Puesta en producción segura - Repaso preguntas libro

Tema 1. Preguntas tema 1.

¿Cuál es el principal objetivo del SSDLC?. a) Incorporara la seguridad en todas las fases de desarrollo para detectar vulnerabilidades de forma temprana. b) Sustituir las pruebas de calidad funcional por análisis de vulnerabilidades. c) Ambas respuestas son correctas.

¿Qué implica la gestión de seguridad de aplicaciones según ISO/IEC 27034-1:2011?. a) Establecer funciones y controles de seguridad durante todo el ciclo de vida del software, desde su concepción hasta la retirada del servicio. b) Limitar los controles de acceso a la fase de diseño del sistema. c) Incorporar la seguridad solo en las aplicaciones móviles por su mayor exposición a Internet. d) Aplicar controles de seguridad únicamente durante la etapa de pruebas del software.

En los lenguajes compilados, la seguridad mejora porque: a) El código se ejecuta sin intérprete. b) No usan bibliotecas externas. c) No necesitan mantenimiento. d) Se detectan fallos antes de la ejecución.

¿Qué función principal cumple el modelo sandbox en la ejecución del software?. a) Mejorar el rendimiento del sistema. b) Aislar procesos para limitar los daños de un ataque. c) Permitir que una app acceda a los datos de otras. d) Sustituir el modelo cliente-servidor en entornos web.

¿Cuál de los siguientes principios contribuye directamente a mejorar la seguridad de un código bien estructurado?. a) Combinar varias funciones en un único módulo para reducir líneas de código. b) Delegar toda la gestión de errores en bibliotecas externas. c) Dividir el programa en componentes independientes con funciones claras. d) Sustituir la documentación por comentarios automáticos del compilador.

Según el modelo de la pirámide de pruebas, ¿por qué las pruebas unitarias deben representar el mayor porcentaje dentro de un plan de validación de software?. a) Porque son rápidas, automatizables y detectan errores en etapas tempranas, reduciendo el coste de corrección. b) Porque se centran en la experiencia del usuario final y permiten validar escenarios de negocio reales. c) Porque requieren menos planificación y se ejecutan directamente sobre el entorno de producción. d) Porque validan la comunicación entre módulos, servicios y bases de datos.

¿Cuál de las siguientes afirmaciones describe correctamente el objetivo de las pruebas de aceptación (UAT)?. a) Detectar vulnerabilidades en el código fuente antes de la compilación. b) Evaluar la interacción entre módulos internos y externos. c) Comprobar que el software cumple los requisitos del usuario final en escenarios reales. d) Validar la integridad del binario y el cifrado del almacenamiento local.

¿Cuál de las siguientes fases pertenece al proceso automatizado de seguridad según el enfoque DevSecOps?. a) Auditoría manual posterior al despliegue. b) Evaluación de rendimiento del hardware. c) Compilación y ejecución de pruebas en entorno de staging. d) Ninguna de las anteriores respuestas es correcta.

¿Es verdadero o falso que las pruebas de seguridad automatizadas eliminan por completo la necesidad de revisiones manuales del código?. a) Verdadero. b) Falso.

Verdadero o falso: Rust evita accesos inválidos a la memoria en compilación. a) Verdadero. b) Falso.

Tema 2. Preguntas tema 2.

Según el estándar OWASP ASVS, ¿qué característica diferencia principalmente el Nivel 3 respecto a los niveles inferiores?. a) Se centra únicamente en pruebas automatizadas y validaciones básicas de entradas. b) Requiere pruebas manuales, revisión de diseño y trazabilidad completa, aplicándose a sistemas críticos. c) Solo evalúa la correcta implementación de protocolos HTTPS y uso de cifrado básico. d) Se orienta a aplicaciones comerciales y es el nivel recomendado por defecto.

¿Cuál es una función clave de la estructura por áreas del ASVS dentro del proceso de verificación?. a) Permitir que los requisitos puedan verificarse sin intervención humana y sin trazabilidad documental. b) Organizar controles según fases estrictas del ciclo de vida, impidiendo su uso en proyectos ágiles. c) Facilitar la vinculación de requisitos con análisis automáticos y auditorías, aportando trazabilidad. d) Garantizar que la verificación se realice únicamente al final del proyecto para reducir esfuerzo.

¿A qué se orienta principalmente la norma ISO/IEC 27034?. a) A requisitos técnicos de pruebas sobre el código. b) A prácticas concretas por fase de desarrollo. c) A procesos y políticas de seguridad a nivel organizativo. d) A medir la madurez de verificación en la organización.

¿Qué aspecto gana relevancia en los borradores del OWASP Top Ten 2024?. a) Inclusión de controles para contenedores y pipelines CI/CD. b) Eliminación del uso de dependencias externas. c) Enfoque exclusivo en aplicaciones móviles. d) Cadena de suministro y riesgos en dependencias. e) Reducción del análisis automatizado en favor de pruebas manuales.

¿Qué implicación práctica tienen las actualizaciones del OWASP Top Ten 2024 para los equipos de seguridad y desarrollo?. a) Obligan a centrar todas las verificaciones exclusivamente en el código fuente, ya que las amenazas externas quedan fuera del alcance del marco. b) Requieren incorporar controles adicionales sobre dependencias, contenedores y flujos CI/CD, reflejando la importancia de la cadena de suministro y la ejecución distribuida. c) Permiten ignorar modelos de seguridad previos, ya que el Top Ten sustituye completamente a estándares como ASVS o MASVS. d) Limita la aplicabilidad del Top Ten a aplicaciones web tradicionales, reduciendo su relevancia en arquitecturas híbridas o en la nube.

Responde si es verdadera o falsa la siguiente afirmación: «En el OWASP Mobile Top Ten uno de los riesgos señalados es la exposición de claves o credenciales dentro del código fuente de la aplicación». a) Verdadero. b) Falso.

¿En qué fase del … se aplican herramientas de escaneo para detectar fallos conocidos en software, configuraciones inseguras o credenciales débiles?. a) En la fase de reconomiento inicial. b) En la fase de análisis de vulnerabilidades. c) En la fase de explotación controlada. d) En la fase de escalada limitada.

¿ Para qué se asigna un nivel de criticidad a los activos en el análisis de riesgos?. a) Para valorar su confidencialidad, integridad y disponibilidad, y usarlos como base del cálculo del riesgo. b) Para sustituir la evaluación de vulnerabilidades basada en CVE. c) Para determinar automáticamente qué controles correctivos aplicar sin análisis adicional. d) Para documentar los activos en auditorías legales o regulatorias.

¿ Qué función tienen las medidas compensatorias en la selección de controles?. a) Mantener un nivel de protección similar cuando un control no puede implantarse por razones técnicas o de coste. b) Reducir la probabilidad de incidencias sin necesidad de controles preventivos. c) Sustituir permanentemente los controles definidos por ASVS sin revisión posterior. d) Eliminar la necesidad de análisis de riesgo residual.

Tema 3. Preguntas tema 3.

¿Cuál es el problema principal de aceptar directamente una entidad JPA completa desde el frontend?. a) El repositorio no puede aplicar transacciones correctamente. b) Se pierde compatibilidad con validaciones Bean Validation. c) El cliente puede enviar campos que no debería poder controlar. d) Se impide el uso de DTO en capas superiores.

En el ejemplo de control de acceso roto, ¿qué error permite acceder a la funcionalidad administrativa?. a) La ausencia de comprobación de rol en el script del servidor. b) El uso de URL predecibles. c) La falta de cifrado en la comunicación. d) El uso de sesiones basadas en PHP.

¿Qué enfoque evita aceptar expresiones arbitrarias en filtros dinámicos?. a) Delegar la validación en el cliente. b) Escapar manualmente los caracteres especiales. c) Construir la consulta concatenando valores validados. d) Mapear campos y operadores permitidos a fragmentos definidos.

Indica si la siguiente afirmación es verdadera o falsa: “Si una aplicación solo se usa en una intranet, puede omitirse la validación en servidor”. a) Verdadero. b) Falso.

¿Qué característica indica que se está utilizando una sesión real y no una simple cookie?. a) El identificador se asocia a estado mantenido en el servidor. b) El identificador se almacena cifrado en el navegador. c) El identificador puede leerse desde JavaScript. d) La cookie no tiene fecha de expiración.

Indica si la siguiente afirmación es verdadera o falsa: “Regenerar el identificador de sesión tras autenticar al usuario reduce el riesgo de fijación de sesión”. a) Verdadero. b) Falso.

¿Cuál de estas respuestas explica por qué las comprobaciones de rol dispersas en el código son problemáticas en aplicaciones corporativas?. a) Incrementan el coste criptográfico de la autenticación. b) Dependen de convenciones implícitas difíciles de mantener. c) Obligan a utilizar tokens en lugar de sesiones. d) Todas las respuestas anteriores son correctas.

¿Cuál es el objetivo principal de algoritmos como BCrypt o Argon2?. a) Evitar la necesidad de cifrar la base de datos. b) Permitir recuperar la contraseña original. c) Reducir el tamaño del hash almacenado. d) Aumentar el coste de los ataques por diccionario.

¿Qué ventajas aporta declarar explícitamente protocolos, cifrados y cabeceras en el servidor web?. a) Garantiza compatibilidad con navegadores obsoletos. b) Mejora automática del rendimiento de la aplicación. c) Elimina comportamientos implícitos no auditados. d) Ninguna de las anteriores.

¿Cuál es el papel real de la automatización de pruebas de seguridad en el ciclo de vida del software?. a) Evitar la necesidad de configurar servidores web. b) Sustituir las auditorías manuales. c) Ninguna de las anteriores. d) Detectar regresiones de seguridad de forma consistente.

Tema 4. Preguntas tema 4.

¿Cuál es el objetivo principal del análisis de permisos?. a) Determinar si los permisos concedidos en tiempo de ejecución son siempre equivalentes a los declarados. b) Identificar vulnerabilidades explotables. c) Valorar si las capacidades declaradas son coherentes con la funcionalidad y el nivel de riesgo asumible. d) Comprobar que la aplicación no utiliza frameworks específicos del sistema.

Antes de analizar permisos o comunicaciones, ¿qué debe comprobarse primero?. a) Que el APK coincide con el publicado por el repositorio mediante verificación PGP. b) Que el manifiesto declare los permisos mínimos. c) Que el hash SHA-256 sea siempre idéntico en cualquier versión. d) Que la firma del APK exista, sin importar el repositorio.

¿Cuál de estos patrones indica escritura persistente en SharedPreferences?. a) rawQuery. b) EncryptedFile. c) MasterKey. d) putString / apply.

¿Qué elemento sugiere cifrado recomendado gestionado por el sistema?. a) Cipher. b) SQLiteDatabase. c) EncryptedSharedPreferences. d) SharedPreferences.Editor.

¿ Cuál es el único punto fiable para conceder un derecho de compra?. a) El servidor. b) El cliente. c) La tienda. d) El sandbox.

Para evitar que una misma compra se procese dos veces, ¿qué mecanismo aplica el servidor en iOS?. a) Rechazar cualquier compra si falta el user_id. b) Conceder el derecho directamente en el cliente tras recibir el recibo. c) Garantizar idempotencia usando identificadores estables de transacción para que una compra solo produzca un derecho. d) Confiar en que la tienda impida automáticamente todos los reintentos.

¿ Qué hallazgo se considera crítico y suficiente para declarar una app no apta para producción?. a) Uso de bibliotecas como OkHttp o Retrofit. b) Aparición de tráfico HTTP plano sin cifrar. c) Negociación TLS 1.2 hacia un endpoint esperado. d) Captura realizada sin instalar certificados de interceptación.

¿ Cuál o cuáles de estos hallazgos serían una fuga de información explotable?. a) Una clave API reutilizable embebida (por ejemplo, AIzaSyC). b) UUIDs públicos de DRM como Widevine. c) Enlaces a documentación pública en GitHub.

¿Cuál de las siguientes afirmaciones es correcta respecto a lo que un CASB puede y no puede hacer en movilidad?. a) Puede corregir permisos excesivos y mecanismos de almacenamiento inseguro dentro de la aplicación. b) Puede bloquear descargas o imponer modo solo lectura en dispositivos no gestionados. c) Puede cifrar automáticamente los datos que la aplicación almacena localmente en el dispositivo. d) Puede impedir que una app lea datos a los que ya tiene acceso una vez descargados.

Tema 5. Preguntas tema 5.

¿Qué práctica distingue a un despliegue seguro en producción?. a) La copia manual de los archivos actualizados al servidor. b) El reinicio del servicio después de instalar el software. c) La publicación de una versión identificada mediante un proceso verificable. d) Modificar directamente el software en el servidor de producción.

En el flujo de despliegue moderno, ¿qué se entiende por artefacto?. a) Una copia provisional del código fuente almacenada en el repositorio. b) La versión del software generada tras el proceso de construcción y pruebas. c) El registro de cambios introducidos por los desarrolladores. d) La configuración manual aplicada al servidor de producción.

¿Cuál es el objetivo principal de las prácticas DevOps en el ciclo de vida del software?. a) Sustituir completamente el trabajo de los administradores de sistemas. b) Integrar desarrollo y operación para gestionar el software mediante procesos reproducibles. c) Automatizar únicamente la compilación del código. d) Reducir el número de servidores necesarios en producción.

¿Por qué la automatización del despliegue mejora la trazabilidad del software?. a) Porque elimina la necesidad de mantener registros. b) Porque los sistemas automáticos no producen errores. c) Porque evita la ejecución de pruebas antes del despliegue. d) Porque cada artefacto generado puede asociarse a una versión concreta del código.

¿Qué función cumple un commit dentro de un sistema de control de versiones?. a) Registrar una modificación concreta del código dentro del repositorio. b) Ejecutar automáticamente el despliegue del software. c) Generar el artefacto final del software. d) Eliminar versiones anteriores del proyecto.

¿Por qué es habitual exigir revisiones de código antes de integrar cambios en la rama principal?. a) Para reducir el tamaño del repositorio. b) Para acelerar el despliegue automático del software. c) Para detectar errores o cambios inseguros antes de incorporarlos al sistema. d) Para impedir que los desarrolladores modifiquen el código.

¿ Qué característica define a un proceso de construcción reproducible?. a) Que se ejecuta manualmente por el desarrollador antes de cada despliegue. b) Que genera el mismo artefacto cuando se ejecuta con las mismas fuentes y condiciones. c) Que utiliza siempre la versión más reciente de las dependencias disponibles. d) Que compila el código directamente en el servidor de producción.

¿Qué ventaja principal introduce la integración continua frente a los modelos tradicionales de desarrollo?. a) Permite acumular cambios durante largos periodos antes de verificarlos. b) Elimina la necesidad de mantener un repositorio de código centralizado. c) Valida cada modificación del código de forma inmediata y automática. d) Sustituye al equipo de desarrollo en la toma de decisiones sobre el despliegue.

¿Qué ventaja ofrece el uso de contenedores respecto a la portabilidad del software?. a) Permiten ejecutar el software sin necesidad de un sistema operativo en el servidor. b) Garantizan que cada instancia del servicio dispone de su propio hardware dedicado. c) Eliminan la necesidad de definir dependencias en el proceso de construcción. d) Aseguran que el software se ejecutará de forma idéntica en cualquier entorno compatible.

¿Qué problema resuelve principalmente el enfoque de infraestructura como código?. a) La falta de herramientas para automatizar el proceso de construcción del software. b) Las diferencias de configuración entre los distintos entornos del sistema que pueden provocar comportamientos inesperados. c) La imposibilidad de ejecutar pruebas automáticas en entornos de producción. d) La dificultad para gestionar el historial de cambios en el repositorio de código.

¿Cuál es el objetivo de las técnicas de inyección de fallos en un sistema en producción?. a) Comprobar si los mecanismos de recuperación definidos en la arquitectura funcionan correctamente. b) Provocar errores de forma arbitraria para medir el impacto en los usuarios. c) Detectar vulnerabilidades de seguridad en el código de la aplicación. d) Sustituir los mecanismos automáticos de recuperación por procedimientos manuales.

Indica si es verdadera o falsa la siguiente afirmación: Un plan de recuperación ante desastres con un RPO de cero horas garantiza que el servicio se restablecerá de forma instantánea tras un fallo grave. a) Verdadero, porque un RPO de cero implica que no se admite ninguna interrupción del servicio. b) Falso, porque el RPO define la cantidad máxima de información que se puede perder, no el tiempo de recuperación del servicio.