Tema 13 Bloque 2 Tema 12 Bloque 4

En el contexto de las amenazas a la seguridad de la información, ¿Qué tipo de malware se caracteriza por cifrar los datos del usuario y exigir un rescate económico para devolver el acceso?. Spyware. Ransomware. Adware. Rootkit.

Según la clasificación de ingeniería social, ¿Cómo se denomina el ataque realizado específicamente a través de mensajes de texto (SMS) o aplicaciones de mensajería?. Phishing. Vishing. Smishing. Whaling.

¿Qué técnica de ingeniería social consiste en buscar en los contenedores de basura físicos documentos desechados que contengan información sensible?. Shoulder Surfing. Baiting. Dumpster Diving. Tailgating.

En relación con los cortafuegos (firewalls), ¿Cuál es la característica principal del filtrado estático de paquetes?. Examina la carga útil de la aplicación (Capa 7) para identificar usuarios. Examina los encabezados de los paquetes individualmente (Capa 3 y 4) sin tener en cuenta el estado de la conexión. Incorpora prevención de intrusiones y descifrado de VPNs. Mantiene una tabla de estado para monitorizar el contexto de las sesiones activas.

¿Qué elemento de la arquitectura de red se define como una subred intermedia que actúa como zona de seguridad entre la red interna (confiable) e Internet (no confiable), donde se ubican los servidores accesibles al público?. VPN (Virtual Private Network). VLAN (Virtual Local Area Network). DMZ (Zona Desmilitarizada). IDS (Intrusion Detection System).

En la traducción de direcciones de red (NAT), ¿en qué consiste el PAT (Port Address Translation) o NAT con sobrecarga?. Asigna una IP pública única y exclusiva a cada IP privada de la red interna. Permite que múltiples hosts internos salgan a Internet por una sola IP pública utilizando diferentes puertos. Realiza un mapeo estático 1 a 1, ideal para servidores web públicos. Oculta la dirección MAC pero mantiene la IP original del paquete inalterada.

Respecto al Control de Accesos, ¿Cuál de los siguientes factores de autenticación se clasifica como "algo que tienes" (posesión)?. Una contraseña o PIN. La huella dactilar o el iris. Un Token físico o Smart Card. El comportamiento de tecleo o la firma manuscrita.

¿En qué modelo de control de acceso el propietario del objeto tiene la potestad de decidir los permisos de acceso para otros usuarios (típico en sistemas Windows/Linux)?. MAC (Mandatory Access Control). DAC (Discretionary Access Control). RBAC (Role-Based Access Control). ABAC (Attribute-Based Access Control).

Señale la afirmación correcta respecto a las diferencias entre los protocolos RADIUS y TACACS+: RADIUS utiliza TCP y cifra todo el cuerpo del paquete. TACACS+ utiliza UDP y cifra solamente la contraseña. RADIUS separa completamente los procesos de Autenticación, Autorización y Contabilidad (AAA). TACACS+ utiliza TCP, cifra todo el cuerpo del paquete y separa los procesos AAA.

En un sistema de control de acceso ABAC (Attribute-Based Access Control), ¿Qué cuatro elementos se analizan típicamente para permitir el acceso?. Usuario, Contraseña, Dominio y Rol. Sujeto, Objeto, Acción y Entorno. Confidencialidad, Integridad, Disponibilidad y Trazabilidad. IP origen, IP destino, Puerto y Protocolo.

¿Cuál es la diferencia fundamental entre un IDS (Sistema de Detección de Intrusos) y un IPS (Sistema de Prevención de Intrusiones)?. El IDS funciona en línea (inline) y bloquea tráfico; el IPS funciona en modo promiscuo y solo alerta. El IDS es activo y afecta a la latencia; el IPS es pasivo y no afecta al rendimiento. El IDS es pasivo (escucha y alerta) y funciona en modo promiscuo; el IPS es activo, funciona en línea y puede bloquear tráfico. No existe diferencia funcional, son términos sinónimos para el mismo dispositivo de seguridad.

Según la edición 2025 del OWASP Top 10, ¿Cuál es el riesgo de seguridad clasificado en la primera posición (A01)?. Injection (Inyección SQL, etc.). Broken Access Control (Fallos de Control de Acceso). Cryptographic Failures (Fallos Criptográficos). Insecure Design (Diseño Inseguro).

¿En qué consiste un ataque de SQL Injection (SQLi)?. En inyectar código JavaScript malicioso en el navegador de la víctima. En enviar datos no confiables a una base de datos para alterar la consulta original y ejecutar comandos no autorizados. En saturar el servidor web mediante múltiples peticiones simultáneas (DDoS). En interceptar la comunicación entre el cliente y el servidor para robar la cookie de sesión.

¿Qué tipo de vulnerabilidad web permite a un atacante inyectar scripts maliciosos (generalmente JavaScript) en páginas web vistas por otros usuarios?. Cross-Site Scripting (XSS). Cross-Site Request Forgery (CSRF). Server-Side Request Forgery (SSRF). Remote File Inclusion (RFI).

¿Cuál es la medida más efectiva para prevenir ataques de tipo CSRF (Cross-Site Request Forgery)?. Implementar HTTPS en todo el sitio web. Usar consultas preparadas (Prepared Statements). Utilizar Tokens Anti-CSRF únicos en cada formulario o petición de estado. Filtrar los caracteres especiales en los campos de entrada.

¿Qué vulnerabilidad se produce cuando una aplicación utiliza un identificador directo (como un número de ID en la URL) para acceder a un objeto sin verificar si el usuario tiene permisos sobre él?. IDOR (Insecure Direct Object Reference). LFI (Local File Inclusion). XSS Reflejado. Security Misconfiguration.

Según la Directiva NIS2 (UE 2022/2555), las entidades de la Administración Pública central se clasifican automáticamente como: Entidades Importantes. Entidades Esenciales. Entidades Críticas. Entidades de Supervisión Reactiva.

De acuerdo con la Directiva NIS2, ¿Cuál es el plazo para emitir una "alerta temprana" al CSIRT nacional en caso de incidente grave?. 12 horas. 24 horas. 48 horas. 72 horas.

¿Qué define a la Criptografía Simétrica?. Utiliza un par de claves: una pública para cifrar y una privada para descifrar. Utiliza la misma clave tanto para cifrar como para descifrar. No utiliza claves, se basa en la seguridad del algoritmo. Se utiliza exclusivamente para la firma digital, no para el cifrado de datos.

¿Cuál de los siguientes algoritmos es un ejemplo de criptografía asimétrica (clave pública)?. AES (Advanced Encryption Standard). DES (Data Encryption Standard). ChaCha20. RSA (Rivest-Shamir-Adleman).

¿Qué propiedad fundamental de una función Hash garantiza que si se cambia un solo bit del archivo original, el hash resultante cambia por completo?. Unidireccionalidad. Efecto Avalancha. Confidencialidad. No repudio.

En el proceso de firma digital, ¿Qué clave utiliza el emisor para firmar el resumen (hash) del mensaje?. Su Clave Pública. Su Clave Privada. La Clave Pública del receptor. La Clave Privada del receptor.

¿Qué garantiza la firma digital además de la autenticidad del emisor y la integridad del mensaje?. La confidencialidad del mensaje (que nadie más lo pueda leer). La disponibilidad del servicio. El no repudio (el emisor no puede negar haberlo enviado). El anonimato del emisor.

En relación con el protocolo TLS 1.3, señale la afirmación correcta: Es compatible con algoritmos antiguos como MD5 y SHA-1 para mantener la compatibilidad. Ha eliminado el soporte para el intercambio de claves RSA estático en favor de Diffie-Hellman efímero (PFS). Aumenta la latencia del handshake al añadir más pasos de verificación. Utiliza el puerto UDP 443 por defecto.

¿Qué es una Botnet?. Una red de ordenadores infectados controlados remotamente por un ciberdelincuente para realizar ataques masivos. Un tipo de firewall que utiliza inteligencia artificial. Una red privada virtual utilizada para conectar sedes de una empresa. Un software de gestión de contraseñas.

¿Qué técnica de ataque consiste en mirar por encima del hombro de la víctima ("Shoulder Surfing") para obtener contraseñas o PINs?. Es una técnica de ingeniería social física. Es un tipo de ataque de fuerza bruta. Es una variante del ataque Man-in-the-Middle. Es un ataque lógico a la capa de aplicación.

¿Qué función cumple un WAF (Web Application Firewall)?. Filtrar el tráfico a nivel de red (IP y puerto) exclusivamente. Inspeccionar el tráfico HTTP/HTTPS para bloquear ataques específicos a aplicaciones web como SQLi o XSS. Actuar como servidor de nombres de dominio (DNS) seguro. Generar túneles VPN para los usuarios remotos.

En criptografía, ¿Cuál es la principal desventaja de los algoritmos asimétricos frente a los simétricos?. Son menos seguros. Tienen el problema de la distribución de la clave. Son computacionalmente mucho más lentos y requieren más recursos. Solo permiten cifrar textos cortos.

¿Qué protocolo de autenticación de red utiliza tickets y un KDC (Key Distribution Center) de confianza para evitar enviar contraseñas por la red?. RADIUS. LDAP. Kerberos. TACACS+.

¿Qué categoría de OWASP Top 10 cubre los fallos derivados de no usar cifrado o usar algoritmos débiles como MD5?. A01: Broken Access Control. A04: Cryptographic Failures. A05: Injection. A07: Authentication Failures.

¿Qué es el "Whaling" dentro de la ingeniería social?. Un ataque de phishing masivo dirigido a todos los empleados de una empresa. Un tipo de phishing dirigido específicamente a altos directivos o "peces gordos" (CEOs, CFOs). La recolección de información a través de redes sociales abiertas. El robo de identidad mediante la duplicación de tarjetas SIM.

¿Cuál es el puerto estándar utilizado por el protocolo HTTPS (Web segura)?. TCP/80. TCP/22. UDP/53. TCP/443.

¿Qué tipo de cortafuegos se considera de "próxima generación" (NGFW)?. Aquel que solo filtra basándose en direcciones MAC. Aquel que incluye inspección profunda de paquetes (DPI), conocimiento de aplicaciones (Capa 7) y prevención de intrusiones. Aquel que no guarda estado de las conexiones (Stateless). Aquel que se instala exclusivamente en el host del usuario final.

En el contexto de las VPN y seguridad, ¿Qué protocolo es el sucesor de RADIUS, utiliza TCP/SCTP y ofrece mayor robustez?. TACACS+. Diameter. Kerberos. IPsec.

¿Cuál es la finalidad principal de usar "Prepared Statements" (Consultas Preparadas) en el desarrollo web?. Mejorar la velocidad de carga de la página. Evitar ataques de Inyección SQL (SQLi) separando los datos del código. Prevenir ataques XSS mediante el escapado de caracteres. Gestionar las sesiones de usuario de forma segura.

¿Qué algoritmo de Hash se considera actualmente inseguro debido a la existencia de colisiones encontradas?. SHA-256. SHA-3. MD5. SHA-512.

¿Qué es un ataque de "Baiting" o Gancho?. El envío de correos electrónicos prometiendo premios falsos. El uso de un cebo físico (como un USB infectado) o digital para tentar a la víctima a ejecutar un malware. La suplantación de identidad telefónica. El secuestro de las DNS de una organización.

En la arquitectura de seguridad, ¿Qué significa que un IDS funcione en "modo promiscuo"?. Que interfiere activamente en el tráfico de la red modificando los paquetes. Que escucha y analiza una copia de todo el tráfico que pasa por el segmento de red, no solo el dirigido a su interfaz. Que actúa como un proxy inverso para las conexiones web. Que permite el acceso a cualquier usuario sin autenticación.

¿Qué define la "Inseguridad en el Diseño" (Insecure Design) según OWASP?. Fallos de codificación o bugs que se introducen al programa. Fallos de arquitectura y falta de modelado de amenazas antes de la implementación del código. El uso de librerías de terceros desactualizadas. La mala configuración de los servidores en la nube.

¿Cuál de las siguientes afirmaciones sobre AES (Advanced Encryption Standard) es correcta?. Es un algoritmo de cifrado asimétrico. Es un algoritmo de cifrado simétrico de bloque, estándar actual. Es un algoritmo de flujo (stream cipher) utilizado en WEP. Es una función hash utilizada para integridad.

¿Qué protocolo estándar se utiliza para el control de acceso a redes basado en puertos (físicos o Wi-Fi), involucrando un suplicante, un autenticador y un servidor de autenticación?. EEE 802.11ac. IEEE 802.1X. IEEE 802.3ad. IEEE 802.1Q.

¿Qué diferencia principal existe entre el phishing y el "Spear Phishing"?. El Spear Phishing se realiza por SMS. El Spear Phishing es un ataque dirigido y personalizado a una víctima concreta, mientras que el phishing es genérico y masivo. El Spear Phishing no utiliza correo electrónico. No hay diferencia, son lo mismo.

En el marco de la Directiva NIS2, ¿Qué responsabilidad tienen los órganos de dirección de las entidades afectadas?. Ninguna, la responsabilidad es exclusiva del CISO o responsable de seguridad. Deben aprobar las medidas de gestión de riesgos y supervisar su aplicación, siendo responsables legalmente en caso de incumplimiento. Solo deben ser informados anualmente de los incidentes. Su responsabilidad se limita a contratar un seguro de ciberriesgos.

¿Qué es la "Sextorsión" en el ámbito de la ciberseguridad?. Un ataque de denegación de servicio a páginas de contenido adulto. Una forma de ingeniería social donde se amenaza a la víctima con publicar supuestas imágenes íntimas si no paga un rescate. La infección de dispositivos móviles a través de apps de citas. El robo de credenciales de sitios de streaming.

¿Cuál es el objetivo principal de la técnica de "Sanitización" o escape de datos en aplicaciones web?. Comprimir los datos para que la web cargue más rápido. Convertir caracteres especiales en entidades HTML (ej. < en <) para evitar que el navegador los ejecute como código, mitigando XSS. Cifrar los datos de la base de datos. Validar que el usuario sea humano mediante un Captcha.

¿Qué son los "Keyloggers"?. Herramientas hardware o software que registran las pulsaciones del teclado para robar contraseñas y datos sensibles. Dispositivos para generar claves de un solo uso (OTP). Gestores de contraseñas seguros. Algoritmos de intercambio de claves.

En un ataque de RFI (Remote File Inclusion), ¿Qué intenta conseguir el atacante?. Que el servidor web cargue y ejecute un archivo malicioso alojado en un servidor externo controlado por el atacante. Acceder a archivos locales del servidor como /etc/passwd. Subir un archivo al servidor mediante un formulario de upload. Descargar la base de datos completa.

¿Qué novedad introduce la categoría "Software Supply Chain Failures" en OWASP 2025?. Se centra exclusivamente en el código escrito por los desarrolladores de la empresa. Abarca los riesgos derivados de librerías de terceros, herramientas de CI/CD comprometidas y la integridad de todo el ciclo de vida del software. Se refiere a fallos en la cadena de bloques (Blockchain). Sustituye a la categoría de Inyección SQL.

¿Cuál es la función del mensaje "ServerHello" en el handshake de TLS 1.3?. El cliente envía su lista de cifrados soportados. El servidor confirma el conjunto de cifrado elegido, envía su certificado y su parte del intercambio de claves. El servidor solicita al cliente su contraseña. Se cierra la conexión segura.

¿Qué se entiende por "Ingeniería Social Inversa"?. El atacante crea un problema (o la apariencia de uno) y espera a que la víctima acuda a él pidiendo ayuda, para entonces solicitar credenciales. El análisis de malware para descubrir su autor. El uso de técnicas psicológicas para mejorar la seguridad de los empleados. La recuperación de datos borrados por un ataque de ingeniería social.