Puesta en producción segura - Repaso PACs

¿Cuál es la principal diferencia entre lenguajes interpretados y compilados?. No hay diferencia. Los interpretados ejecutan código línea por línea en tiempo de ejecución; los compilados traducen todo el código a lenguaje máquina antes de ejecutar. Los interpretados no funcionan. Los compilados son más lentos.

¿Qué es el código fuente de una aplicación?. La base de datos. El ejecutable final. El código escrito por programadores en lenguaje de programación legible que define el comportamiento de la aplicación. Solo comentarios.

¿Por qué es importante la seguridad en los lenguajes de programación?. Para prevenir vulnerabilidades como inyecciones, desbordamientos de búfer y accesos no autorizados. Solo por requisitos legales. No es importante. Para hacer el código más lento.

¿Qué son los fundamentos de la programación?. Únicamente diseño gráfico. Conceptos básicos como variables, estructuras de control, funciones, tipos de datos y lógica algorítmica. Solo sintaxis de lenguajes. Solo frameworks.

¿Qué aspectos de seguridad deben considerarse en entornos de ejecución?. Solo el nombre del servidor. Control de acceso, permisos, aislamiento de procesos, validación de entradas y gestión de errores. Únicamente la velocidad. Solo el color de la interfaz.

¿Qué es un entorno de desarrollo?. Solo el ordenador del programador. Conjunto de herramientas, configuraciones y recursos donde los desarrolladores escriben, prueban y depuran código. La oficina física. El servidor de producción.

¿Qué es un Sandbox (entorno de pruebas aislado)?. Entorno controlado y aislado donde se puede ejecutar código de forma segura sin afectar el sistema principal. Un lenguaje de programación. Un tipo de base de datos. Un juego infantil.

¿Cuáles son elementos principales de un programa?. Solo comentarios. Solo el archivo principal. Variables, funciones, estructuras de control, clases/objetos, módulos y bibliotecas. Solo variables.

¿Qué es la ejecución de software?. Descargar la aplicación. Instalar la aplicación. Compilar el código. Proceso en el que el sistema operativo carga y ejecuta las instrucciones del programa.

¿Qué tipos de pruebas existen en desarrollo de software?. Solo pruebas de usuario final. Solo pruebas manuales. Únicamente visuales. Unitarias, integración, funcionales, rendimiento, seguridad y aceptación.

En el contexto de seguridad, ¿qué significa validar las entradas de usuario?. Solo comprobar la longitud. Aceptar cualquier dato sin revisar. Verificar y sanitizar datos de entrada para prevenir inyecciones y ataques basados en datos maliciosos. Ignorar los datos del usuario.

Las pruebas de seguridad en aplicaciones buscan detectar: Únicamente errores de rendimiento. Solo problemas de diseño visual. Solo errores de sintaxis. Vulnerabilidades como inyecciones SQL, XSS, CSRF, autenticación débil y exposición de datos.

¿Por qué son importantes los Sandboxes en seguridad?. No tienen relación con seguridad. Para aumentar la velocidad. Permiten ejecutar código potencialmente malicioso o no confiable de forma aislada sin comprometer el sistema. Para decorar aplicaciones.

¿Qué estructuras de control son fundamentales en programación?. Solo bucles. Solo funciones. Solo variables. Condicionales (if/else), bucles (for/while), y estructuras de selección (switch/case).

¿Qué es el código objeto en programación?. La documentación del proyecto. Los comentarios del código. El código fuente original. Resultado de compilar el código fuente, en formato intermedio o lenguaje máquina.

¿Qué es una función o método en programación?. Un error de compilación. Bloque de código reutilizable que realiza una tarea específica y puede recibir parámetros. Un comentario extenso. Un tipo de variable.

¿Qué diferencia hay entre pruebas unitarias y pruebas de integración?. Las de integración no son necesarias. Son lo mismo. Las unitarias prueban componentes individuales; las de integración prueban la interacción entre componentes. Las unitarias son más lentas.

Ejemplos de lenguajes interpretados incluyen: Python, JavaScript, Ruby y PHP. Solo ensamblador. No existen lenguajes interpretados. Solo C y C++.

Ejemplos de lenguajes compilados incluyen: Solo Python. No existen lenguajes compilados. Solo JavaScript. C, C++, Java (a bytecode), Go y Rust.

¿Qué herramientas son típicas en un entorno de desarrollo?. Solo Microsoft Word. Solo un editor de texto. IDE, compiladores/intérpretes, depuradores, control de versiones y gestores de dependencias. Solo un navegador.

¿Qué niveles de verificación define ASVS?. No define niveles. Diez niveles. Solo uno. Nivel 1 (básico), Nivel 2 (estándar) y Nivel 3 (avanzado).

¿Por qué es importante usar componentes con vulnerabilidades conocidas?. Son más modernos. Son más rápidos. Es importante EVITARLOS porque son puntos de entrada para atacantes. Son más baratos.

¿Qué implica la "Sensitive Data Exposure"?. Compartir datos públicos. Publicar información en redes sociales. Usar bases de datos. Falta de protección adecuada de datos sensibles como contraseñas, números de tarjetas o datos personales.

¿Qué es "Security Misconfiguration"?. Un lenguaje de programación mal escrito. Un error de sintaxis. Configuraciones de seguridad incorrectas, incompletas o por defecto que exponen la aplicación. Un problema de hardware.

Las fuentes abiertas para desarrollo seguro incluyen: Solo blogs personales. OWASP, NIST, CWE, guías de seguridad y frameworks de desarrollo seguro. Únicamente foros de hackers. Solo software pirata.

El nivel de seguridad requerido por una aplicación depende de: Solo el presupuesto. Sensibilidad de los datos, impacto potencial de una brecha, requisitos regulatorios y perfil de riesgo. Únicamente la tecnología usada. Solo la opinión del desarrollador.

Los requisitos de verificación de ASVS se aplican a: Solo aplicaciones móviles. Solo juegos. Aplicaciones web, móviles y servicios web/APIs. Solo aplicaciones web.

¿Cuál de las siguientes NO es típicamente parte del OWASP Top Ten?. Broken Access Control. Cryptographic Failures. Diseño de logo atractivo. Inyección.

¿Qué es CSRF (Cross-Site Request Forgery)?. Un lenguaje de programación. Ataque que fuerza a usuarios autenticados a ejecutar acciones no deseadas en aplicaciones web. Un servidor web. Un tipo de base de datos.

¿Qué es el "Broken Authentication" en OWASP?. Un tipo de malware. Vulnerabilidades en la implementación de autenticación que permiten a atacantes comprometer cuentas. Un error de instalación. Un problema de red.

¿Qué es ASVS (Application Security Verification Standard)?. Un lenguaje de programación. Un antivirus. Estándar de verificación de seguridad de aplicaciones que define niveles de requisitos de seguridad. Un navegador web.

¿Qué tipo de vulnerabilidad es la inyección SQL?. Un problema de red. Un error de diseño gráfico. Inserción de código SQL malicioso en entradas de usuario para manipular la base de datos. Opción D Un error de hardware.

¿Qué es el XSS (Cross-Site Scripting)?. Un protocolo de red. Un tipo de servidor. Un lenguaje de programación. Vulnerabilidad que permite inyectar scripts maliciosos en páginas web vistas por otros usuarios.

¿Qué son las fuentes abiertas para desarrollo seguro?. Redes sociales. Código malicioso público. Recursos, guías, frameworks y bibliotecas públicas que promueven buenas prácticas de seguridad. Solo software gratuito.

¿Qué es una comprobación de seguridad a nivel de aplicación?. Únicamente revisar el código fuente visualmente. Revisar solo el color de la interfaz. Solo comprobar que funciona. Verificar que la aplicación implementa controles de seguridad adecuados contra vectores de ataque conocidos.

¿Qué es el OWASP Top Ten?. Lista de los 10 riesgos de seguridad más críticos en aplicaciones web. Un lenguaje de programación. Un ranking de mejores desarrolladores. Un sistema operativo.

¿Por qué es importante identificar vectores de ataque habituales?. Para implementar defensas específicas y reducir la superficie de ataque. Para crear nuevos ataques. No es importante. Para hacer publicidad.

¿Para qué sirven los requisitos de verificación de seguridad?. No tienen utilidad. Para aumentar costes. Para complicar el desarrollo. Para establecer criterios medibles que deben cumplir las aplicaciones según su nivel de riesgo.

¿Qué aspectos cubre ASVS?. Autenticación, control de acceso, criptografía, gestión de sesiones, validación de datos y más. No tienen utilidad. Para aumentar costes. Para complicar el desarrollo.

¿Cuál es el objetivo principal del OWASP Top Ten?. Enseñar a hackear. Concienciar sobre las vulnerabilidades más comunes y cómo mitigarlas. Vender software de seguridad. Complicar el desarrollo.

¿Cuál de los siguientes atributos de cookie impide que sea accesible desde JavaScript?. Max-Age. SameSite. HttpOnly. Secure.

¿Cuál es el objetivo principal de algoritmos como BCrypt o Argon2?. Evitar la necesidad de cifrar la base de datos. Aumentar el coste de los ataques por diccionario. Permitir recuperar la contraseña original. Reducir el tamaño del hash almacenado.

En el ejemplo de control de acceso roto, ¿qué error permite acceder a la funcionalidad administrativa?. El uso de sesiones basadas en PHP. La ausencia de comprobación de rol en el script del servidor. El uso de URL predecibles. La falta de cifrado en la comunicación.

Indica si la siguiente afirmación es verdadera o falsa: “Si una aplicación solo se usa en una intranet, puede omitirse la validación en servidor”. Falso. Verdadero. Solo si el acceso está restringido por IP. Depende del número de usuarios.

¿Cuál es el problema principal de aceptar directamente una entidad JPA completa desde el frontend?. El repositorio no puede aplicar transacciones correctamente. El cliente puede enviar campos que no debería poder controlar. Se impide el uso de DTO en capas superiores. Se pierde compatibilidad con validaciones Bean Validation.

¿Cuál es el objetivo de utilizar consultas preparadas en SQL?. Reducir el tiempo de ejecución de la consulta. Eliminar la posibilidad de inyección SQL en ese punto. Evitar el uso de validación en servidor. Permitir concatenar parámetros dinámicos.

En MongoDB, aceptar directamente un objeto JSON como filtro puede permitir: Optimizar consultas automáticamente. Impedir ataques de denegación de servicio. Introducir operadores como $gt o $or para alterar la consulta. Reducir el tamaño de los documentos.

Regenerar el identificador de sesión tras autenticar al usuario: Permite evitar el uso de HTTPS. Sustituye la necesidad de usar cookies seguras. Reduce el riesgo de fijación de sesión. Incrementa el rendimiento del servidor.

¿Qué característica indica que se está utilizando una sesión real y no una simple cookie?. La cookie no tiene fecha de expiración. El identificador se asocia a estado mantenido en el servidor. El identificador puede leerse desde JavaScript. El identificador se almacena cifrado en el navegador.

¿Qué enfoque evita aceptar expresiones arbitrarias en filtros dinámicos?. Escapar manualmente los caracteres especiales. Mapear campos y operadores permitidos a fragmentos definidos. Construir la consulta concatenando valores validados. Delegar la validación en el cliente.

En OAuth 2.0, la autorización en APIs se basa en: Parámetros enviados por el frontend sin validar. Cookies sin atributos de seguridad. Sesiones PHP tradicionales. Tokens firmados emitidos por un servidor de identidad.

Integrar herramientas como OWASP ZAP en el pipeline CI/CD permite: Sustituir el uso de HTTPS. Desplegar automáticamente en producción sin revisión. Eliminar la necesidad de control de acceso. Ejecutar escaneos repetibles en cada ciclo de despliegue.

¿Cuál es el papel real de la automatización de pruebas de seguridad en el ciclo de vida del software?. Eliminar la necesidad de pruebas manuales. Sustituir auditorías manuales. Detectar regresiones de seguridad de forma consistente. Evitar la configuración de servidores.

¿Cuál es la finalidad principal de la cabecera HSTS?. Reducir el tamaño de las cabeceras. Obligar al navegador a usar HTTPS. Permitir conexiones HTTP y HTTPS simultáneamente. Sustituir el certificado digital.

¿Cuál es la función principal de un WAF con reglas OWASP CRS?. Detectar y bloquear patrones de ataque comunes antes de llegar al backend. Gestionar sesiones de usuario. Sustituir la validación en la aplicación. Generar certificados TLS.

¿Qué ventaja aporta declarar explícitamente protocolos y cifrados en el servidor web?. Elimina comportamientos implícitos no auditados. Sustituye la necesidad de auditorías. Garantiza compatibilidad con navegadores obsoletos. Mejora automática del rendimiento.

En el modelo RBAC, la autorización se basa en: Tokens firmados exclusivamente. Roles predefinidos asignados al usuario. Claves simétricas compartidas. Ubicación geográfica del usuario.

¿Para qué se utiliza una Content-Security-Policy (CSP)?. Para evitar ejecución de código no autorizado en el navegador. Para mejorar la velocidad de carga. Para bloquear direcciones IP. Para cifrar automáticamente la base de datos.

En un modelo ABAC, la decisión de acceso depende de: La versión del navegador. El tipo de servidor web utilizado. Atributos adicionales como departamento o nivel de riesgo. El número de sesiones activas.

¿Cuál es el principal problema de confiar en que el frontend oculte opciones administrativas?. Incrementa la carga del servidor. Obliga a usar HTTPS. Impide el uso de sesiones. El control de acceso no se aplica en el servidor.

¿Qué algoritmo se menciona para verificar la integridad de una aplicación?. SHA-256. MD5. DES. RSA.

¿Qué herramienta permite analizar el código de una APK mediante ingeniería inversa?. Git. Wireshark. JADX. Docker.

¿Qué protocolo debe utilizarse para proteger las comunicaciones entre app y servidor?. Telnet. FTP. HTTP. TLS sobre HTTPS.

¿Cuál es el principal riesgo de conceder permisos excesivos a una aplicación móvil?. Incrementar el tamaño de la aplicación. Reducir la velocidad de conexión. Ampliar la superficie de ataque del dispositivo. Aumentar el consumo de batería.

¿Qué problema supone almacenar datos sensibles en texto plano en el dispositivo?. Mejora el rendimiento. Reduce el tamaño de la app. Facilita la depuración. Permite su lectura si el dispositivo es comprometido.

¿Qué permiso permite a una aplicación acceder al almacenamiento externo en Android?. USE_BIOMETRIC. READ_CONTACTS. MANAGE_EXTERNAL_STORAGE. ACCESS_WIFI_STATE.

¿Por qué no debe confiarse únicamente en validaciones realizadas en la aplicación móvil?. Porque el código puede ser modificado o interceptado. Porque el usuario puede desinstalar la app. Porque aumenta el consumo de datos. Porque reduce la usabilidad.

¿Dónde se almacenan normalmente configuraciones simples en Android?. En la RAM exclusivamente. En el sistema de logs. En SharedPreferences. En el kernel.

¿Qué componente permite almacenar claves criptográficas de forma segura en Android?. Android Keystore. FileManager. SQLite. EncryptedSharedPreferences.

¿Qué garantiza principalmente la firma digital de una aplicación?. Que el desarrollador es confiable. Que la aplicación no necesita permisos. La integridad y origen del archivo APK. Que la aplicación no tiene vulnerabilidades.

¿Cuál es la finalidad de EncryptedSharedPreferences?. Guardar imágenes comprimidas. Cifrar datos almacenados localmente. Reducir consumo de memoria. Ejecutar procesos en segundo plano.

¿Qué implica considerar el dispositivo móvil como “entorno hostil”?. Que no se puede usar cifrado. Que el usuario no puede instalar apps. Que el sistema operativo es inseguro. Que el atacante puede tener control físico o lógico del dispositivo.

¿Qué riesgo supone que una app solicite acceso innecesario a contactos o almacenamiento?. Posible filtración de datos personales. Reducción del consumo energético. Mejora del rendimiento. Optimización del sistema.

¿Qué problema puede producir validar compras integradas solo en el cliente?. Posibilidad de manipular el proceso de pago. Mayor consumo de datos. Bloqueo del dispositivo. Mejor rendimiento.

¿Por qué es importante usar HTTPS en aplicaciones móviles?. Para aumentar la velocidad. Para evitar permisos. Para reducir consumo de batería. Para cifrar la comunicación entre cliente y servidor.

¿Qué permite detectar el análisis estático de una aplicación móvil?. Patrones de código potencialmente inseguros. Problemas físicos del dispositivo. Fallos en la red WiFi. Errores del sistema operativo.

¿Cuál es el objetivo de aplicar el principio de mínimo privilegio en apps móviles?. Limitar el acceso solo a los recursos estrictamente necesarios. Solicitar todos los permisos posibles. Mejorar la interfaz gráfica. Incrementar la velocidad de ejecución.

¿Qué ataque consiste en reutilizar una petición válida para repetir una operación?. SQL Injection. Replay attack. Cross-Site Scripting. Buffer Overflow.

¿Por qué la biometría no sustituye el cifrado de datos?. Porque es más lenta. Porque solo controla acceso, no protege almacenamiento interno. Porque consume batería. Porque requiere internet.

¿Qué verifica la cadena de confianza en la firma digital?. La velocidad de descarga. La compatibilidad con Android. El tamaño del archivo APK. La relación entre certificado y desarrollador original.

¿Cuál es el principal objetivo del modelo DevOps?. Reducir el número de versiones del software. Integrar desarrollo y operación en un flujo continuo. Sustituir a los administradores. Eliminar la necesidad de pruebas.

¿Qué permite el historial de cambios en un repositorio?. Eliminar errores automáticamente. Reconstruir versiones anteriores del sistema. Reducir el tamaño del código. Ejecutar el software.

¿Qué principio garantiza que un mismo despliegue produce siempre el mismo resultado?. Escalabilidad. Disponibilidad. Redundancia. Reproducibilidad.

¿Qué finalidad tienen las ramas en un repositorio de código?. Permitir el desarrollo paralelo sin afectar al código principal. Reducir el número de commits. Aumentar el rendimiento del sistema. Eliminar la necesidad de pruebas.

¿Por qué se establecen roles en un repositorio de código?. Para reducir el número de ramas. Para controlar quién puede modificar e integrar cambios. Para acelerar la compilación. Para eliminar errores automáticamente.

¿Qué caracteriza a un entorno de producción frente a desarrollo?. No requiere disponibilidad continua. No necesita trazabilidad. Permite modificaciones libres del código. Requiere estabilidad y control de cambios estrictos.

¿Cuál es el objetivo del principio de reversión en un despliegue seguro?. Automatizar la compilación. Aumentar la velocidad del despliegue. Restaurar rápidamente una versión anterior ante fallos. Evitar el uso de backups.

¿Qué problema principal presentan los despliegues manuales en entornos profesionales?. Eliminan la necesidad de pruebas. Incrementan la probabilidad de errores humanos en el proceso. Aumentan la disponibilidad del sistema. Reducen la trazabilidad del código.

Reducen la trazabilidad del código. Reduce la seguridad del sistema. Elimina la necesidad de control de versiones. Reduce la variabilidad y aumenta la consistencia del proceso. Evita la ejecución de pruebas.

¿Qué información NO forma parte de un commit en un sistema de control de versiones?. Fecha de modificación. Autor del cambio. Descripción del cambio. Configuración del servidor de producción.

¿Qué ocurre si falla una fase del pipeline de integración continua?. Se despliega igualmente el software. Se elimina el commit. Se detiene el proceso y se notifica el problema. Se ignora el error automáticamente.

¿Qué riesgo existe si el proceso de build no es reproducible?. Eliminar dependencias. Generar artefactos distintos con el mismo código. Aumentar la velocidad de despliegue. Reducir la trazabilidad.

¿Qué objetivo tiene el proceso de build en el ciclo de vida del software?. Gestionar usuarios del sistema. Transformar el código en un artefacto ejecutable. Desplegar directamente en producción. Ejecutar pruebas de seguridad.

¿Qué diferencia existe entre entrega continua y despliegue continuo?. No existe diferencia. El despliegue continuo requiere intervención manual. La entrega continua elimina pruebas. La entrega continua requiere aprobación antes del despliegue.

¿Qué función cumple un pipeline de integración continua?. Ejecutar únicamente pruebas manuales. Sustituir el repositorio de código. Verificar automáticamente los cambios antes del despliegue. Eliminar el proceso de build.

¿Qué objetivo tienen las pruebas de resiliencia?. Mejorar la velocidad de ejecución. Evaluar cómo responde el sistema ante fallos. Detectar errores de sintaxis. Reducir el número de usuarios.

¿Qué ventaja principal aportan los contenedores frente a máquinas virtuales?. Permiten ejecutar múltiples sistemas operativos completos. Eliminan la necesidad de dependencias. Sustituyen la red del sistema. Son más ligeros al no incluir un sistema operativo completo.

¿Qué problema resuelve la infraestructura como código (IaC)?. Sustituir el control de versiones. Reducir el tamaño del software. Eliminar la necesidad de backups. Evitar diferencias de configuración entre entornos.

¿Qué función tiene un orquestador de contenedores?. Sustituir el sistema operativo. Crear código fuente automáticamente. Gestionar automáticamente el ciclo de vida de los contenedores. Ejecutar pruebas unitarias.

¿Qué mide el RTO en un plan de recuperación ante desastres?. El número de usuarios afectados. El tiempo de desarrollo del software. La cantidad de datos perdidos. El tiempo máximo para restaurar el servicio.