test01

Un sistema de API permite que un cliente acceda a más recursos de los necesarios sin autenticación. ¿Qué vulnerabilidad se está explotando?. Autenticación rota. Acceso no autorizado a ujos sensibles. Autorización de objeto rota. Consumo de recursos sin restricción.

Durante el proceso de desarrollo de un modelo de IA para diagnóstico médico, los desarrolladores implementan un mecanismo que permite identificar y eliminar datos maliciosos antes de que sean utilizados para entrenar el modelo. ¿Qué medida están tomando los desarrolladores?. Vericación y limpieza de datos. Monitoreo de comportamiento. Pruebas de caja negra. Defensa adversarial.

¿Cuál de los siguientes es un ejemplo de una mala práctica en gestión de claves criptográficas?. Realizar rotaciones frecuentes de claves. Almacenar la clave criptográca junto con los datos en un mismo archivo. Destruir las claves de forma segura. Utilizar claves largas y seguras.

Al cifrar datos sumamente sensibles como, por ejemplo, una llave criptográfica usando un cifrado asimétrico, se utiliza un cifrado asimétrico. Usando este tipo de cifrado, una llave se utiliza libremente y otra se mantiene en secreto. En ese sentido, ¿cuál es la llave que se mantiene en secreto?. Llave de cifrado. Llave singular. Llave única. Llave privada. Llave de sellado. Llave pública.

¿Qué método utiliza un ataque de fuerza bruta?. Ensayo repetitivo de combinaciones. Modicación del código fuente. Manipulación de cookies. Acceso al ID de sesión.

¿Qué técnica derivada de un ataque de fuerza bruta utiliza listas predefinidas para obtener contraseñas?. Ataque de secuencias. Cross Site Scripting. Ataque de diccionario. Ataque de búsqueda.

¿Qué beneficios ofrece la autenticación multifactor (MFA) para las APIs?. Mayor nivel de seguridad al requerir múltiples métodos de autenticación. Elimina la necesidad de usar HTTPS. Agiliza la respuesta de la API. Permite el acceso sin contraseñas.

¿Qué tipo de interfaz podría incluirse en los sistemas de IA para permitir a los usuarios gestionar su consentimiento y eliminación de datos?. Interfaz para reportar vulnerabilidades. Interfaz para revisión de seguridad. Interfaz para analizar el uso de datos. Interfaz para solicitudes de eliminación de datos.

¿Qué práctica relativa OWASP para asegurar que cada paso en el proceso de uso de técnicas pueda ser revisado y comprendido?. Trazabilidad. Auditorías de código. Supervisión constante. Cifrado de datos.

En una arquitectura de potencialmente N capas, los servidores están configurados con estrictos controles de seguridad para solamente aceptar solicitudes que vengan de la capa previa de tal manera que, por ejemplo, la capa de la base de datos solamente acepte solicitudes de la capa del backend y no de manera directa ni de la capa del frontend. Al tener este tipo de configuración, se deduce que las capas más profundas no validen de forma meticulosa las solicitudes que llegan a ellas. Con base en lo anterior, ¿cuál es la principal amenaza que se percibe en la aplicación, suponiendo que el servidor del frontend presente algún fallo que lo vuelva inseguro?. Control de acceso roto. Conguración incorrecta de seguridad. Componentes vulnerables y obsoletos. Falsicación de solicitudes del lado del servidor. Diseño inseguro. Errores criptográcos.

Una organización que opera en la nube detecta un incremento de acceso malicioso hacia la consola de gestión. ¿Qué medida se debería implementar para prevenir ese riesgo crítico?. Automatizar los scripts de aprovisionamiento. Utilizar claves SSH incrustadas para asegurar la consola. Realizar pruebas de aplicaciones estáticas (SAST). Controlar estrictamente el acceso con privilegios a la consola de gestión.

Considerando que un desarrollador escribe código y este está almacenado, se actualiza y sube para subir, así también sin que previamente hayan sido validados los cambios del binario y reposa por alguna otra área, en esa situación se pueden almacenar cambios dañinos que se detonan en algún momento puntual. ¿De qué tipo de amenaza estamos hablando?. Spyware. Análisis de código estático. Inversión de código. Buffer overow. Bombas lógicas. Robo de sesión.

¿Cuál de los siguientes es un manual completo que cubre los procesos, técnicas y herramientas utilizadas durante el análisis de seguridad de aplicaciones móviles, así como un conjunto exhaustivo de casos de prueba para verificar los requisitos enumerados en el Estándar de verificación de seguridad de aplicaciones móviles de OWASP (MASVS)?. OWASP Top 10. OWASP Mobile Top 10. PCI DSS. MITRE SHIELD. MASTG. MASVS.

Un atacante se aprovecha de un cifrado débil utilizado para proteger datos en la aplicación móvil. ¿A qué vulnerabilidad corresponde?. Validación insuciente. Criptografía insuciente. Autenticación insegura. Conguración incorrecta de seguridad.

¿Qué método de seguridad web se centra en la autenticación y gestión de acceso?. Métodos de seguridad de las aplicaciones web. Soluciones para dispositivos móviles. Validación de cookies directamente. Cortafuegos de red general.

¿Cuál es la relevancia de incorporar pruebas de seguridad en todas las etapas del SDLC?. Para reducir costos en fases avanzadas. Para eliminar todos los riesgos. Para facilitar la implementación. Para evitar la formación de equipos de seguridad.

¿Qué práctica recomienda OWASP para garantizar que los modelos respeten la privacidad de los usuarios durante el desarrollo de IA?. Ofrecer opciones de consentimiento pasivas. Implementar pruebas de privacidad. Utilizar solo datos sintéticos sin analizar su origen. Revisar únicamente la seguridad de los datos.

Un equipo detecta una vulnerabilidad en un contenedor. ¿Qué se debería hacer primero para abordar el problema de forma segura?. Ignorar la vulnerabilidad hasta que afecte a la producción. Reemplazar el contenedor sin investigar. Cambiar todas las conguraciones sin vericar la imagen. Asegurar que la imagen base provenga de una fuente conable.

Durante la integración continua, un equipo omite la automatización de la verificación de seguridad. ¿Cuál es el impacto?. El sistema operativo se actualizará automáticamente. Aumento de los riesgos de seguridad por errores humanos. Los contenedores se desarrollan más rápido. El proceso de integración se acelera.

¿Qué es un modelo de seguridad informática?. Un modelo de desarrollo de aplicaciones. Un esquema para especicar políticas de seguridad. Un tipo de software antivirus. Un plan de concientización.

¿Cuál de los propósitos de la validación de la integridad de la plataforma es técnicamente relevante?. Asegurar que los datos de los usuarios sean almacenados correctamente. Garantizar que la plataforma no ha sido manipulada para deshabilitar funciones de seguridad. Permitir actualizaciones automáticas del sistema operativo. Mejorar la interfaz de usuario de la aplicación.

Un atacante explota un acceso no autorizado a las comunicaciones entre la aplicación y el servidor para robar datos. ¿Qué vulnerabilidad está siendo explotada?. Comunicación insegura. Protección binaria insuciente. Autenticación insegura. Conguración incorrecta de seguridad.

¿Cómo se previene una falla de integridad de datos?. Usando datos sin cifrar. No usar herramientas de análisis. Almacenando dependencias en repositorios conables. Permitiendo cambios no revisados.

Un equipo ha implementado un servicio en la nube sin configuración de seguridad de red. ¿Qué problema puede surgir?. El servicio no será capaz de escalar adecuadamente. El servicio será más rápido en ejecución. No se necesitará ninguna actualización de seguridad. Acceso no autorizado y posibles ltraciones de datos.

¿Cuál de los siguientes principios y prácticas de codificación segura define la apariencia del código para que un revisor y mantenedor de código que no haya escrito ese código pueda entenderlo fácilmente?. Hacer que el código sea rastreable hacia adelante y hacia atrás. Revisar el código durante y después de la codicación. Mantener el código simple y pequeño. Usar un estilo de codicación coherente.