defensa a profundidad. Fallo Seguro. Mediación Completa. Aceptabilidad psicológica.

¿A qué categoría del estándar de OWASP MASVS corresponde la medida de seguridad conocida como ofuscación de código?. MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-RESILIENCE (Controles de Seguridad de Resiliencia). MASVS-AUTH (Controles de seguridad de Autenticación). MASVS-CODE (Controles de seguridad de Código).

Monitorear y registrar el acceso a flujos comerciales confidenciales para detectar y responder a actividades no autorizadas o sospechosas. Realizar pruebas de seguridad periódicas, incluidas pruebas de penetración y revisiones de código, para identificar y abordar las vulnerabilidades relacionadas con el acceso sin restricciones a flujos comerciales confidenciales. Broken Function Level Authorization. Broken Object Property Level Authorization. Unrestricted Access to Sensitive Business Flows. Unrestricted Resource Consumption.

Los ataques de ______________ implican que un atacante intente obtener el ID de sesión de la víctima después de que el usuario inicie sesión. Ninguna de las anteriores. Fijación de sesión. Borrado de sesión. Secuestro de sesión.

Seleccione 2 retos de seguridad que plantean las aplicaciones en la nube pública. Los desarrollos son completamente internos. Los datos se transmiten por internet. Uso de recursos compartidos. Los datos residen de forma local.

Se refiere a medidas como la instalación de barreras en los perímetros de los centros de datos, el uso de cerraduras, la presencia de guardias de seguridad, tarjetas de acceso, sistemas biométricos de control, cámaras de vigilancia y sensores de movimiento. Controles de seguridad digital. Controles de ciberseguridad. Controles de seguridad física. Controles de seguridad en la nube.

De acuerdo al estándar de OWASP MASVS, ¿qué categoría establece que la aplicación debe contar con un mecanismo para las actualizaciones de la aplicación?. MASVS-RESILIENCE (Controles de Seguridad de Resiliencia). MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-CODE (Controles de seguridad de Código). MASVS-AUTH (Controles de seguridad de Autenticación).

¿Es posible el 100% de seguridad?. Verdadero. Falso.

¿Cuál de los siguientes factores no debería de ser puesto a negociación cuando estamos trabajando en un proyecto de desarrollo de software?. Calidad. Presupuesto. Alcance. Tiempo.

¿Cómo se denomina al tipo de prueba de software de fuerza bruta en la que las fallas (datos de entrada aleatorios y pseudoaleatorios) se inyectan en el software y se observa su comportamiento?. Escaneo estático. Fuzzing. Revisión de código. Sanitización.

¿Qué estrategia es esencial para garantizar la seguridad de las máquinas virtuales?. Evitar el uso de antivirus y cortafuegos en máquinas virtuales. Permitir un acceso irrestricto a la consola de máquina virtual. Implementar todos los controles de seguridad, como en un entorno físico. Usar una misma configuración de seguridad para todas las máquinas virtuales.

La _________________ permite al servidor de la API saber si el cliente solicitante está autorizado a obtener los datos solicitados. Validación de entrada. Reglas del Firewall de Aplicaciones Web. Autenticación. Autorización.

Incluyen cualquier elemento diseñado específicamente para evitar ataques a los datos, incluidos la mitigación de DDoS y sistemas de prevención de intrusiones. Controles de ciberseguridad. Controles de seguridad en la nube. Controles de seguridad física. Controles de seguridad digital.

¿A qué hace referencia el documento establecido por consenso y aprobación por un organismo reconocido, que proporciona, para uso común y repetido, reglas y pautas de las actividades o sus resultados, dirigidas a lograr el grado óptimo de orden en un determinado contexto?. Estándar. Política de seguridad. Marco legal. Política interna.

De acuerdo al OWASP API Security Top 10 ¿qué tipo de vulnerabilidades permiten que los atacantes puedan acceder, modificar, agregar y eliminar valores de propiedad a los objetos?. Ataques DoS y DDoS. Broken Object Property Level Authorization. Unrestricted Access to Sensitive Business Flows. Unrestricted Resource Consumption.

Las ___________ son una herramienta poderosa para la integración de sistemas y la creación de aplicaciones interconectadas. API. REST. SOAP. ACID.

De acuerdo al estándar de OWASP-MASVS, ¿qué categoría indica mantener actualizados los componentes?. MASVS-PLATFORM (Controles de Seguridad de Plataforma). MASVS-AUTH (Controles de Seguridad de Autenticación). MASVS-CODE (Controles de Seguridad de Código). MASVS-STORAGE (Controles de Seguridad de Almacenamiento).

¿Cuál de las siguientes afirmaciones describe mejor la diferencia entre el Análisis Estático de Aplicaciones de Seguridad (SAST) y el Análisis Dinámico de Aplicaciones de Seguridad (DAST)?. SAST se realiza después de la implementación del software mientras que DAST se realiza antes de la implementación. SAST y DAST son técnicas idénticas, pero SAST se utiliza en aplicaciones web y DAST en aplicaciones de escritorio. SAST se enfoca en encontrar vulnerabilidades en el código fuente, mientras que DAST se enfoca en las pruebas de penetración de la red. SAST inspecciona el código sin ejecutarlo mientras DAST inspecciona el código durante su ejecución.

En el contexto de la seguridad de aplicaciones Web ¿qué implica un ataque de inyección?. Interrupción de servicio Web mediante solicitudes masivas. Acceso no autorizado a datos mediante explotación de cookies. Envío de comandos no autorizados a través de una aplicación web. Inserción de Malware en el servidor de la aplicación web.

¿Cómo se denomina al proceso de conversión de datos que tienen más de una representación posible para ajustarse a una forma estándar?. Canonicalización. Sanitización. Depuración. Validación.

¿Cuál de los siguientes representa el protocolo estándar que se creó originalmente para posibilitar la comunicación entre las aplicaciones que se diseñaban con diversos lenguajes y en plataformas diferentes?. ACID. REST. SOAP. UDDI.

La _____________ de un software o aplicación es la medida de su exposición a ser explotada por un agente de amenaza. Amenaza. Fortaleza. Debilidad. Superficie de ataque.

¿Qué es una auditoría de seguridad en el contexto de TI?. La evaluación sistemática de la efectividad de las medidas de seguridad. La actualización de sistemas operativos y aplicaciones. La implementación de nuevas tecnologías de seguridad. La formación de empleados en prácticas de seguridad.

¿Cómo se denomina a las interfaces que se utilizan para configurar y administrar la seguridad dentro del software?. API. SMI. Interfaces batch. UX.

¿Cuál es un plan de respuesta a incidentes de seguridad informática?. Actualización de programas antivirus. Planificación y ejecución de acciones en caso de una brecha de seguridad. Adaptación de un nuevo software de seguridad. Adaptación en el uso de nuevas tecnologías.

Implementar la limitación de recursos y de velocidad. Implementar cuotas y límites de uso. Monitorear y analizar el uso de recursos. ¿Los anteriores son ejemplos de soluciones ante cuál de las categorías del OWASP API Security Top 10?. Broken Authentication. Broken Object Level Authorization. Unrestricted Resource Consumption. Server Side Request Forgery.

¿Qué aspectos evalúa el modelo DREAD en la clasificación de riesgos?. Duración, Respuesta, Efectividad, Alcance, Durabilidad. Diseño, Revisión, Ejecución, Aprobación, Documentación. Demanda, Recurso, Economía, Análisis, Datos. Daño Potencial, Reproducibilidad, Explotabilidad, Usuarios Afectados, Descubrimiento.

¿Cuáles son malware proliferativos?. Ransomware. Troyano. Gusanos. Spyware.

¿Qué principio de seguridad también es conocida como Defensa de Capas?. Defensa a profundidad. Economía de Mecanismo. Menor privilegio. Separación de responsabilidades.

¿Cómo contribuye la virtualización a la seguridad de los sistemas informáticos?. Permitiendo la consolidación de recursos físicos y facilitando la gestión de la seguridad. Aumentando la superficie de ataque al agregar más capas de software haciendo innecesarios los antivirus y los sistemas de detección de intrusiones. Disminuyendo la seguridad debido a la dependencia de un solo servidor host.

¿Qué estrategia es recomendada para asegurar la integridad de las bibliotecas y dependencias en proyectos de alto riesgo?. Asignar bibliotecas de alto riesgo a desarrolladores senior. Alojar las bibliotecas en un repositorio interno previamente analizado. Implementar un servicio de proxy para todas las bibliotecas. Usar siempre la versión más reciente de las bibliotecas.

Demasiadas peticiones dirigidas a una API pueden ralentizar o detener el servicio para otros clientes. ¿A qué tipo de amenaza hace referencia el enunciado anterior?. Aprovechamientos de vulnerabilidades. Ataques basados en la autenticación. Ataques DoS y DDoS. Errores de autorización.

¿Qué es un virus informático?. Un ataque que interrumpe el acceso a los servicios de red. Un software que recopila información sin el conocimiento del usuario. Un programa que se replica a si mismo y se propaga a través de la red. Un programa que cifra archivos y solicita un rescate.

Los desarrolladores a menudo confían en los datos recibidos, especialmente cuando trabajan con proveedores y proveedores externos de renombre e implementan políticas y estándares de seguridad menos estrictos. ¿A qué categoría del OWASP API Security Top 10 hace referencia el enunciado anterior?. Unsafe Consumption of APIs. Unrestricted Resource Consumption. Security Misconfiguration. Broken Object Level Authorization.

Siempre utilice la última versión de su software de gestión de bases de datos y aplique todos los parches tan pronto como se publiquen. El anterior es un ejemplo de mejor práctica de seguridad de base de datos, ¿de qué categoría?. Seguridad de la aplicación web. Seguridad del software de base de datos. Ninguna de las anteriores. Seguridad de respaldos.

¿Cómo se llama el principio de seguridad que indica solo se debe de otorgar los permisos necesarios para que alguien pueda cumplir la tarea asignada?. Defensa a profundidad. Economía de mecanismos. Menor privilegio. Separación de responsabilidades.

¿Qué tipo de comprobación de seguridad se debería de aplicar en la etapa de Building de un pipeline de acuerdo a DevSecOps?. Pruebas de penetración. Uso de herramientas de linting. Uso de herramientas de pruebas dinámicas de seguridad de aplicaciones (DAST). Uso de herramientas de pruebas de aplicación estáticas (SAST).

¿Cómo se denomina al proceso que permite comprobar la existencia de vulnerabilidades en las primeras fases del desarrollo del software?. Utilizar Herramientas de Seguridad Automatizadas. Desplazar la Seguridad a la Derecha. Desplazar la Seguridad a la Izquierda. Promover que las Personas sean conscientes de la Seguridad.

¿Qué es SSL/TLS en el contexto de los protocolos de seguridad?. Un protocolo para la transferencia segura de datos en Internet. Un algoritmo de cifrado de datos. Un estándar para la gestión de contraseñas. Una tecnología para la autenticación biométrica.

¿Cómo prevenir amenazas de tipo Insecure Design?. Se requiere separar los datos de los comandos y las consultas. Utilice el modelado de amenazas. Validación de entrada. Sanitización.

De acuerdo al estándar de OWASP MASVS, ¿qué categoría establece controles que cubren el uso seguro de los mecanismos IPC proporcionados por la plataforma, las configuraciones de WebView para evitar la fuga de datos confidenciales y la exposición a la funcionalidad y la visualización segura de datos confidenciales en la interfaz de usuario de la aplicación?. MASVS-CODE (Controles de Seguridad de Código). MASVS-STORAGE (Controles de Seguridad de Almacenamiento). MASVS-AUTH (Controles de Seguridad de Autenticación). MASVS-PLATFORM (Controles de Seguridad de Plataforma).

Puede haber debilidades de autenticación si la aplicación no posee una autenticación multi-factor. Verdadero. Falso.

¿Qué término se refiere al cambio automático de un software transaccional activo, servidor, sistema o componente de hardware o red a un sistema en espera o redundante?. Restore. Backup. Failover. Failback.

La metodología _______________________emplea la asignación de valores numéricos a diferentes categorías de riesgo para calcular un promedio, lo que permite clasificar la gravedad de la amenaza. CIA. DREAD. STRIDE. DDoS.

___________ se conoce como un conjunto de principios arquitectónicos diseñados para adaptarse a las exigencias de servicios web livianos. XML. REST. SOAP. W3C.

La esencia fundamental de la definición del software radica en su capacidad para abordar problemas específicos. Por este motivo es crucial comprender la naturaleza del problema que se va a resolver antes de su implementación. Verdadero. Falso.

¿Cuál es una practica recomendada para la protección de la consola de gestión en la nube?. Implementar control y supervisión estrictos del acceso con privilegios. Usar contraseñas simples para facilitar el acceso rápido. Permitir el acceso a todos los empleados para promover la transparencia. Confiar en la seguridad predeterminada del proveedor sin cambios adicionales.

De acuerdo al estándar de OWASP MASVS ¿qué control garantiza que cualquier dato sensible debe estar almacenado en ubicaciones privadas?. MASVS-CODE (Controles de seguridad de Código). MASVS-AUTH (Controles de seguridad de Autenticación). MASVS-RESILIENCE (Controles de Seguridad de Resiliencia). MASVS-STORAGE (Controles de seguridad de Almacenamiento).

Hacer posible el escrutinio público y no confiar en la seguridad mediante obscuridad, son piezas claves del siguiente principio de seguridad. Economía de mecanismos. Diseño abierto. Defensa a profundidad. Mediación completa.

¿Cuál de las siguientes es una medida de seguridad eficaz para proteger aplicaciones web contra vulnerabilidades comunes?. Uso de cortafuegos de aplicaciones web WAF. Limitar el acceso a la aplicación web solo en ciertas horas del día. Implementar únicamente autenticación de usuario basada en contraseña. Uso exclusivo de https para todas las transacciones.

¿Cuál de las siguientes es un ejemplo de un repositorio de datos en la nube de un catálogo de imágenes?. No estructurados. Semiestructurados. Estructurados. Planos.

Las ________ en las API se producen cuando las prácticas recomendadas de seguridad no se siguen correctamente o la seguridad De la pila de API no se refuerza correctamente. Algunos ejemplos de esta vulnerabilidad incluyen los últimos parches no aplicados, la exposición no deseada de registros de depuración, opciones heredadas sin parches, características / servicios innecesarios, implementación incorrecta de la política CORS, verbos HTTP habilitados innecesarios, etc. Broken Object Level Authorization. Security Misconfiguration. Unrestricted Resource Consumption. Unrestricted Access to Sensitive Business Flows.

De acuerdo al estándar OWASP MASVS, ¿qué categoría establece que la aplicación debe validar y desinfectar todas las entradas que no son de confianza?. MASVS-AUTH (Controles de seguridad de Autenticación). MASVS-CODE (Controles de seguridad de Código). MASVS-RESILIENCE (Controles de Seguridad de Resiliencia). MASVS-STORAGE (Controles de seguridad de Almacenamiento).

Todos los datos necesitan el mismo nivel de protección, por ejemplo los datos públicos requieren una protección mínima o nula contra la divulgación. Verdadero. Falso.

Cualquier aplicación que acepte parámetros como entrada puede ser susceptible a ataques de inyección. Falso. Verdadero.

¿Cuál es el primer paso en la gestión de un incidente de seguridad informática?. Identificación del incidente. Notificación a las autoridades. Restauración de los sistemas. Recopilación de evidencia.

De acuerdo al estándar de OWASP MASVS, ¿qué categoría establece que la aplicación móvil debe realizar conexiones seguras bajo cualquier circunstancia?. MASVS-PLATAFORM (Controles de seguridad de Plataforma). MASVS-STORAGE (Controles de seguridad de Almacenamiento). MASVS-NETWORK (Controles de seguridad de Red). MASVS-AUTH (Controles de seguridad de Autenticación).

¿Cómo se llama el proceso de convertir algo que se considera peligroso en su forma inocua?. Sanitización. Compilación. Canonicalización. Validación de entrada.

Un ____________ actúa como intermediario, dirigiendo las llamadas API de los de los clientes hacia el microservicio adecuado mediante el enrutamiento de solicitudes, la composición y la traducción de protocolos. SOAP Router. WAF. UDDI Server. API Gateway.

Los ataques de _____________ surgen cuando se realizan demasiadas peticiones dirigidas a una API y pueden ralentizar o detener el servicio para otros clientes. Algunos atacantes envían una cantidad enorme de solicitudes a una API. Errores de autorización. Ataques basados en la autenticación. Ataques DoS y DDoS. Aprovechamientos de vulnerabilidades.

En la seguridad en la nube, ¿qué práctica es fundamental para proteger las cuentas de administración SaaS?. Evitar la autenticación multifactorial para simplificar el acceso. Permitir acceso irrestricto a las consolas de administración SaaS para promover la eficiencia. Utilizar una única contraseña para todas las cuentas administrativas. Controlar y supervisar estrictamente los privilegios de acceso a la consola de administración SaaS.

Cuando hablamos acerca de agentes de amenaza humanos. ¿Cómo se denomina a un usuario común que tropieza con un error funcional en el software y que pudo obtener acceso privilegiado a la información o a la funcionalidad?. Usuario ignorante. Amenaza accidental.

De acuerdo al OWASP Security Top 10 ¿qué vulnerabilidad se produce cuando la API no autentica correctamente a sus usuarios y la aplicación no puede detectar si el usuario es legítimo o no?. Broken Authentication. Unrestricted Access to Sensitive Business Flows. Server Side Request Forgery. Unrestricted Resource Consumption.

Si_____________ no se gestiona con cuidado, un cliente de la API podría tener acceso a datos que no deberían estar a su disposición y se aumenta la posibilidad de que se produzca una fuga de datos. la autenticación. el logging. el monitoreo. la autorización.

¿Cómo se denomina a la capacidad del sistema o software para manejar una cantidad creciente de trabajo sin degradar su funcionalidad o rendimiento?. Escalabilidad. Seguridad. Elasticidad. Disponibilidad.

¿Cuáles de las siguientes son estrategias válidas para prevenir amenazas de tipo Cryptographic Failures? Seleccione solo 3. Cifre todos los datos en tránsito con protocolos seguros como TLS. Denegar accesos por defecto. Asegúrese de encriptar todos los datos sensibles. No almacene datos sensibles innecesariamente.

Completa la siguiente oración: se refieren a defectos de diseño y arquitectura que puedan dar lugar a brechas de seguridad. Exploits. Defectos (Flaws). Errores (Bugs). Vulnerabilidades.

En el modelo de responsabilidad compartida, ¿qué aspecto de la seguridad en la nube es responsabilidad del cliente?. La actualización de los servicios de almacenamiento en la nube. La seguridad física de los centros de datos. La gestión de la seguridad de las aplicaciones y datos en la nube. La seguridad de infraestructura de la red del proveedor.

¿Qué de lo siguiente es un enfoque de desarrollo de software iterativo en el que los equipos evalúan los requisitos y resultados continuamente para realizar cambios de manera eficiente? De esta manera se entrega valor a los usuarios a través de pequeños incrementos en lugar de a través de un solo gran lanzamiento. Artifact. Continuous Delivery (CD). Application Release Automation. Agile Software Development.

En la seguridad en la nube, ¿cómo se deben proteger las claves SSH de API?. Incrustarlas en el código fuente de las aplicaciones. Almacenarlas en repositorios públicos para un acceso fácil. Usar una única clave SSH para todos los servicios en la nube. Eliminarlas del código fuente y asegurar que solo aplicaciones autorizadas tengan acceso.

¿Qué es una VPN (Red Privada Virtual) en el contexto de la seguridad en redes?. Un dispositivo para controlar el acceso a la red. Una tecnología que permite una conexión segura a través de una red pública. Un protocolo para acelerar la transferencia de datos. Un software para monitorizar el tráfico de red.

¿Cuál es el beneficio principal del modelado de amenazas durante la fase de diseño del proyecto?. Las fallas de diseño pueden abordarse antes de escribir una sola línea de código. Las fallas podrán abordarse durante la etapa de desarrollo del software. Se podrá rediseñar y solucionar problemas de seguridad en el código en un momento posterior. Las fallas podrán abordarse después de la implementación del software.

¿Cuál es un aspecto clave a considerar en el diseño y desarrollo de aplicaciones Web para garantizar su seguridad?. Uso intensivo de animaciones y gráficos. Implementación de controles de acceso y autenticación robustos. Enfocarse exclusivamente en el diseño responsivo. Priorizar la velocidad de carga sobre otros factores.

¿Cuál es una limitación importante al desarrollar para plataformas móviles en comparación con las computadoras de escritorio?. Menos restricciones de seguridad. Mayor capacidad de almacenamiento. Menor capacidad de procesamiento y memoria. Mejor conectividad de red.

La validación de entrada es el proceso de verificación que garantiza que los datos que se proporcionaron para el procesamiento sean del tipo y formato correctos. Falso. Verdadero.

Complete la siguiente oración: En una _________, los atacantes explotan la forma en que se construyen las consultas de la base de datos en una aplicación. Inyección LDAP. Inyección SQL. Inyección de Comandos de Sistema Operativo. Inyección XML.

_____________ es una prueba de seguridad de aplicaciones web que detecta problemas de seguridad en la aplicación en ejecución al ver cómo responde la aplicación a solicitudes diseñadas especialmente. IaC. Linting. DAST. SAST.

¿Cómo se llama el método para engañar usuarios para que envíen su información personal a través de medios electrónicos como correos electrónicos y sitios web falsos?. Pharming. SMSishing. Phishing. Vishing.

¿Cuál es un ejemplo de medida de seguridad física en un centro de datos?. Cifrado de datos. Firewalls de red. Control de acceso biométrico. Detección de intrusos en el software.

Es un lenguaje que se utiliza para aplicaciones móviles. Ruby. PHP. Python. Swift.

¿Qué tipo de técnica implementa filtros que se usan para validar la forma canónica o estándar de entrada?. Sanitización. Expresiones regulares. Depuración. Double check.

El Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS) de OWASP es el estándar de la industria para la seguridad de aplicaciones móviles. Falso. Verdadero.