1.

Tres (3) factores de autenticación multifactor son:

• Algo que se ve
• Algo que tiene
• Algo que conoce

2. El cifrado de disco duro protege los datos en reposo

3. Un analista de seguridad puede acceder a los datos de los empleados de un servidor de la

empresa si tiene autorización.

4. Para filtrar los sitios web que están disponibles para los empleados en la red de una
empresa, es recomendable usar un servidor proxy

5. El sistema SIEM de su organización le avisa de que los usuarios se están conectando a

una URL inusual. Para determina si la URL es malintencionada y que tipo de amenaza
representa se debe enviar la URL a un portal de inteligencia sobre amenazas para su
análisis

6. Un sistema de su red está experimentando tiempo de respuesta muy lentos de lo

normal. Con el fin de reunir información sobre el estado del sistema, ejecuta el comando
netstat -i para mostrar los puertos TCP que tienen el estado en escucha. El estado indica
que los puertos están abiertos en el sistema y a espera de conexión

7. Trabaja como técnico de seguridad. Debe realizar un análisis completo de un equipo

de Windows 10 en el registro del sistema Windows

8. Un analista de seguridad descubre que un hacker obtuvo acceso al servidor Linux de una
empresa. El hacker accedió al servidor como invitado, uso un programa para eludir la
contraseña raíz y detuvo procesos de servidor esenciales como usuario raíz. El hacker
realizo un ataque tipo escala de privilegios

9. Un analista de ciberseguridad está investigando un archivo ejecutable desconocido,

encontrado en un equipo de escritorio Linux. El analista escribe el comando ls -l en la
terminal, con la finalidad de mostrar los permisos de archivo y la propiedad del archivo
ejecutable

10. Los empleados del departamento de contabilidad de una empresa reciben un correo
electrónico sobre las últimas normativas de contabilidad regional. El correo electrónico
contiene un hipervínculo para registrar transacciones financieras. El seminario web está
organizado por un organismo de la Administración Pública. Como director de seguridad
observa que el hipervínculo apunta a una entidad desconocida. A este tipo de ataques
se les conoce como Phishing de objetivo definido

11. Varios empleados se quejan de que el sitio de la intranet de la empresa ya no acepta su

información de inicio de sesión. Intenta conectarse mediante una URL y observa que hay
algunas palabras incorrectamente escritas en el sitio. Cuando se conecta mediante la
dirección IP el sitio funciona normalmente. Así que se debe desconectar inmediatamente
el portal web de la empresa
12. Varios miembros del personal están experimentando bloqueos inexplicables en sus
equipos y la aparición de muchos mensajes emergentes no deseados. Se debe analizar
las estaciones de trabajo afectadas y quitar el malware e implementar una directiva
para instalar y actualizar automáticamente software antivirus y antimalware

13. La Administración de activos, permite al equipo de seguridad de red realizar un

seguimiento de las versiones del sistema operativo, las actualizaciones y las revisiones en
los dispositivos finales

14. Su red doméstica parece ir muy lenta. Examina el GUI del enrutador doméstico y
observa que hay un HOST desconocido conectado a la red. Para evitar que este host
específico se conecte de nuevo a la red, debo implementar el filtrado de direcciones MAC

15. Trabaja en un centro de salud de la comunidad que usa un sistema de historiales

clínicos (EHR). Necesita implementar las medidas de seguridad física y técnica exigidas
por la HIPPA. Los dos enfoques que deben usar son las pruebas de penetración y la
auditoria informática para que el sistema EHR cumpla esas medidas de seguridad

16. Está revisando los procedimientos de acceso remoto de la empresa y observa que se
esta usando telnet para conectarse al servidor de base de datos corporativo y comprobar
los niveles de inventario. Las dos acciones que se deben realizar inmediatamente son
implementar el acceso SSH en el servidor y Deshabilitar el acceso telnet en el servidor

17. Las dos métricas básicas que se deben considerar al asignar una gravedad a una
vulnerabilidad duran una evaluación son:
• El impacto que la explotación de la vulnerabilidad tendrá en la organización
• La probabilidad de que un atacante pueda aprovechar la vulnerabilidad

18. Dos direcciones Ipv4 privadas se bloquearon en Internet para impedir problemas de
seguridad y rendimiento:
• 172.18.100.78
• 192.168.18.189

19. Los algoritmos de hash proporcionan integridad de los datos a la comunicación de

datos

20. Para realizar operaciones bancarias en línea, escribe una contraseña segura,
después indica el código de cinco dígitos enviados en su smartphone. Es un tipo de
autenticación multifactor

21. Un hipervisor crea y ejecuta máquinas virtuales

22. Un analista de seguridad no puede compartir datos confidenciales con usuarios no

autorizados.
23. Trabaja en un centro de salud de la comunidad que usa un sistema de historiales
clínicos (EHR). Necesita implementar las medidas de seguridad física y técnica exigidas
por la HIPPA. Los dos enfoques que deben usar son las pruebas de penetración y la
auditoria informática para que el sistema EHR cumpla esas medidas de seguridad

24. La tecnología de cifrado inalámbrico WPA2 requiere AES para proteger las redes
inalámbricas domésticas

25. Enviar un correo electrónico con vínculo a la página de inicio de sesión de un

portal web ficticio, es un ejemplo de un ataque cuyo objetivo es obtener las
credenciales del usuario

26. Necesita permitir que los empleados accedan a la red segura de la empresa desde
sus casas. Deben implementar VPN para acceder a una red segura

27. Una erupción volcánica e inundaciones podría hacer que una empresa implemente
una plan de recuperación de desastres

28. Está supervisando el servidor Syslog y observa que el servidor DNS está enviado
mensajes con la gravedad Advertencia. Esto indica que existe una condición que
causará errores en el futuro si no se soluciona el problema

29. Tiene una ACL configurada para el tráfico entrante de Internet. Para evitar la
suplantación de identidad en la red interna, debe agregar una entrada para bloquear el
tráfico de los espacios de direcciones privadas

30. Dos inconvenientes de las bases de datos de vulnerabilidades públicas son:

• Documentar y enviar las nuevas vulnerabilidades detectadas es un proceso
laborioso para los analistas de inteligencia
• Los agentes de amenazas puedes acceder a las bases de datos para determinar
cómo modificar sus amenazas con el fin de impedir que se detecten

31. Trabaja como analista de seguridad. Está revisando el resultado del SIEM. Observa que
hay una alerta relativa a archivos malintencionados detectados por el IDS. Tras revisar
la información del usuario, el dispositivo y el estado, determina que es un incidente valido.
A continuación se debe escalar el incidente inmediatamente

32. Los clientes de una tienda en linea se quejan de que no puede visitar el sitio web.
Como técnico informático reinicia el sitio web. Al cabo de 30 minutos el sitio web vuelve a
bloquearse. Sospecha que el sitio web está sufriendo un ciberataque de denegación
de servicio

33. Después de que un administrador instala una actualización del sistema operativo
en un portátil, el usuario del portátil ya no puede imprimir en la impresora inalámbrica. El
problema se resuelve instalando un nuevo controlador del dispositivo para la
impresora inalámbrica
34. Trabaja con el equipo de administración senior para identificar los riesgos que
pueden considerarse aceptables. Esta fase de administración de riesgos se conoce
como determinación de un perfil de riesgo

35. La alerta de seguridad verdadero positivo, representa la mayor amenaza para una
organización porque indica un ataque no detectado

36. Realizar una análisis de puertos Nmap en la LAN para determinar los tipo de
dispositivos conectados y los puertos abierto, es un ejemplo de reconocimiento activo
realizado durante una prueba de penetración

37. Una empresa contrata a un grupo de ciberdelincuentes para crear una presencia
prolongada e intensa en la red de un competidor. Esta presencia permitirá a la empresa
robar o sabotear datos confidenciales de su competidor, a este tipo de ataque se le
conoce como APT (Amenaza Avanzada Persistente)

38. Necesita transferir archivos de configuración a un enrutador a través de una red no

segura, usando el protocolo SSH (Security Shell) para cifrar los archivos en tránsito

39. Al realizar un análisis de riesgos en su empresa identifica riesgos que están relacionados
con el servidor web instalados en la oficina. Los riesgos incluyen errores de hardware y
software, así como interrupciones del servicio causadas por ciberataques. Recomienda
contratar y firmar un contrato de mantenimiento para ayudar a mitigar los riesgos. A
esta estrategia de mitigación de riesgo se le llama, transferencia de riesgo

40. Un analista de seguridad no puede usar las credenciales de red de un empleado

descontento para supervisar su comportamiento

41. Su jefe le pide que revise el resultado de algunos análisis de vulnerabilidades y que
registre todo aquello que deba escalarse. Los hallazgos que se deben revisar para su
posterior investigación como posible vulnerabilidad de seguridad son:
• Puertos abiertos
• Firewalls deshabilitados
42. El objetivo principal de ejecutar un análisis de vulnerabilidades en la red, es
determinar si los sistemas están sujetos a CVE (Common Vulnerabilities and Exposures)
que puedan ser aprovechadas por atacantes

43. Va a realizar una prueba de penetración en la LAN de una empresa. Como parte de
los preparativos, accede a los sitios web de la empresa, consulta el código fuente de las
paginas web y realiza búsquedas en internet para obtener información del dominio.
También usa las redes sociales para obtener detalles sobre la empresa y sus
empleados. Este tipo de actividad de reconocimiento se llama pasiva

44. Las dos métricas básicas que se deben considerar al asignar una gravedad a una
vulnerabilidad duran una evaluación son:
• El impacto que la explotación de la vulnerabilidad tendrá en la organización
• La probabilidad de que un atacante pueda aprovechar la vulnerabilidad
45. El SOAR (orquestación, automatización y respuesta de seguridad) es una solución de
software que realiza las tareas siguientes:
• Obtiene datos de la red
• Registra información de muchos orígenes
• Proporciona orquestación en forma de administración de casos
• Automatiza los flujos de trabajo de respuesta a incidentes

46. Es un motivo de ciberdelito, si una persona quiere proteger sus datos personales

47. La tecnología de cifrado inalámbrico WPA2 requiere AES para proteger las redes
inalámbricas domésticas

48. Si una persona esta descontento en el trabajo, puede ser una motivación para
cometer un ciberdelito

49. No es motivo para cometer un ciberdelito, si una persona quiere ampliar sus
contactos en las redes sociales

50. La finalidad de un plan de recuperación de desastres es restaurar el acceso a los

datos y la infraestructura de TI lo antes posible, que es contrario a el plan de continuidad
de negocio

51. Un contratista está creado una nueva casa para un cliente. El cliente decide instalar
varios dispositivos IoT. El cliente para asegurarse de que la casa inteligente sea menos
vulnerable a los ataques, debe actualizar el firmware en los dispositivos IoT
periódicamente

52. Un restaurante instala un segundo enrutador inalámbrico que solo usan los
empleados. Se debe configurar el SSID con la difusión deshabilitada

53. PowerShell es una interfaz de línea de comandos que incluye un lenguaje

descripting avanzado usado para automatizar las tareas de Windows

54. Están revisando el plan de recuperación ante desastres de la empresa, las dos
acciones diarias de copia de seguridad de los datos que deben incluir en el plan son:
• Realizar una copia de seguridad de los datos mediante RAID (matriz redundante
de discos independientes) en un disco duro externo local con una fuente de
alimentación secundaria
• Realizar una copia de seguridad de los datos mediante servicios en la nube

55. Su supervisor sospecha que alguien está intentando obtener acceso a un equipo
Windows adivinando los identificadores de cuenta de usuario y las contraseñas. Le
pide que use los registros de seguridad del Visor de eventos de Windows para
comprobar los intentos. Para determinar si alguien uso credenciales no válidas para intentar
iniciar sesión en el equipo, los dos eventos de directiva de auditoria que proporcionan esa
información son:
• Error de inicio de sesión en la cuenta
• Bloqueo de cuenta correcto
56. La comprobación de información, es la evaluación de seguridad de sistemas
informáticos que comprueba que los datos de identificación personal están disponibles,
son precisos y confidenciales y solo están accesibles para los usuarios autorizados

57. Está pensando trabajar desde casa. Su empresa le exige que se conecte a la red de la
compañía a travez de una VPN para integridad de los datos, autenticación de usuarios y
confidencialidad de la información

58. Su compañía va a crear una directiva BYOD (Bring Your Own Device) que permitirá que
los empleados usen sus Smartphones personales a la red de la empresa. Los tres
requisitos de la directiva BYOD pidió fueron:
• Instalación de aplicaciones seguras unicamente
• Configuración de una contraseña segura
• Cifrar los datos corporativos confidenciales almancenados

59. El IDS es la tecnología de seguridad de red que supervisa de forma pasiva el tráfico
de red y compara el flujo de paquetes capturados con firmas malintencionadas
conocidas

60. Necesita transferir archivos de configuración a un enrutador a través de una red no

segura, usando el protocolo SSH (Security Shell) para cifrar los archivos en tránsito

61. Es necesario actualizar el firmware a la ultima versión, para aplicar revisiones del
firmware en el kernel del sistemas

62. Dos contraseñas seguras que siguen la directiva de contraseñas seguras son:
• Wh@tareyouDo1ngtoday4
• 1mPressm3!

63. El FileVault de seguridad de macOS cifra todo el volumen de macOS

64. Su supervisor le pide que participe en una evaluación CVSS (Common Vulnerability
Scoring System), donde tendrá que evaluar la seguridad del sistema final y puntuar las
vulnerabilidades del software

65. Va a recopilar datos tras una intrusión sospechosa en la LAN local. Necesita capturar
los paquetes de IP entrantes, un archivo para que los analice un investigador. Las dos
herramientas a usar son TcpDump y Wireshark

66. El cifrado AES, se usa normalmente para proteger las redes wifi

67. La longitud mínima que debe exigir de acuerdo con las instrucciones de NIST (National
Institute of Standards and Technology), son 8 caracteres

68. Lanzan los agentes de amenazas, ataques de software en las organizaciones,

implantando Malware para recopilar datos del sistema financiero de la corporación
69. Trabaja para un hospital que almacena información médica protegida electrónica (ePHI)
en un portal en línea. Los empleados pueden usar sus dispositivos móviles para acceder a la
ePHI de los pacientes. Necesita asegurarse que los dispositivos móviles de los empleados
cumplan las normativas de la HIPAA. Las medidas a desarrollar e implementar es una
directiva que regule las aplicaciones que se permiten en los dispositivos móviles de
los empleados

70. Esta revisando el registro de aplicaciones en un equipo Windows. Ve un evento con

un mensaje nivel error. La aplicación experimentó un problema importante que hizo
que produjera un error

71. Los espacios aislados ayudan a analizar el Malware, permitiendo que las
aplicaciones sospechosas se ejecuten en un entorno seguro y aislado

72. Un cliente no puede conectarse al servidor web de la empresa. Descubre que hay un
gran número de conexiones TCP a medio abrir en el servidor. Se debe intervenir para
detener el ataque de desbordamiento TCP SYN

73. Un empleado envía por error un correo electrónico que contiene información
confidencial de la empresa a la dirección equivocada. Esta amenaza se conoce como
amenaza interna

74. El servidor Web de la empresa recopila información a través de un formulario. Se accede

a través del puerto 80, el contenido del formulario se transfiere a una base de datos cifrada
para su almacenamiento. Está investigando una queja relativa a que el contenido del
formulario a perdido su carácter confidencial. La causa: Se accedió a través de HTTP
que es un protocolo no cifrado

75. Observa que se ha compartido una nueva CVE (Common Vulnerabilities and
Exposures) con un grupo de correo electrónico del que forma parte. Se debe examinar los
detalles de la vulnerabilidad para determinar si se aplica a su red

76. Un agente de amenaza configura un punto de acceso (AP) no autorizado en una

cafetería local. El punto de acceso captura tráfico y lo reenvía al punto de acceso de la
cafetería. Este tipo de ataque se llama Man-in-the-middle

77. Un empleado remoto visita una sucursal para asistir a reuniones presenciales. El
empleado intenta asociar su portátil de empresa con el punto de acceso inalámbrico
de la sucursal, pero no puede. El WAP está configurando para el filtrado de direcciones
MAC

78. Un señuelo mejora la seguridad de la red cuando actúa como una trampa y desvía el
tráfico malintencionado de los sistemas importantes

79. Para evitar la suplantación de la identidad de la red interna se debe crear una ACL
(Lista de control de acceso)
Pareos:
Definición Título
Trabaja en colaboración con un gobierno para
Atacante patrocinado por un gobierno
promover su palan
Interfiere en las elecciones de un gobierno
Hacktivista
para promover sus propio sentido de la justicia
Trabaja como subcontratado en una empresa
Amenaza internado
e instala Malware en un servidor
Intenta sacar beneficio de los datos
personales obtenidos a través del envío de Ciberdelincuente
correo no deseado a empresas o particulares

Acción Paso No.

Identificar riesgo Primero
Priorizar riesgo Segundo
Implementar una respuesta Tercero
Supervisar los resultados Cuarto

1 3
Victima Atacante
Bases
Bases de
de datos
datos de
de
Grupo
Grupo de
de ramsomware
ramsomware
clientes
clientes yy productos
productos

2
Infraestructura
Infraestructura

4
Servidor
Servidor de
de correo
correo Capacidad
eletrónico,
eletrónico, nombre
nombre de
de Correo
Correo eletrónico
eletrónico de
de
dominio
dominio suplantación
suplantación de
de
identidad,
identidad, malware
malware
Definición Título
Limpiar los sistemas infectados y aplicarles
Tratamiento
revisión
Aplicar revisión a los sistemas no afectados
Inoculación para impedir que el gusano ataque a otros
destinos disponibles
Compartimentar y segmentar la red para
Contención limitar la difusión del gusano a áreas ya
infectadas
Eliminar o bloquear los sistemas infectados en
Cuarentena
la red

Título Definición
Muestra todas las conexiones TCP y UDP
Netstat -a
actuales en el sistema local
Analiza un dominio o una red para identificar
Nmap
dispositivos y puertos abiertos
Captura paquetes de IP en un archivo “.pcap”
Tcp Dump
para su posterior análisis
Proporciona información de DNS, incluida la
Nslookup dirección IP para la asignación de nombre de
dominio

Título Definición
Riesgo El potencial de perdida, daño o destrucción
Amenaza Una acción que causa en efecto negativo
Activo Personas, propiedades o datos
Una debilidad que expone potencialmente a
Vulnerabilidad
las organizaciones a ciberataques

Acción Paso No.

Contención Primero
Cuarentena Segundo
Inoculación Tercero
Tratamiento Cuarto
Acrónimo Definición
HIPAA (Health Insurance Portability and Protege la información personal sanitaria de
Accountability Act) las personas
RGPD (Reglamento General de Protección de Protege la información personal de los
Datos) miembros de la Unión Europea
PCI-DSS (Payment Card Industry Data Protege la información de la tarjeta de crédito
Security Standard) de las personas
FERPA (Family Educational Rights and Protege los historiales académicos de las
Privacy Act ) personas
FISMA (Federal Information Security Protege la información sobre las personas
Management Act of 2002 almacenadas por las agencias federales

Definición Título
Nunca se deben modificar los datos ni permitir Integridad
que pierdan su carácter confidencial
Solo las solicitudes legítimas deben poder Disponibilidad
acceder a los datos
Solo los usuarios autorizados deben acceder Confidencialidad
a los datos y leerlos

Título Definición
Medidas adaptables No aplica
Medidas preventivas Prevenir la aparición de un evento
Medidas correctivas Restaurar un sistema tras un evento
Medidas de detección Detectar eventos no deseados

Acción Función
• Escáner Nessus
Descubrir
• Nmap
• Software de administración de revisión
Remediar
• CVSS
Actualización automática de Windows Priorizar
Función Definición
Registra si los eventos de la directiva de
Registros de Seguridad auditoria se han ejecutado correcta o
incorrecta
Contiene eventos recibidos de programas que
Registros de aplicación
s ejecutan en el dispositivo
Muestra los eventos generados por la
Registro del sistema operación del hardware, los controladores y
los procesos
Registra información sobre la instalación de
Registros de configuración software y las actualizaciones del sistema
operativo

Acción Definición
Evalúa los indicadores de incidentes para
Detección y análisis determinar si son ataques legítimos y avisa a
la organización de los incidentes
Contención, erradicación y recuperación Mitigar el impacto del incidente
Registrar la causa y el costo del incidente, así
Actividad posterior al incidente como los pasos para impedir que se
produzcan incidentes en el futuro
Establece la capacidad de respuesta a un
Preparación incidente para garantizar que los activos de la
organización estén suficientemente protegidos