Seguridad Informática: Certificados y Firmas Electrónicas

Questions and Answers

¿Cuál es la función principal de revocar un certificado?

Hacer que un certificado previamente válido deje de serlo. (correct)

Facilitar el cifrado de mensajes electrónicos.

Permitir la firma de nuevos documentos.

Instalar las claves públicas de las CAs más conocidas.

¿Qué ocurre si un certificado es autofirmado al conectarse a un sitio web?

El navegador no lo reconoce como seguro. (correct)

Se valida automáticamente sin intervención del usuario.

El usuario recibe un cifrado adicional.

Se puede acceder sin advertencias.

¿Cuál de las siguientes opciones es un uso de la infraestructura PKI?

Firma digital de documentos. (correct)

Almacenamiento físico de documentos.

Distribución de software malicioso.

Creación de contraseñas inseguras.

¿Qué garantiza la firma electrónica?

La integridad de los datos asociados al documento. (C)

¿Qué característica tienen los clientes web respecto a las claves públicas?

Tienen instaladas las claves públicas de las CAs más comunes. (D)

¿Qué ventaja ofrece la firma digital en comparación con el uso de papel?

Aumenta la agilidad y la seguridad. (C)

¿Cuál de las siguientes afirmaciones sobre la firma electrónica es correcta?

Vincula datos con la identificación del autor. (B)

¿Qué tecnología permite operar de manera segura con instituciones públicas en España?

Infraestructura PKI. (B)

¿Cuál de las siguientes opciones describe un riesgo asociado con la compartición de contraseñas?

Puede resultar en la pérdida de trazabilidad. (D)

¿Qué implica el uso de credenciales privilegiadas en una organización sin política de gestión de contraseñas?

Dificulta la trazabilidad de las operaciones. (C)

¿Cuál es una de las características básicas para una correcta gestión de credenciales?

Modificación periódica de contraseñas. (C)

¿Qué acción se considera esencial para el descubrimiento de credenciales en una organización?

Crear un inventario de credenciales. (A)

¿Cuál es una consecuencia de usar la misma contraseña durante un período prolongado?

Riesgo de que la contraseña sea conocida por personas no autorizadas. (A)

¿Qué práctica se recomienda para la segmentación de credenciales?

Restringir el conocimiento de credenciales a los usuarios autorizados. (B)

¿Cuál es un beneficio de implementar una política de gestión de contraseñas?

Facilitar la rotación y modificación periódica de contraseñas. (B)

¿Cuál es la principal finalidad de implementar una auditoría de accesos?

Garantizar la trazabilidad de las acciones de los usuarios. (A)

¿Qué tecnología puede ayudar en el descubrimiento de credenciales?

Sistema de escaneo de redes. (C)

¿Cuál es una ventaja del acceso único (SSO) para los usuarios?

Permite gestionar múltiples activos con una sola autorización. (C)

¿Qué es una 'contraseña maestra' en el contexto de los gestores de credenciales?

La única contraseña que se debe recordar para acceder a múltiples credenciales. (B)

¿Qué característica comparten los gestores de contraseñas más básicos?

Utilizan algoritmos seguros para cifrar la información. (C)

¿Cuál es una desventaja de utilizar un servicio de gestor de contraseñas en la nube?

Requieren conexión a Internet para acceder a las contraseñas. (A)

¿Qué tipo de información almacenan los gestores de contraseñas?

Credenciales de acceso en una base de datos cifrada. (B)

¿Cuál de las siguientes afirmaciones sobre el acceso multidispositivo es correcta?

Permite utilizar el mismo gestor en diferentes plataformas como Windows, Android e iOS. (A)

¿Qué limitación presenta un gestor de contraseñas en caso de no tener acceso a Internet?

No se podrá realizar ninguna acción hasta que se recupere la conexión. (B)

¿Cuál es el principal objetivo de la administración delegada?

Repartir las tareas de administración entre varios usuarios. (D)

¿Qué se considera fundamental para una buena organización en la administración delegada?

Una jerarquía clara que permita entender accesos y funciones. (B)

¿Qué característica no se menciona como importante para organizar la administración delegada?

El nivel de satisfacción del usuario. (A)

¿Cuál es una solución para controlar el acceso a ciertas características en un sistema?

Crear grupos de seguridad y OU's. (C)

¿Cómo se clasifica la granularidad de los permisos en la administración delegada?

Por la especificidad y concreción de los permisos. (A)

¿Qué representa uno de los pasos críticos en la protección del acceso con privilegios?

Establecer la seguridad de las cuentas de privilegios. (B)

¿Qué práctica se sugiere como mejor para crear una jerarquía organizativa?

Revisar localizaciones geográficas y características del departamento. (C)

¿Qué se considera un problema potencial de la administración delegada?

Requiere una buena organización bien estudiada. (C)

¿Cuál es el papel del Servicio NAS en la arquitectura RADIUS?

Facilitar la comunicación entre el cliente y el servidor RADIUS (A)

¿Qué información no se transmite cifrada en las peticiones de RADIUS?

Datos del cliente (A)

¿Cuál de las siguientes afirmaciones sobre los problemas de seguridad en RADIUS es correcta?

La comunicación se realiza a través de UDP, lo que permite suplantaciones (B)

¿Cuál es una de las mejoras introducidas en el protocolo DIAMETER en comparación con RADIUS?

Utiliza protocolos de transporte seguros como TCP (B)

¿Qué permite la notificación de errores en DIAMETER?

Facilitar la depuración del servicio (B)

¿Qué algoritmo se utiliza en RADIUS para cifrar las contraseñas?

MD5 (B)

¿Qué característica hace que DIAMETER sea compatible con RADIUS?

Compatibilidad transicional con modelos de ambos protocolos (B)

¿Cuál es el principal motivo por el cual el cifrado en RADIUS es considerado débil?

No protege datos aparte de contraseñas (C)

¿Cuál es la función principal de tener políticas de administración de servidores en las contraseñas de usuario?

Definir características mínimas para las contraseñas (D)

¿Qué opción se recomienda para contraseñas relacionadas a servicios?

La contraseña nunca caduca (B)

¿Cuál de las siguientes afirmaciones describe mejor los grupos de distribución?

No tienen identificador y no se pueden asignar permisos (B)

¿Qué atributo de la cuenta de usuario evitaría su uso temporal?

La cuenta expira en (C)

¿Por qué es desaconsejable dar permisos de forma individual a los usuarios?

Porque crea confusión y dificulta la organización (A)

¿Cuál de los siguientes atributos de una cuenta de usuario no es recomendable activar?

Almacenar contraseña usando cifrado reversible (C)

¿Qué caracteriza a los grupos de seguridad en comparación con los grupos de distribución?

Tienen un identificador y se les pueden otorgar permisos (D)

¿Cuál de las siguientes prácticas se sugiere para maximizar la seguridad en las cuentas de usuario?

Utilizar cuentas y contraseñas individuales siempre que sea posible (D)

Study Notes

Administración de credenciales de acceso a sistemas informáticos

• El documento analiza la administración de credenciales de acceso a sistemas informáticos.
• Se discuten los riesgos y problemas comunes en la gestión de credenciales.
• Se describen las características de una buena gestión de credenciales y los gestores de credenciales.
• Se explica la infraestructura PKI y sus usos.
• Se habla de la firma electrónica y sus aplicaciones.
• Se detalla la implementación de sistemas NAC.
• Se abordan soluciones OpenSource para la gestión.
• Se describe la gestión de cuentas privilegiadas, incluyendo cuentas de usuario en servidores, administración delegada y protección de acceso.
• Se analizan los problemas de seguridad y las consecuencias de una mala gestión de credenciales privilegiadas.
• Se explica el protocolo RADIUS y TACACS, así como sus problemas de seguridad.
• Se incluye un análisis de la evolución del protocolo RADIUS.

Características Básicas para una Correcta Gestión de Credenciales

• El descubrimiento de credenciales (inventario actualizado) es crucial para determinar los activos que necesitan credenciales.
• La modificación periódica de contraseñas es necesaria para evitar la exposición de claves.
• La segmentación por roles es importante para asegurar que solo los usuarios autorizados tengan acceso.
• La auditoría de accesos es clave para la trazabilidad y la seguridad.
• El acceso único a través de un SSO (single sign-on) facilita la gestión.
• Se mencionan gestores de credenciales (Shared Account & Credential Vault, Safeguard for Privileged Passwords) para la gestión de credenciales especiales.

Usos de la Infraestructura PKI

• Firma digital de documentos, con reconocimiento legal.
• Cifrado de datos para transmisión segura.
• Administración de credenciales e implementación de sistemas SSO.
• Operaciones con otras instituciones de manera segura.

Firma Electrónica

• La firma electrónica es un concepto legal que valida la voluntad del firmante.
• Se utiliza en aplicaciones móviles, especialmente en transacciones financieras.
• Se pueden utilizar contraseñas, datos biométricos (como huella dactilar) o claves criptográficas.

Sistemas NAC

• Los sistemas NAC (Network Access Control), controlan los dispositivos autorizados a acceder a una red o segmento específico.
• Se utilizan para la gestión de dispositivos móviles, fijos y de terceros.
• Los sistemas NAC se centran en empresas de tamaño medio y tamaño grande con mucha dependencia tecnológica.
• Sus aplicaciones incluyen control de dispositivos IoT, dispositivos BYOD (Bring Your Own Device), y terceros, así como para visitas.

Gestión de Cuentas Privilegiadas

• Se debe limitar el número de usuarios con privilegios totales.
• Es importante definir roles y permisos claros, evitando darle acceso a usuarios individuales.
• Asignar permisos a grupos con roles específicos.
• Las cuentas de administrador local deben ser protegidas adecuadamente.
• Utilizar nombres de usuarios significativos, evitando errores.

Protección del Acceso con Privilegios

• Se discuten los riesgos, incluyendo el robo de credenciales (pass the hash, pass the ticket) y el uso de phishing para la obtención de información.
• Se enfatiza en la importancia de reducir privilegios innecesarios.
• Una mala gestión de estas cuentas incrementa el impacto en la organización. Los ataques se dirigen frecuentemente a cuentas de administrador.
• Se mencionan los riesgos en servidores y estaciones de trabajo.
• Se enfatiza la importancia de la seguridad.

Protocolo RADIUS y TACACS

• Se discute el protocolo RADIUS y su evolución a DIAMETER.
• Se destacan las características importantes de RADIUS para la autenticación remota.
• Se describen posibles problemas de seguridad que podrían afectar a RADIUS.
• TACACS, un protocolo propietario de Cisco con funcionalidades similares a RADIUS es también discutido.

Description

Este cuestionario evalúa el conocimiento sobre la gestión de certificados digitales y la firma electrónica en el ámbito de la seguridad informática. Se abordan conceptos claves como la infraestructura PKI, la revocación de certificados y la gestión de credenciales. Perfecto para estudiantes y profesionales interesados en la ciberseguridad.