Respuestas explicadas del simulacro

Por: Artiko
csslpisc2seguridadexamenrespuestassolucionario

Respuestas explicadas del simulacro

Solucionario del simulacro de examen. Para cada pregunta encontrarás la respuesta correcta, por qué lo es y por qué cada una de las otras tres opciones no lo es. Al final tienes una tabla de dominios para saber qué repasar y una escala de desempeño.

Lee las explicaciones aunque hayas acertado: entender por qué las otras opciones fallan es lo que entrena la mentalidad ISC2.


Dominio 1 — Secure Software Concepts

1. Correcta: B — Separation of duties. Que una sola persona cree y apruebe un pago concentra en un individuo un proceso crítico, lo que permite fraude sin control; la separación de funciones exige que acciones sensibles requieran a más de una persona.

2. Correcta: C — Least privilege. Dar permisos de administrador “por si acaso” viola el principio de mínimo privilegio: cada proceso debe tener solo los permisos estrictamente necesarios para su función.

3. Correcta: A — Denegar el acceso hasta restablecerse (fail secure). Ante el fallo del subsistema de autorización, el comportamiento seguro por defecto es denegar: fail secure evita que un fallo abra el acceso.

4. Correcta: C — El dueño del riesgo (business/data owner). Aceptar un riesgo es una decisión de negocio: la toma el dueño del riesgo, que asume las consecuencias en nombre de la organización, no el personal técnico.

5. Correcta: B — Privacy by design desde los requisitos. Tratándose de datos de menores, la privacidad debe incorporarse desde el inicio minimizando la recolección; privacy by design es preventivo y proporcionado al riesgo.


Dominio 2 — Secure Software Lifecycle Management

6. Correcta: D — Un modelo de madurez como OWASP SAMM o BSIMM. Medir madurez y compararse en el tiempo y con la industria es justo el propósito de los modelos de madurez SAMM/BSIMM.

7. Correcta: D — Sanitizar o destruir de forma segura datos y credenciales. La mayor preocupación al decomisionar es que datos sensibles y credenciales no queden expuestos; deben sanitizarse o destruirse de forma segura.

8. Correcta: C — Densidad de vulnerabilidades y tiempo medio de remediación. Una buena métrica de seguridad es accionable y orientada a resultados: densidad de vulnerabilidades por KLOC y MTTR muestran tendencia real del programa.

9. Correcta: A — NIST SSDF (SP 800-218). El SSDF describe justamente cómo integrar prácticas de seguridad (incluidos modelado de amenazas y revisión de código) en las fases del desarrollo.


Dominio 3 — Secure Software Requirements

10. Correcta: B — Misuse y abuse cases. Capturar cómo un atacante abusaría de una funcionalidad es exactamente el propósito de los misuse/abuse cases, la contraparte adversarial de los casos de uso.

11. Correcta: C — Security Requirements Traceability Matrix (SRTM). La SRTM vincula cada requisito de seguridad con su diseño, implementación y prueba, garantizando trazabilidad de extremo a extremo.

12. Correcta: A — Clasificar los datos según su sensibilidad e impacto. Antes de elegir controles proporcionales hay que saber qué datos son más sensibles; la clasificación de datos es el primer paso.

13. Correcta: B — Las obligaciones regulatorias aplicables (GDPR y HIPAA). Con datos de salud de la UE y EE. UU., los requisitos deben reflejar primero las obligaciones legales; la ley condiciona todo el diseño posterior.

14. Correcta: D — Definir los requisitos de seguridad ahora, junto con los funcionales. La seguridad se integra desde los requisitos, no se “añade después”; lo correcto es definir los requisitos de seguridad en paralelo a los funcionales.


Dominio 4 — Secure Software Architecture and Design

15. Correcta: C — Spoofing. Hacerse pasar por otro usuario legítimo es suplantación de identidad: la S de STRIDE (Spoofing).

16. Correcta: A — Descomponer la aplicación y construir un DFD. El primer paso del modelado de amenazas es entender el sistema: descomponerlo y diagramar sus flujos de datos antes de identificar o puntuar amenazas.

17. Correcta: D — Reducir la superficie de ataque deshabilitando los endpoints no usados. Endpoints heredados sin uso solo suman superficie de ataque; el diseño seguro busca minimizarla eliminando lo innecesario.

18. Correcta: B — Gestionar la clave en un KMS o HSM, fuera del código, con rotación. Guardar la clave junto al código anula el cifrado; lo correcto es custodiarla en un KMS/HSM, separada del código y con rotación.

19. Correcta: B — Prompt injection que ejecute acciones no autorizadas. Un LLM con capacidad de actuar sobre instrucciones en lenguaje natural es vulnerable a prompt injection; el mayor riesgo de diseño es que se manipule para ejecutar acciones no autorizadas.

20. Correcta: C — Autenticación y autorización servicio a servicio bajo zero trust. Para que un microservicio comprometido no acceda libremente al resto, cada llamada entre servicios debe autenticarse y autorizarse bajo un modelo zero trust.


Dominio 5 — Secure Software Implementation

21. Correcta: A — Usar consultas parametrizadas (prepared statements). La causa raíz de la inyección SQL es mezclar datos y código; las consultas parametrizadas separan ambos y la eliminan.

22. Correcta: C — SCA (Software Composition Analysis). Detectar vulnerabilidades conocidas en librerías de terceros es la función del SCA, que analiza dependencias contra bases de datos de CVE.

23. Correcta: D — Moverlas a variables de entorno y a un gestor de secretos, y rotarlas. Las credenciales nunca deben residir en el código; deben externalizarse a un gestor de secretos, inyectarse por entorno y rotarse tras la exposición.

24. Correcta: B — Validación de entrada más output encoding contextual. El XSS se previene mejor combinando validación de entrada con codificación de salida según el contexto donde se inserta el dato en el navegador.

25. Correcta: B — Data poisoning; validar procedencia e integridad de los datos de entrenamiento. Inyectar muestras maliciosas en el entrenamiento para sesgar el modelo es data poisoning; el control es asegurar la procedencia e integridad de los datos.

26. Correcta: C — Registrar el detalle internamente y devolver un mensaje genérico. Exponer stack traces filtra información útil para un atacante; lo correcto es registrar el detalle internamente y mostrar un mensaje genérico al usuario.


Dominio 6 — Secure Software Testing

27. Correcta: A — DAST. Probar la aplicación ya desplegada enviándole peticiones maliciosas sin acceder al código es análisis dinámico (DAST).

28. Correcta: D — Fuzzing. Enviar entradas malformadas, inesperadas o aleatorias para provocar fallos es precisamente el fuzzing.

29. Correcta: D — Enmascarar o anonimizar (data masking) los datos. Usar datos de producción con PII en pruebas viola la privacidad; deben enmascararse o anonimizarse manteniendo el realismo sin exponer datos reales.

30. Correcta: B — Una prueba de penetración (pentest). Simular un ataque real de un adversario contra el sistema completo en ejecución es el propósito de un pentest.

31. Correcta: B — Definir un bug bar / umbral de severidad y priorizar según riesgo. Con recursos limitados y muchos defectos, se prioriza según riesgo usando un bug bar que fija qué severidades bloquean el lanzamiento.

32. Correcta: C — Red teaming adversarial específico para LLMs. Probar sistemáticamente si el LLM puede ser manipulado para filtrar datos o saltarse restricciones es red teaming adversarial (prompt injection, jailbreaks, fugas).


Dominio 7 — Secure Software Deployment, Operations, Maintenance

33. Correcta: A — Hardening según un secure baseline. Reducir la exposición eliminando servicios innecesarios, cerrando puertos y aplicando una configuración segura de referencia es hardening sobre una línea base segura.

34. Correcta: B — Contener el incidente según el plan de respuesta. Ante una intrusión activa, el primer paso tras la detección es contener para limitar el alcance, antes de erradicar o recuperar.

35. Correcta: D — Probarlo en staging y desplegarlo mediante gestión de cambios controlada. Incluso un parche crítico debe probarse en staging y aplicarse con gestión de cambios para no romper producción de forma masiva.

36. Correcta: B — Gestión de configuración con IaC y líneas base versionadas. La divergencia entre servidores se evita gestionando la configuración como código, con líneas base versionadas y reproducibles.


Dominio 8 — Secure Software Supply Chain

37. Correcta: C — Un SBOM (Software Bill of Materials). Un inventario legible por máquina de todos los componentes y dependencias del software entregado es precisamente un SBOM.

38. Correcta: A — Provenance y pedigree (con firmas y verificación de integridad). Asegurar que un componente viene de una fuente confiable y no fue alterado en tránsito es cuestión de provenance y pedigree, sostenidos por firmas y verificación de integridad.

39. Correcta: D — Evaluación de riesgo del tercero (due diligence) y requisitos en el contrato. La gestión de riesgo de la cadena de suministro exige evaluar las prácticas del proveedor (due diligence) y fijar requisitos de seguridad contractualmente.

40. Correcta: B — Procedencia e integridad del modelo (backdoors o pesos manipulados) y su licencia. Un modelo preentrenado de un repositorio público es un componente de la cadena de suministro: la preocupación clave es su procedencia e integridad (posibles backdoors o pesos manipulados) y su licencia.


Tabla de dominios para autoevaluación

Marca las preguntas que fallaste y localiza el dominio: si concentras errores en un dominio, es tu prioridad de repaso.

PreguntaDominioRespuesta
1D1 — ConceptosB
2D1 — ConceptosC
3D1 — ConceptosA
4D1 — ConceptosC
5D1 — ConceptosB
6D2 — LifecycleD
7D2 — LifecycleD
8D2 — LifecycleC
9D2 — LifecycleA
10D3 — RequisitosB
11D3 — RequisitosC
12D3 — RequisitosA
13D3 — RequisitosB
14D3 — RequisitosD
15D4 — ArquitecturaC
16D4 — ArquitecturaA
17D4 — ArquitecturaD
18D4 — ArquitecturaB
19D4 — Arquitectura (IA)B
20D4 — ArquitecturaC
21D5 — ImplementaciónA
22D5 — ImplementaciónC
23D5 — ImplementaciónD
24D5 — ImplementaciónB
25D5 — Implementación (IA)B
26D5 — ImplementaciónC
27D6 — TestingA
28D6 — TestingD
29D6 — TestingD
30D6 — TestingB
31D6 — TestingB
32D6 — Testing (IA)C
33D7 — OperacionesA
34D7 — OperacionesB
35D7 — OperacionesD
36D7 — OperacionesB
37D8 — Supply chainC
38D8 — Supply chainA
39D8 — Supply chainD
40D8 — Supply chain (IA)B

Errores por dominio

DominioPreguntasErrores¿Repasar?
D1 — Conceptos1-5___ / 5
D2 — Lifecycle6-9___ / 4
D3 — Requisitos10-14___ / 5
D4 — Arquitectura y diseño15-20___ / 6
D5 — Implementación21-26___ / 6
D6 — Testing27-32___ / 6
D7 — Operaciones33-36___ / 4
D8 — Supply chain37-40___ / 4

Regla práctica: si fallas 2 o más en un mismo dominio, vuelve a ese capítulo antes de reintentar.


Escala orientativa de desempeño

Sobre 40 preguntas (recuerda que el corte real del examen es 700/1000, ~70%):

AciertosInterpretaciónAcción recomendada
< 28 (< 70%)Aún por debajo del umbralRepasar todos los dominios y rehacer el simulacro
28-33 (70-82%)En el filo, aprobarías con margen ajustadoRepasar los dominios débiles según la tabla y practicar con tests oficiales
34+ (≥ 85%)Sólido y consistenteEstás listo para agendar el examen; haz un repaso final de terminología

No agendes solo por un buen resultado aislado: busca consistencia por encima del 80% en varios simulacros y practice tests oficiales antes de reservar tu cita en Pearson VUE.


Vuelve al índice del curso para repasar cualquier dominio, o revisa de nuevo la estrategia de examen antes de tu cita.