EXAMEN CIBERILICITOS MASTER SEGURIDAD INFORMATICA MODELO A Instrucciones:1. Dispone de 1h 30m para realizar el examen; 2. EI Gnico material permitido es el programa de la asignatura; 3. El examen consta de 25 preguntas tipo test. Hay cuatro posibles respuestas para cada pregunta y solo una de las mismas es correcta; 4. Los aciertos puntiian 0,4; los errores descuentan 0,1; las preguntas no contestadas ni suman ni restan puntuacién; 5. Al final del examen hay dos preguntas de reserva que solo tendrén validez si el equipo docente anula alguna de las 25 anteriores Parte ciberdelitos 1 El Convenio sobre la Ciberdelincuencia (Convention on Cybercrime), firmado en Budapest en 2001: 4) Es un tratado internacional elaborado en el seno dela ONU b) Es un tratado internacional patrocinado por el Consejo de Europa, pero al que se pueden adherir Estados no miembros del Consejo de Europa como de hecho ha sucedido. ) Es un tratado internacional que solo vincula a los paises de la Unién Europea, d)Es un tratado internacional que ya no esté vigente. 2.- Una conducta que dafte el hardware del sistema informatico, pero no afecte al software ni a la informacién contenida en el sistema: a) es un delito de daiios informaticos. b) es un delito de dafios, pero no un delito de dafios informaticos. ¢) no es un delito de dafios informaticos, pero si es un cibercrimen. d) es un delito de hacking. 3. Si un sujeto se introduce en un sistema informatico ajeno sin consentimiento de su titular ¥ con la Unica finalidad de demostrarle que puede vulnerar sus medidas de seguridad, con el objetivo final de ser contratado por el titular del sistema como experto en seguridad: 2) no comete ningun delito. b) comete un delito de intrusismo informatico, ¢) comete un delito de dafios informaticos. 4) comete un ilcito civil, pero no penal. 4 Quien fabrica un malware que permite la intrusion en un sistema informatico ajeno vulnerando las medidas de seguridad, ylo hace con la intencién de vendérselo a algun grupo criminal dedicado a la cibercriminalidad: a) No ha cometido todavia ninguin delito porque los actos preparatorios no se castigan b) solo responderé penalmente si su malware efectivamente es utilizado para cometer un delito. c) Responde penalmente por la realizacién de un acto preparatorio expresamente tipificado como delito. d) Respondera como cooperador necesario en un. intrusisme informatico, aunque su malware no Negue a utilizarse. 5. En relacién al delito de sexting tipificado en el articulo 197.7 del Cédigo Penal, indique cual de las siguientes expresiones es incorrecta: a) Se trata de un delito de resultado y, por tanto, de mera actividad, b)—_Laproteccién alcanza la reserva o ausencia de publicidad sobre la esfera de intimidad de la persona, Io que se determina necesariamente conforme a pardmetros subjetivos. <) El tipo penal no solo incluye imagenes 0 grabaciones intimas de cardcter sexual; sino también aquellas que puedan menoscabar la dignidad de la persona. d) Lo que caracteriza a esta conducta es que las imagenes 0 grabaciones se obtienen con la anuencia de la persona afectada, sobre la base, generalmente, de una relacién de confianza, disponiéndose después de ellas, en perjuicio de la victima, 6. ePuede cometerse, a través de internet, un delito contra la propiedad intelectual? a) No, ya que se trata de un delito clésico con modalidades delictivas ajenas a los sistemas informaticos e internet. b) No, ya que en ese caso se castigaria como hacking o malware, segtin los casos, ya que el delito contra la propiedad intelectual estd catalogado como un delito en sentido estricto. c) Si, en virtud de la técnica de snooping, siempre que exista una finalidad comercial.d) Si, ya que, aunque no se trata de un ciberdelito en sentido estricto, constituye un ciberdelito en sentido amplio. 7.- éCual de las siguientes conductas no se integran en el tipo penal del autoadoctrinamiento o autoadiestramiento terrorista? a) —Recibir adoctrinamiento militar o de combate, b) ——-Recibir adoctrinamiento en técnicas de desarrollo de armas quimicas o biol6gicas. ¢) _Recibir adiestramiento sobre elaboracién o preparacién de sustancias estupefacientes 0 psicotrépicas que causen un grave dafio a la salud. 4) Recibir adiestramiento de elaboracién de aparatos explosivos o inflamables o asfixiantes. Caso practico Parte ciberdelitos. Kalixto, Medea, Eneas y Honorato, residentes en Ucrania, habjan usurpado las claves bancarias de una docena de personas de nacionalidad espafiola mediante un keylogger instalado en sus ordenadores, situados en Espafia, sin su conocimiento, mediante un troyano, de los denominados "trojan proxy", oculto en paginas de Internet en las que se ofrecian juegos gratis, que proporcionaba ademés el control del ordenador facilitando el acceso anénimo a Internet desde los equipos de las victimas. Asi, sirviéndose los delincuentes de los ordenadores previamente infectados, efectuaron trasferencias de las cuentas que las victimas tenian en entidades bancarias espafiolas, sin que prestaran su consentimiento y consiguiente autorizacién, a la cuenta de Cecilio, que no formaba parte de la organizacién. Cecilio, técnico informatico de profesién, habia aceptado previamente una oferta de trabajo que recibié por e-mail de una empresa que se identificaba como PRS, que, a cambio de una cantidad de dinero, le oferté un trabajo consistente en recibir las trasferencias de los supuestos clientes (las victimas), debiendo enviar el dinero a Takijistan, quedindose con un cinco por iento (5%) de comisién de cada trasferencia. La aludida empresa en realidad era ficticia y habia sido creada por Kalixto, Medea, Eneas y Honorato para conseguir mover el dinero sin dejar su rastro. Cecilio sospeché que aquello encerraba alguna actividad ilegal, pero pens6 que si no preguntaba no se meteria en lios. 8.- La conducta de introducirse en los sistemas informaticos de las victimas sin su consentimiento y mediante un troyano es: a) un delito de intrusismo informatico solo si se hace con fines delictivos como en el supuesto. b) un delito de intrusismo informatico en todo caso. ©) un ilicito civil pero no penal. d) una conducta a la que nuestro ordenamiento todavia no ha hecho frente, pues no hay normativa que la regule. 9.- La conducta de Cecilio: a) es impune, ya que no formaba parte de la organizacién, b) suele ser castigada por los tribunales como blanqueo de capitales, al menos con dolo eventual © con imprudencia. ¢) se denomina mulero y es siempre impune. d) se denomina Phishing y es un cibercrimen en sentido estricto, 10. éCusles de los delitos recogidos en el relato de hechos probados es competencia de los tribunales espafioles? a) todos. b) solo los que pudiera haber cometido Cecilio, en caso de cometer alguno. ¢) ninguno. 4) solo los cometidos por Kalixto, Medea, Eneas y Honorato. 11. Si la policia quisiera hacer un analisis de los ordenadores de las victimas para descubrir el método utiizado y de esta manera poder llegar a los delincuentes, {Qué necesitaria? a) el consentimiento de los propietarios del sistema informatico 0 una orden judicial b) bastaria una orden del Jefe de policfa ya que al tratarse de la investigacién de un delito no es preciso consentimiento alguno. c) bastarfa una orden del Fiscal que dirija la operacién d) cualquier policia que trabaje en la operacién de investigacién del delito puede autorizar el registro Y analisis de los ordenadores. 12.- Dadas las circunstancias del caso expuesto, équé habria de entenderse por keylogger? a) una especie de malware.b) una modalidad de spyware. ) una categoria de rasonware. ) una variante de dialers. Parte ciberilicitos civiles o administrativos 13.- Los principios que ordenan el sistema de fuentes son: 2) competencia, jerarquia y tiempo (derogacién) b) competencia, validez y vigencia ¢) jerarquia y justicia 4d) jerarquia, justia y validez 14.- Sefiala la proposicién correcta: a) La fuerza activa de ley indica que puede derogar cualquier otra norma de cualquier rango b) La fuerza pasiva de la ley indica que ni siquiera la Constitucién puede derogar el contenido de la ley ¢) La ley solo puede ser aplicada por el Tribunal Constitucional d) La ley solo puede ser declarada invalida por el Tribunal Constitucional. 15. En materia de proteccién de datos, la Constituci6n: 2) No dice nada b) Reconoce expresamente un derecho fundamental ala proteccién de datos personales ) Establece un mandato al legislador para que éste regule y limite el uso de la informatica, y de ahi se ha deducido el derecho fundamental a la proteccién de datos personales d) Atribuye a las Comunidades Auténomas la competencia exclusiva en materia de proteccién de datos. 16. Cuando un tercerointercepta una comunicacién que se est produciendo entre dos personas, juridicamente se considera que hay una vulneracién del secreto de las comunicaciones a) Siempre. b) Sélo si esa interceptacién se esté produciendo conscientemente, aunque sea por casualidad. ¢) Cuando el tercero ha adoptado alguna medida activa para conseguir que se produzca la interceptacién. 4d) Sélo cuando el tema de la conversacién interceptada sea algo privado o confidencial. 17. El derecho de acceso universal a internet, recogido en la nueva Ley de Proteccién de Datos y derechos digitales, significa que, a partir de una fecha: a) interet sera gratis para todos los ciudadanos b) el precio de internet serd regulado, para que todas las personas puedan pagarlo. Clas personas con menos recursos, dispondran de subvenciones para poder acceder a internet. 4) Ninguna de las anteriores es cierta 18. El derecho protege los datos personales: a) Porque siempre son informacion delicada sobre las personas, b) Sélo cuando se trata de informacién’ especialmente delicada, ©) Porque la persona tiene derecho a controlar sus datos. d) Porque son informacién de caracter identificante, 19. Si se produce un tratamiento de datos que destine éstos a una finalidad claramente diferente ala que se pacté con los sujetos interesados: a) Eso es un delito castigable con pena de prisién. b) Eso es una irregularidad que debe solucionarse lo antes posible y por la que hay que pedir disculpas. c) Es una infraccién que puede acarrear una multa de hasta veinte millones de euros, segin el caso. 4) Es una infraccién administrativa leve, que sélo se castigaria en caso de reincidencia. 20. Qué personas tienen, segin la Ley, datos personales? a) Las personas fallecidas. b) Las personas fisicas y las juridicas. ) Las personas fisicas. 4) ay b son correctas. Caso préctico ciberilicitos civiles o administrativos 21. La empresa GutSleep esté haciendo una encuesta para conocer qué margen de mercado pueden tener su nueva linea de almohadas. No le interesa saber en concreto a qué personas les puede interesar esa linea de produccién. Sélo quiere tener datos estadisticos, asi que la encuesta sera anénima, En este casta) La ley no considera que GutSleep esté temando datos personales, por lo que no hay que pedirles autorizacién a las personas encuestadas, b) La ley considera que la informacién recogida no es informacién de caracter personal, siempre y cuando exista alguna forma de volver a asociarlos ‘a.una persona ¢) la Ley considera que son datos personales hasta el momento en el que el titular de los datos, por disociarse la informacién identificante de la no identificante, deje definitivamente de ser identificable. d) La ley considera que son datos personales en todo caso. 22. Sail y David han montado una empresa de Fabricacién Avanzada con sede en Madrid. Han adquirido equipamiento que les permite disefiar, procesar, fabricar y post-procesar en AM, y empleando una amplia gama de materiales (resinas, poliamidas, metales, cerémicas) La empresa aerondutica EiBush les ha encargado elaborar una serie de piezas en 3D para el satélite comercial que estan disefiando. EI satélite es un cencargo de la Agencia Espacial Europea (ESA). 2A titulo privado y sin dnimo de lucro, podrian fabricar para si mismos una copia de una de esas piezas del futuro satélite EirBush? a) No. b) Si, porque lo hacen a titulo privado y sin animo de lucro. ©) Si, siempre que lo hagan sin dnimo de lucro d)_Si,en todo caso. 23. Después de un dia muy estresante Lucas, médico interno residente de un hospital, ha ido a tomar unas copas con unos amigos. En un bar del centro, en el que estaban _charlando relajadamente, ha compartido con ellos que esta mafiana, por desgracia, han llegado unas pruebas del servicio de Anatomia Patolégica en las que se confirma que un paciente tiene un cancer muy grave. Por casualidad, un familiar de ese paciente ha reconocido al médico y ha sabido de la situacién. Qué podemos decir que se ha producido aqui? a) Una revelacién de informacién médica. b) Una averiguacién indiscreta de informacién médica. ©) Una revelacién imprudente de informacién médica d) Una averiguacién imprudente de informacién médica 24, Genaro, empresario, estaba observando a sus trabajadores a través de las camaras de Videovigilancia de la empresa. En un momento dado, ha visto a Oscar consultar su teléfono mévil particulary contestar_ unos Whatsapp. Inmediatamente después, ha salido de la cabina de control y se ha dirigido a Oscar exigiendo acceder a dichos Whatsapp, toda vez que se han intercambiado durante el tiempo de trabajo. a) Segtin la Ley, Oscar no tiene por qué ensefiar su mévil a nadie. b) Segiin la Ley, Genaro tiene razén. c) Seguin la Ley, Genaro debe pedirle a Oscar por escrito que le ensefie el movil y justificarlo adecuadamente. Si no, Oscar no tiene por qué enseftérselo. d) Ninguna de las anteriores es correcta 25, Estés de vacaciones disfrutando de un merecido descanso y recibes dos emails de tu jefe en los que se te indica que con URGENCIA debes ponerte en contacto, Leidos en detalle, ves que en realidad no parece un asunto urgente, porque simplemente desea que te vayas poniendo al dia antes de reincorporarte. {Qué dice el Derecho? a) Que lo mas sensato es que le contestes, porque al ser algo urgente tienes riesgo de que te despidan. b) Que puedes ejercer tu derecho de oposicién. ¢) Que tienes derecho a desconectar. d) Que la URGENCIA est por encima del derecho de los empleados a disfrutar de su period vacacional Preguntas de reserva 26.- La técnica que consiste en un ataque puramente tecnolégico cometido a través de la red, y que persigue la captura de claves de acceso Y firma del usuario en la entidad atacada, mediante el redireccionamiento de nombres de dominio a la pagina web del atacante se denomina: a) harming b) —_Estafa nigeriana, c) Scam,d)— Phising. 27. Un tratado internacional sobre proteccién de datos puede derogar la legislacién interna espafiola en la materia: a} Solo si su firma fue autorizada por las Cortes Generales b) Si, en todo caso ¢) Solo sise firma en el émbito de la Unién Europea ) Solo si respeta el derecho fundamental a la proteccién de datos