Simulacro de examen CSSLP
Simulacro de examen CSSLP
Este simulacro reproduce el estilo y la lógica del examen real: escenarios breves, cuatro opciones plausibles y calificativos que deciden la respuesta (PRIMERO, MEJOR, A CONTINUACIÓN, MÁS probable). No es el examen oficial ni reproduce sus preguntas: es práctica para entrenar la mentalidad ISC2.
Instrucciones
- 40 preguntas distribuidas por peso de dominio (D1: 5, D2: 4, D3: 5, D4: 6, D5: 6, D6: 6, D7: 4, D8: 4).
- Tiempo sugerido: 60 minutos. Cronométrate en condiciones reales.
- Responde todas; no hay penalización por errar. Marca las dudosas y vuelve al final.
- No mires las respuestas hasta terminar. Anota tu letra (A-D) para cada pregunta.
- Al terminar, corrige con Respuestas explicadas y usa la tabla de autoevaluación para saber qué dominio repasar.
Recuerda la brújula: proceso sobre parche, prevención sobre reacción, lo temprano en el ciclo de vida sobre lo tardío, y la vida humana y la ley por encima de todo.
Dominio 1 — Secure Software Concepts
1. Un equipo va a diseñar un módulo de pagos. El arquitecto propone que la misma persona pueda crear una orden de pago y también aprobarla para agilizar el flujo. ¿Qué principio de diseño seguro se está violando?
- A. Least privilege
- B. Separation of duties
- C. Defense in depth
- D. Economy of mechanism
2. Una aplicación asigna a todos sus procesos permisos de administrador “por si acaso los necesitan más adelante”. ¿Qué principio de diseño seguro debería aplicarse para corregir esto?
- A. Complete mediation
- B. Open design
- C. Least privilege
- D. Psychological acceptability
3. Durante el diseño, el equipo debate qué debe ocurrir si el subsistema de autorización falla inesperadamente. Desde la perspectiva de seguridad, ¿cuál es el comportamiento CORRECTO por defecto?
- A. Denegar el acceso hasta que el subsistema se restablezca (fail secure)
- B. Permitir el acceso para no interrumpir el servicio (fail open)
- C. Registrar el error y continuar con permisos previos en caché
- D. Reiniciar el servicio automáticamente y reintentar el acceso
4. Tras un análisis de riesgo, se identifica una amenaza cuyo costo de mitigación supera con creces el impacto esperado. El equipo técnico quiere mitigarla igualmente. ¿Quién debe decidir si el riesgo se acepta?
- A. El líder técnico del equipo de desarrollo
- B. El analista de seguridad que encontró la amenaza
- C. El dueño del riesgo (data/business owner) en representación del negocio
- D. El equipo de operaciones que mantendrá el sistema
5. Una nueva app recopilará datos personales de menores de edad. ¿Cuál es el enfoque MÁS apropiado para tratar la privacidad?
- A. Añadir un aviso de privacidad extenso en los términos y condiciones
- B. Incorporar privacy by design desde los requisitos, minimizando la recolección
- C. Cifrar la base de datos en reposo una vez terminada la app
- D. Anonimizar los datos solo antes de exportarlos a analítica
Dominio 2 — Secure Software Lifecycle Management
6. Una organización quiere medir de forma objetiva la madurez de sus prácticas de seguridad en el desarrollo y compararse con la industria a lo largo del tiempo. ¿Cuál es la MEJOR herramienta para ello?
- A. El OWASP Top 10
- B. La CWE Top 25
- C. Un escaneo SAST del código base actual
- D. Un modelo de madurez como OWASP SAMM o BSIMM
7. Un sistema legado que procesaba datos de clientes va a ser retirado. ¿Cuál es la consideración de seguridad MÁS importante durante el decomisionado?
- A. Documentar la arquitectura para futuros proyectos
- B. Migrar el código fuente a un repositorio de archivo
- C. Notificar a los usuarios por correo del retiro
- D. Sanitizar o destruir de forma segura los datos y credenciales del sistema
8. El CISO pide un indicador que muestre si el programa de seguridad del SDLC está mejorando trimestre a trimestre. ¿Cuál de los siguientes es la MEJOR métrica de seguridad?
- A. Número total de líneas de código escritas
- B. Cantidad de reuniones de seguridad celebradas
- C. Densidad de vulnerabilidades por cada mil líneas y tiempo medio de remediación
- D. Número de desarrolladores en la plantilla
9. Una empresa adopta un marco para integrar prácticas de seguridad en cada fase del ciclo de desarrollo, alineando actividades como modelado de amenazas y revisión de código con las fases correspondientes. ¿Qué referencia describe MEJOR este enfoque?
- A. NIST SSDF (SP 800-218)
- B. PCI DSS
- C. ISO 9001
- D. ITIL
Dominio 3 — Secure Software Requirements
10. Al levantar requisitos de una app bancaria, el analista de seguridad quiere capturar cómo un atacante podría intentar abusar de la funcionalidad de transferencias. ¿Qué técnica debe usar?
- A. Casos de uso funcionales
- B. Misuse y abuse cases
- C. Historias de usuario ágiles
- D. Diagramas de secuencia UML
11. El equipo necesita garantizar que cada requisito de seguridad definido pueda rastrearse hasta su implementación y su prueba correspondiente. ¿Qué artefacto cumple ESA función?
- A. Un diagrama de flujo de datos (DFD)
- B. Un backlog de producto
- C. Una Security Requirements Traceability Matrix (SRTM)
- D. Un modelo de amenazas STRIDE
12. Antes de definir los controles de protección de la información, el equipo necesita saber qué datos son más sensibles para aplicar controles proporcionales. ¿Cuál es el PRIMER paso?
- A. Clasificar los datos según su sensibilidad e impacto
- B. Cifrar todos los datos con el algoritmo más fuerte disponible
- C. Implementar control de acceso basado en roles
- D. Contratar un seguro de ciberriesgo
13. Una aplicación tratará datos de salud de residentes de la Unión Europea y de Estados Unidos. ¿Qué debe reflejar PRIMERO en los requisitos?
- A. La preferencia de lenguaje de programación del equipo
- B. Las obligaciones regulatorias aplicables (p. ej. GDPR y HIPAA)
- C. El proveedor de nube donde se desplegará
- D. El diseño de la interfaz de usuario
14. Un product owner presiona para empezar a codificar de inmediato y “añadir la seguridad después”. Como profesional de seguridad de software, ¿cuál es la MEJOR respuesta?
- A. Aceptar y planificar un pentest antes del lanzamiento
- B. Documentar el riesgo y dejar que el equipo decida sobre la marcha
- C. Añadir un WAF en producción para compensar
- D. Definir los requisitos de seguridad ahora, junto con los funcionales
Dominio 4 — Secure Software Architecture and Design
15. Durante el modelado de amenazas con STRIDE, el equipo identifica que un atacante podría hacerse pasar por otro usuario legítimo del sistema. ¿A qué categoría de STRIDE corresponde esta amenaza?
- A. Tampering
- B. Repudiation
- C. Spoofing
- D. Elevation of privilege
16. El equipo va a iniciar su primer ejercicio de modelado de amenazas sobre un nuevo servicio. ¿Cuál es el PRIMER paso?
- A. Descomponer la aplicación y construir un diagrama de flujo de datos
- B. Asignar puntuaciones DREAD a las amenazas
- C. Escribir los casos de prueba de seguridad
- D. Seleccionar las contramedidas a implementar
17. Un arquitecto revisa un servicio que expone múltiples endpoints heredados que ya nadie usa pero siguen accesibles. Desde el punto de vista de diseño seguro, ¿cuál es la acción MÁS apropiada?
- A. Dejarlos activos por compatibilidad y monitorearlos
- B. Documentarlos en el inventario y continuar
- C. Añadir autenticación adicional a cada endpoint heredado
- D. Reducir la superficie de ataque deshabilitando los endpoints no utilizados
18. Un sistema cifra datos correctamente, pero almacena la clave de cifrado en el mismo repositorio de código junto a la aplicación. ¿Cuál es la MEJOR forma de corregir el diseño?
- A. Ofuscar la clave dentro del binario
- B. Gestionar la clave en un KMS o HSM, fuera del código, con rotación
- C. Cifrar la clave con otra clave incrustada en el código
- D. Cambiar a un algoritmo de cifrado más moderno
19. Un equipo diseña un asistente basado en un LLM que ejecutará acciones (consultar bases de datos, enviar correos) a partir de instrucciones en lenguaje natural del usuario. ¿Cuál es el riesgo de diseño MÁS importante a mitigar?
- A. Que el modelo consuma demasiados tokens y eleve el costo
- B. Prompt injection que manipule al modelo para ejecutar acciones no autorizadas
- C. Que el tiempo de respuesta del modelo sea alto
- D. Que la interfaz no sea accesible para lectores de pantalla
20. En una arquitectura de microservicios, el equipo quiere evitar que un servicio comprometido pueda acceder libremente a todos los demás. ¿Cuál es el enfoque de diseño MÁS apropiado?
- A. Confiar en la red interna porque está detrás del firewall perimetral
- B. Compartir una única API key entre todos los servicios
- C. Aplicar autenticación y autorización servicio a servicio bajo un modelo zero trust
- D. Exponer todos los servicios en la misma subred plana
Dominio 5 — Secure Software Implementation
21. Una revisión detecta que una consulta SQL se construye concatenando entrada del usuario directamente en la cadena. ¿Cuál es la MEJOR forma de remediarlo?
- A. Usar consultas parametrizadas (prepared statements)
- B. Escapar manualmente las comillas simples de la entrada
- C. Poner un WAF delante de la aplicación
- D. Limitar la longitud del campo de entrada
22. El equipo quiere detectar vulnerabilidades conocidas en las librerías de terceros que incorpora la aplicación. ¿Qué herramienta es la MÁS adecuada?
- A. SAST (análisis estático del código propio)
- B. DAST (análisis dinámico de la app en ejecución)
- C. SCA (Software Composition Analysis)
- D. Fuzzing de entradas
23. Durante una auditoría se encuentran credenciales de base de datos escritas directamente en el código fuente del repositorio. ¿Cuál es la MEJOR práctica de implementación?
- A. Comentar las credenciales cuando no se usen
- B. Restringir el acceso al repositorio a menos personas
- C. Cifrarlas con base64 dentro del código
- D. Moverlas a variables de entorno y a un gestor de secretos, y rotarlas
24. Una aplicación web muestra contenido enviado por usuarios en el navegador de otros. ¿Qué combinación de controles previene MEJOR el cross-site scripting (XSS)?
- A. Validación de entrada únicamente
- B. Validación de entrada más output encoding contextual
- C. Cifrado TLS de la conexión
- D. Aumentar la complejidad de las contraseñas
25. Un pipeline de entrenamiento de un modelo de machine learning se alimenta de datos recogidos de fuentes públicas sin control de integridad. Un atacante podría inyectar muestras maliciosas para sesgar el modelo. ¿Cómo se denomina este ataque y cuál es el control MÁS apropiado?
- A. Prompt injection; sanitizar los prompts del usuario
- B. Data poisoning; validar procedencia e integridad de los datos de entrenamiento
- C. Denegación de servicio; limitar la tasa de peticiones
- D. Model inversion; cifrar el modelo en reposo
26. Al capturar una excepción, un desarrollador devuelve al usuario el stack trace completo con rutas de archivos y la versión de la base de datos. ¿Cuál es la MEJOR práctica de manejo de errores?
- A. Mostrar el stack trace solo a usuarios autenticados
- B. Traducir el stack trace al idioma del usuario
- C. Registrar el detalle internamente y devolver un mensaje genérico al usuario
- D. Suprimir todo registro de errores para no filtrar información
Dominio 6 — Secure Software Testing
27. El equipo de seguridad quiere encontrar vulnerabilidades como inyección o XSS ejecutando la aplicación ya desplegada y enviándole peticiones maliciosas, sin acceso al código fuente. ¿Qué tipo de prueba es?
- A. DAST
- B. SAST
- C. SCA
- D. Revisión de código estática
28. Un tester quiere descubrir cómo se comporta un parser de archivos ante entradas malformadas, inesperadas o aleatorias que podrían causar fallos o desbordamientos. ¿Qué técnica es la MÁS adecuada?
- A. Pruebas unitarias con casos válidos
- B. Análisis de composición de software
- C. Pruebas de aceptación de usuario
- D. Fuzzing
29. El equipo de QA necesita datos realistas para probar el sistema, pero el conjunto proviene de producción y contiene información personal de clientes reales. ¿Cuál es la MEJOR práctica?
- A. Usar los datos de producción tal cual para máximo realismo
- B. Cifrar el entorno de pruebas y usar los datos reales
- C. Dar a todo el equipo de QA acceso de solo lectura a producción
- D. Enmascarar o anonimizar (data masking) los datos antes de usarlos en pruebas
30. Antes del lanzamiento de una plataforma crítica, la dirección quiere una evaluación que simule un ataque real de un adversario contra el sistema completo en ejecución. ¿Qué actividad de prueba deben encargar?
- A. Un escaneo SAST del repositorio
- B. Una prueba de penetración (pentest)
- C. Una revisión de requisitos de seguridad
- D. Un análisis de composición de software
31. Un equipo encuentra decenas de defectos de seguridad de distinta gravedad antes de una entrega. Necesitan decidir cuáles bloquean el lanzamiento. ¿Cuál es el enfoque MÁS apropiado?
- A. Corregir todos los defectos sin importar la severidad antes de entregar
- B. Definir un bug bar / umbral de severidad y priorizar según riesgo
- C. Entregar y corregir todo en el siguiente sprint
- D. Dejar que cada desarrollador decida cuáles arregla
32. Antes de poner en producción un chatbot basado en un LLM, el equipo quiere probar sistemáticamente si es posible manipularlo para que revele datos sensibles o ignore sus restricciones. ¿Cuál es la actividad de prueba MÁS apropiada?
- A. Pruebas de carga para medir la latencia bajo estrés
- B. Pruebas de usabilidad con usuarios finales
- C. Red teaming adversarial específico para LLMs (probar prompt injection, jailbreaks y fugas)
- D. Validación gramatical de las respuestas del modelo
Dominio 7 — Secure Software Deployment, Operations, Maintenance
33. Antes de desplegar un servidor a producción, el equipo de operaciones quiere reducir su exposición eliminando servicios innecesarios, cerrando puertos y aplicando una configuración segura de referencia. ¿Cómo se denomina esta práctica?
- A. Hardening según un secure baseline
- B. Continuous integration
- C. Blue-green deployment
- D. Chaos engineering
34. Durante la operación, el SOC detecta actividad anómala que sugiere una intrusión activa en un servicio de producción. ¿Cuál es el PRIMER paso del proceso de respuesta a incidentes?
- A. Erradicar el malware de inmediato reinstalando el servidor
- B. Contener el incidente para limitar su alcance según el plan de respuesta
- C. Redactar el comunicado de prensa
- D. Buscar al responsable interno del despliegue
35. Se publica un parche crítico para una librería usada en varios servicios de producción. ¿Cuál es la MEJOR práctica antes de aplicarlo ampliamente?
- A. Aplicarlo directamente en producción por ser crítico
- B. Aplicarlo solo si algún cliente reporta el problema
- C. Esperar al siguiente ciclo trimestral de mantenimiento
- D. Probarlo en un entorno de staging y desplegarlo mediante gestión de cambios controlada
36. Tras varios despliegues manuales, distintos servidores de producción tienen configuraciones divergentes y difíciles de auditar. ¿Cuál es la MEJOR práctica para evitarlo?
- A. Documentar cada servidor en una hoja de cálculo
- B. Gestión de configuración con infraestructura como código y líneas base versionadas
- C. Dar acceso SSH a más ingenieros para corregir a mano
- D. Reiniciar los servidores periódicamente
Dominio 8 — Secure Software Supply Chain
37. Un cliente del sector público exige, como condición contractual, un inventario legible por máquina de todos los componentes y dependencias que incluye el software entregado. ¿Qué artefacto satisface ESTE requisito?
- A. Un diagrama de arquitectura
- B. Un informe de pentest
- C. Un SBOM (Software Bill of Materials)
- D. Una matriz SRTM
38. Una organización quiere asegurarse de que un componente de terceros proviene de una fuente confiable y no ha sido alterado en tránsito desde su origen hasta el build. ¿Qué conceptos abordan MEJOR esta preocupación?
- A. Provenance y pedigree (con firmas y verificación de integridad)
- B. Ofuscación del código del componente
- C. Minificación de las dependencias
- D. Aumentar la cobertura de pruebas unitarias
39. Antes de incorporar un proveedor de software crítico, la empresa quiere evaluar sus prácticas de seguridad y su exposición a riesgos. ¿Cuál es la MEJOR acción como parte de la gestión de riesgo de la cadena de suministro?
- A. Confiar en la reputación de marca del proveedor
- B. Añadir una cláusula de responsabilidad y no evaluar nada más
- C. Escanear solo el binario entregado con un antivirus
- D. Realizar una evaluación de riesgo del tercero (due diligence) y fijar requisitos de seguridad en el contrato
40. Una empresa integra un modelo de lenguaje preentrenado descargado de un repositorio público de modelos para incorporarlo en su producto. ¿Cuál es la preocupación de cadena de suministro MÁS importante a mitigar?
- A. El tamaño en disco del archivo del modelo
- B. La procedencia e integridad del modelo (backdoors o pesos manipulados) y su licencia
- C. El framework de deep learning utilizado para entrenarlo
- D. La velocidad de descarga desde el repositorio
Fin del simulacro
Anota tus 40 respuestas antes de continuar. Cuando termines, corrige y analiza cada opción en:
Usa la tabla de dominios de ese capítulo para identificar en qué áreas concentrar tu repaso.