CyberOps Associate (Versión 1.

0) - Respuestas
del examen final de CyberOps Associate 1.0
1. ¿En qué parte del plan de respuesta a incidentes se encuentra la definición
de incidentes de seguridad informática y el elemento de términos
relacionados?

 política
 plan
 procedimiento

2. ¿En qué parte del plan de respuesta a incidentes está el elemento de

estrategia y objetivos?

 plan
 procedimiento
 política

3. ¿En qué parte del plan de respuesta a incidentes se encuentra la estructura

organizativa y la definición de roles, responsabilidades y niveles de autoridad?

 política
 plan
 procedimiento

4. ¿En qué parte del plan de respuesta a incidentes se encuentra el elemento

de clasificación de prioridad y gravedad de los incidentes?

 política
 plan
 procedimiento

5. ¿Qué dos netcomandos están asociados con el uso compartido de recursos

de red? (Escoge dos.)

 inicio neto
 cuentas netas
 cuota neta
 uso neto
 parada neta

Explicación:
El netcomando es un comando muy
importante. Algunos netcomandos comunes incluyen estos:

 net accounts  - establece requisitos de contraseña e inicio de sesión para

los usuarios
 net session  - enumera o desconecta sesiones entre una computadora y
otras computadoras en la red
 net share - crea, elimina o administra recursos compartidos
 net start - inicia un servicio de red o enumera los servicios de red que
ejecutan
 net stop - detiene un servicio de red
 net use - conecta, desconecta y muestra información sobre los recursos de
red compartidos
 net view - muestra una lista de computadoras y dispositivos de red en la
red

6. Haga coincidir la clave de registro de Windows 10 con su descripción. (No

se utilizan todas las opciones)
7. ¿Qué formato de PDU se utiliza cuando la NIC de un host recibe bits del
medio de red?

 segmento
 expediente
 paquete
 marco

Explicación: Cuando se reciben en la capa física de un host, los bits se formatean

en una trama en la capa de enlace de datos. Un paquete es la PDU en la capa de
red. Un segmento es la PDU en la capa de transporte. Un archivo es una estructura
de datos que se puede utilizar en la capa de aplicación.
8. Un usuario está ejecutando un tracert a un dispositivo remoto. ¿En qué
punto un enrutador, que se encuentra en la ruta hacia el dispositivo de
destino, dejaría de reenviar el paquete?
  cuando el enrutador recibe un mensaje de tiempo excedido de ICMP
 cuando los valores de los mensajes de solicitud de eco y respuesta de eco
llegan a cero
 cuando el valor RTT llega a cero
 cuando el valor en el campo TTL llega a cero
 cuando el anfitrión responde con un mensaje de respuesta de eco ICMP

Explicación: Cuando un enrutador recibe un paquete de traceroute, el valor en el

campo TTL se reduce en 1. Cuando el valor en el campo llega a cero, el enrutador
receptor no reenviará el paquete y enviará un mensaje ICMP Tiempo excedido al
fuente.
9. Consulte la exposición. ¿Qué solución puede proporcionar una VPN entre el
sitio A y el sitio B para admitir la encapsulación de cualquier protocolo de
capa 3 entre las redes internas de cada sitio?

 un túnel IPsec
 VPN con SSL de Cisco
 un túnel GRE
 un túnel de acceso remoto

Explicación: Un túnel de encapsulación de enrutamiento genérico (GRE) es una

solución de túnel VPN de sitio a sitio no segura que es capaz de encapsular
cualquier protocolo de capa 3 entre varios sitios a través de una red IP.
10. ¿Con qué propósito usaría un administrador de red la herramienta
Nmap?

 protección de las direcciones IP privadas de los hosts internos

 identificación de anomalías específicas de la red
 recopilación y análisis de alertas y registros de seguridad
  detección e identificación de puertos abiertos

11. Haga coincidir el servicio de red con la descripción.

12. Una aplicación cliente necesita terminar una sesión de comunicación TCP
con un servidor. Coloque los pasos del proceso de terminación en el orden en
que ocurrirán. (Nat, se utilizan todas las opciones).
13. Haga coincidir la superficie de ataque con las hazañas de ataque.
14. Haga coincidir la aplicación de firewall basada en host de Linux con su
descripción.
15. ¿Qué ataque de red busca crear un DoS para los clientes impidiéndoles
obtener una concesión de DHCP?

 Hambre de DHCP
 Suplantación de direcciones IP
 Suplantación de DHCP
 Ataque de mesa CAM

Explicación: Los ataques de inanición de DCHP son lanzados por un atacante con

la intención de crear un DoS para clientes DHCP. Para lograr este objetivo, el
atacante utiliza una herramienta que envía muchos mensajes DHCPDISCOVER
con el fin de ceder todo el grupo de direcciones IP disponibles, negándolas así a
los hosts legítimos.
16. Consulte la exposición. Si Host1 transfiriera un archivo al servidor, ¿qué
capas del modelo TCP / IP se utilizarían?

 solo capas de aplicaciones e Internet

 capas de aplicación, transporte, Internet y acceso a la red
 solo capas de acceso a Internet y a la red
 solo aplicaciones, transporte, red, enlace de datos y capas físicas
 solo capas de aplicaciones, Internet y acceso a la red
 aplicación, sesión, transporte, red, enlace de datos y capas físicas

Explicación: El modelo TCP / IP contiene las capas de aplicación, transporte,

Internet y acceso a la red. Una transferencia de archivos utiliza el protocolo de
capa de aplicación FTP. Los datos se moverían desde la capa de aplicación a través
de todas las capas del modelo y a través de la red hasta el servidor de archivos.
17. Una empresa tiene un servidor de archivos que comparte una carpeta
denominada Pública. La política de seguridad de la red especifica que a la
carpeta pública se le asignan derechos de solo lectura a cualquier persona que
pueda iniciar sesión en el servidor, mientras que los derechos de edición se
asignan solo al grupo de administración de la red. ¿Qué componente se
aborda en el marco del servicio de red AAA?

 automatización
 autenticación
 autorización
 contabilidad
Explicación: Después de que un usuario se autentica con éxito (inicia sesión en el
servidor), la autorización es el proceso de determinar a qué recursos de red puede
acceder el usuario y qué operaciones (como leer o editar) puede realizar el usuario.
18. Haga coincidir el tipo de entrada de la tabla de enrutamiento de la red de
destino con una definición.

19. Una persona que llega a un café por primera vez quiere tener acceso
inalámbrico a Internet usando una computadora portátil. ¿Cuál es el primer
paso que hará el cliente inalámbrico para comunicarse a través de la red
mediante un marco de gestión inalámbrica?

 asociarse con la AP
 autenticarse en el AP
 descubre el AP
 de acuerdo con el AP sobre la carga útil
Explicación: Para que los dispositivos inalámbricos se comuniquen en una red
inalámbrica, los marcos de administración se utilizan para completar un proceso de
tres etapas:
Descubra el AP
Autentíquese con el AP
Asociado con el AP
20. A un dispositivo se le ha asignado la dirección IPv6 de 2001: 0db8: cafe:
4500: 1000: 00d8: 0058: 00ab / 64. ¿Cuál es el identificador de red del
dispositivo?

 2001: 0db8: café: 4500: 1000

 2001: 0db8: cafe: 4500: 1000: 00d8: 0058: 00ab
 1000: 00d8: 0058: 00ab
 2001: 0db8: café: 4500
 2001

Explicación: La dirección tiene una longitud de prefijo de / 64. Por lo tanto, los

primeros 64 bits representan la parte de la red, mientras que los últimos 64 bits
representan la parte del host de la dirección IPv6.
21. Un administrador desea crear cuatro subredes a partir de la dirección de
red 192.168.1.0/24. ¿Cuál es la dirección de red y la máscara de subred de la
segunda subred utilizable?

subred 192.168.1.64
máscara de subred 255.255.255.192

subred 192.168.1.64
máscara de subred 255.255.255.240

subred 192.168.1.32
máscara de subred 255.255.255.240

subred 192.168.1.128
máscara de subred 255.255.255.192

subred 192.168.1.8
máscara de subred 255.255.255.224

22. ¿Qué término describe un conjunto de herramientas de software diseñadas

para aumentar los privilegios de un usuario o para otorgar acceso al usuario a
partes del sistema operativo que normalmente no deberían estar permitidas?
  compilador
 rootkit
 gerente de empaquetación
 pruebas de penetración

Explicación: Un atacante utiliza un rootkit para asegurar una puerta trasera a una
computadora comprometida, otorgar acceso a partes del sistema operativo que
normalmente no están permitidas o aumentar los privilegios de un usuario.
23. El personal de seguridad de TI de una organización advierte que el
servidor web desplegado en la DMZ suele ser el objetivo de los agentes de
amenazas. Se toma la decisión de implementar un sistema de administración
de parches para administrar el servidor. ¿Qué método de estrategia de gestión
de riesgos se está utilizando para responder al riesgo identificado?

 riesgo compartido
 evitación de riesgo
 la reducción de riesgos
 retención de riesgo

Explicación: Hay cuatro estrategias potenciales para responder a los riesgos que se

han identificado:
Evitación de riesgos : deje de realizar las actividades que generan riesgos.

Reducción de riesgos : Disminuya el riesgo tomando medidas para reducir la

vulnerabilidad.

Riesgo compartido : transfiera parte del riesgo a otras partes.

Retención de riesgos : acepte el riesgo y sus consecuencias.

24. ¿Cuáles son dos características del método SLAAC para la configuración
de direcciones IPv6? (Escoge dos.)

 La puerta de enlace predeterminada de un cliente IPv6 en una LAN

será la dirección de enlace local de la interfaz del enrutador adjunta a
la LAN.
 Este método con estado de adquirir una dirección IPv6 requiere al menos un
servidor DHCPv6.
 Los clientes envían mensajes de publicidad del enrutador a los enrutadores
para solicitar el direccionamiento IPv6.
 El direccionamiento IPv6 se asigna dinámicamente a los clientes
mediante el uso de ICMPv6.
  Los mensajes de solicitud de enrutador son enviados por el enrutador para
ofrecer direccionamiento IPv6 a los clientes.

25. Un técnico nota que una aplicación no responde a los comandos y que la
computadora parece responder lentamente cuando se abren las
aplicaciones. ¿Cuál es la mejor herramienta administrativa para forzar la
liberación de recursos del sistema de la aplicación que no responde?

 Visor de eventos
 Restauración del sistema
 Añadir o eliminar programas
 Administrador de tareas

Explicación: Use la pestaña Rendimiento del Administrador de tareas para ver una

representación visual de la utilización de CPU y RAM. Esto es útil para determinar
si se necesita más memoria. Utilice la pestaña Aplicaciones para detener una
aplicación que no responde.
26. ¿Cómo se pueden utilizar los datos estadísticos para describir o predecir el
comportamiento de la red?

 comparando el comportamiento normal de la red con el

comportamiento actual de la red
 grabando conversaciones entre terminales de red
 enumerando los resultados de las actividades de navegación web de los
usuarios
 mostrando mensajes de alerta generados por Snort

Explicación: Los datos estadísticos se crean mediante el análisis de otras formas

de datos de red. Las características estadísticas del comportamiento normal de la
red se pueden comparar con el tráfico de la red actual en un esfuerzo por detectar
anomalías. Las conclusiones resultantes del análisis se pueden utilizar para
describir o predecir el comportamiento de la red.
27. ¿Qué métrica del grupo de métricas base CVSS se utiliza con un vector de
ataque?

 la proximidad del actor de la amenaza a la vulnerabilidad

 la presencia o ausencia del requisito de interacción del usuario para que un
exploit sea exitoso
 la determinación de si la autoridad inicial cambia a una segunda autoridad
durante la explotación
  la cantidad de componentes, software, hardware o redes que están más allá
del control del atacante y que deben estar presentes para que una
vulnerabilidad sea explotada con éxito

Explicación: esta es una métrica que refleja la proximidad del actor de la amenaza

al componente vulnerable. Cuanto más alejado esté el actor de la amenaza del
componente, mayor será la gravedad. Los actores de amenazas cercanos a su red o
dentro de su red son más fáciles de detectar y mitigar.
28. ¿Qué función principal del Marco de Ciberseguridad del NIST se ocupa
del desarrollo y la implementación de salvaguardas que aseguren la entrega
de servicios de infraestructura crítica?

 responder
 detectar
 identificar
 recuperar
 proteger

29. ¿Cuál es una diferencia entre los modelos de red cliente-servidor y de igual
a igual?

 Solo en el modelo cliente-servidor pueden ocurrir transferencias de

archivos.
 Una transferencia de datos que utiliza un dispositivo que actúa como cliente
requiere la presencia de un servidor dedicado.
 Una red de igual a igual transfiere datos más rápido que una transferencia
utilizando una red cliente-servidor.
 Todos los dispositivos de una red de igual a igual pueden funcionar
como cliente o servidor.

30. ¿Qué afirmación es correcta sobre los protocolos de red?

 Definen cómo se intercambian los mensajes entre el origen y el destino.

 Todos funcionan en la capa de acceso a la red de TCP / IP.
 Solo son necesarios para el intercambio de mensajes entre dispositivos en
redes remotas.
 Los protocolos de red definen el tipo de hardware que se utiliza y cómo se
monta en los racks.

31. ¿Qué enfoque puede ayudar a bloquear posibles métodos de entrega de

malware, como se describe en el modelo Cyber Kill Chain, en un servidor web
conectado a Internet?
  Cree detecciones para el comportamiento de malware conocido.
 Recopile archivos y metadatos de malware para análisis futuros.
 Audite el servidor web para determinar de forma forense el origen del
exploit.
 Analice la ruta de almacenamiento de la infraestructura utilizada para
los archivos.

Explicación: un actor de amenazas puede enviar el arma a través de interfaces web

al servidor de destino, ya sea en la carga de archivos o en solicitudes web
codificadas. Al analizar la ruta de almacenamiento de la infraestructura utilizada
para los archivos, se pueden implementar medidas de seguridad para monitorear y
detectar las entregas de malware a través de estos métodos.
32. ¿Qué elemento de meta-característica en el modelo Diamond clasifica el
tipo general de evento de intrusión?

 fase
 resultados
 metodología
 dirección

33. ¿Qué comando de Linux se usa para administrar procesos?

 chrootkit
 ls
 grep
 matar

Explicación: El comando kill se usa para detener, reiniciar o pausar un proceso. El

comando chrootkit se usa para verificar la computadora en busca de rootkits, un
conjunto de herramientas de software que pueden aumentar el nivel de privilegios
de un usuario u otorgar acceso a partes de software que normalmente no están
permitidas. El comando grep se usa para buscar un archivo o texto dentro de un
archivo. El comando ls se usa para listar archivos, directorios e información de
archivos.
34. ¿Qué herramienta se puede utilizar en un sistema Cisco AVC para
analizar y presentar los datos de análisis de la aplicación en informes del
tablero?

 NetFlow
 NBAR2
 principal
 IPFIX
Explicación: Se puede utilizar un sistema de gestión y generación de informes,
como Cisco Prime, para analizar y presentar los datos del análisis de la aplicación
en informes del panel para que los utilice el personal de supervisión de la red.
35. ¿Qué registro del Visor de eventos de Windows incluye eventos
relacionados con el funcionamiento de controladores, procesos y hardware?

 registros del sistema

 registros de la aplicación
 registros de seguridad
 registros de configuración

De forma predeterminada, Windows mantiene cuatro tipos de registros de host:

 Registros de aplicaciones: eventos registrados por varias aplicaciones

 Registros del sistema: eventos sobre el funcionamiento de controladores,
procesos y hardware
 Registros de configuración: información sobre la instalación del software,
incluidas las actualizaciones de Windows
 Registros de seguridad: eventos relacionados con la seguridad, como
intentos de inicio de sesión y operaciones relacionadas con la
administración y el acceso a archivos u objetos.

36. ¿Qué método se utiliza para que los datos sean ilegibles para usuarios no
autorizados?

 Cifre los datos.

 Fragmenta los datos.
 Agregue una suma de comprobación al final de los datos.
 Asígnele un nombre de usuario y una contraseña.

Explicación: Los datos de la red se pueden cifrar utilizando varias aplicaciones de

criptografía para que los datos no sean legibles para los usuarios no
autorizados. Los usuarios autorizados tienen la aplicación de criptografía para que
los datos se puedan desencriptar.
37. Haga coincidir las pestañas del Administrador de tareas de Windows 10
con sus funciones. (No se utilizan todas las opciones).
38. Para los sistemas de red, ¿qué sistema de gestión se ocupa del inventario y
el control de las configuraciones de hardware y software?

 gestión de activos
 gestión de vulnerabilidades
 gestión de riesgos
 gestión de la configuración

Explicación: La gestión de la configuración se ocupa del inventario y el control de

las configuraciones de hardware y software de los sistemas de red.
38. Haga coincidir la tecnología o el protocolo de red común con la
descripción. (No se utilizan todas las opciones).
40. ¿Cuáles son las tres funciones principales proporcionadas por Security
Onion? (Elige tres.)

 Planificación de la Continuidad del Negocio

 captura completa de paquetes
 análisis de alerta
 detección de intrusos
 gestión de dispositivos de seguridad
 contención de amenazas

Explicación: Security Onion es un conjunto de herramientas de monitoreo de

seguridad de red (NSM) de código abierto para evaluar alertas de
ciberseguridad. Para los analistas de ciberseguridad, Security Onion proporciona
captura completa de paquetes, sistemas de detección de intrusos basados en la red
y en el host, y herramientas de análisis de alertas.
41. En términos de NAT, ¿qué tipo de dirección se refiere a la dirección IPv4
enrutable globalmente de un host de destino en Internet?

 fuera global
 dentro de global
 fuera del local
 dentro del local

Explicación: Desde la perspectiva de un dispositivo NAT, los usuarios externos

utilizan las direcciones globales internas para comunicarse con los hosts
internos. Las direcciones locales internas son las direcciones asignadas a los hosts
internos. Las direcciones globales externas son las direcciones de los destinos en la
red externa. Las direcciones locales externas son las direcciones privadas reales de
los hosts de destino detrás de otros dispositivos NAT.
42. ¿Qué dos campos o características examina Ethernet para determinar si
una trama recibida se pasa a la capa de enlace de datos o la NIC la
descarta? (Escoge dos.)

 CEF
 dirección MAC de origen
 tamaño mínimo del marco
 auto-MDIX
 Secuencia de verificación de fotogramas

43. ¿Qué tipo de datos se considerarían un ejemplo de datos volátiles?

 caché del navegador web

  registros de memoria
 archivos de registro
 archivos temporales

Explicación: Los datos volátiles son datos almacenados en la memoria, como

registros, caché y RAM, o son datos que existen en tránsito. La memoria volátil se
pierde cuando la computadora pierde energía.
44. ¿Cuál es el propósito principal de las explotaciones por parte de un actor
de amenazas a través del arma entregada a un objetivo durante la fase de
explotación de Cyber Kill Chain?

 Lanzar un ataque DoS.

 Envíe un mensaje a un CnC controlado por el actor de la amenaza.
 Rompe la vulnerabilidad y gana el control del objetivo.
 Establezca una puerta trasera en el sistema.

Explicación: Una vez que se ha entregado el arma, el actor de la amenaza la usa

para romper la vulnerabilidad y hacerse con el control del objetivo. El actor de
amenazas utilizará un exploit que obtenga el efecto deseado, lo haga en silencio y
evite las detecciones. Establecer una puerta trasera en el sistema de destino es la
fase de instalación.
45. Consulte la exposición. Un administrador está tratando de solucionar
problemas de conectividad entre la PC1 y la PC2 y usa el comando tracert de
la PC1 para hacerlo. Según la salida mostrada, ¿dónde debería comenzar el
administrador a solucionar problemas?

Examen
final CyberOps Associate 1.0
  R1
 PC2
 SW2
 R2
 SW1

Explicación: Tracert se utiliza para rastrear la ruta que toma un paquete. La única

respuesta exitosa fue desde el primer dispositivo a lo largo de la ruta en la misma
LAN que el host de envío. El primer dispositivo es la puerta de enlace
predeterminada en el enrutador R1. Por lo tanto, el administrador debe comenzar a
solucionar problemas en R1.
46. ¿Para qué tres herramientas de seguridad Cisco Talos mantiene conjuntos
de reglas de detección de incidentes de seguridad? (Elige tres.)

 Bufido
 NetStumbler
 Socat
 SpamCop
 ClamAV

47. ¿Qué firewall basado en host utiliza un enfoque de tres perfiles para
configurar la funcionalidad del firewall?

 firewall de Windows
 iptables
 Envoltorio TCP
 nftables

Explicación: Windows Firewall utiliza un enfoque basado en perfiles para

configurar la funcionalidad del firewall. Utiliza tres perfiles, Público, Privado y
Dominio, para definir las funciones del cortafuegos.
48. Cuando un usuario visita el sitio web de una tienda en línea que utiliza
HTTPS, el navegador del usuario consulta a la CA para obtener una
CRL. ¿Cuál es el propósito de esta consulta?

 para verificar la validez del certificado digital

 para solicitar el certificado digital autofirmado de CA
 para comprobar la longitud de la clave utilizada para el certificado digital
 negociar el mejor cifrado a utilizar

Explicación: Se debe revocar un certificado digital si no es válido. Las CA

mantienen una lista de revocación de certificados (CRL), una lista de números de
serie de certificados revocados que han sido invalidados. El navegador del usuario
consultará la CRL para verificar la validez de un certificado.
49. ¿Qué paso del ciclo de vida de la gestión de vulnerabilidades determina un
perfil de riesgo de referencia para eliminar los riesgos en función de la
criticidad de los activos, las amenazas de vulnerabilidad y la clasificación de
los activos?

 descubrir
 evaluar
 priorizar activos
 verificar

Explicación: Los pasos del ciclo de vida de la gestión de vulnerabilidades son los

siguientes:

 Descubrir: hacer un inventario de todos los activos en la red e identificar los

detalles del host, incluidos los sistemas operativos y los servicios abiertos,
para identificar vulnerabilidades.
 Priorice los activos: categorice los activos en grupos o unidades de negocio
y asigne un valor comercial a los grupos de activos en función de su
importancia para las operaciones comerciales
 Evaluar: determinar un perfil de riesgo de referencia para eliminar los
riesgos en función de la criticidad de los activos, las amenazas de
vulnerabilidad y la clasificación de activos.
 Informe: mida el nivel de riesgo empresarial asociado con los activos de
acuerdo con las políticas de seguridad. Documente un plan de seguridad,
monitoree la actividad sospechosa y describa las vulnerabilidades
conocidas.
 Remediar: priorice de acuerdo con el riesgo comercial y corrija las
vulnerabilidades en orden de riesgo.
 Verificar: verificar que las amenazas se hayan eliminado mediante
auditorías de seguimiento.

50. ¿Qué sistema de gestión implementa sistemas que rastrean la ubicación y

configuración de dispositivos y software en red en una empresa?

 gestión de activos
 gestión de vulnerabilidades
 gestión de riesgos
 gestión de la configuración
Explicación: La gestión de activos implica la implementación de sistemas que
rastrean la ubicación y configuración de dispositivos y software en red en toda la
empresa.
51. Un administrador de red está revisando las alertas del servidor debido a
informes de lentitud de la red. El administrador confirma que una alerta fue
un incidente de seguridad real. ¿Cuál es la clasificación de alerta de seguridad
de este tipo de escenario?

 falso negativo
 verdadero positivo
 verdadero negativo
 falso positivo

52. ¿Qué protocolo de capa de aplicación se utiliza para proporcionar

servicios de impresión y uso compartido de archivos a las aplicaciones de
Microsoft?

 SMTP
 HTTP
 SMB
 DHCP

Explicación: SMB se utiliza en las redes de Microsoft para compartir archivos y

servicios de impresión. El sistema operativo Linux proporciona un método para
compartir recursos con redes de Microsoft mediante el uso de una versión de SMB
llamada SAMBA.
53. ¿Qué dispositivo en un enfoque de defensa en profundidad en capas niega
las conexiones iniciadas desde redes no confiables a redes internas, pero
permite que los usuarios internos dentro de una organización se conecten a
redes no confiables?

 interruptor de capa de acceso

 cortafuegos
 enrutador interno
 IPS

Explicación: Un firewall suele ser una segunda línea de defensa en un enfoque de

defensa en profundidad en capas para la seguridad de la red. El firewall
normalmente se conecta a un enrutador de borde que se conecta al proveedor de
servicios. El firewall rastrea las conexiones iniciadas dentro de la empresa que
salen de la empresa y niega el inicio de conexiones desde redes externas no
confiables que van a redes internas confiables.
54. ¿Cuáles son dos posibles problemas de red que pueden resultar de la
operación de ARP? (Escoge dos.)

 Un gran número de transmisiones de solicitudes de ARP podrían hacer que

la tabla de direcciones MAC del host se desborde e impida que el host se
comunique en la red.
 En redes grandes con poco ancho de banda, múltiples transmisiones ARP
podrían causar retrasos en la comunicación de datos.
 Los atacantes de red podrían manipular la dirección MAC y las
asignaciones de direcciones IP en los mensajes ARP con la intención de
interceptar el tráfico de la red.
 Varias respuestas ARP dan como resultado la tabla de direcciones MAC del
conmutador que contiene entradas que coinciden con las direcciones MAC
de los hosts que están conectados al puerto del conmutador correspondiente.
 La configuración manual de asociaciones ARP estáticas podría facilitar el
envenenamiento de ARP o la suplantación de direcciones MAC.

55. ¿Qué tres procedimientos en Sguil se proporcionan a los analistas de

seguridad para abordar las alertas? (Elige tres.)

 Escale una alerta incierta.

 Correlacione alertas similares en una sola línea.
 Categoriza los verdaderos positivos.
 Pivote hacia otras fuentes de información y herramientas.
 Construya consultas usando Query Builder.
 Caducar falsos positivos.

Explicación: Sguil es una herramienta para abordar alertas. Se pueden completar

tres tareas en Sguil para administrar alertas:

 Las alertas que se consideren falsos positivos pueden caducar.

 Se puede escalar una alerta si el analista de ciberseguridad no está seguro de
cómo manejarla.
 Los eventos que se han identificado como verdaderos positivos se pueden
clasificar.
56. Haga coincidir la métrica SOC con la descripción. (No se aplican todas las
opciones).

57. ¿Qué dos servicios proporciona la herramienta NetFlow? (Escoge dos.)

 Configuración de QoS
 facturación de la red basada en el uso
 análisis de registros
 supervisión de la lista de acceso
  monitoreo de red

Explicación: NetFlow proporciona de manera eficiente un conjunto importante de

servicios para aplicaciones IP que incluyen contabilidad de tráfico de red,
facturación de red basada en el uso, planificación de red, seguridad, capacidades de
monitoreo de denegación de servicio y monitoreo de red.
58. ¿Qué dos afirmaciones son características de un virus? (Escoge dos.)

 Por lo general, un virus requiere la activación del usuario final.

 Un virus puede estar inactivo y luego activarse en una fecha o hora
específicas.
 Un virus se replica a sí mismo explotando de forma independiente las
vulnerabilidades de las redes.
 Un virus tiene una vulnerabilidad habilitante, un mecanismo de propagación
y una carga útil.
 Un virus proporciona al atacante datos confidenciales, como contraseñas.

Explicación: El tipo de interacción del usuario final que se requiere para iniciar un
virus normalmente es abrir una aplicación, abrir una página web o encender la
computadora. Una vez activado, un virus puede infectar otros archivos ubicados en
la computadora o en otras computadoras de la misma red.
59. ¿Cuál es una característica de un caballo de Troya en lo que respecta a la
seguridad de la red?

 Demasiada información está destinada a un bloque de memoria en

particular, lo que hace que se vean afectadas áreas de memoria adicionales.
 Se envían cantidades extremas de datos a una interfaz de dispositivo de red
en particular.
 Se utiliza un diccionario electrónico para obtener una contraseña que se
utilizará para infiltrarse en un dispositivo de red clave.
 El malware está contenido en un programa ejecutable aparentemente
legítimo.

Explicación: un caballo de Troya lleva a cabo operaciones maliciosas bajo la

apariencia de un programa legítimo. Los ataques de denegación de servicio envían
cantidades extremas de datos a una interfaz de dispositivo de red o host en
particular. Los ataques a contraseñas utilizan diccionarios electrónicos en un
intento de aprender las contraseñas. Los ataques de desbordamiento de búfer
explotan los búferes de memoria al enviar demasiada información a un host para
que el sistema no funcione.
60. ¿Qué técnica se utiliza en los ataques de ingeniería social?
  enviando correo basura
 desbordamiento de búfer
 suplantación de identidad
 hombre en el medio

Explicación: un actor de amenazas envía un correo electrónico fraudulento que se

disfraza de una fuente legítima y confiable para engañar al destinatario para que
instale malware en su dispositivo o comparta información personal o financiera.
61. ¿Cuál es el propósito de implementar VLAN en una red?

 Pueden separar el tráfico de usuarios.

 Previenen bucles de capa 2.
 Eliminan las colisiones de red.
 Permiten que los conmutadores reenvíen paquetes de Capa 3 sin un
enrutador.

Explicación: Las VLAN se utilizan en una red para separar el tráfico de usuarios

en función de factores como la función, el equipo del proyecto o la aplicación, sin
tener en cuenta la ubicación física del usuario o dispositivo.
62. Consulte la exposición. Un analista de ciberseguridad está viendo los
paquetes reenviados por el switch S2. ¿Qué direcciones identificarán las
tramas que contienen datos enviados desde PCA a PCB?
Src IP: 192.168.2.1
Src MAC: 00-60-0F-B1-33-33
Dst IP: 192.168.2.101
Dst MAC: 08-CB-8A-5C-BB-BB

Src IP: 192.168.1.212

Src MAC: 01-90-C0-E4-AA-AA
Dst IP: 192.168.2.101
Dst MAC: 08-CB-8A-5C-BB-BB

Src IP: 192.168.1.212

Src MAC: 00-60-0F-B1-33-33
Dst IP: 192.168.2.101
Dst MAC: 08-CB-8A-5C-BB-BB

Src IP: 192.168.1.212

Src MAC: 00-60-0F-B1-33-33
Dst IP: 192.168.2.101
Dst MAC: 00-D0-D3-BE-00-00

Explicación: Cuando un mensaje enviado desde la PCA a la PCB llega al

enrutador R2, R2 reescribirá algunos campos de encabezado de trama antes de
reenviarlos al conmutador S2. Las tramas contendrán la dirección MAC de origen
del enrutador R2 y la dirección MAC de destino de la PCB. Las tramas
conservarán el direccionamiento IPv4 original aplicado por PCA, que es la
dirección IPv4 de PCA como dirección de origen y la dirección IPv4 de PCB como
destino.
63. Un analista de ciberseguridad debe recopilar datos de alerta. ¿Cuáles son
las tres herramientas de detección para realizar esta tarea en la arquitectura
Security Onion? (Elige tres.)

 CapME
 Wazuh
 Kibana
 Zeek
 Sguil
 Wireshark

64. Haga coincidir la herramienta Security Onion con la descripción.

65. En las evaluaciones de seguridad de la red, ¿qué tipo de prueba se utiliza
para evaluar el riesgo que representan las vulnerabilidades para una
organización específica, incluida la evaluación de la probabilidad de ataques y
el impacto de exploits exitosos en la organización?

 escaneo de puertos
 análisis de riesgo
 pruebas de penetración
 evaluación de vulnerabilidad

66. Haga coincidir el elemento del perfil del servidor con la descripción. (No se
utilizan todas las opciones).
Explicación: Los elementos de un perfil de servidor incluyen lo siguiente: Puertos
de escucha: los demonios y puertos TCP y UDP que pueden abrirse en el servidor
Cuentas de usuario: los parámetros que definen el acceso y el comportamiento del
usuario
Cuentas de servicio: las definiciones del tipo de servicio que una aplicación puede
ejecutar en un
entorno de software host determinado : las tareas, los procesos y las aplicaciones
que pueden ejecutarse en el servidor
67. Al abordar un riesgo identificado, ¿qué estrategia tiene como objetivo
trasladar parte del riesgo a otras partes?

 evitación de riesgo
 riesgo compartido
 retención de riesgo
 la reducción de riesgos
68. ¿Qué es una toma de red?

 una tecnología utilizada para proporcionar informes en tiempo real y

análisis a largo plazo de eventos de seguridad
 una tecnología de Cisco que proporciona estadísticas sobre los paquetes que
fluyen a través de un enrutador o conmutador multicapa
 una función compatible con los conmutadores Cisco que permite que el
conmutador copie tramas y las reenvíe a un dispositivo de análisis
 un dispositivo pasivo que reenvía todo el tráfico y los errores de la capa
física a un dispositivo de análisis

Explicación: Se utiliza una toma de red para capturar el tráfico para monitorear la
red. El tap suele ser un dispositivo de división pasivo implementado en línea en la
red y reenvía todo el tráfico, incluidos los errores de la capa física, a un dispositivo
de análisis.
69. Haga coincidir la herramienta de seguimiento con la definición.
70. Si un SOC tiene un objetivo de 99,999% de tiempo de actividad, ¿cuántos
minutos de tiempo de inactividad al año se considerarían dentro de su
objetivo?

 Aproximadamente 5 minutos al año.

 Aproximadamente 10 minutos al año
 Aproximadamente 20 minutos al año.
 Aproximadamente 30 minutos al año.

Explicación: Dentro de un año, hay 365 días x 24 horas al día x 60 minutos por

hora = 525,600 minutos. Con el objetivo de un tiempo de actividad del 99,999%
del tiempo, el tiempo de inactividad debe controlarse por debajo de 525,600 x (1-
0,99999) = 5,256 minutos al año.
71. El servidor HTTP ha respondido a la solicitud de un cliente con un código
de estado 200. ¿Qué indica este código de estado?

 La solicitud es entendida por el servidor, pero el recurso no se cumplirá.

 La solicitud se completó con éxito.
 El servidor no pudo encontrar el recurso solicitado, posiblemente debido a
una URL incorrecta.
 La solicitud ha sido aceptada para su procesamiento, pero el procesamiento
no se ha completado.

72. ¿Cuál es la ventaja para las organizaciones pequeñas de adoptar IMAP en

lugar de POP?

 POP solo permite al cliente almacenar mensajes de forma centralizada,

mientras que IMAP permite el almacenamiento distribuido.
 IMAP envía y recupera correo electrónico, pero POP solo recupera correo
electrónico.
 Cuando el usuario se conecta a un servidor POP, las copias de los mensajes
se guardan en el servidor de correo durante un breve período de tiempo,
pero IMAP las conserva durante mucho tiempo.
 Los mensajes se guardan en los servidores de correo hasta que se eliminan
manualmente del cliente de correo electrónico.

Explicación: IMAP y POP son protocolos que se utilizan para recuperar mensajes

de correo electrónico. La ventaja de utilizar IMAP en lugar de POP es que cuando
el usuario se conecta a un servidor compatible con IMAP, se descargan copias de
los mensajes en la aplicación cliente. Luego, IMAP almacena los mensajes de
correo electrónico en el servidor hasta que el usuario los elimina manualmente.
73. ¿Qué herramienta de seguridad de depuración pueden utilizar los
sombreros negros para aplicar ingeniería inversa a los archivos binarios al
escribir exploits?

 WinDbg
 Firesheep
 Skipfish
 AYUDANTE

74. ¿Cuáles son las tres características de un sistema de gestión de seguridad

de la información? (Elige tres.)

 Implica la implementación de sistemas que rastrean la ubicación y

configuración de dispositivos y software en red en una empresa.
 Es un enfoque sistemático y de múltiples capas de la ciberseguridad.
 Aborda el inventario y el control de las configuraciones de hardware y
software de los sistemas.
 Consiste en un conjunto de prácticas que se aplican sistemáticamente
para garantizar la mejora continua en la seguridad de la información.
 Consiste en un marco de gestión a través del cual una organización
identifica, analiza y aborda los riesgos de seguridad de la información.
 Se basa en la aplicación de servidores y dispositivos de seguridad.

Explicación: Un sistema de gestión de seguridad de la información (SGSI)

consiste en un marco de gestión a través del cual una organización identifica,
analiza y aborda los riesgos de seguridad de la información. Los SGSI no se basan
en servidores o dispositivos de seguridad. En cambio, un SGSI consiste en un
conjunto de prácticas que una organización aplica sistemáticamente para garantizar
la mejora continua en la seguridad de la información. Los SGSI proporcionan
modelos conceptuales que guían a las organizaciones en la planificación,
implementación, gobierno y evaluación de programas de seguridad de la
información.
Los SGSI son una extensión natural del uso de modelos comerciales populares,
como la Gestión de la calidad total (TQM) y los Objetivos de control para la
información y tecnologías relacionadas (COBIT), en el ámbito de la
ciberseguridad.

Un SGSI es un enfoque sistemático de varias capas para la ciberseguridad. El

enfoque incluye personas, procesos, tecnologías y las culturas en las que
interactúan en un proceso de gestión de riesgos.
75. ¿Qué tres tecnologías deberían incluirse en un sistema de gestión de
eventos e información de seguridad SOC? (Elige tres.)
  recopilación, correlación y análisis de eventos
 monitoreo de seguridad
 autenticacion de usuario
 servicio proxy
 prevención de intrusiones
 inteligencia de amenazas

Explicación: Las tecnologías en un SOC deben incluir lo siguiente:

• Recopilación, correlación y análisis de eventos
• Monitoreo de seguridad
• Control de seguridad
• Administración de registros
• Evaluación de
vulnerabilidades
• Seguimiento de vulnerabilidades • Inteligencia de amenazas El
servidor proxy, VPN e IPS son dispositivos de seguridad implementados en el
infraestructura de red.
76. ¿Qué parte de la URL, http://www.cisco.com/index.html, representa el
dominio DNS de nivel superior?

 http
 www
 .com
 índice

Explicación: Los componentes de la URL http://www.cisco.com/index.htm son

los siguientes:
http = protocolo
www = parte del nombre del servidor
cisco = parte del
índice del nombre de dominio = nombre del archivo
com = la parte superior- dominio de nivel
77. ¿Qué describe mejor la amenaza de seguridad de la suplantación de
identidad?

 enviar correo electrónico masivo a personas, listas o dominios con la

intención de evitar que los usuarios accedan al correo electrónico
 enviar cantidades anormalmente grandes de datos a un servidor remoto
para evitar el acceso del usuario a los servicios del servidor
 interceptar el tráfico entre dos hosts o insertar información falsa en el tráfico
entre dos hosts
 hacer que los datos parezcan provenir de una fuente que no es la fuente real
78. Una empresa recién creada tiene quince equipos con Windows 10 que
deben instalarse antes de que la empresa pueda abrir sus puertas. ¿Cuál es la
mejor práctica que el técnico debe implementar al configurar el Firewall de
Windows?

 El técnico debe eliminar todas las reglas de firewall predeterminadas y

denegar selectivamente que el tráfico llegue a la red de la empresa.
 Después de implementar el software de seguridad de terceros para la
empresa, el técnico debe verificar que el Firewall de Windows esté
desactivado.
 El técnico debe crear instrucciones para los usuarios corporativos sobre
cómo permitir una aplicación a través del Firewall de Windows utilizando la
cuenta de administrador.
 El técnico debe habilitar el Firewall de Windows para el tráfico entrante e
instalar otro software de firewall para el control del tráfico saliente.

Explicación: Desactive el Firewall de Windows solo si hay otro software de

firewall instalado. Utilice el Firewall de Windows (Windows 7 u 8) o el Panel de
control del Firewall de Windows Defender (Windows 10) para habilitar o
deshabilitar el Firewall de Windows.
79. ¿Qué enunciado define la diferencia entre los datos de la sesión y los datos
de las transacciones en los registros?

 Los datos de la sesión analizan el tráfico de la red y predicen el

comportamiento de la red, mientras que los datos de la transacción registran
las sesiones de la red.
 Los datos de la sesión se utilizan para hacer predicciones sobre los
comportamientos de la red, mientras que los datos de las transacciones se
utilizan para detectar anomalías en la red.
 Los datos de sesión registran una conversación entre hosts, mientras
que los datos de transacciones se centran en el resultado de las sesiones
de red.
 Los datos de la sesión muestran el resultado de una sesión de red, mientras
que los datos de la transacción responden al tráfico de amenazas de la red.
80. Haga coincidir el tipo de datos de supervisión de la red con la descripción.

81. ¿Qué dispositivo admite el uso de SPAN para permitir el monitoreo de

actividad maliciosa?

 Conmutador Cisco Catalyst

 Cisco IronPort
 Cisco NAC
 Agente de seguridad de Cisco

82. ¿Qué término se usa para describir las consultas automatizadas que son
útiles para agregar eficiencia al flujo de trabajo de las ciberespacio?

 cadena de muerte cibernética

 libro de jugadas
 cadena de custodia
 rootkit
Explicación: Un libro de jugadas es una consulta automatizada que puede agregar
eficiencia al flujo de trabajo de las operaciones cibernéticas.
83. Cuando las ACL se configuran para bloquear la suplantación de
direcciones IP y los ataques de inundación DoS, ¿qué mensaje ICMP debe
permitirse tanto entrante como saliente?

 respuesta de eco
 inalcanzable
 fuente para enfriar
 eco

84. Después de que una herramienta de monitoreo de seguridad identifica un

adjunto de malware que ingresa a la red, ¿cuál es el beneficio de realizar un
análisis retrospectivo?

 Puede identificar cómo entró originalmente el malware en la red.

 Un análisis retrospectivo puede ayudar a rastrear el comportamiento
del malware desde el punto de identificación en adelante.
 Puede calcular la probabilidad de un incidente futuro.
 Puede determinar qué host de red se vio afectado por primera vez.

Explicación: El monitoreo de seguridad general puede identificar cuándo un

archivo adjunto de malware ingresa a una red y qué host se infecta por primera
vez. El análisis retrospectivo da el siguiente paso y es el seguimiento del
comportamiento del malware a partir de ese momento.
85. ¿Qué dos tipos de datos se clasificarían como información de identificación
personal (PII)? (Escoge dos.)

 lectura del termostato de la casa

 número promedio de ganado por región
 número de identificación del vehículo
 uso de emergencia hospitalaria por región
 Fotografías de Facebook

86. Un técnico de la mesa de ayuda se da cuenta de un mayor número de

llamadas relacionadas con el rendimiento de las computadoras ubicadas en la
planta de fabricación. El técnico cree que las redes de bots están causando el
problema. ¿Cuáles son los dos propósitos de las botnets? (Escoge dos.)

 para transmitir virus o spam a equipos de la misma red

 para registrar todas y cada una de las pulsaciones de teclas
 atacar otras computadoras
  retener el acceso a una computadora o archivos hasta que se haya pagado el
dinero
 para acceder a la parte restringida del sistema operativo

Explicación: Las botnets se pueden utilizar para realizar ataques DDoS, obtener

datos o transmitir malware a otros dispositivos de la red.
87. ¿Qué dos afirmaciones describen el uso de algoritmos asimétricos? (Escoge
dos.)

 Las claves públicas y privadas se pueden usar indistintamente.

 Si se utiliza una clave pública para cifrar los datos, se debe utilizar una
clave privada para descifrar los datos.
 Si se utiliza una clave pública para cifrar los datos, se debe utilizar una
clave pública para descifrar los datos.
 Si se utiliza una clave privada para cifrar los datos, se debe utilizar una
clave pública para descifrar los datos.
 Si se utiliza una clave privada para cifrar los datos, se debe utilizar una
clave privada para descifrar los datos.

Explicación: Los algoritmos asimétricos utilizan dos claves: una clave pública y

una clave privada. Ambas claves son capaces de realizar el proceso de cifrado,
pero se requiere la clave complementaria coincidente para el descifrado. Si una
clave pública cifra los datos, la clave privada correspondiente descifra los
datos. Lo opuesto también es cierto. Si una clave privada cifra los datos, la clave
pública correspondiente descifra los datos.
88. ¿Qué tres servicios de seguridad se proporcionan mediante firmas
digitales? (Elige tres.)

 proporciona confidencialidad de los datos firmados digitalmente

 garantiza que los datos no han cambiado en tránsito
 proporciona no repudio usando funciones HMAC
 proporciona cifrado de datos
 autentica la fuente
 autentica el destino

89. ¿Cuáles son dos métodos para mantener el estado de revocación de

certificados? (Escoge dos.)

 CRL
 DNS
 CA subordinada
 OCSP
  LDAP

Explicación: Es posible que sea necesario revocar un certificado digital si su clave

se ve comprometida o ya no se necesita. La lista de revocación de certificados
(CRL) y el Protocolo de estado de certificados en línea (OCSP) son dos métodos
comunes para verificar el estado de revocación de un certificado.
90. ¿Cuáles son dos usos de una lista de control de acceso? (Escoge dos.)

 Las ACL proporcionan un nivel básico de seguridad para el acceso a la

red.
 Las ACL pueden controlar a qué áreas puede acceder un host en una
red.
 Las ACL estándar pueden restringir el acceso a aplicaciones y puertos
específicos.
 Las ACL ayudan al enrutador a determinar la mejor ruta a un destino.
 Las ACL pueden permitir o denegar el tráfico según la dirección MAC que
se origina en el enrutador.

Explicación: Las ACL se pueden utilizar para lo siguiente: Limitar el tráfico de

red para proporcionar un rendimiento de red adecuado
Restringir la entrega de actualizaciones de enrutamiento
Proporcionar un nivel básico de seguridad
Filtrar el tráfico según el tipo de tráfico que se envía
Filtrar el tráfico según el direccionamiento IP
91. Un cliente está utilizando SLAAC para obtener una dirección IPv6 para la
interfaz. Después de que se haya generado una dirección y se haya aplicado a
la interfaz, ¿qué debe hacer el cliente antes de que pueda comenzar a usar
esta dirección IPv6?

 Debe enviar un mensaje de solicitud de enrutador ICMPv6 para determinar

qué puerta de enlace predeterminada debe usar.
 Debe enviar un mensaje de solicitud de enrutador ICMPv6 para solicitar la
dirección del servidor DNS.
 Debe enviar un mensaje de solicitud de vecino ICMPv6 para asegurarse
de que la dirección no esté ya en uso en la red.
 Debe esperar a que aparezca un mensaje de anuncio de enrutador ICMPv6
dando permiso para usar esta dirección.

Explicación: DHCPv6 sin estado o DHCPv6 con estado utiliza un servidor DHCP,

pero la configuración automática de direcciones sin estado (SLAAC) no lo
hace. Un cliente SLAAC puede generar automáticamente una dirección basada en
información de enrutadores locales a través de mensajes de anuncio de enrutador
(RA). Una vez que se ha asignado una dirección a una interfaz a través de SLAAC,
el cliente debe asegurarse a través de la Detección de direcciones duplicadas
(DAD) que la dirección no está ya en uso. Para ello, envía un mensaje de solicitud
de vecino ICMPv6 y escucha una respuesta. Si se recibe una respuesta, significa
que otro dispositivo ya está usando esta dirección.
92. Un técnico está solucionando un problema de conectividad de red. Los
pings al enrutador inalámbrico local se realizan correctamente, pero los pings
a un servidor en Internet no se realizan correctamente. ¿Qué comando de la
CLI podría ayudar al técnico a encontrar la ubicación del problema de red?

 tracert
 ipconfig
 msconfig
 ipconfig / renovar

Explicación: La utilidad tracert (también conocida como comando tracert o

herramienta tracert) permitirá al técnico ubicar el enlace al servidor que está
inactivo. El comando ipconfig muestra los detalles de configuración de la red de
computadoras. El comando ipconfig / renew solicita una dirección IP de un
servidor DHCP. Msconfig no es un comando de resolución de problemas de red.
93. ¿Cuáles son las dos técnicas de evasión que utilizan los piratas
informáticos? (Escoge dos.)

 caballo de Troya
 pivote
 rootkit
 reconocimiento
 suplantación de identidad

Explicación: Los piratas informáticos utilizan los siguientes métodos para evitar la

detección: Cifrado y tunelización: oculta o codifica el contenido del malware
Agotamiento de
recursos: mantiene el dispositivo host demasiado ocupado para detectar la invasión
Fragmentación del tráfico: divide el malware en varios paquetes
Interpretación errónea a nivel de protocolo: se cuela por el firewall
Pivot: utiliza un dispositivo de red comprometido para intentar acceder a otro
dispositivo
Rootkit: permite que el pirata informático no sea detectado y oculta el software
instalado por el pirata informático
94. Cuando se ha producido un ataque a la seguridad, ¿qué dos enfoques
deben tomar los profesionales de la seguridad para mitigar un sistema
comprometido durante el paso Acciones sobre los objetivos según lo definido
por el modelo Cyber Kill Chain? (Escoge dos.)

 Realice análisis forenses de criterios de valoración para una

clasificación rápida.
 Capacite a los desarrolladores web para proteger el código.
 Cree detecciones para el comportamiento de malware conocido.
 Recopile archivos y metadatos de malware para análisis futuros.
 Detecte la filtración de datos, el movimiento lateral y el uso no
autorizado de credenciales.

Explicación: cuando se alerta a los profesionales de seguridad sobre los

compromisos del sistema, se debe realizar un análisis forense de los puntos finales
de inmediato para una clasificación rápida. Además, los esfuerzos de detección
para actividades de ataque adicionales como la exfiltración de datos, el
movimiento lateral y el uso de credenciales no autorizadas deben mejorarse para
reducir el daño al mínimo.
95. Coloque los siete pasos definidos en Cyber Kill Chain en el orden correcto.

96. ¿Cuáles son los tres objetivos de un ataque de escaneo de puertos? (Elige

tres.)

 para identificar configuraciones periféricas

 para determinar vulnerabilidades potenciales
  para deshabilitar los puertos y servicios usados
 para identificar sistemas operativos
 para identificar servicios activos
 para descubrir las contraseñas del sistema

97. ¿Qué campo del encabezado TCP indica el estado del proceso de
negociación de tres vías?

 bits de control
 ventana
 reservado
 suma de comprobación

Explicación: El valor en el campo de bits de control del encabezado TCP indica el

progreso y el estado de la conexión.
98. Un usuario abre tres navegadores en la misma PC para acceder a
www.cisco.com y buscar información sobre el curso de certificación. El
servidor web de Cisco envía un datagrama como respuesta a la solicitud de
uno de los navegadores web. ¿Qué información utiliza la pila de protocolos
TCP / IP en la PC para identificar cuál de los tres navegadores web debería
recibir la respuesta?

 la dirección IP de origen
 el número de puerto de destino
 la dirección IP de destino
 el número de puerto de origen

Explicación: Cada aplicación cliente de navegador web abre un número de puerto

generado aleatoriamente en el rango de los puertos registrados y usa este número
como el número de puerto de origen en el datagrama que envía a un
servidor. Luego, el servidor usa este número de puerto como el número de puerto
de destino en el datagrama de respuesta que envía al navegador web. La PC que
está ejecutando la aplicación del navegador web recibe el datagrama y usa el
número de puerto de destino que está contenido en este datagrama para identificar
la aplicación cliente.
99. ¿Cuáles son los dos escenarios en los que el análisis probabilístico de
seguridad es más adecuado? (Escoge dos.)

 cuando se analizan las aplicaciones que cumplen con los estándares de

aplicación / redes
 al analizar eventos con el supuesto de que siguen pasos predefinidos
  cuando las variables aleatorias crean dificultad para conocer con certeza el
resultado de cualquier evento dado
 al analizar aplicaciones diseñadas para eludir los cortafuegos
 cuando cada evento es el resultado inevitable de causas antecedentes

100. ¿Qué herramienta es una aplicación web que proporciona al analista de

ciberseguridad un medio fácil de leer para ver una sesión completa de Capa
4?

 Bufido
 Zeek
 CapME
 OSSEC
101. Empareje la categoría de los ataques con la descripción. (No se utilizan
todas las opciones).

102. Haga coincidir las herramientas de ataque con la descripción. (No se

utilizan todas las opciones).
103. ¿Cuáles son dos características de ARP? (Escoge dos.)

 Cuando un host encapsula un paquete en una trama, se refiere a la tabla de

direcciones MAC para determinar la asignación de direcciones IP a
direcciones MAC.
 Si un host está listo para enviar un paquete a un dispositivo de destino local
y tiene la dirección IP pero no la dirección MAC del destino, genera una
transmisión ARP.
 Si un dispositivo que recibe una solicitud ARP tiene la dirección IPv4 de
destino, responde con una respuesta ARP.
 Si ningún dispositivo responde a la solicitud de ARP, el nodo de origen
transmitirá el paquete de datos a todos los dispositivos del segmento de red.
 Se envía una solicitud ARP a todos los dispositivos en la LAN Ethernet y
contiene la dirección IP del host de destino y la dirección MAC de
multidifusión.
Explicación:Cuando un nodo encapsula un paquete de datos en una trama,
necesita la dirección MAC de destino. Primero, determina si el dispositivo de
destino está en la red local o en una red remota. Luego, verifica la tabla ARP (no la
tabla MAC) para ver si existe un par de dirección IP y dirección MAC para la
dirección IP de destino (si el host de destino está en la red local) o la dirección IP
de la puerta de enlace predeterminada (si el el host de destino está en una red
remota). Si la coincidencia no existe, genera una transmisión ARP para buscar la
resolución de dirección IP a dirección MAC. Debido a que se desconoce la
dirección MAC de destino, la solicitud ARP se transmite con la dirección MAC
FFFF.FFFF.FFFF. O el dispositivo de destino o la puerta de enlace predeterminada
responderá con su dirección MAC, lo que permite que el nodo de envío ensamble
la trama.
104. ¿Qué es una propiedad de la tabla ARP en un dispositivo?

 Las entradas en una tabla ARP tienen una marca de tiempo y se purgan
después de que expira el tiempo de espera.
 Cada sistema operativo usa el mismo temporizador para eliminar las
entradas antiguas de la caché ARP.
 Las entradas de direcciones IP a MAC estáticas se eliminan dinámicamente
de la tabla ARP.
 Los sistemas operativos Windows almacenan entradas de caché ARP
durante 3 minutos.

105. ¿Cuál es el propósito de Tor?

 para permitir que los usuarios naveguen por Internet de forma anónima
 para conectarse de forma segura a una red remota a través de un enlace no
seguro, como una conexión a Internet
 donar ciclos de procesador a tareas computacionales distribuidas en un
procesador que comparte una red P2P
 para inspeccionar el tráfico entrante y buscar cualquiera que viole una regla
o coincida con la firma de un exploit conocido

Explicación: Tor es una plataforma de software y una red de hosts peer-to-peer

(P2P) que funcionan como enrutadores. Los usuarios acceden a la red Tor
mediante el uso de un navegador especial que les permite navegar de forma
anónima.
106. ¿Qué dos técnicas se utilizan en un ataque pitufo? (Escoge dos.)

 secuestro de sesión
 agotamiento de recursos
 botnets
  amplificación
 reflexión

107. ¿Cuál es el objetivo principal de una plataforma de inteligencia de

amenazas (TIP)?

 para agregar los datos en un solo lugar y presentarlos en un formato

comprensible y utilizable
 proporcionar una especificación para un protocolo de capa de aplicación que
permite la comunicación de CTI a través de HTTPS
 Proporcionar un esquema estandarizado para especificar, capturar,
caracterizar y comunicar eventos y propiedades de las operaciones de red.
 para proporcionar una plataforma de operaciones de seguridad que
integre y mejore diversas herramientas de seguridad e inteligencia de
amenazas

108. ¿Qué parámetro inalámbrico utiliza un punto de acceso para transmitir

tramas que incluyen el SSID?

 modo de seguridad
 modo activo
 Modo pasivo
 ajuste de canal

Explicación: Los dos modos de exploración o sondeo en los que se puede colocar

un punto de acceso son pasivo o activo. En modo pasivo, el AP anuncia el SSID,
los estándares admitidos y la configuración de seguridad en las tramas de baliza de
transmisión. En modo activo, el cliente inalámbrico debe configurarse
manualmente para los mismos parámetros inalámbricos que el AP ha configurado.
109. Haga coincidir el campo de la tabla de eventos de Sguil con la
descripción.
Hag
a coincidir el campo en la tabla de eventos de Sguil con la descripción
110. Un empleado se conecta de forma inalámbrica a la red de la empresa
mediante un teléfono celular. Luego, el empleado configura el teléfono celular
para que actúe como un punto de acceso inalámbrico que permitirá a los
nuevos empleados conectarse a la red de la empresa. ¿Qué tipo de amenaza a
la seguridad describe mejor esta situación?

 punto de acceso deshonesto

 agrietamiento
 negación de servicio
 suplantación

111. ¿Qué información se requiere para una consulta de WHOIS?

 fuera de la dirección global del cliente

 Dirección del servidor de búsqueda de ICANN
 dirección de enlace local del propietario del dominio
 FQDN del dominio

112. ¿Qué dos afirmaciones describen las características de los algoritmos

simétricos? (Escoge dos.)

 Se les conoce como clave precompartida o clave secreta.

 Usan un par de clave pública y clave privada.
 Se utilizan comúnmente con tráfico VPN.
 Proporcionan confidencialidad, integridad y disponibilidad.

Explicación: Los algoritmos de cifrado simétrico utilizan la misma clave (también

llamada secreto compartido) para cifrar y descifrar los datos. Por el contrario, los
algoritmos de cifrado asimétrico utilizan un par de claves, una para el cifrado y
otra para el descifrado.
113. ¿Cuáles son los dos inconvenientes de usar HIPS? (Escoge dos.)

 Con HIPS, el éxito o el fracaso de un ataque no se puede determinar

fácilmente.
 Con HIPS, el administrador de la red debe verificar la compatibilidad
con todos los diferentes sistemas operativos utilizados en la red.
 HIPS tiene dificultades para construir una imagen de red precisa o
coordinar eventos que ocurren en toda la red.
 Si el flujo de tráfico de la red está encriptado, HIPS no puede acceder a
formas no encriptadas del tráfico.
 Las instalaciones de HIPS son vulnerables a ataques de fragmentación o
ataques TTL variables
114. ¿Cuáles son las tres funciones proporcionadas por el servicio
syslog? (Elige tres.)

 para seleccionar el tipo de información de registro que se captura

 para sondear periódicamente a los agentes en busca de datos
 para proporcionar estadísticas sobre los paquetes que fluyen a través de un
dispositivo Cisco
 para proporcionar análisis de tráfico
 para recopilar información de registro para monitorear y solucionar
problemas
 para especificar los destinos de los mensajes capturados

Explicación: Hay tres funciones principales proporcionadas por el servicio syslog:

1. recopilación de información de registro

2. selección del tipo de información a registrar
3. selección del destino de la información registrada

115. ¿Qué consideración es importante al implementar syslog en una red?

 Habilite el nivel más alto de syslog disponible para garantizar el registro de

todos los mensajes de eventos posibles.
 Sincronice relojes en todos los dispositivos de red con un protocolo
como Network Time Protocol.
 Registre todos los mensajes en el búfer del sistema para que se puedan
mostrar al acceder al enrutador.
 Utilice SSH para acceder a la información de syslog

116. ¿Cuáles son las dos formas en que los actores de amenazas usan
NTP? (Escoge dos.)

 Colocan un archivo adjunto dentro de un mensaje de correo electrónico.

 Atacan la infraestructura NTP para corromper la información
utilizada para registrar el ataque.
 Colocan iFrames en una página web corporativa de uso frecuente.
 Codifican los datos robados como la parte del subdominio donde el servidor
de nombres está bajo el control de un atacante.
 Los actores de amenazas utilizan sistemas NTP para dirigir ataques
DDoS.

117. ¿Qué dos funciones están incluidas en los protocolos TACACS + y

RADIUS? (Escoge dos.)

 cifrado de contraseña
  procesos separados de autenticación y autorización
 Soporte SIP
 utilización de protocolos de capa de transporte
 Soporte 802.1X

Explicación: Tanto TACACS + como RADIUS admiten el cifrado de contraseña

(TACACS + cifra todas las comunicaciones) y utilizan el protocolo de capa 4
(TACACS + utiliza TCP y RADIUS utiliza UDP). TACACS + admite la
separación de los procesos de autenticación y autorización, mientras que RADIUS
combina la autenticación y la autorización como un solo proceso. RADIUS admite
tecnología de acceso remoto, como 802.1xy SIP; TACACS + no lo hace.
118. Haga coincidir la función SIEM con la descripción.

119. ¿Cuáles son los dos tipos de ataques que se utilizan en los resolutores
abiertos de DNS? (Escoge dos.)

 amplificación y reflexión
 flujo rápido
  Envenenamiento por ARP
 utilización de recursos
 amortiguación

Explicación: Los tres tipos de ataques que se utilizan en los resolutores abiertos de

DNS son los siguientes: Envenenamiento de la caché de DNS: el atacante envía
información falsificada falsificada para redirigir a los usuarios de sitios legítimos a
sitios maliciosos
Ataques de amplificación y reflexión de DNS: el atacante envía un mayor volumen
de ataques para enmascarar lo verdadero origen del ataque
Ataques de utilización de recursos de DNS: un ataque de denegación de servicio
(DoS) que consume recursos del servidor
120. ¿Qué firewall basado en host utiliza un enfoque de tres perfiles para
configurar la funcionalidad del firewall?

 iptables
 firewall de Windows
 nftables
 Envoltorio TCP

121. ¿Qué protocolo o servicio usa UDP para una comunicación de cliente a
servidor y TCP para una comunicación de servidor a servidor?

 HTTP
 FTP
 DNS
 SMTP

Explicación: Algunas aplicaciones pueden utilizar tanto TCP como UDP. DNS

usa UDP cuando los clientes envían solicitudes a un servidor DNS y TCP cuando
dos servidores DNS se comunican directamente.
122. ¿Qué dos protocolos de red puede utilizar un actor de amenazas para
exfiltrar datos en el tráfico disfrazado de tráfico de red normal? (Escoge dos.)

 NTP
 DNS
 HTTP
 syslog
 SMTP

123. ¿Cuál es la diferencia clave entre los datos capturados por NetFlow y los
datos capturados por Wireshark?
  Los datos de NetFlow muestran el contenido del flujo de la red, mientras
que los datos de Wireshark muestran las estadísticas del flujo de la red.
 Los datos de NetFlow son analizados por tcpdump mientras que los datos de
Wireshark son analizados por nfdump.
 NetFlow proporciona datos de transacciones, mientras que Wireshark
proporciona datos de sesiones.
 NetFlow recopila metadatos de un flujo de red, mientras que Wireshark
captura paquetes de datos completos.

Explicación: Wireshark captura todo el contenido de un paquete. NetFlow no lo

hace. En cambio, NetFlow recopila metadatos o datos sobre el flujo.
124. ¿Qué herramienta captura paquetes de datos completos solo con una
interfaz de línea de comandos?

 nfdump
 Wireshark
 NBAR2
 tcpdump

Explicación: La herramienta de línea de comandos tcpdump es un analizador de

paquetes. Wireshark es un analizador de paquetes con una interfaz GUI.
125. ¿Qué método se puede utilizar para endurecer un dispositivo?

 mantener el uso de las mismas contraseñas

 permitir que los servicios predeterminados permanezcan habilitados
 permitir la detección automática de USB
 use SSH y desactive el acceso a la cuenta raíz a través de SSH

Explicación: Las mejores prácticas básicas para

la protección de dispositivos son las siguientes: Garantizar la seguridad física.
Minimice los paquetes instalados.
Deshabilite los servicios no utilizados.
Utilice SSH y desactive el inicio de sesión de la cuenta raíz a través de SSH.
Mantenga el sistema actualizado.
Desactive la detección automática de USB.
Aplique contraseñas seguras.
Forzar cambios periódicos de contraseña.
Evite que los usuarios reutilicen contraseñas antiguas.
Revise los registros con regularidad.
126. En un sistema operativo Linux, ¿qué componente interpreta los
comandos del usuario e intenta ejecutarlos?
  GUI
 demonio
 núcleo
 cáscara

127. Un administrador de red está configurando un servidor AAA para

administrar la autenticación RADIUS. ¿Qué dos funciones están incluidas en
la autenticación RADIUS? (Escoge dos.)

 cifrado para todas las comunicaciones

 cifrado solo para los datos
 proceso único de autenticación y autorización
 procesos separados para autenticación y autorización
 contraseñas ocultas durante la transmisión

128. ¿Qué es la escalada de privilegios?

 Las vulnerabilidades en los sistemas se explotan para otorgar niveles de

privilegio más altos de los que debería tener alguien o algún proceso.
 A todos se les otorgan todos los derechos de forma predeterminada sobre
todo y los derechos se eliminan solo cuando alguien abusa de los
privilegios.
 A alguien se le otorgan derechos porque ha recibido un ascenso.
 Un problema de seguridad ocurre cuando los funcionarios corporativos de
alto rango exigen derechos sobre sistemas o archivos que no deberían tener.

Explicación: Con la escalada de privilegios, las vulnerabilidades se explotan para

otorgar niveles más altos de privilegios. Una vez concedido el privilegio, el actor
de la amenaza puede acceder a información confidencial o tomar el control del
sistema.
129. ¿Cuáles son las dos garantías que ofrece la firma digital sobre el código
que se descarga de Internet? (Escoge dos.)

 El código no contiene virus.

 El código no se ha modificado desde que salió del editor del software.
 El código es auténtico y en realidad lo obtiene el editor.
 El código no contiene errores.
 El código se cifró con una clave pública y privada.

Explicación: El código de firma digital proporciona varias garantías sobre el

código:
El código es auténtico y, en realidad, lo obtiene el editor.
El código no se ha modificado desde que salió del editor del software.
Sin lugar a dudas, el editor publicó el código. Esto proporciona no repudio al acto
de publicar.
130. Una empresa de TI recomienda el uso de aplicaciones PKI para
intercambiar información de forma segura entre los empleados. ¿En qué dos
casos podría una organización utilizar aplicaciones PKI para intercambiar
información de forma segura entre usuarios? (Escoge dos.)

 Servicio web HTTPS

 Autenticación 802.1x
 servidor NTP local
 Transferencias FTP
 permiso de acceso a archivos y directorios

131. ¿Qué medida puede tomar un analista de seguridad para realizar un

monitoreo de seguridad efectivo contra el tráfico de red encriptado por
tecnología SSL?

 Utilice un servidor Syslog para capturar el tráfico de la red.

 Implemente un dispositivo SSL de Cisco.
 Requiere conexiones de acceso remoto a través de IPsec VPN.
 Implemente un Cisco ASA.

132. Un administrador está intentando desarrollar una política de seguridad

BYOD para los empleados que traen una amplia gama de dispositivos para
conectarse a la red de la empresa. ¿Qué tres objetivos debe abordar la política
de seguridad BYOD? (Elige tres.)

 Todos los dispositivos deben estar asegurados contra responsabilidad si se

utilizan para comprometer la red corporativa.
 Todos los dispositivos deben tener autenticación abierta con la red
corporativa.
 Se deben definir los derechos y actividades permitidos en la red corporativa.
 Se deben implementar salvaguardas para cualquier dispositivo personal que
se vea comprometido.
 Se debe definir el nivel de acceso de los empleados al conectarse a la red
corporativa.
 Todos los dispositivos deben poder conectarse a la red corporativa sin
problemas.

133. Haga coincidir la política de seguridad con la descripción. (No se utilizan

todas las opciones).
134. Empareje el ataque con la definición. (No se utilizan todas las opciones).

135. ¿Qué tipo de ataque tiene como objetivo una base de datos SQL
utilizando el campo de entrada de un usuario?

 Inyección XML
 desbordamiento de búfer
 Secuencias de comandos entre sitios
 inyección SQL

Explicación: Un delincuente puede insertar una declaración SQL maliciosa en un

campo de entrada en un sitio web donde el sistema no filtra la entrada del usuario
correctamente.
136. ¿Cuáles son dos características de las direcciones MAC de
Ethernet? (Escoge dos.)

 Las direcciones MAC utilizan una estructura jerárquica flexible.

 Se expresan como 12 dígitos hexadecimales.
 Son únicos a nivel mundial.
  Se pueden enrutar en Internet.
 Las direcciones MAC deben ser únicas para las interfaces Ethernet y serie
en un dispositivo.

137. Un usuario llama para informar que una PC no puede acceder a

Internet. El técnico de red le pide al usuario que emita el comando ping
127.0.0.1en una ventana de símbolo del sistema. El usuario informa que el
resultado son cuatro respuestas positivas. ¿Qué conclusión se puede sacar con
base en esta prueba de conectividad?

 La dirección IP obtenida del servidor DHCP es correcta.

 La PC puede acceder a la red. El problema existe más allá de la red local.
 La PC puede acceder a Internet. Sin embargo, es posible que el navegador
web no funcione.
 La implementación de TCP / IP es funcional.

138. ¿Qué caracteriza a un actor de amenazas?

 Todos son individuos altamente calificados.

 Siempre usan herramientas avanzadas para lanzar ataques.
 Siempre intentan causar algún daño a un individuo u organización.
 Todos pertenecen al crimen organizado.

139. Una computadora le presenta a un usuario una pantalla que solicita el

pago antes de que el mismo usuario pueda acceder a los datos del
usuario. ¿Qué tipo de malware es este?

 un tipo de bomba lógica

 un tipo de virus
 un tipo de gusano
 un tipo de ransomware

Explicación: El ransomware comúnmente cifra los datos en una computadora y

hace que los datos no estén disponibles hasta que el usuario de la computadora
paga una suma específica de dinero.
140. ¿Qué tipo de mensaje ICMPv6 proporciona información de
direccionamiento de red a los hosts que usan SLAAC?

 solicitud de enrutador
 anuncio vecino
 solicitud de vecino
 anuncio de enrutador
141. Un cliente está utilizando SLAAC para obtener una dirección IPv6 para
la interfaz. Después de que se haya generado una dirección y se haya aplicado
a la interfaz, ¿qué debe hacer el cliente antes de que pueda comenzar a usar
esta dirección IPv6?

 Debe esperar a que aparezca un mensaje de anuncio de enrutador ICMPv6

dando permiso para usar esta dirección.
 Debe enviar un mensaje de solicitud de enrutador ICMPv6 para determinar
qué puerta de enlace predeterminada debe usar.
 Debe enviar un mensaje de solicitud de vecino ICMPv6 para asegurarse de
que la dirección no esté ya en uso en la red.
 Debe enviar un mensaje de solicitud de enrutador ICMPv6 para solicitar la
dirección del servidor DNS.

142. ¿Qué dos tipos de tráfico de red ilegible podrían eliminarse de los datos
recopilados por NSM? (Escoge dos.)

 Tráfico STP
 Tráfico IPsec
 el enrutamiento actualiza el tráfico
 Tráfico SSL
 tráfico de transmisión

Explicación: Para reducir la enorme cantidad de datos recopilados para que los

analistas de ciberseguridad puedan centrarse en las amenazas críticas, algunos
datos menos importantes o inutilizables podrían eliminarse de los conjuntos de
datos. Por ejemplo, los datos cifrados, como el tráfico IPsec y SSL, podrían
eliminarse porque no se pueden leer en un período de tiempo razonable.
143. ¿Qué componente central de código abierto de Elastic-stack es
responsable de aceptar los datos en su formato nativo y hacer que los
elementos de los datos sean consistentes en todas las fuentes?

 Logstash
 Kibana
 Beats
 Elasticsearch

144. Empareje a la parte interesada del incidente de seguridad con el rol.

145. En el ciclo de vida del proceso de respuesta a incidentes del NIST, ¿qué
tipo de vector de ataque implica el uso de fuerza bruta contra dispositivos,
redes o servicios?

 medios de comunicación
 interpretación
 desgaste
 pérdida o robo

Explicación: Los vectores de ataque comunes incluyen medios, desgaste,

suplantación y pérdida o robo. Los ataques de desgaste son los ataques que utilizan
la fuerza bruta. Los ataques a los medios son los iniciados desde dispositivos de
almacenamiento. Los ataques de suplantación de identidad ocurren cuando algo o
alguien es reemplazado con el propósito del ataque, y los ataques de pérdida o robo
son iniciados por equipos dentro de la organización.
146. Relacionar la organización de seguridad con sus funciones de
seguridad. (No se utilizan todas las opciones).

147. ¿Cuál es una característica de CybOX?

 Es un conjunto de esquemas estandarizados para especificar, capturar,

caracterizar y comunicar eventos y propiedades de las operaciones de red.
 Permite el intercambio en tiempo real de indicadores de ciberamenazas
entre el gobierno federal de los EE. UU. Y el sector privado.
 Es un conjunto de especificaciones para el intercambio de información
sobre ciberamenazas entre organizaciones.
 Es la especificación de un protocolo de capa de aplicación que permite la
comunicación de CTI sobre HTTPS.

148. Después de que el host A recibe una página web del servidor B, el host A
termina la conexión con el servidor B. Haga coincidir cada paso con su opción
correcta en el proceso de terminación normal para una conexión TCP. (No se
utilizan todas las opciones).

149. ¿Cuáles son las dos formas en que ICMP puede ser una amenaza para la
seguridad de una empresa? (Escoge dos.)

 mediante la recopilación de información sobre una red

 corrompiendo los datos entre los servidores de correo electrónico y los
destinatarios del correo electrónico
 por la infiltración de páginas web
 corrompiendo los paquetes de datos IP de la red
 proporcionando un conducto para los ataques DoS

Explicación: ICMP se puede utilizar como conducto para ataques DoS. Se puede

utilizar para recopilar información sobre una red, como la identificación de hosts y
la estructura de la red, y para determinar los sistemas operativos que se utilizan en
la red.
150. ¿Qué tres campos de encabezado IPv4 no tienen equivalente en un
encabezado IPv6? (Elige tres.)

 desplazamiento de fragmento
 protocolo
 bandera
 TTL
 identificación
 versión

Explicación: A diferencia de IPv4, los enrutadores IPv6 no realizan

fragmentación. Por lo tanto, los tres campos que admiten la fragmentación en el
encabezado de IPv4 se eliminan y no tienen equivalente en el encabezado de
IPv6. Estos tres campos son desplazamiento de fragmento, bandera e
identificación. IPv6 admite la fragmentación de paquetes de host mediante el uso
de encabezados de extensión, que no forman parte del encabezado de IPv6.
151. Un administrador descubre que un usuario está accediendo a un sitio
web recién creado que puede ser perjudicial para la seguridad de la
empresa. ¿Qué acción debe tomar el administrador primero en términos de la
política de seguridad?

 Solicite al usuario que se detenga inmediatamente e informe al usuario que

esto constituye motivo de despido.
 Cree una regla de firewall que bloquee el sitio web correspondiente.
 Revise la AUP inmediatamente y haga que todos los usuarios firmen la
AUP actualizada.
 Suspenda inmediatamente los privilegios de red del usuario.