DATOS PERSONALES FIRMA

Nombre: Marcelo
DNI:1715703698
Eduardo
Apellidos: Araujo Andrade
ESTUDIO ASIGNATURA CONVOCATORIA

MÁSTER UNIVERSITARIO 14130.- CIBERDELITOS Y

Ordinaria
EN CIBERSEGURIDAD REGULACIÓN DE LA
Número periodo 3936
(PLAN 2022) CIBERSEGURIDAD

CIUDAD DEL
FECHA MODELO
EXAMEN

15-17/07/2022 Modelo - C Quito

Etiqueta identificativa

INSTRUCCIONES GENERALES
1. Lee atentamente todas las preguntas antes de empezar.
2. La duración del examen es de 1 hora.
3. Escribe únicamente con bolígrafo negro.
4. No está permitido utilizar más hojas de las que te facilita la UNIR (al final del
examen tienes un folio que puedes utilizar únicamente para hacerte
esquemas y organizarte, el cual se entregará junto con el examen).
5. El examen PRESENCIAL supone el 60% de la calificación final de la
asignatura. Es necesario aprobar el examen, para tener en cuenta la
evaluación continua, aunque esta última sí se guardará para la siguiente
convocatoria en caso de no aprobar.
6. No olvides rellenar EN TODAS LAS HOJAS los datos del cuadro que hay
en la parte superior con tus datos personales.
7. El DNI/NIE/PASAPORTE debe estar sobre la mesa y disponible para su
posible verificación.
8. Apaga el teléfono móvil.
9. Las preguntas se contestarán en CASTELLANO.
10. El profesor tendrá muy en cuenta las faltas de ortografía en la calificación
final.
11. Si en alguna de las respuestas se detecta un caso de copia de los
materiales de la asignatura, de cualquier otra fuente (por ejemplo,
internet) o de otros compañeros, se va a calificar el examen con 0 puntos

Código de exámen: 196216

 Puntuación.

 Puntuación máxima 10,00 puntos.

 10 preguntas de test de respuesta simple (0.4 puntos por pregunta correcta).
 Las preguntas no contestadas no restan.
 Los errores no restan.
 Preguntas de desarrollo: 3 puntos cada pregunta

Puntuación
Test

 Cada pregunta tendrá un valor de 0.40 puntos

Desarrollo

 Cada ejercicio tendrá una puntuación máxima de 3.00 puntos

1. Si se produce una violación de seguridad:

A. Los prestadores cualificados y no cualificados de servicios electrónicos de

confianza únicamente deberán notificarlo al Ministerio de Asuntos Económicos
y Transformación Digital.
B. Los prestadores cualificados de servicios electrónicos de confianza la
notificarán al Ministerio de Asuntos Económicos y Transformación Digital.
C. Los prestadores cualificados y no cualificados de servicios electrónicos de
confianza notificarán al Ministerio de Asuntos Económicos y Transformación
Digital sin perjuicio de su notificación a la Agencia Española de Protección de
Datos.
D. Los prestadores cualificados y no cualificados de servicios electrónicos de
confianza únicamente deberán notificarlo a la Agencia Española de Protección
de Datos.

2. En el Esquema Nacional de Seguridad la categoría de un sistema es:

A. BAJO, si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y

ninguna alcanza un nivel superior
B. BAJO, si todas sus dimensiones de seguridad alcanzan el nivel BAJO

Código de exámen: 196216

 C. BAJO, si la mayoría de sus dimensiones de seguridad alcanzan el nivel BAJO
D. BAJO, si al menos la mitad de sus dimensiones de seguridad alcanzan el nivel
BAJO

3. El principio de seguridad establecido en el RGPD implica que :

A. El responsable y el encargado del tratamiento aplicarán medidas técnicas y

organizativas apropiadas para garantizar un nivel de seguridad adecuado al
riesgo, Teniendo en cuenta el estado de la técnica, los costes de aplicación, y
la naturaleza, el alcance, el contexto y los fines del tratamiento, así como
riesgos de probabilidad y gravedad variables para los derechos y libertades de
las personas físicas
B. Supone que el responsable y el encargado del tratamiento deberán adoptar
obligatoriamente el catálogo de medidas de seguridad establecidas en el
RGPD.
C. El responsable y el encargado del tratamiento adoptarán las medidas de
seguridad que les indique el Delegado de Protección de Datos
D. Deberán adoptar las medidas de seguridad que indique la Evaluación de
Impacto que obligatoriamente todo responsable y el encargado del tratamiento
debe realizar en cualquier caso

4. El responsable del tratamiento es:

A. La persona física o jurídica, autoridad pública, servicio u otro organismo que,

solo o junto con otros almacene los datos
B. La persona física o jurídica, autoridad pública, servicio u otro organismo que,
solo o junto con otros, determine los fines y medios del tratamiento
C. La persona física o jurídica, autoridad pública, servicio u otro organismo, cuyos
datos se tratan.
D. La persona física cuyos datos se tratan

5. Indica la respuesta correcta respecto del consentimiento en el RGPD:

A. Para los datos no sensibles es válido el consentimiento tácito

B. Es exigible el consentimiento expreso sólo para datos de menores.
C. Dependerá del país de destino (transferencias internacionales)
D. Debe de ser siempre “inequívoco” y “explícito”.

6. Entre las fases en las que se puede dividir un ataque ATP, se encuentra:

A. Monetización
B. Reconocimiento.
C. Desinstalar software de comunicaciones.
D. Búsqueda de comisiones

7. Entre las vías para obtención de beneficios asociadas a las webs de distribución de
obras sujetas a propiedad intelectual, no se encuentra:

Código de exámen: 196216

 A. Venta de direcciones de correos electrónico.
B. Distribución de criticas cinematográficas.
C. Cobro por descargas priorizadas.
D. Publicidad.

8. A fin de contar con las máximas garantías de éxito en la resolución de un ciberdelito,

es aconsejable que las denuncias sigan algunas pautas, entre las que se encuentra por
ejemplo:

A. Es aconsejable que la denuncia sea confeccionada únicamente por el

responsable técnico de la empresa víctima, ya que es él que conoce lo que ha
ocurrido exactamente.
B. Es obligatorio que la denuncia se presente por escrito.
C. Es esencial que lo que se exponga en la denuncia sea comprendido por todos
los actores jurídicos y policiales que intervengan.
D. Se debe presentar cuando se tengan todos los datos, sin que el tiempo que se
tarde afecte en algo a la investigación.

9. En la redacción del Código Penal, se hace distinción entre dos tipos de fraudes
relacionados con Internet.¿Cuáles son?

A. Según la cantidad estafada se dividen en estafas graves y estafas menos

graves
B. Las estafas informáticas y las estafas tecnológicas.
C. Los que cuentan con Internet como elemento facilitador de su comisión y las
identificadas como “estafas informáticas”.
D. Según la cantidad estafada se dividen en estafas graves y estafas menos
graves.

10. Entre las siguientes características, ¿cuál define a las evidencias digitales?

A. Son permanentes en el tiempo.

B. No son fáciles de manipular.
C. La permanencia en el tiempo, es similar a la de las relacionadas con los
delitos tradicionales.
D. Son fáciles de manipular.

Código de exámen: 196216

 PLANTILLA DE RESPUESTAS
Preguntas / Opciones A B C D

1 X

2 X

3 X

4 X

5 X

6 X

7 X

8 X

9 X

10 X

Código de exámen: 196216

1. Cita y explica detalladamente las fases del ciclo del phising (Responder en 1 caras)

El ciclo del phishing se puede dividir en varias o distintas fases dependiendo de los
actos preparatorios que se diseñen y se ejecuten con la finalidad de lograr el objetivo
final. Es estas fases intervienen algunos actores con diferentes responsabilidades e
implicaciones distintas pero que son complementarias cada una de ellas para el
cometimiento del delito.

 CAPTURA DE DATOS.- en esta fase se puede decir que basicamente se centra

en la obtención de datos confidenciales. Como por ejemplo nombre de ususario,
claves o password de acceso, números de celular o telefono convencional,
dirección domiciliaria, pasaportes, numeros de cédula de identidad, números de
tarjeta de crédito, el CVV d el tarjeta de crédito, pseudónimos de redes sociales,
etc, todo aquello que le sirva al ciberdelincuente para llevar a cabo el fraude.
Para la obtención de toda esta información el delincuente posee cierta habilidad y
capacidad técnica para acceso a herramientas y software específico para realizar
la recolección de esta información a través de ingeniería social que es lo mas
común, o a través de envío de correos electrónicos, redes sociales o bien
mediante el envío de algún malware específico para ese fin.

 CAPTACIÓN DE MULAS.- Una vez con toda la información de la primera fase los
cibredelincuentes cuentan con al suficiente información para acceder a la banca
electrónica de la víctima y realizar transacciones en su nombre, pero para hacer
efectivo este tipo de transacciones necesitan de personas que residan en el
mismo país de la víctima para hacer de manera fácil y rápida las transferencias y
así puedan recibir en sus cuenats bancarias con o a verces sin el conocimiento
del origen ilícito de ese dinero. A estas personas que hacen de intermediarios se
les conoce como mulas o muleros los cuales son captados mediante envío de
correos electrónicos en los cuales les ofrecen una actividad laboral aon ganancias
altas, sin mayores esfuerzos desde la comodidad de su hogar. Otra manera de
captar a eats personas es mediante correos de supuestas campañas de ayuda a
zonas afectadas por elguna emergencia o desastre natural, solicitandoles ser
parte de lña mcadena de remisión de esta dinero ilícito.

 TRANSFERENCIA, MONETIZACIÓN Y ENVÍO DE LO DEFRAUDADO.- Una vez

que tiene o disponen los ciberdelincuentes de als claves de acceso de las
víctimas estos suplantan su identidad y realizan transferencias online a las
cuentas facilitadas por las mulas o muleros, este tipo de acciones por lo general lo
realizan en días y horas no laborales, con el fin de retrasar el accionar de la
víctima y que esto no sea detectado. Una vez realizado estas transferecnias
online el ciberdelincuente se pone en contacto con las mulas para que le envíe el
dinero a traves de empresas internacionales de envío de dinero sin antes que la
mula se quede con un porcentaje de ese dinero que por lo general es entre un 5%
y un 10%. Y asi se hace efectivo el fraude.

Código de exámen: 196216

2. Esquema Nacional de Seguridad (ENS): Indica las similitudes y diferencias entre la
ISO 27001 y el ENS  (Responder en 20 líneas)

El ENS está inspirado y basado en la norma ISO 27001 por lo que su estructura
responde al modelo de Deming de mejora contínua, considerando el análisis de riesgos
para la implementación de controles.
Tiene una estrecha relación debido a que ambas son complementarias y forman un
conjunto idóneo para la ciberseguridad.
Permiten disponer de un Sistema de Gestion de Seguridad de la Información aplicables
a cualquier tipo de empresas o instituciones, a foin de garantizar la seguridad de la
información.
El ENS incluye una serie de controles para garantizar la continuidad del servicio o
negocio frente a la ISO 27001 que es un marco que no trata este asunto.
Una de las principales diferencias es que el ENS es una normativa local y obligatoria
para las administraciones públicas de España, en el caso de la ISO 27001 no es
obligatoria su implementación ni la certificación.
Otra diferencia es que mientras en la ISO 27001 se valoran los riesgos en base a tres
dimensiones Confidencialidad, Integridad, Disponibilidad; en el ENS se añade dos
diemsiones mas autenticidad y trazabilidad.

Código de exámen: 196216