S3GUR1D4D 1NF0RM4T1C4

La herramienta Metasploit Framework destaca por permitir: Crear certificados SSL. Levantar un servidor SMB falso y capturar hashes. Generar hashes MD5. Cifrar discos.

El estándar OWASP ASVS se utiliza para: Generar certificados SSL. Cifrado TLS. Probar hardware. Verificar controles de seguridad en aplicaciones.

El método de autenticación más común y sencillo es el uso de: Contraseñas. Tokens biométricos. NFC implantado. Blockchain.

En la autenticación de dos factores (2FA), un segundo factor puede ser: Dirección MAC. Dominio DNS. Token de un solo uso (OTP). Subnet mask.

Una falla criptográfica puede conducir principalmente a: Aumento de latencia. DoS. Exposición de datos confidenciales. Jitter elevando.

Un hacker ético (White Hat) se caracteriza por: Distribuir ransomware. Espiar empresas. Obtener lucro personal. Contar con permiso para probar sistemas.

¿Cuál de los siguientes es un ejemplo de ataque activo listado en el material?. Inyección SQL. Footprinting. Sniffing. Shoulder surfing.

El principio “C” del trípode CIA significa: Capacidad. Confidencialidad. Conectividad. Continuidad.

Wifiphisher es una herramienta usada para: Enumerar DNS. Obtener contraseñas WPA/WPA2 vía phishing. Escanear puertos. Realizar fuzzing.

El método de transposición se basa en: Usar claves públicas. Sustituir letras por números. Generar firmas digitales. Reordenar las letras del mensaje.

La criptografía de clave pública también se llama: Simétrica. Secreta. Esteganografía. Asimétrica.

Los protocolos de autenticación tipo desafío-respuesta sirven para: Verificar la identidad de un usuario sin revelar el secreto. Generar OTP. Medir jitter. Cifrar discos.

Ventaja esencial de la criptografía de clave pública: No usa matemáticas. Requiere OTP. Consume menos CPU. No es necesario compartir la clave secreta.

En un cifrador en bloque la operación que invierte la inicial se llama: OTP. VRFY. Hash. Transformación final.

El primer paso de un ataque de ingeniería social es: Borrar huellas. Solicitar rescate. Recopilar información de la víctima. Infectar con ransomware.

En SMTP, el comando que verifica un usuario es: RCPT TO. DATA. VRFY. HELO.

El término SSRF significa: Safe Session Reset Form. Simple Service Relay Feature. Server-Side Request Forgery. Secure Software Risk Framework.

En la fórmula de nivel de riesgo, “consecuencia” se refiere a: Tiempo de respuesta. Severidad del daño. Probabilidad. Valor del activo.

¿Qué categoría de activo abarca servidores, routers y estaciones de trabajo?. Hardware. Data. Software. Lines & Networks.

Dentro de las fases del hacking ético, la primera etapa es: Borrado de huellas. Reconocimiento (recon). Escalada de privilegios. Mantenimiento de acceso.

La enumeración se emplea para listar: Usuarios, hosts y servicios del sistema. Logs de impresora. Parches instalados. Temperatura CPU.

En seguridad lógica, el control AAA incluye: Asignar ACLs automáticas. API, App, Audit. Autenticación, autorización y auditoría. Antispam, antivirus, antimalware.

Los ataques pasivos se caracterizan por: Destruir hardware. Escuchar y capturar tráfico. Ejecutar DoS. Inyectar malware.

Un ataque interno suele ser realizado por: Botnets externas. Empleados con acceso privilegiado. Spammers. Hackers anónimos.

La gestión de activos se considera importante porque: Actualiza antivirus. Genera llaves criptográficas. Reduce el jitter. Mantiene control sobre hardware, software y datos.

Una amenaza ambiental típica para un centro de datos sería: Robo de servidores. Pérdida de energía. Virus informático. Huracán.

El proyecto OWASP tiene como finalidad principal: Producir malware de prueba. Vender cortafuegos. Mejorar la seguridad de aplicaciones web de forma abierta. Crear estándares de hardware.

Una contramedida básica contra la enumeración NetBIOS es: Abrir puertos 135-139. Habilitar Telnet. Deshabilitar el uso compartido de archivos/impresoras. Usar SMTP sin TLS.

¿Cuál es un ejemplo de amenaza técnica según el documento?. Baja tensión eléctrica. Phishing. Insider. Inyección SQL.

El ataque conocido como watering-hole consiste en: Phishing SMS. Infectar un sitio legítimo visitado por el objetivo. Shoulder surfing. Falsificar DNS.

El ataque whaling se dirige principalmente a: Estudiantes. Servidores DNS. Altos ejecutivos. Soporte técnico.

El escáner de vulnerabilidades Nikto2 se centra en: Aplicaciones web y servidores HTTP. Bases de datos. Redes SCADA. Firmware IoT.

SNMP se transporta habitualmente sobre: UDP. ICMP. SCTP. TCP puerto 80.

El operador eq en una regla de firewall sirve para: Cambiar protocolo. Hacer ping. Denegar IPs. Filtrar un número de puerto específico.

Un nombre NetBIOS estándar contiene: 8 bytes fijos. 32 bits aleatorios. Sólo números hexadecimales. 15 caracteres del dispositivo y 1 del servicio.

¿Qué nivel de riesgo requiere medidas inmediatas según la tabla de niveles?. Alto/Extremo. Negligible. Bajo. Medio.

En el Top 10 OWASP 2021, la vulnerabilidad que ocupa el primer lugar es: SSRF. Broken Access Control. Inyección. XSS.

¿Cuál es el objetivo principal de la seguridad física en una organización?. Optimizar la impresión. Disminuir el riesgo sobre infraestructuras y datos. Permitir el libre acceso visitante. Aumentar el ancho de banda.

Un ejemplo de control de presencia y acceso es: UPS. Barrera antivirus. Extintor. CCTV.

El fin de un ataque de escalada de privilegios es: Obtener accesos de mayor nivel o ilimitados. Colapsar la red. Robar hardware. Subir jitter.

Un Sombrero gris (Gray Hat) se define como alguien que: Sólo ataca redes bancarias. Trabaja para la NSA. Es siempre malicioso. Actúa a veces como White Hat y a veces como Black Hat.

La relación básica de riesgo se expresa como: Vulnerabilidad ÷ Impacto. Impacto – Probabilidad. Amenaza × Vulnerabilidad × Impacto. Amenaza + Impacto.

El ataque de fisherman phishing se apoya principalmente en: Correos masivos. Redes sociales. MQTT. Llamadas VoIP.