DATOS PERSONALES FIRMA

Nombre: Marcelo
DNI:1715703698
Eduardo
Apellidos: Araujo Andrade
ESTUDIO ASIGNATURA CONVOCATORIA
MÁSTER UNIVERSITARIO 14130.- CIBERDELITOS Y
Ordinaria
EN CIBERSEGURIDAD REGULACIÓN DE LA
Número periodo 3936
(PLAN 2022) CIBERSEGURIDAD

FECHA MODELO CIUDAD DEL

EXAMEN
15-17/07/2022 Modelo - C Quito

Etiqueta identificativa

INSTRUCCIONES GENERALES
1. Lee atentamente todas las preguntas antes de empezar.
2. La dura
duració
ción
n del
del ex
exame
amen n es de 1 hora.
3. Escrib
Escribee úni
únicam
cament
entee co
conn bolígrafo negro.
4. No está permitid
permitido
o utiliz
utilizar
ar más hoj
hojas
as de las qu
que
e te facilita
facilita la UNIR (al final
final del
examen tienes un folio que puedes utilizar únicamente para hacerte
esquemas y organizarte, el cual se entregará junto con el examen).
5. El examen PRESENCIAL supone el 60% de la calificación final de la
asignatura. Es necesario aprobar el examen, para tener en cuenta la
evaluación continua, aunque esta última sí se guardará para la siguiente
convocatoria en caso de no aprobar.
6. No olv
olvides
ides rellenar EN TODAS LAS HOJAS los datos del cuadro que hay
en la parte superior con tus datos personales.
7. El DNI/NIE/PASAPORTE debe estar sobre la mesa y disponible para su
posible verificación.
8. Apaga el teléfono móvil.
9. Las preg
pregunt
untas
as se cont
contest
estará n en CASTELLANO.
arán
10.El profesor tendrá muy en cuenta las faltas de ortografía en la calificación
final.
11. Si en alguna de las respuestas se detecta un caso de copia de los
materiales de la asignatura, de cualquier otra fuente (por ejemplo,
internet) o de otros compañeros, se va a calificar el examen con 0 puntos

Código de exámen: 196216

 Puntuación.

 Puntuación máxima 10,00 puntos.

 10 preguntas de test de respuesta simple (0.4 puntos por pregunta correcta).
 Las preguntas no contestadas no restan.
 Los errores no restan.
 Preguntas de desarrollo: 3 puntos cada pregunta

Puntuación
Test

 Cada pregunta tendrá un valor de 0.40 puntos

Desarrollo

 Cada ejercicio tendrá una puntuación máxima de 3.00 puntos

1. Si se produce una violación de seguridad:

A. Los prestadores cualificados

cualificados y no cualificados
cualificados de servicios elec
electrónicos
trónicos de
confianza únicamente deberán notificarlo al Ministerio de Asuntos Económicos
y Transformación Digital.
B. Los prestadores
prestadores cucualificados
alificados d
de
e servicios electrónicos de confianza
confianza la
notificarán al Ministerio de Asuntos Económicos y Transformación Digital.
C. Los prestadores
prestadores cualificados
cualificados y no cualificados de servicios electrónicos de
confianza notificarán al Ministerio de Asuntos Económicos y Transformación
Digital sin perjuicio de su notificación a la Agencia Española de Protección de
Datos.
D. Los prestadores
prestadores cualificados
cualificados y no cualificados de servicios electrónicos de
confianza únicamente deberán notificarlo a la Agencia Española de Protección
de Datos.

2. En el Esquema Nacional de Seguridad la categoría de un sistema es:

A. BAJO, si alguna de sus dimensiones de se

seguridad
guridad alcanza el niv
nivel
el BAJO, y
ninguna
BAJO,, sialcanza
B. BAJO un dim
todas sus nivel superior
dimensio
ensiones
nes de segurida
seguridad
d alcanzan
alcanzan el nivel BAJO
BAJO

Código de exámen: 196216

 C. BAJO, si la mayoría d
de
e sus dimensiones
dimensiones de seguridad alcanzan el nivel BAJO
D. BAJO, si al menos
menos la mitad de sus dimensiones
dimensiones de segurida
seguridad
d alcanzan el
el nivel
BAJO

3. El principio de seguridad establecido en el RGPD implica que :

A. El responsable y el encargado
encargado del tratamiento aplicarán
aplicarán medidas técnica
técnicass y
organizativas apropiadas para garantizar un nivel de seguridad adecuado al
riesgo, Teniendo en cuenta el estado de la técnica, los costes de aplicación, y
la naturaleza, el alcance, el contexto y los
l os fines del tratamiento, así como
riesgos de probabilidad y gravedad variables para los derechos y libertades de
las personas físicas
B. Supone que el responsable y el encargado del tratamiento deberán adoptar adoptar
obligatoriamente el catálogo de medidas de seguridad establecidas en el
RGPD.
C. El responsable
responsable y el encargado del tratamiento adoptarán las medidas de
seguridad que les indique el Delegado de Protección de Datos
D. Deberán adoptar
adoptar las medidas
medidas de seguridad q que
ue indique la Evaluación
Evaluación de
Impacto que obligatoriamente todo responsable y el encargado del tratamiento
debe realizar en cualquier caso

4. El responsable del tratamiento es:

A. La persona física o jurídica,

jurídica, autoridad pública, servicio
servicio u otro organismo que,
solo o junto con otros almacene los datos
B. La persona
persona física o jurídica, autoridad pública,
pública, servic
servicio
io u otro organismo
organismo que,
solo o junto con otros, determine los fines y medios del tratamiento
C. La persona física o jurídica
jurídica,, autoridad pública, servicio
servicio u otro organismo, cuyos
cuyos
datos se tratan.
D. La persona
persona física cuyos
cuyos dato
datoss se ttratan
ratan

5. Indica la respuesta correcta respecto del consentimiento en el RGPD:

A. Para los datos no sensibles

sensibles es válido el cons
consentimiento
entimiento tácito
B. Es exig
exigible
ible el consentim
consentimiento
iento exp
expreso
reso sól
sólo
o para datos
datos de menores.
menores.
C. Dependerá del país de destino (transferencias internacionales)
D. Debe de ser
ser siemp
siemprere “ineq
“inequívoc
uívoco”
o” y “explícito”
“explícito”..

6. Entre las fases en las que se puede dividir un ataque ATP, se encuentra:

A. Monetización
B. Re
Reco
cono
noci
cimi
mienento
to..
C. Desinstala
Desinstalarr softw
software
are de ccomuni
omunicaci
caciones
ones..
D. Búsqu
Búsqueda
eda ddee comisio
comisiones
nes

7. Entre
obras las vías
sujetas para obtención
a propiedad de beneficios
intelectual, asociadas a las webs de distribución de
no se encuentra:

Código de exámen: 196216

 A. Venta de direcciones
direcciones de correos electrónico.
electrónico.
B. Distri
Distribució
buciónn de critica
criticass cin
cinemato
ematográfic
gráficas.
as.
C. Cobro por desc
descarga
argass prioriza
priorizadas.
das.
D. Publ
Public
icid
idad
ad..

8. A fin de contar con las máximas

máximas garantías de éxito e
en
n la resolución de un ciberdelito,
ciberdelito,
es aconsejable que las denuncias sigan algunas pautas, entre las que se encuentra por
ejemplo:

A. Es aconsejable que
que la denuncia sea confeccionada
confeccionada únicamente
únicamente por el
responsable técnico de la empresa víctima, ya que es él que conoce lo que ha
ocurrido exactamente.
B. Es obli
obligator
gatorio
io que la denunci
denuncia a se presente
presente por es
escrito
crito..
C. Es esencial que lo que sese exponga en la denunc
denunciaia sea comprendido
comprendido por todos
los actores jurídicos y policiales que intervengan.
D. Se debe presentar
presentar cuando se tengan todos
todos los datos, ssin
in que el tiempo que se
tarde afecte en algo a la investigación.

9. En la redacción del Código Penal, se hace distinción entre dos tipos de fraudes
relacionados con Internet.¿Cuáles son?

A. Según la cantidad estafada

estafada se dividen en estafas
estafas graves y estafas
estafas menos
graves
B. Las est
estafas
afas in
informát
formáticas
icas y la
lass estafa
estafass tecnológic
tecnológicas.
as.
C. Los que cuentan con Internet como elemento facilitador de su comisión y las
identificadas como “estafas informáticas”.
D. Según la cantidad esta
estafada
fada se dividen en estafas graves
graves y estafas
estafas menos
graves.

10. Entre las siguientes características, ¿cuál define a las evidencias digitales?

A. Son permanentes en el tiempo.

B. No son
son fácile
fáciless de mani
manipul
pular.
ar.
C. La permanencia
permanencia en el tiempo, es similar a la de las relacionadas
relacionadas con
con los
delitos tradicionales.
D. Son fáci
fáciles
les de
de man
manipu
ipular.
lar.

Código de exámen: 196216

 PLANTILLA DE RESPUESTAS
Preguntas / Opciones A B C D
1 X

2 X

3 X

4 X

5 X

6 X

7 X

8 X

9 X

10 X

Código de exámen: 196216

1. Cita y explica detalladamente las fases del ciclo del phising (Responder en 1 caras)

El ciclo del phishing se puede dividir en varias o distintas fases dependiendo de los
actos preparatorios que se diseñen y se ejecuten con la finalidad de lograr el objetivo
final. Es estas fases intervienen algunos actores con diferentes responsabilidades e
implicaciones distintas pero que son complementarias cada una de ellas para el
cometimiento del delito.
CAPTURA DE DATOS.- en esta fase se puede decir que basicamente se centra
en la obtención de datos confidenciales. Como por ejemplo nombre de ususario,
claves
claves o passwo
passwordrd de acceso
acceso,, número
númeross de cel
celula
ularr o telefo
telefono
no conven
convencio
ciona
nal,l,
dirección domiciliaria, pasaportes, numeros de cédula de identidad, números de
tarjeta de crédito, el CVV d el tarjeta de crédito, pseudónimos de redes sociales,
etc, todo aquello que le sirva al ciberdelincuente ppara
ara llevar a cabo el fraude.
Para la obtención de toda esta información el delincuente posee cierta habilidad y
capacidad técnica para acceso a herramientas y software específico para realizar
la recolección de esta información a través de ingeniería social que es lo mas
comú
co mún,
n, o a travé
travéss de enenví
vío
o de cocorr
rreo
eoss el
elec
ectr
trón
ónic
icos
os,, rede
redess soci
social
ales
es o bi
bien
en
mediante el envío de algún malware específico para ese fin.

CAPTACIÓN DE MULAS.- Una vez con toda la información de la primera fase los
cibredelincuentes cuentan con al suficiente información para acceder a la banca
electrónica de la víctima y realizar transacciones en su nombre, pero para hacer
efectivo este tipo de transacciones necesitan de personas que residan en el
mismo país de la víctima para hacer de manera fácil y rápida las transferencias y
así puedan recibir en sus cuenats bancarias con o a verces sin el conocimiento
del origen ilícito de ese dinero. A estas personas que hacen de intermediarios se
les conoce como mulas o muleros los cuales son captados mediante envío de
correos electrónicos en los cuales les ofrecen una actividad laboral aon ganancias
altas,, sin mayores esfu
altas esfuerzos
erzos desde
desde la comod
comodidad
idad de su hogar. Otra manera
manera de
captar a eats personas es mediante correos de supuestas campañas de ayuda a
zonas afectadas por elguna emergencia o desastre natural, solicitandoles ser
parte de lña mcadena de remisión de esta dinero ilícito.

TRANSFERENCIA, MONETIZACIÓN Y ENVÍO DE LO DEFRAUDADO.- Una vez

TRANSFERENCIA,
que
qu e tiene
tiene o dispo
disponen
nen los ciberde
ciberdelinc
lincuen
uentes
tes de als clave
clavess de acces
accesoo de las
víctim
víctimas
as est
estos
os sup
suplan
lantan
tan su ide
identi
ntidad
dad y realiz
realizan
an transf
transfere
erenc
ncias
ias online
online a las
cuentas facilitadas por las mulas o muleros, este tipo de acciones por lo general lo
realizan en días y horas no laborales, con el fin de retrasar el accionar de la
víctima y que esto no sea detectado. Una vez realizado estas transferecnias
online el ciberdelincuente se pone en contacto con las mulas para que le envíe el
dinero a traves de empresas internacionales de envío de dinero sin antes que la
mula se quede con un porcentaje de ese dinero que por lo general es entre un 5%
y un 10%. Y asi se hace efectivo el fraude.

Código de exámen: 196216

2. Esquema Nacional de Seguridad (ENS): Indica las similitudes y diferencias entre la
ISO 27001 y el ENS (Responder een
n 20 línea
líneas)
s)

El ENS está inspirado y basado en la norma ISO 27001 por lo que su estructura
responde al modelo de Deming de mejora contínua, considerando el análisis de riesgos
para la implementación de controles.
Tiene una estrecha relación debido a que ambas son complementarias y forman un
conjunto idóneo para la ciberseguridad.
Permiten disponer de un Sistema de Gestion de Seguridad de la Información aplicables
a cualquier tipo de empresas o instituciones, a foin de garantizar la seguridad de la
información.
El ENS incluye una serie de controles para garantizar la continuidad del servicio o
negocio frente a la ISO 27001 que es un marco que no trata este asunto.
Una de las principales diferencias es que el ENS es una normativa local y obligatoria
para las administraciones públicas de España, en el caso de la ISO 27001 no es
obligatoria su implementación ni la certificación.
Otra diferencia es que
que mientras en la ISO 27001 se valoran los riesg
riesgos
os en base a tres
dimens
dim ension
iones
es Confid
Confidenc
encial
ialida
idad,
d, Int
Integ
egrida
ridad,
d, Dis
Dispon
ponibi
ibilid
lidad;
ad; en el ENS se añañade
ade dos
diemsiones mas autenticidad y trazabilidad.

Código de exámen: 196216