Ciberguarani 2025

1 / 35

Escenario:

Durante el monitoreo del servidor principal del Comando de Ciberdefensa, el sistema IDS (Intrusion Detection System) registra múltiples intentos de conexión secuencial provenientes de una dirección IP externa.
El patrón muestra consultas a puertos consecutivos del rango 20–445, con tiempos de intervalo regulares y sin transferencia de datos posterior.
El tráfico no supera el umbral de saturación, pero evidencia una actividad sistemática de sondeo sobre distintos servicios del sistema (FTP, SSH, HTTP, SMB, RDP, etc.).

El analista en turno reporta la anomalía al SOC, considerando la posibilidad de que se trate del inicio de una fase de reconocimiento activo.

Pregunta:

¿Qué tipo de actividad maliciosa está detectando el IDS según el patrón descrito?

1) Actividad de backdoor, consistente en mantener acceso persistente luego de comprometer el sistema. ________________________________________

2) Escaneo de puertos (port scanning), empleado para identificar servicios abiertos y vulnerables antes de un ataque dirigido.

3) Exfiltración de datos, en la cual un actor malicioso extrae información de forma encubierta hacia un servidor externo.

4) Ataque de denegación de servicio (DoS), que busca saturar los recursos del servidor mediante múltiples solicitudes simultáneas.

2 / 35

Contexto:

En la Dirección de Personal del I Cuerpo del Ejército, varios funcionarios administrativos reciben un correo con el asunto “Planilla de ascensos 2025”, proveniente de un remitente que aparenta ser del Ministerio de Defensa.
Sin verificar el origen, varios empleados abren el archivo adjunto y ejecutan su contenido, lo que provoca que múltiples estaciones de trabajo comiencen a mostrar procesos anómalos y conexiones salientes no autorizadas.

La investigación técnica revela que los correos no fueron detectados por el antivirus debido a que no contenían malware conocido, sino un script oculto en un documento ofimático.
El incidente deja en evidencia la falta de preparación del personal para reconocer intentos de phishing y comportamientos sospechosos en correos aparentemente legítimos.

Pregunta:

¿Qué debilidad institucional se refleja en esta situación?

1) Falta de antivirus, ya que el software no logró bloquear el archivo malicioso.

2) Vulnerabilidad del software, por no aplicar parches de seguridad en los sistemas.

3) Ausencia de cultura de ciberseguridad, al evidenciarse la falta de formación del personal en la identificación y manejo seguro de amenazas digitales.

4) Fallo del firewall, por no impedir la recepción del correo.

3 / 35

Contexto:
El Sgto 1° Sosa recibe en el panel de seguridad varias alertas del IDS sobre paquetes provenientes del exterior con comandos sospechosos.
Pregunta:
¿Qué acción corresponde realizar?

1) Desinstalar el IDS

2) Ignorar si no hubo daño visible

3) Analizar los logs y bloquear la IP de origen en el firewall

4) Reiniciar el servidor

4 / 35

Contexto:

En el Batallón Conjunto de Fuerzas Especiales, varios equipos informáticos dejan de responder de forma simultánea.
Las pantallas muestran un mensaje en fondo negro con un reloj regresivo, indicando que los datos han sido cifrados y que para recuperarlos se debe contactar a un correo electrónico extranjero, acompañado de una advertencia:

“Si el tiempo expira, sus archivos serán destruidos permanentemente.”

Los intentos de acceso remoto y reinicio del sistema resultan inútiles: todos los archivos críticos presentan extensiones alteradas y no pueden abrirse.
El incidente afecta tanto servidores como equipos personales, y el análisis posterior revela un payload ejecutado a través de un adjunto de correo electrónico comprimido, recibido horas antes del suceso.

Pregunta:

¿Qué tipo de ataque corresponde a este escenario?

1) Ransomware, que cifra los datos del sistema y exige un rescate o contacto externo para liberarlos.

2) Phishing, mediante engaño por correo para obtener credenciales o información.

3) Keylogger, que registra las pulsaciones del teclado para robar contraseñas.

4) DDoS, que busca saturar servicios impidiendo el acceso a usuarios legítimos.

5 / 35

Contexto:

Durante una guardia nocturna en la Dirección de Tecnologías de la Información y Comunicaciones del Ejército (DITICE), un suboficial nota que su sesión de usuario institucional fue cerrada de manera repentina.
Al volver a iniciar sesión, el sistema le muestra un aviso de inicio de sesión concurrente proveniente de otra ciudad, registrada en los logs con la misma cuenta y credenciales.

El equipo de monitoreo revisa el registro de eventos y confirma que el acceso fue realizado desde una dirección IP externa, utilizando un agente de conexión legítimo y con credenciales válidas, pero fuera del horario habitual.
No se detectan intentos de fuerza bruta ni malware activo en el sistema local, lo que sugiere una comprometida autenticación del usuario

¿Qué tipo de vulnerabilidad o incidente está ocurriendo en este escenario?

1) Ataque DDoS, que intenta saturar recursos mediante múltiples conexiones simultáneas.

2) Fallo de hardware, causado por una desconexión inesperada del sistema.

3) Error del sistema operativo, responsable del cierre de sesión accidental.

4) Robo de credenciales, ya que se observa un acceso remoto con usuario y contraseña válidos desde una ubicación no habitual.

6 / 35

Contexto:

Durante la verificación posterior a una actualización del firewall principal de la DITIFAE, el equipo de seguridad detecta que el servicio se encontraba deshabilitado temporalmente, dejando la red expuesta durante varias horas.
Al revisar los registros, se descubre que un técnico de la propia unidad había modificado la configuración, dejando una regla abierta que permitía el acceso remoto desde una dirección IP externa no autorizada.

El técnico no informó el cambio ni lo documentó en el registro de mantenimiento.
Días después, esa misma IP fue observada realizando conexiones sospechosas a través del puerto que había quedado expuesto.
El hecho genera un incidente de seguridad interno con indicios claros de manipulación deliberada de los controles perimetrales.

Pregunta:

¿Qué tipo de amenaza representa esta situación?

1) Ransomware, que cifra datos para exigir un rescate.

2) Insider malicioso, cuando un miembro interno con privilegios utiliza su acceso de forma intencionada para comprometer la seguridad institucional.

3) Malware tipo rootkit, diseñado para ocultar procesos maliciosos dentro del sistema operativo.

4) Phishing, ataque de engaño para robar información o credenciales.

7 / 35

Escenario:

Durante una revisión rutinaria en el Comando Conjunto de Ciberdefensa, el My Fleitas identifica que varias terminales administrativas y operativas no cuentan con actualizaciones de antivirus ni definiciones de firmas desde hace más de 90 días.
Algunos equipos están conectados de forma permanente a la red interna de monitoreo, donde se procesan reportes diarios y se descargan archivos desde fuentes externas mediante pendrives y correos institucionales.

El sistema de gestión centralizado de seguridad (SIEM) muestra que no existen alertas recientes, pero el motor heurístico de los antivirus desactualizados ya no reconoce nuevas variantes de ransomware y troyanos detectadas en las últimas semanas en otras unidades.

Pregunta:

¿Cuál es el riesgo más directo y crítico asociado a la falta de actualización de los antivirus en las terminales?

1) Vulnerabilidad ante malware y amenazas emergentes, al no contar con firmas actualizadas ni capacidad heurística efectiva

2) Riesgo de fallo de hardware por sobrecarga de procesos o controladores obsoletos.

3) Fuga interna de información debido a la ausencia de políticas de clasificación de datos.

4) Exposición a un ataque DDoS debido a la falta de detección de tráfico anómalo de red.

8 / 35

Durante tareas administrativas en la Ayudantía General del (COMARTE), un Sgto 1° conecta su pendrive personal a un equipo institucional para copiar unos documentos de estudio.
Pocos minutos después, el antivirus del sistema emite una alerta por actividad sospechosa de ejecución automática, detectando creación de archivos ocultos y replicación de procesos en segundo plano hacia otras unidades de red compartidas.

El análisis preliminar indica que el código malicioso se propaga automáticamente sin requerir intervención del usuario, aprovechando la conexión USB y la red interna.
El incidente obliga a aislar el equipo afectado y activar el protocolo de contención de malware.

Pregunta:

¿Qué tipo de control de seguridad falló en este incidente?

1) Control lógico, encargado de gestionar permisos de acceso digital a sistemas o aplicaciones.

2) Control de red, encargado de filtrar y monitorear el tráfico de datos entre segmentos.

3) Control físico, que protege la infraestructura crítica mediante mecanismos de acceso restringido, vigilancia y registro presencial.

4) Control biométrico, que valida la identidad de usuarios mediante huella o reconocimiento facial.

9 / 35

Escenario:

Durante un fin de semana, Oficial se conecta desde su domicilio al servidor central del Comando Logístico utilizando su notebook institucional.
Para acceder, emplea un portal web interno habilitado temporalmente para tareas administrativas, pero lo hace a través de una red Wi-Fi pública, sin activar ningún túnel VPN ni cifrado adicional de capa de red.

Horas después, el sistema registra varios intentos de conexión anómala desde direcciones IP no reconocidas, lo que sugiere la posibilidad de que el tráfico haya sido interceptado durante la sesión remota.

Pregunta:

¿Cuál es el riesgo principal generado por este comportamiento?

1) Vulnerabilidad de inyección SQL, provocada por un acceso no autenticado a las bases de datos.

2) Falla del antivirus, que permitió el acceso sin detectar la amenaza.

3) Fuga interna de información, ya que los datos institucionales fueron expuestos por un miembro autorizado.

4) Interceptación de tráfico y espionaje de credenciales, debido a la transmisión de datos sin cifrado en una red pública no segura.

10 / 35

Contexto:

El Centro Financiero del Ejército coordina mensualmente el envío de planillas de pago de salarios y haberes entre distintas dependencias.
Para agilizar el proceso, un funcionario decide enviar las planillas adjuntas por correo electrónico convencional, sin aplicar ningún tipo de cifrado ni firma digital.
Los archivos contienen nombres, CIPs, montos y cuentas bancarias del personal militar, y son transmitidos a través de servidores externos al dominio institucional.

Semanas después, se detecta que uno de los mensajes fue interceptado por un servidor intermedio, y parte de la información apareció publicada en un foro anónimo.
El incidente obliga a realizar cambios en las credenciales y procedimientos de comunicación interdepartamental.

Pregunta:

¿Qué riesgo principal se presenta al enviar información sensible sin cifrado entre dependencias?

1) Ataque de ingeniería social, mediante manipulación de los usuarios para obtener acceso.

2) Malware tipo spyware, que roba información mediante software oculto.

3) Interceptación de datos en tránsito, ya que la información viaja sin cifrado y puede ser capturada o alterada por un tercero.

4) Phishing, a través de correos falsos que buscan engañar a los usuarios.

11 / 35

Escenario:

Durante una inspección en el Centro Financiero de la Armada, se detecta que un técnico administrativo mantiene un archivo denominado “claves.txt” en el escritorio de su equipo institucional.
El archivo contiene contraseñas de acceso a sistemas bancarios, cuentas de proveedores y portales internos, todas en texto plano.
El computador no posee cifrado de disco ni control de sesión, y se encuentra en una oficina compartida, con posibilidad de acceso físico por otros funcionarios.

Tras el hallazgo, el equipo de ciberseguridad recomienda cambiar las contraseñas, pero el técnico plantea la necesidad de conservarlas todas organizadas en un solo lugar para no olvidarlas.

Pregunta:

¿Cuál sería la alternativa más segura y profesional para almacenar y gestionar contraseñas en este contexto institucional?

1) Utilizar un gestor de contraseñas cifrado, con autenticación maestra y almacenamiento local o en la nube bajo políticas seguras.

2) Usar la misma contraseña para todos los servicios, facilitando la memorización y reduciendo errores de ingreso.

3) Guardarlas en un correo personal con acceso exclusivo desde la red institucional.

4) Anotarlas en una libreta o papel físico guardado en el escritorio bajo llave.

12 / 35

Contexto:

Pregunta:

¿Qué tipo de malware es más probable que haya sido introducido por el pendrive?

1) Gusano (worm), capaz de replicarse y propagarse automáticamente a través de dispositivos removibles y redes locales.

2) Troyano, que requiere ejecución manual disfrazado de programa legítimo.

3) Spyware, diseñado para capturar información del usuario y enviarla de forma encubierta.

4) Rootkit, que busca ocultar procesos y privilegios en el sistema operativo.

13 / 35

En la DITICLOG, durante una auditoría de rutina, el equipo de ciberseguridad detecta que varias cuentas de usuario institucional utilizan contraseñas extremadamente simples, como “12345”, “admin” o “password”.
Además, no existen políticas de caducidad ni complejidad mínima, y los usuarios pueden reutilizar contraseñas antiguas indefinidamente.

Pocos días después, el sistema registra intentos de acceso no autorizados desde direcciones IP externas, lo que indica que algunas credenciales ya fueron filtradas o adivinadas mediante ataques de fuerza bruta o diccionario.

Pregunta:

¿Qué vulnerabilidad principal presenta esta situación?

1) Ataque DDoS, que busca saturar servicios mediante múltiples conexiones simultáneas.

2) Phishing, que intenta engañar a los usuarios para que revelen sus credenciales.

3) Política débil de contraseñas, que permite el uso de claves simples, predecibles y fácilmente vulnerables.

4) Ingeniería social, que manipula a las personas para obtener información o acceso.

14 / 35

Contexto:
Un dispositivo robado del Batallón Conjunto de Fuerzas Especiales contenía información operativa, pero el disco estaba cifrado con EFS.
Pregunta:
¿Qué ventaja ofrece esta medida?

1) Los datos permanecen inaccesibles sin la clave del propietario

2) Recuperación automática de los datos

3) Protección ante malware

4) Respaldo instantáneo en la nube

15 / 35

Contexto:

Durante la verificación de acceso a la intranet de la Giraduría de la DIGERMOV, varios usuarios reportan que pueden ingresar al sistema aunque introduzcan contraseñas incorrectas.
Ante la alarma, el responsable del área TI confiesa que había deshabilitado temporalmente la función de autenticación para realizar “pruebas rápidas” de rendimiento, olvidando restablecerla.

Durante ese lapso, cualquier usuario —interno o externo conectado a la red— pudo acceder libremente a información sensible como listados de personal y reportes financieros, sin validación de identidad.
El incidente fue detectado horas después, generando la necesidad de auditar los accesos realizados durante el período de exposición.

Pregunta:

¿Qué tipo de vulnerabilidad se generó con esta acción?

1) Falla de hardware, derivada de un daño físico en los componentes del sistema.

2) Ransomware, que cifra información y exige rescate.

3) Cross-Site Scripting (XSS), ataque que inyecta scripts maliciosos en páginas web.

4) Falla en el control de autenticación, al deshabilitar el mecanismo que verifica la identidad de los usuarios.

16 / 35

Contexto:
La DITICLOG detecta un flujo constante de datos saliendo del puerto 443 hacia un dominio desconocido.
Pregunta:
¿Qué herramienta permitió identificar esta actividad?

1) Firewall

2) Proxy

3) Honeypot

4) NetFlow

17 / 35

Contexto:

Durante un monitoreo rutinario en el SOC, el analista detecta que un servidor de archivos institucional mantiene tráfico de salida constante hacia direcciones IP no registradas en los rangos oficiales.
Aunque los volúmenes de datos son pequeños, el patrón se repite cada pocos minutos, incluso fuera del horario laboral.

El firewall no bloquea la comunicación, ya que el tráfico se realiza por puertos permitidos (HTTPS y DNS), lo que sugiere una comunicación encubierta.
El servidor no muestra síntomas visibles de infección, pero los registros indican procesos desconocidos manteniendo conexiones persistentes.

Pregunta:

¿Qué técnica de ataque describe mejor esta situación?

1) DDoS, orientado a saturar servicios mediante múltiples peticiones simultáneas.

2) Escaneo de puertos, técnica de reconocimiento para identificar servicios activos.

3) Exfiltración de datos / canal de Comando y Control (C2), donde un sistema comprometido mantiene comunicación encubierta con el atacante.

4) Ingeniería social, basada en manipulación humana para obtener acceso o información.

18 / 35

Contexto:

A través de redes sociales, surge una cuenta falsa que aparenta representar al Comando del Ejército Paraguayo.
Desde esa cuenta se publican mensajes anunciando una supuesta “gran rifa institucional” con premios como un automóvil 0 km y viajes al Caribe, acompañados de logotipos oficiales y fotografías de uniformados.
La publicación se difunde rápidamente, generando confusión entre el personal militar, familiares y ciudadanos, algunos de los cuales intentan inscribirse o proporcionar datos personales.

El monitoreo digital detecta que la cuenta utiliza lenguaje institucional simulado, imágenes obtenidas de fuentes oficiales y enlaces a formularios falsos.
El objetivo aparente es ganar credibilidad y recolectar información personal.

Pregunta:

¿Qué tipo de ataque o técnica cibernética representa esta situación?

1) Ingeniería social, al manipular psicológicamente a las personas mediante suplantación institucional y desinformación.

2) Ataque DDoS, al saturar los servidores con solicitudes simultáneas.

3) Ataque físico, al comprometer equipos mediante acceso directo.

4) Phishing, al intentar robar credenciales mediante enlaces falsos en correos electrónicos.

19 / 35

Contexto:
Un archivo sospechoso se recibe en la DIGETIC desde una fuente externa y es ejecutado en un entorno aislado sin afectar el sistema.
Pregunta:
¿Qué tipo de dispositivo o técnica se está empleando?

1) Firewall

2) Cifrado EFS

3) Sandboxing

4) Proxy

20 / 35

El Tte C García realiza tareas rutinarias de mantenimiento en el sistema de control logístico, encargado de gestionar inventarios y movimientos de suministros destinados a los marineros.
Durante una sesión de limpieza de archivos temporales, el oficial borra accidentalmente una carpeta del sistema que contenía archivos críticos para el seguimiento de repuestos y combustible.

El incidente provoca la interrupción del servicio por más de seis horas, hasta que el equipo de TI logra restaurar parcialmente la información desde una copia incompleta.
No se detecta intención maliciosa ni indicios de manipulación externa, pero la acción demuestra falta de precaución y control operativo en el manejo de sistemas institucionales.

Pregunta:

¿Qué tipo de amenaza o incidente representa este hecho?

1) Amenaza interna no intencional, causada por un usuario legítimo que, sin mala intención, genera un impacto negativo en los sistemas.

2) Ataque dirigido, realizado deliberadamente contra un objetivo específico.

3) Ciberespionaje, enfocado en la extracción clandestina de información sensible.

4) Amenaza externa, originada por actores fuera de la organización.

21 / 35

Contexto:

El Cap F Rivas, Director de la Dirección de Tecnologías de la Información y Comunicaciones de la Armada (DITICA), recibe en su bandeja institucional un correo electrónico con remitente aparentemente oficial:

remitente: soporte@digetic-gov.com.py
asunto: “Actualización obligatoria de su contraseña institucional – acceso inmediato requerido”

El mensaje incluye el logotipo de la DIGETIC, una firma institucional falsa y un enlace que dirige a una página web idéntica al portal de autenticación real.
El correo solicita ingresar el usuario y contraseña “para evitar la suspensión de la cuenta”.

Minutos después, otros oficiales reportan correos idénticos, confirmándose que se trata de una campaña dirigida contra personal con alto nivel de acceso administrativo.

Pregunta:

¿Qué tipo de ataque o técnica de ciberamenaza representa este incidente?

1) Phishing, ya que utiliza un correo fraudulento para engañar al usuario y obtener credenciales confidenciales.

2) SQLi (inyección SQL), un ataque técnico que manipula consultas a bases de datos.

3) Ingeniería social, aunque interviene el factor humano, el método principal es el phishing dirigido.

4) Ransomware, un malware que cifra archivos y exige rescate.

22 / 35

Durante una jornada administrativa en una unidad de la Fuerza Aérea, un visitante civil logra conectarse a la red Wi-Fi interna sin autorización.
La conexión fue posible porque el SSID (nombre de red) estaba visible públicamente y la contraseña estaba escrita en una pizarra de la oficina.
El acceso le permitió navegar dentro del segmento de red interno, donde existen dispositivos administrativos, servidores de impresión y terminales con acceso limitado al sistema de gestión documental.
El incidente es detectado por el equipo de seguridad cuando un dispositivo desconocido aparece en la tabla DHCP del router interno.

Pregunta:

¿Cuál de las siguientes políticas de seguridad se incumplió de manera más directa en este incidente?

1) Política de control de acceso, debido a la exposición de credenciales y la falta de segmentación y restricción de usuarios externos.

2) Política de respaldo y recuperación, ya que los registros del router no estaban siendo almacenados.

3) Política de autenticación multifactor (2FA), por no exigir un segundo factor para conectarse a la red inalámbrica

4) Política de actualización y gestión de parches, ya que el router no contaba con firmware actualizado.

23 / 35

En el BCFE, un corte eléctrico repentino afecta a varios equipos administrativos y servidores locales.
Al restablecer la energía, uno de los PC principales pierde información contable y registros de nómina, debido a que los archivos se almacenaban únicamente en el disco local sin copias de seguridad automatizadas.

El equipo de TI confirma que el incidente no se debió a malware ni a daño físico del hardware, sino a la ausencia de políticas de respaldo que garanticen la recuperación de datos ante fallas imprevistas.
El tiempo de recuperación se prolonga varias horas, afectando el flujo operativo y el envío de reportes financieros.

Pregunta:

¿Qué medida de seguridad faltó aplicar en este caso?

1) Firewall, que protege los sistemas contra accesos externos no autorizados.

2) VPN, que cifra las comunicaciones entre redes remotas.

3) IDS, que detecta actividades sospechosas o intrusiones en la red.

4) Copias de respaldo (backups), que aseguran la recuperación de información en caso de pérdida, daño o interrupción.

24 / 35

Contexto:

Durante una jornada en el Comando de Fuerzas Militares, el personal de la DIGETIC detecta una nueva red Wi-Fi con un SSID casi idéntico al de la red oficial:

“CFM-Segura”
y la falsificada:
“CFM_Segura”.

Varios oficiales se conectan inadvertidamente, ya que el punto de acceso falso ofrece señal más fuerte y sin requerir autenticación avanzada.
Minutos después, comienzan a observarse inicios de sesión extraños y reintentos fallidos de autenticación en los servidores institucionales.
El análisis forense revela que un atacante había montado un punto de acceso malicioso en las cercanías, con el propósito de interceptar tráfico y capturar credenciales mediante un ataque de tipo man-in-the-middle inalámbrico.

Pregunta:

¿Qué tipo de ataque está ocurriendo?

1) Evil Twin, donde se crea una red inalámbrica que imita a la legítima para engañar a los usuarios y capturar credenciales.

2) Phishing, mediante engaño para obtener información personal.

3) MITM tradicional, en el que el atacante intercepta comunicaciones entre dos hosts sin suplantar una red Wi-Fi.

4) SQLi, manipulación de consultas a bases de datos.

25 / 35

Contexto:

Un atacante logra acceso no autorizado a la base de datos de la Asesoría Jurídica de la DIGEMABEL, comprometiendo las credenciales de un funcionario mediante explotación de una vulnerabilidad en el servidor de aplicaciones.
Una vez dentro, realiza modificaciones en los registros de control de armerías, alterando datos legítimos y agregando nuevas empresas no autorizadas, simulando que poseen habilitación legal.

Al día siguiente, esa información adulterada debía ser remitida a la Fiscalía General del Estado y a otros organismos responsables de licencias y permisos, lo que podría derivar en la legalización indirecta de empresas vinculadas a organizaciones criminales.
El ataque no tuvo como objetivo robar información, sino manipularla de forma precisa para alterar decisiones administrativas y procesales.

Pregunta:

¿Qué técnica está utilizando el atacante?

1) Exfiltración, orientada al robo o extracción de datos confidenciales.

2) Alteración de integridad de datos, mediante modificación deliberada de registros para manipular información oficial.

3) Escaneo de red, para identificar puertos y servicios disponibles.

4) DDoS, que busca denegar acceso o saturar servicios.

26 / 35

Contexto:

En la Segunda División de Infantería, el sistema de administración muestra actividad inusual fuera del horario de oficina.
Al revisar los registros (logs), el equipo del SOC detecta que un usuario de bajo nivel, destinado únicamente a consultas de inventario, ejecutó comandos administrativos, incluyendo creación de usuarios y modificación de permisos.

El análisis revela que las credenciales de este usuario fueron manipuladas o aprovechadas por un tercero, posiblemente mediante vulnerabilidades locales o robo de tokens de sesión.
Ninguna alerta de malware se activó, lo que sugiere un ataque orientado a la obtención progresiva de privilegios dentro del sistema.

Pregunta:

¿Qué tipo de ataque o técnica podría estar ocurriendo?

1) Phishing, ya que el atacante engañó al usuario para robar información.

2) Escalada de privilegios, porque un usuario con permisos limitados ejecutó acciones propias de un administrador.

3) Ataque DDoS, que busca saturar los recursos del sistema.

4) Ingeniería social, enfocada en manipular personas para obtener acceso inicial.

27 / 35

Contexto:

El Comando de Infantería de Marina recibe un correo con el asunto “Actualización de planillas 2025”, aparentemente enviado desde una cuenta institucional legítima.
El mensaje incluye un archivo comprimido cifrado y la contraseña escrita en el cuerpo del correo, lo que genera una falsa sensación de autenticidad.

Al abrir el archivo en una estación administrativa, el sistema se ralentiza de manera progresiva, crea procesos ocultos en segundo plano y establece conexiones salientes hacia direcciones IP no reconocidas.
El antivirus instalado no detecta la amenaza, lo que sugiere un código malicioso camuflado dentro de un archivo aparentemente inofensivo.

Pregunta:

¿Qué tipo de malware podría estar actuando?

1) Troyano, que se disfraza de archivo o programa legítimo para ejecutar código malicioso al ser abierto.

2) Spyware, diseñado para recopilar información sin notificar al usuario.

3) Gusano, que se propaga automáticamente sin intervención del usuario.

4) Rootkit, orientado a ocultar la presencia de otros programas maliciosos en el sistema operativo. ________________________________________

28 / 35

Escenario:

En la intranet de la Fuerza Aérea, el acceso al portal de servicios institucionales (que incluye módulos de logística, personal y mantenimiento de aeronaves) se realiza únicamente mediante usuario y contraseña estática.
Durante una auditoría, se detecta que varios usuarios mantienen contraseñas de más de 180 días sin cambio (conforme a su política interna), y que algunos reutilizan las mismas claves en otros sistemas administrativos.

Además, los registros de acceso muestran intentos reiterados de fuerza bruta desde IPs internas, lo que sugiere la posible existencia de un equipo comprometido dentro de la red local.

Pregunta:

¿Cuál sería la medida de seguridad más adecuada para mitigar el riesgo de acceso indebido incluso si las credenciales son robadas o interceptadas?

1) Reforzar la política de contraseñas estableciendo longitud mínima y caducidad cada 90 días.

2) Implementar autenticación multifactor (2FA) combinando algo que el usuario sabe (contraseña) con algo que posee (token, app móvil o certificado).

3) Aplicar filtrado de direcciones MAC para limitar los accesos únicamente a equipos institucionales registrados.

4) Configurar bloqueo temporal de cuentas tras varios intentos fallidos de inicio de sesión consecutivos.

29 / 35

Contexto:

Durante una auditoría de seguridad en la intranet institucional, se evalúa el módulo web de registro e ingreso de personal utilizado por varias unidades del Ejército.
Los auditores descubren que el campo de usuario del formulario permite introducir caracteres especiales como ', ;, --, y que estos alteran la consulta SQL original, revelando datos de otros usuarios.

Al realizar la prueba con la instrucción:

' OR '1'='1';

el sistema concede acceso sin validación, exponiendo información confidencial de la base de datos.
El hallazgo confirma que la aplicación no aplica sanitización de entradas ni uso de sentencias preparadas, lo que deja al sistema vulnerable a ataques de inyección SQL.

Pregunta:

¿Qué vulnerabilidad se evidencia en este sistema?

1) Phishing, por engaños vía correo electrónico.

2) Overflow de memoria, donde se excede el espacio asignado a un buffer de datos.

3) Inyección SQL, causada por la falta de validación de datos de entrada y manipulación directa de consultas a la base de datos.

4) Ingeniería social, mediante manipulación psicológica de usuarios.

30 / 35

Escenario:

Un Suboficial de Comunicaciones se encuentra en tránsito por una escala aérea internacional para un curso en el extranjero pero se percató que debe entregar unos reportes en una fecha indicada, el mismo se encontraba fuera del país.
Durante la espera, utiliza su notebook institucional para enviar reportes de mantenimiento logístico al sistema central del Comando.
Para ello, se conecta al Wi-Fi público del aeropuerto, una red abierta que no requiere autenticación previa ni utiliza cifrado WPA2/3.

Posteriormente, el SOC detecta intentos de acceso no autorizados al servidor desde una IP extranjera poco después del envío de los reportes.
La investigación sugiere que un atacante en la misma red pública pudo haber ejecutado un ataque “Man-in-the-Middle (MitM)”, interceptando las credenciales o los datos transmitidos.

Pregunta:

¿Qué práctica de seguridad esencial debió aplicar el suboficial para mantener la confidencialidad de la transmisión de sus reportes?

1) Desactivar el antivirus temporalmente para mejorar la velocidad de conexión.

2) Reiniciar el sistema tras enviar los reportes para evitar la persistencia de malware.

3) Enviar los datos cifrados por correo electrónico utilizando una clave PGP o archivo protegido por contraseña.

4) Conectarse mediante una VPN o red institucional segura, que cifre todo el tráfico entre el dispositivo y la red militar.

31 / 35

Escenario:

Durante una inspección en el Departamento de Informática de la Infantería de Marina, se detecta que el personal elimina documentos clasificados moviéndolos únicamente a la papelera de reciclaje del sistema operativo, sin aplicar procesos de sobrescritura ni verificación de eliminación segura.
Los equipos en cuestión son compartidos entre varios usuarios con privilegios administrativos y no cuentan con unidades cifradas ni políticas de borrado automatizado.
Semanas después, un análisis forense demuestra que varios de los archivos "eliminados" podían ser recuperados íntegramente con herramientas de recuperación estándar.

Pregunta:

¿Cuál es el error principal de seguridad cometido por el personal en este procedimiento?

1) No establecer políticas de respaldo automatizado de la información clasificada.

2) No implementar cifrado de disco completo, lo que hubiera mitigado el riesgo si el equipo fuera sustraído.

3) No aplicar control de acceso por roles (RBAC) para evitar manipulaciones indebidas.

4) No aplicar eliminación segura de datos, permitiendo la recuperación de información sensible incluso después del borrado.

32 / 35

Contexto:
El Cap C Vázquez solicita restringir el acceso a redes sociales durante horario laboral sin afectar la red interna.
Pregunta:
¿Qué dispositivo permite aplicar esta política?

1) IDS

2) VPN

3) SIEM

4) Proxy

33 / 35

Contexto:

Durante una verificación de cumplimiento en la DISERINTE, se detecta que todos los operadores del área TI acceden al sistema central de gestión de inventarios utilizando una misma cuenta genérica y una contraseña compartida.
Este sistema registra movimientos de hardware crítico, licencias de software y equipos asignados a las distintas unidades.

El entorno carece de autenticación multifactor (MFA) y registros individualizados de acceso (logs detallados), lo que impide distinguir quién realiza cada acción.
Semanas después, se identifica una modificación no autorizada en el inventario de routers y switches de comunicaciones, pero no es posible determinar al responsable, dado que todos los accesos provienen del mismo usuario genérico.

Pregunta:

¿Cuál de las siguientes vulnerabilidades se presenta como el principal riesgo en este escenario?

1) Configuración inadecuada del firewall interno.

2) Uso de credenciales compartidas que generan pérdida de trazabilidad y responsabilidad individual.

3) Debilidad en el control antimalware.

4) Exposición a ataques de denegación de servicio (DoS).

34 / 35

Contexto:

Durante la guardia nocturna, el personal de Guardia del Comando FFMM observa que varias cámaras IP comienzan a rotar sin comando aparente, mostrar mensajes desconocidos en la interfaz y reiniciarse de forma aleatoria.
La inspección revela que dichas cámaras estaban conectadas directamente a la red principal sin segmentación ni firewall intermedio. Además, los equipos utilizaban credenciales por defecto del fabricante (admin/admin) y *firmware desactualizado desde hacía más de un año.

El tráfico saliente hacia direcciones IP internacionales sugiere que los dispositivos pudieron ser comprometidos y absorbidos por una botnet IoT, probablemente utilizada para ataques remotos o monitoreo encubierto.

Pregunta:

¿Cuál es la causa raíz más probable del ataque?

1) Dispositivos IoT mal configurados, sin contraseñas seguras, actualizaciones ni segmentación adecuada.

2) Spyware, software diseñado para espiar sin alterar el funcionamiento visible.

3) DDoS, ataque de saturación a los servicios.

4) Phishing, por engaños a usuarios para descargar malware.

35 / 35

Contexto:

Durante una auditoría interna de la DIGEMABEL, el Tte 1° Benítez detecta que los respaldos diarios de informes confidenciales se almacenan en un disco externo conectado por USB, sin ningún tipo de cifrado ni control de acceso.
El dispositivo es además retirado periódicamente fuera de la instalación, sin registro formal ni trazabilidad.

Al revisar el procedimiento, se constata que el sistema automatizado de respaldo tampoco aplica verificación de integridad ni utiliza protocolos seguros de transferencia (como SFTP o HTTPS).
En caso de pérdida o robo, cualquier persona con acceso físico al disco podría leer, copiar o alterar la información crítica, comprometiendo la seguridad documental de la institución.

Pregunta:

¿Qué medida de seguridad esencial fue omitida para garantizar la confidencialidad e integridad de la información respaldada?

1) Implementación de un mecanismo de cifrado y control de acceso en los respaldos.

2) Configuración de actualizaciones automáticas del sistema.

3) Segmentación de la red de respaldo en una VLAN independiente.

4) Instalación de un firewall perimetral avanzado.

Tu puntación es

Por Wordpress Quiz plugin