Puertos y Servicios de Red

El puerto 69 es utilizado por: DHCP. TFTP. SNMP.

¿Qué función cumple el puerto 514 UDP?. Control de impresoras. Servicio de correo. Registro de logs (syslog).

¿Qué servicio opera típicamente en el puerto 389?. LDAP. RDP. Syslog.

El protocolo DNS opera típicamente en el puerto: 67. 53. 110.

¿Qué puerto utiliza IMAPS (IMAP sobre SSL)?. 993. 143. 995.

¿Cuál es la función del puerto 514 en sistemas Linux/Unix?. Administración Remota. Sincronización de Hora. Registro de Eventos (syslog).

¿Qué representa el concepto de ingeniería inversa?. Crear códigos desde cero. Desmontar un sistema para entender su funcionamiento. Enviar correos electrónicos con malware. Actualizar firmware automáticamente.

¿Qué significa DLP en ciberseguridad?. Sistema de recuperación de contraseñas. Política de privacidad digital. Prevención de pérdida de datos. Plataforma de control parental.

¿Qué es footprinting?. Ataque de denegación de servicio. Recolección de información sobre un objetivo. Escaneo de red activa. Método de cifrado de clave pública.

¿Qué es un exploit?. Un tipo de actualización de software. Programa que aprovecha vulnerabilidades. Antivirus especializado. Protocolo de respaldo de datos.

¿Qué función cumple una cookie?. Evita el acceso a páginas fraudulentas. Almacena datos de navegación del usuario. Refresca la sesión automáticamente. Cifra la comunicación HTTP.

La sigla “APT” se refiere a: Automated Penetration Test. Advanced Persistent Threat. Authorized Protection Technology. Anti-Phishing Tool.

¿Qué es la autenticidad en ciberseguridad?. Garantía de que los datos no se han perdido. Confianza en que algo es lo que dice ser. Acceso cifrado a redes públicas. Uso de contraseñas fuertes.

¿Qué significa no repudio?. Imposibilidad de negar la autoría de una acción digital. Cifrado básico de correo electrónico. Copia de respaldo duplicada. Exclusión de acceso a datos.

¿Qué es un ataque de fuerza bruta?. Ataque que utiliza ingeniería social. Ataque que intercepta comunicaciones cifradas. Ataque que prueba todas las combinaciones posibles de contraseñas. Ataque que depende del tiempo de conexión.

¿Qué significa confidencialidad?. Garantizar que los datos estén disponibles. Permitir accesos desde cualquier red. Asegurar que solo personas autorizadas accedan a la información. Almacenar contraseñas en texto plano.

¿Qué hace un AV?. Protege la red física. Controla los accesos biométricos. Detecta y elimina software malicioso. Actualiza automáticamente el sistema operativo.

¿Qué implica el principio de mínimo privilegio?. Dar acceso limitado a los recursos necesarios. Permitir solo acceso físico. Crear múltiples usuarios administrativos. Habilitar acceso compartido.

¿Qué es una brecha de seguridad?. Filtro de acceso denegado por error de usuario. Vulnerabilidad sin exploit disponible. Acceso o alteración no autorizada de datos. Mecanismo de respaldo de información.

¿Qué es un ransomware?. Un software legal de monitoreo. Un virus que destruye discos duros. Un software que cifra archivos y exige rescate. Una técnica de cifrado.

La sigla “IoC” en ciberseguridad se refiere a: Internet of Crimes. Indicator of Compromise. Integrity of Code. Input/Output Control.

¿Qué es un control de acceso por roles?. Permitir acceso solo en días laborables. Control basado en nivel jerárquico o funciones. Control según ubicación geográfica. Permiso temporal automático.

¿Qué hace un antispyware?. Detecta y elimina programas espías. Cifra datos bancarios. Optimiza el sistema operativo. Aumenta la velocidad de internet.

¿Qué significa disponibilidad en ciberseguridad?. Que los datos estén cifrados permanentemente. Acceso autorizado y oportuno a los recursos. Que la red siempre esté fuera de línea. Eliminar los datos confidenciales automáticamente.

¿Qué significa la sigla “VPN”?. Virtual Private Network. Virtual Public Network. Verified Private Node. Visual Protection Network.

La sigla “DDoS” hace referencia a: Distributed Denial of Service. Direct Data over Signal. Digital Defense Operations System. Data Deletion on Server.

¿Qué es phishing?. Un tipo de cortafuegos. Un ataque que explota fallas de hardware. Un intento de obtener datos engañando al usuario. Un cifrado de clave pública.

¿Qué representa “SOC”?. System Operations Center. Security Operations Center. Secure Online Connection. Standardized Organizational Control.

¿Qué significa resiliencia en ciberseguridad?. Capacidad para detectar vulnerabilidades. Capacidad de recuperarse ante incidentes. Habilidad para instalar firewalls. Técnica de cifrado avanzada.

¿Qué es esteganografía?. Técnica de crear contraseñas fuertes. Ocultar información dentro de archivos aparentemente inocuos. Enviar spam masivo a través de bots. Realizar un backup automático cifrado.

¿Qué significa CSIRT?. Certificación de Software Independiente. Equipo de respuesta a incidentes de seguridad informática. Control de Sistemas de Red Tecnológica. Comité de Seguridad Internacional de Redes y Tecnologías.

¿Qué es un sistema SIEM?. Sistema para extraer metadatos. Plataforma que centraliza eventos de seguridad y los analiza. Programa de protección infantil. Motor de cifrado en línea.

¿Qué es un keylogger?. Programa que mejora contraseñas. Dispositivo que almacena claves públicas. Software que registra pulsaciones del teclado. Base de datos de claves cifradas.

¿Qué es una botnet?. Red privada virtual. Grupo de computadoras controladas por un atacante. Lista de contraseñas seguras. Red empresarial segura.

¿Qué es una VPN?. Conexión segura a través de una red pública. Sistema de control de versiones. Protocolo de vigilancia remota. Virus que altera configuraciones de red.

¿Qué es un troyano?. Herramienta de cifrado. Software legítimo que se convierte en malware. Programa malicioso que se oculta como legítimo. Script para autenticar usuarios.

¿Qué es spoofing?. Técnica para fortalecer firewalls. Método de cifrado robusto. Protocolo de autenticación. Suplantación de identidad en redes.

¿Qué es el BYOD?. Política que impide dispositivos personales. Norma sobre actualizaciones de software. Permite a empleados usar sus propios dispositivos. Sistema de cifrado híbrido.

39. ¿Qué caracteriza al cifrado simétrico?. Usa dos claves diferentes para cifrar y descifrar. Utiliza una clave pública que todos comparten. Usa una misma clave para cifrar y descifrar. Depende de blockchain.

¿Qué es una DMZ en redes?. Zona militar de defensa remota. Área aislada de una red con servicios expuestos a Internet. Protocolo de acceso compartido. Firewall físico con doble autenticación.

La lectura del log confirma que el Firewall detuvo un flujo de entrada orientado al protocolo de aplicación: SMTP para la transferencia y recepción de mensajes de correo. POP3 para la descarga local de bandejas de entrada. HTTP para la exposición de un servidor web sin cifrar. Kerberos para la autenticación centralizada de identidades.

Al inspeccionar el puerto de destino 1433, se determina que el host interno intentaba acceder sin autorización a: El sistema de archivos compartidos NFS en un servidor Linux. El servicio de resolución de nombres de dominio DNS. El motor de base de datos Microsoft SQL Server en un servidor Windows. Una sesión de administración remota cifrada por SSH.

Basado en la lectura técnica de la traza, el flujo denegado corresponde a: Una estación interna intentando navegar por páginas web seguras. Un servidor de la DMZ tratando de sincronizar su hora local. Un host externo en internet intentando conectar al servicio FTP sin cifrar. Una máquina Windows de la LAN ejecutando una consulta al Directorio Activo.

De acuerdo a la línea de datos, el flujo bloqueado se originó en: Un servidor externo de internet hacia la DMZ institucional. El servidor 10.0.5.50 alojado en la DMZ empleando un puerto dinámico. La estación interna 192.168.10.24 desde la VLAN de la LAN. El gateway central interconectado a la interfaz WAN del cortafuegos.

Al repetirse la alerta de conexión insegura por Telnet mil veces en un minuto, ¿qué acción debe tomar el analista del CSIRT en el host origen?. Cifrar el disco duro del servidor de bases de datos utilizando el algoritmo RSA. Levantar un servidor Proxy en el puerto 1080 de la DMZ para interceptar el tráfico. Analizar los procesos de la IP 192.168.10.24 con el EDR ante un posible malware o fuerza bruta. Cambiar la dirección MAC de la interfaz del servidor 10.0.5.50 para evadir el escaneo.

Sabiendo que el IDS es puramente pasivo, ¿qué acción debe verificar el analista en el IPS activo para asegurar la protección del servidor?. Que el IPS haya modificado los metadatos del archivo de configuración web. Que el IPS ejecute un backup automático de la base de datos MySQL. Que el IPS intercepte y aplique un descarte (drop) de esos paquetes en la línea de tráfico. Que el IPS ordene al servicio DNS cambiar la URL del portal institucional.

Ante la caída total de respuestas de conectividad del servidor DNS, el analista del SOC debe verificar de inmediato: Si el agente de antivirus tradicional borró las cookies del servidor. Si el protocolo RADIUS está duplicando el direccionamiento MAC. Si el servidor está bajo un ataque de denegación de servicio (DoS/DDoS) en el puerto 53. Si el administrador del dominio deshabilitó el cifrado RSA de la VPN.

¿Qué servicio de asignación de direccionamiento lógico generó este registro en la LAN?. Un cliente web solicitando acceso seguro en el puerto 443. Un cliente de red solicitando una dirección IP a un Servidor DHCP. Una base de datos MySQL respondiendo a una inyección SQL. Un servidor de correo SMTP retransmitiendo un mensaje de Phishing.

Al correlacionar el evento de PowerShell anómalo en el SOC, ¿cuál es la acción táctica inmediata que debe ejecutar el analista del CSIRT?. Aplicar un parche de seguridad al servidor web en el puerto 80. Utilizar el EDR para aislar remotamente el host 192.168.10.102 y contener la amenaza. Cambiar las reglas de enrutamiento IP en el Router central de la LAN. Validar el certificado digital del servidor de correo SMTP.

50. Si la alerta de fallos de autenticación se repite masivamente en el SIEM apuntando a la misma cuenta, la acción del analista en el Firewall debe ser: Habilitar el protocolo sin cifrar Telnet en el puerto 23 para pruebas. Restringir la navegación web saliente de la IP del servidor en el puerto 443. Bloquear preventivamente el tráfico de la IP de origen 192.168.10.55 hacia los servicios de autenticación. Modificar la máscara de subred de toda la VLAN de la LAN corporativa.

Para evitar que intrusos conecten equipos no autorizados a tomas de red físicas, ¿cómo se llama esta contramedida esencial en los switches?. Listas de Control de Acceso (ACLs) perimetrales. Seguridad de Puerto (Port Security). Inspección de Estado de Firewall (Stateful). Servidor de Nombres de Dominio (DNS).

¿Cuál es el propósito principal de aplicar Defensa en Profundidad?. Contratar más proveedores de internet para aumentar la velocidad de navegación. Garantizar que un atacante deba vulnerar múltiples capas o controles de seguridad independientes antes de alcanzar los datos sensibles. Eliminar la necesidad de utilizar contraseñas en los equipos. Asegurar que todos los servidores usen cables blindados.

¿Qué medida representa una contramedida directa en la Capa de Transporte/Red para mitigar movimiento libre dentro de la LAN?. Implementar cifrado de discos duros en estaciones de trabajo. Configurar Listas de Control de Acceso (ACLs) y segmentación de red interna mediante VLANs. Actualizar el antivirus en los servidores de base de datos. Cambiar físicamente cables de cobre por fibra óptica.

¿Cómo se llama el fallo común de Capa 7 donde se inyectan comandos maliciosos en campos de texto para robar información de tablas?. Inyección SQL, y afecta a los servidores de Bases de Datos. MAC Flooding, y afecta a los cables de fibra óptica. Ping Flood, y afecta a las antenas de radio satelitales. Cifrado de Datos, y afecta al sistema de ventilación del centro de datos.

Si un atacante simula conectar miles de equipos falsos para agotar las direcciones disponibles del servidor DHCP, ¿qué amenaza ejecuta?. Ataque de descifrado de contraseñas por fuerza bruta. Ataque de agotamiento de recursos (DHCP Starvation). Escaneo de vulnerabilidades en aplicaciones web. Suplantación de firmas digitales de correo táctico.

Si un atacante envía paquetes con doble etiqueta para saltarse el aislamiento entre VLANs, ¿qué principio evade?. El saludo de tres vías de la Capa de Transporte. La segmentación de red en la Capa de Enlace. La traducción de nombres de dominio (DNS). El filtrado de contenido de correos electrónicos.

¿Qué concepto describe la interceptación donde un atacante hace creer a la víctima que su MAC es la del router?. Inyección de código SQL en base de datos. Envenenamiento o suplantación ARP (ARP Spoofing). Escaneo pasivo de puertos de transporte. Configuración de máscara de subred jerárquica.

Si una aplicación web colapsa y muestra código 500 Internal Server Error, ¿qué ocurrió conceptualmente?. El cliente escribió mal la dirección URL. El Firewall bloqueó al atacante de forma exitosa y sigilosa. Ocurrió un error inesperado en los programas o configuraciones dentro del propio servidor. El ancho de banda de la red local aumentó su velocidad al doble.

¿Qué servicio traduce nombres de dominio legibles en direcciones IP de Capa 3?. DHCP. DNS. NAT. SNMP.

Si un malware ingresó por correo electrónico porque el usuario abrió un archivo adjunto sospechoso, ¿qué control falló en la capa más cercana al usuario?. La Educación y Concienciación del Usuario combinado con el filtrado de correo. El cifrado de los discos duros de las estaciones de trabajo. La configuración de direcciones IP estáticas en el router principal. El sistema de alimentación eléctrica ininterrumpida (UPS).

¿A qué tipo de control corresponde la implementación de un Firewall y un sistema de detección de intrusos (NIDS)?. Controles Físicos. Controles Administrativos. Controles Técnicos o Tecnológicos. Controles de Políticas de Usuario.

¿Qué demuestra el código 403 Forbidden?. Que la página web se borró permanentemente del disco duro. Que el servidor entendió la solicitud, pero el usuario no tiene los permisos o derechos para ver ese recurso. Que la conexión a internet se ha cortado por completo. Que el cable de red del servidor está desconectado en la Capa Física.

El puerto 22 corresponde a: HTTP. SSH. FTP. SMTP.

¿A qué concepto fundamental de seguridad hace referencia transformar información legible en un código secreto e inteligible?. Actualización de parches del sistema operativo. Cifrado o Criptografía de la información. Escaneo activo de direcciones IP. Limpieza física de los servidores tácticos.

¿Qué elemento de Capa 3 define qué parte de una dirección corresponde a la red y qué parte al host?. La Dirección MAC. El Número de Puerto. La Máscara de Subred. El Gateway Predeterminado.

¿Cómo se conocen las medidas de respaldo para recuperarse rápidamente y mantener operaciones críticas funcionando?. Escaneo activo y suplantación de identidad (Spoofing). Continuidad del Negocio (Business Continuity) y Recuperación ante Desastres. Inundación de tablas de direcciones físicas (MAC Flooding). Validación semanal de códigos de error de servidores web.

¿Cómo se llama el comportamiento donde la tabla CAM se llena y el switch actúa como Hub?. Falla por desbordamiento de tabla. Caída del enrutamiento por protocolo OSPF. Bloqueo perimetral por saturación de Firewall. Cifrado síncrono de cables de par trenzado.

¿Qué principio técnico evitó que un atacante Wi-Fi en red de invitados comprometiera toda la base militar?. El saludo en tres pasos del protocolo TCP. La traducción automática de nombres de dominio por el servidor DNS. La segmentación y el aislamiento de redes internas. El cambio de formato de archivos en la Capa de Presentación.

En un entorno conmutado, un atacante levanta un servidor DHCP no autorizado. ¿Qué característica de Capa 2 debe activarse en los switches?. Port Security. DHCP Snooping. BPDU Guard. IP Source Guard.

Si un host no autorizado emite “Gratuitous ARP” falsos y desvía tráfico hacia su máquina, ¿qué riesgo genera y qué vulnerabilidad explota?. Inyección de código / Explota falta de sanitización. Ataque Man-in-the-Middle (MitM) o DoS / Explota la confianza implícita del protocolo ARP. Fuerza bruta / Explota contraseñas débiles en SSH. Exfiltración por DNS Tunneling / Explota falta de inspección en puerto 53.

Si un atacante aprovecha DTP activo por defecto para negociar un enlace troncal y acceder a múltiples VLANs, ¿cómo se denomina y cómo se previene?. ARP Spoofing / Activando DAI. VLAN Hopping (Switch Spoofing) / Configurando el puerto en modo acceso estático y desactivando DTP. MAC Spoofing / Bloqueando inundaciones unicast. Broadcast Storm / Activando Storm Control.

Si un adversario evade Firewalls perimetrales e internos usando un Zero-day, ¿cuál debe ser el enfoque defensivo inmediato?. Desplegar un segundo Firewall idéntico en el perímetro. Aplicar endurecimiento (Hardening) en hosts, aislamiento por NAC y cifrado de datos. Iniciar campaña de concienciación contra Phishing. Cambiar direcciones IP públicas asignadas.

En un ataque Double Tagging 802.1Q, ¿qué condición permite que tenga éxito?. Que el puerto tenga Port Security. Que las tablas CAM estén vacías. Que la VLAN nativa del enlace troncal coincida con la VLAN del atacante. Que el servidor DHCP tenga Snooping desactivado.

¿Qué control avanzado de Capa 2 detiene el acceso de hardware no autorizado basándose en identidades y certificados lógicos?. Enrutamiento estático en la capa de red. Autenticación basada en puertos mediante el estándar IEEE 802.1X (NAC). Activación del protocolo Spanning Tree (STP). Configuración de un banner de advertencia.

¿A qué capa de Seguridad en Profundidad corresponde EDR y OS Hardening?. Capa de Perímetro. Capa de Red Local (LAN). Capa de Host (Dispositivo). Capa de Aplicación.

¿Qué combinación representa controles puros de las Capas de Aplicación y Datos?. Guardias de seguridad física y CCTV. Firewalls perimetrales de red e IDS. Sanitización de entradas (WAF) y cifrado de bases de datos en reposo (AES-256). Segmentación de VLANs y ACLs de capa 3.

Si se inyectan tramas con direcciones MAC falsas hasta saturar la memoria del switch, ¿qué ataque es y qué control lo mitiga?. VLAN Hopping / Mitigación: Deshabilitar DTP. CAM Table Overflow / Mitigación: Port Security. DHCP Spoofing / Mitigación: DHCP Snooping. IP Spoofing / Mitigación: ACLs dinámicas.

Si un atacante compromete credenciales de administrador mediante ingeniería social, ¿qué contramedida limita el daño?. El Firewall perimetral de la red militar. El principio de mínimo privilegio y el control de acceso basado en roles (RBAC). El uso de un switch de respaldo en alta disponibilidad. El protocolo de enrutamiento seguro OSPFv3.