test01

¿A qué categoría corresponde la medida de seguridad conocida como ofuscación de código?. MASVS-NETWORK. MASVS-AUTH. MASVS-STORAGE. MASVS-CRYPTO. MASVS-RESILIENCE. MASVS-DEVOPS.

¿Qué práctica ayuda a garantizar que un modelo de IA sea resistente a manipulaciones externas?. Implementar pruebas adversariales. Realizar pruebas de caja blanca. Supervisar métricas clave. Utilizar OWASP ZAP.

¿Qué son los "secretos" en el contexto de la gestión de secretos?. Información sobre los clientes de la empresa. Herramientas de desarrollo de software. Protocolos de seguridad de la red. Contraseñas, claves de cifrado y otros elementos utilizados en la autenticación y autorización.

¿Qué es lo que una API Gateway tiene principalmente?. La auditoría de contenidos. La manipulación de claves. Los mapas (los certificados). La autenticación y control de acceso.

Esta es una técnica utilizada para evitar la ingeniería inversa y la piratería, forma parte de los requerimientos antipiratería; lo que busca es transformar el código fuente original para volver ilegible y difícil de analizar el código. Replicación. Hasheo. Cifrado simétrico. Copias de seguridad. Ofuscación.

Un modelo de IA que se utiliza para la clasificación de correos electrónicos comienza a fallar al identificar spam debido a cambios sutiles en el formato de los correos, lo que hace que el modelo no pueda distinguir correctamente entre correos legítimos y no deseados. ¿Cuál es la causa probable de este fallo?. Envenenamiento de datos. Baja robustez del modelo. Pruebas de vulnerabilidad. Exposición a datos adversariales.

Un sistema de transporte público utiliza datos de ubicación de los usuarios para gestionar rutas, pero los expone a riesgos porque permite asociar un individuo a su geolocalización. ¿Qué acción hubiera reducido este riesgo?. Anonimizar los datos de ubicación. Informar mejor a los usuarios sobre la recopilación de sus datos. Limitar el acceso a los datos solo a quienes lo necesiten. Implementar aprendizaje federado.

¿Qué práctica ayuda a corregir errores y detectar sesgos en los resultados de los modelos de IA?. Trazabilidad y auditorías de decisiones. Entrenamiento continuo. Supervisión en tiempo real. Validación de métricas clave.

Con el fin de lograr prevenir la amenaza del tipo componentes vulnerables y obsoletos, decide validar los datos proporcionados por el usuario, sanitizados en el proceso por la aplicación usando consultas dinámicas en el proceso. ¿Esto logrará impedir que se materialice la amenaza?. Verdad. Falso.

Una empresa necesita reforzar medidas contra ataques adversariales y fuga de datos en tiempo real. ¿Qué herramienta o práctica se debería implementar?. Aplicar pruebas de caja negra. Desarrollar un dashboard de supervisión. Realizar pruebas adversariales periódicas. Entrenar el modelo con más datos.

¿Qué opción permitirá a los desarrolladores evitar el uso de datos personales sin comprometer la calidad del modelo?. Realizar auditorías constantes de seguridad. Limitar el acceso solo a datos no sensibles. Utilizar un sistema de cifrado robusto. Usar datos sintéticos.

Considerando una aplicación con una arquitectura cliente-servidor, la lógica del negocio debería manejarse principalmente en el lado del servidor, esto con el fin de lograr una de las siguientes opciones. ¿Cuál es el principio que estamos cumpliendo?. Diseño abierto. Menor privilegio. Fallo seguro. Mínima exposición. Aceptabilidad psicológica. Economía de mecanismos.

Durante una revisión de código, un desarrollador detecta vulnerabilidades en el código de una aplicación. ¿Qué herramienta de seguridad debería utilizar en el pipeline para abordarlas?. Herramientas de análisis de vulnerabilidades de infraestructura. Herramientas de pruebas dinámicas de seguridad de aplicaciones (DAST). Herramientas de pruebas estáticas de seguridad de aplicaciones (SAST). Herramientas de monitoreo de rendimiento.

¿En qué tipo de lenguajes de programación el código fuente no se compila ni se convierte en códigos de instrucciones específicos del procesador?. Lenguajes interpretados. Lenguaje ensamblador. Lenguaje máquina. Lenguajes de alto nivel. Lenguajes de bajo nivel. Lenguajes compilados.

¿Qué significa 'Daño Potencial' en el modelo DREAD?. La magnitud del daño causado si se materializa la amenaza. El número de usuarios afectados. El tiempo necesario para descubrir la amenaza. La facilidad con que puede ocurrir la amenaza.

¿Qué se busca equilibrar en la arquitectura de seguridad?. Seguridad y rendimiento. Amenazas y oportunidades. Interactividad y software. Costos y ganancias.

¿Qué derecho permite a los usuarios obtener una copia de sus datos personales en un formato legible por máquinas según el GDPR?. Derecho de eliminación. Derecho de corrección. Derecho de oposición. Derecho de acceso/portabilidad.

¿Qué conduce a qué vulnerabilidad SSRF (Server-Side Request Forgery)?. Uso de políticas de denegación por defecto. Uso de controles de acceso efectivos. Implementación de autenticación robusta. Falta de validación en la URL proporcionada por el usuario.

¿Qué acción tomaría un atacante para realizar un ataque de SSRF?. Manipular las credenciales de autenticación. Manipular las URLs controladas por el usuario. Cambiar las respuestas en el servidor. Utilizar tokens OAuth para acceder a los recursos.

Después de un evento inesperado que detuvo el sistema por una cantidad considerable de tiempo, piden elaborar un documento donde se aborden ciertas métricas que midan el impacto del desastre en la continuidad del negocio. ¿Cuál de las siguientes opciones es el tiempo ofertado que, de no cumplirlo, puede haber sanciones por alguna de las partes?. RCO. RTO. RPO. SLA. RTA. MTD.

Los parámetros de consulta de URL se utilizan a menudo para transmitir argumentos de solicitud a un servidor; sin embargo, son visibles al menos en los registros del servidor, y a menudo también en el análisis del sitio web y posiblemente en el historial del navegador local. ¿Qué amenaza se describe en el ejemplo anterior?. Autenticación/Autorización insegura. Protecciones binarias insucientes. Comunicación insegura. Uso inadecuado de credenciales. Controles de privacidad inadecuados. Validación de entrada/salida insuciente.

Si los limitadores adecuados no existen, pueden sufrir las APIs ataques bajo múltiples formas, como consumo excesivo, bloqueos, etc. ¿A qué categoría de amenaza hace referencia el enunciado anterior?. Conguración incorrecta de seguridad. Acceso sin restricciones a ujos comerciales sensibles. Gestión inadecuada del inventario. Falsicación de solicitudes del lado del servidor. Consumo de recursos sin restricciones. Autorización de nivel de propiedad de objeto roto.

Implementar límites sobre los recursos, implementar cuotas. Monitorear y analizar el uso de los recursos. ¿Los anteriores son ejemplos de soluciones ante cuál tipo de amenaza?. Consumo de recursos sin restricciones. Autorización de nivel de propiedad de objeto roto. Conguración incorrecta de seguridad. Gestión inadecuada del inventario. Acceso sin restricciones a ujos comerciales sensibles. Falsicación de solicitudes del lado del servidor.

¿Qué tipo de vulnerabilidades permiten al atacante acceder a objetos de datos que deberían haberse restringido?. Consumo de recursos sin restricciones. Falsicación de solicitudes del lado del servidor. Autorización de nivel de objeto roto. Acceso sin restricciones a ujos comerciales sensibles. Gestión inadecuada del inventario. Conguración incorrecta de seguridad.

Un modelo de IA de reconocimiento facial está siendo utilizado para acceder a un sistema de seguridad. Un atacante decide realizar un ataque mediante la modificación sutil de las imágenes de los usuarios autorizados para que el sistema no los reconozca correctamente. ¿Qué tipo de ataque está llevando a cabo el atacante?. Robo de datos. Ataque adversarial. Envenenamiento de datos. Ataque de inyección SQL.

Un atacante logra obtener acceso a un servicio API sin necesidad de autenticación. ¿Qué vulnerabilidad se está explotando?. Acceso no autorizado a ujos sensibles. Autenticación rota. Consumo de recursos sin restricción. Autorización de función rota.