🎓 Cómo usar este documento: Lee la explicación de cada bloque temático y responde las preguntas antes de pasar al siguiente. Las soluciones comentadas están al final.
El modelo OSI (Open Systems Interconnection) divide las comunicaciones de red en 7 capas independientes. Cada capa se ocupa de una función concreta y se comunica únicamente con las capas adyacentes.
| Nº | Capa | Unidad de datos | Función principal |
|---|---|---|---|
| 7 | Aplicación | Mensaje | Interfaz con el usuario y las aplicaciones |
| 6 | Presentación | Mensaje | Traducción, cifrado y compresión |
| 5 | Sesión | Mensaje | Establecimiento y cierre de sesiones |
| 4 | Transporte | Segmento / Datagrama | Transporte extremo a extremo, control de flujo |
| 3 | Red | Paquete | Direccionamiento lógico y enrutamiento |
| 2 | Enlace de datos | Trama | Acceso al medio, detección de errores en tramo local |
| 1 | Física | Bit | Transmisión de bits por el medio físico |
💡 Mnemotecnia (de abajo a arriba): Física Enlace Red Transporte Sesión Presentación Aplicación → "Fray Enrique Ruiz Tiene Seis Perros Amaestrados"
El modelo TCP/IP agrupa las 3 capas superiores de OSI en una sola capa de Aplicación, y las 2 capas inferiores en Acceso a la red.
Modelo OSI Modelo TCP/IP
───────────────── ─────────────────
7. Aplicación ┐
6. Presentación ├──────────► Aplicación
5. Sesión ┘
4. Transporte ───────────► Transporte
3. Red ───────────► Internet
2. Enlace ┐
1. Física ├──────────► Acceso a la red
| Dispositivo | Capa | Decisión de reenvío |
|---|---|---|
| Hub | Capa 1 — Física | Repite señal a todos los puertos (sin inteligencia) |
| Switch / Conmutador | Capa 2 — Enlace | Dirección MAC de destino |
| Router / Encaminador | Capa 3 — Red | Dirección IP de destino |
| Gateway / Puerta de enlace | Capas 4–7 | Traduce entre protocolos distintos |
⚠️ Dato clave: Un router corta los dominios de broadcast: no reenvía tramas FF-FF-FF-FF-FF-FF entre redes distintas. Un switch sí las propaga dentro del mismo segmento.
Capa Aplicación (TCP/IP)
├── HTTP (80) → Navegación web
├── HTTPS (443) → Navegación web cifrada
├── FTP (20/21) → Transferencia de ficheros
├── SMTP (25) → Envío de correo
├── POP3 (110) → Recepción de correo
├── IMAP (143) → Recepción de correo (con sincronización)
├── DNS (53) → Resolución de nombres de dominio
├── DHCP (67/68) → Asignación dinámica de IP
├── SSH (22) → Acceso remoto seguro
├── Telnet(23) → Acceso remoto (⚠️ texto plano, inseguro)
└── SNMP (161) → Gestión de red
Capa Transporte
├── TCP → Orientado a conexión, fiable (Three-way handshake)
└── UDP → Sin conexión, más rápido, sin garantía de entrega
Capa Red / Internet
├── IP → Direccionamiento y enrutamiento
├── ICMP → Mensajes de error y diagnóstico (usado por ping)
└── ARP → Resolución de IP → MAC
💡 Three-way handshake TCP: SYN → SYN-ACK → ACK. Establece la conexión antes de enviar datos. UDP no realiza este proceso, por eso es más rápido pero sin garantías.
| Característica | TCP | UDP |
|---|---|---|
| Conexión | Orientado a conexión | Sin conexión |
| Fiabilidad | Garantiza entrega ordenada | Sin garantía de entrega ni orden |
| Control de flujo | Sí | No |
| Velocidad | Más lento | Más rápido |
| Comunicación | Solo punto a punto | Punto a punto, multicast y broadcast |
| Uso típico | HTTP/S, FTP, SMTP, SSH | DNS, DHCP, VoIP, streaming, juegos |
1. ¿En qué capa del modelo OSI opera el protocolo IP?
2. Un switch Ethernet toma sus decisiones de reenvío basándose en:
3. ¿Qué capa del modelo OSI es responsable del cifrado de datos y la compresión?
4. ¿Cuál es la diferencia principal entre TCP y UDP?
5. ¿Qué protocolo resuelve nombres de dominio como www.google.com a una dirección IP?
Cada paquete IP lleva una cabecera con información de control para que los routers puedan encaminarlo correctamente. El tamaño mínimo de la cabecera es de 20 bytes y el máximo de 60 bytes.
| Campo | Tamaño | Descripción |
|---|---|---|
| Versión | 4 bits | Versión del protocolo IP (0100=IPv4, 0110=IPv6) |
| IHL | 4 bits | Longitud en palabras de 32 bits. Mín: 5 (20 bytes), Máx: 15 (60 bytes) |
| Tipo de Servicio | 8 bits | Parámetros QoS: prioridad, retardo, rendimiento, fiabilidad |
| Longitud Total | 16 bits | Tamaño total (cabecera + datos) en bytes. Mínimo habitual: 576 bytes |
| Identificador | 16 bits | Identificador único del datagrama. Distingue fragmentos de distintos datagramas |
| Flags | 3 bits | Control de fragmentación (ver tabla siguiente) |
| Posición de fragmento | 13 bits | Posición del fragmento dentro del datagrama original (unidades de 64 bits) |
| TTL | 8 bits | Máximo de routers que puede atravesar. Valor típico: 64 o 128 |
| Protocolo | 8 bits | Protocolo de capa superior destino (TCP=6, UDP=17, ICMP=1) |
| Suma de control | 16 bits | Verificación de la cabecera. Se recalcula en cada salto |
| IP de origen | 32 bits | Dirección IP del emisor |
| IP de destino | 32 bits | Dirección IP del receptor |
| Opciones | Variable | Seguridad, enrutamiento desde origen, marca de tiempo… |
| Relleno | Variable | Asegura que la cabecera sea múltiplo de 32 bits. Valor: 0 |
| Bit | Nombre | Valor 0 | Valor 1 |
|---|---|---|---|
| Bit 0 | Reservado | — | Siempre 0 |
| Bit 1 | DF (Don't Fragment) | Divisible | No dividir |
| Bit 2 | MF (More Fragments) | Último fragmento | Hay más fragmentos |
⚠️ Dato clave: Si un paquete tiene DF=1 y un router necesita fragmentarlo, el router lo descarta y envía ICMP "Fragmentation Needed" al origen. El origen debe reducir el tamaño del paquete.
Bits 0-2: Precedencia (prioridad del mensaje)
000 = De rutina
001 = Prioritario
010 = Inmediato
011 = Relámpago
100 = Invalidación relámpago
101 = Llamada crítica de emergencia
110 = Control de trabajo de Internet
111 = Control de red
Bit 3: Retardo (0 = normal, 1 = bajo)
Bit 4: Rendimiento (0 = normal, 1 = alto)
Bit 5: Fiabilidad (0 = normal, 1 = alta)
Bits 6-7: Reservados — no usados
El TTL evita que los paquetes circulen indefinidamente en bucles de enrutamiento.
| Hecho | Descripción |
|---|---|
| Valor inicial | Establecido por el origen. Típicamente 64 o 128 |
| Por cada router | Se decrementa en 1 al procesarlo |
| Cuando llega a 0 | El paquete se descarta y el router envía ICMP "Time Exceeded" al origen |
💡 traceroute / tracert explota el TTL enviando paquetes con TTL=1, 2, 3… para descubrir cada salto de la ruta.
| Clase | Número | Descripción |
|---|---|---|
| 0 | 0 | Fin de lista de opciones |
| 0 | 1 | Sin operación (NOP) — alineación |
| 0 | 2 | Seguridad |
| 0 | 3 | Enrutado desde origen abierto (LSSR) |
| 0 | 9 | Enrutado desde origen estricto (SSRR) |
| 0 | 7 | Registro de ruta |
| 0 | 8 | Identificador de flujo |
| 2 | 4 | Marca de tiempo |
💡 LSSR vs SSRR: En la ruta abierta (LSSR) el router elige el camino intermedio libremente. En la ruta estricta (SSRR) el paquete debe ir directamente a la siguiente dirección indicada, sin rodeos.
6. ¿Cuántos bytes ocupa la cabecera IPv4 sin opciones?
7. Un paquete IP con flag DF=1 llega a un router que necesita fragmentarlo. ¿Qué hace el router?
8. ¿Qué campo impide que los paquetes circulen indefinidamente en bucles de enrutamiento?
9. ¿Qué indica el bit MF=1 en un paquete IP fragmentado?
10. ¿Cuál es el valor máximo del campo IHL y a cuántos bytes de cabecera corresponde?
El estándar ANSI/TIA-942 fue aprobado en 2005 por ANSI-TIA. Es la guía de referencia para el diseño e instalación de infraestructuras de centros de datos (Data Centers). Clasifica los CPD en cuatro niveles de fiabilidad llamados TIER.
💡 A mayor número de TIER → mayor disponibilidad → mayores costes de construcción y mantenimiento.
| TIER | Nombre | Disponibilidad | Parada anual | Implantación |
|---|---|---|---|---|
| I | Básico | 99,671% | 28,82 horas | 3 meses |
| II | Componentes redundantes | 99,741% | 22,0 horas | 3–6 meses |
| III | Mantenimiento concurrente | 99,982% | 1,6 horas | 15–20 meses |
| IV | Tolerante a errores | 99,995% | 52,56 minutos | 15–20 meses |
TIER I — Básico
├── Un solo paso de corriente y A/A sin redundancia
├── Sensible a interrupciones planificadas Y no planificadas
├── Sin exigencias de piso elevado · Generador independiente
└── Debe cerrarse completamente para mantenimiento preventivo
TIER II — Componentes redundantes
├── Un solo paso de corriente con UN componente redundante
├── Incluye piso elevado, UPS y generador
└── Mantenimiento de alimentación requiere cierre del procesamiento
TIER III — Mantenimiento concurrente
├── Múltiples accesos de energía y refrigeración (un encaminamiento activo)
├── Redundancia N+1
├── Mantenimiento planificado SIN corte de servicio
└── Las interrupciones no planificadas aún pueden causar problemas
TIER IV — Tolerante a errores
├── Múltiples rutas activas de corriente y refrigeración
├── Redundancia 2(N+1) → dos UPS cada uno con redundancia N+1
└── Fallos planificados Y no planificados sin afectar a datos críticos
⚠️ Dato clave: Solo TIER III y TIER IV permiten mantenimiento sin interrumpir el servicio. La diferencia es que TIER IV también tolera fallos no planificados.
| Subsistema | Elementos principales |
|---|---|
| Telecomunicaciones | Cableado horizontal y backbone, accesos redundantes, cuarto de entrada, áreas de distribución, patch panels, latiguillos |
| Arquitectura | Ubicación, construcción ignífuga, NFPA 75, barreras de vapor, control de acceso, CCTV, NOC |
| Sistema eléctrico | UPS, EPO (Emergency Power Off), baterías, generadores, puesta a tierra, monitorización |
| Sistema mecánico | Climatización HVAC, CRACs, condensadores, detección incendios, sprinklers, extinción agente limpio NFPA 2001 |
Áreas funcionales
├── Entrada(s) al centro
├── MDA — Main Distribution Area (distribución principal)
├── IDA — Intermediate Distribution Area (distribución intermedia)
├── HDA — Horizontal Distribution Area (distribución horizontal)
├── ZDA — Zone Distribution Area (opcional)
└── Cableado horizontal y backbone
| Aspecto | Requisito actualizado |
|---|---|
| Fibra multimodo | Solo OM3 y OM4 (50/125 µm) con LASER 850 nm. OM1 y OM2 quedan prohibidos |
| Cableado de cobre | Mínimo Cat6, recomendado Cat6A apantallado |
| Longitud horizontal fibra | Se suprime el límite de 100 m; queda a responsabilidad del fabricante |
| Conectores ópticos | Solo LC Dúplex (cables dúplex) y MPO (más de 12 fibras) |
| Arquitectura | Se recomiendan arquitecturas centralizadas y jerárquicas |
💡 Mnemotecnia TIER: I=sin redundancia (28h parada), II=algo redundante (22h), III=mantenimiento sin parar (1,6h), IV=invencible (52 min).
11. ¿Qué nivel TIER permite mantenimiento planificado sin interrumpir el servicio y tiene disponibilidad del 99,982%?
12. Según TIA-942, ¿cuántos subsistemas de soporte componen la infraestructura de un CPD?
13. Un CPD TIER IV tiene redundancia 2(N+1). ¿Qué significa?
14. Según TIA-942A de 2013, ¿qué tipos de fibra multimodo quedan prohibidos en los Data Centers?
15. ¿Cuál es el tiempo máximo de parada anual de un CPD TIER I?
La seguridad de la información se sustenta en tres propiedades fundamentales:
| Pilar | Definición |
|---|---|
| Confidencialidad | La información solo es accesible para personas autorizadas |
| Integridad | La información no ha sido alterada, perdida ni destruida de forma no autorizada |
| Disponibilidad | La información y sistemas son accesibles cuando los usuarios autorizados los necesitan |
⚠️ Dato clave: Un ataque activo pone en riesgo los tres pilares (CIA). Un ataque pasivo solo afecta a la confidencialidad porque intercepta datos sin modificarlos.
| Ataque | Descripción |
|---|---|
| Activo | Modifica el contenido o recursos del sistema. Afecta a los tres pilares CIA |
| Pasivo | Intercepta y monitoriza sin modificar. Solo afecta a confidencialidad |
| APT | Advanced Persistent Threat: ataque sigiloso y prolongado, patrocinado por estados o mafias |
| DoS | Satura un sistema con peticiones para dejarlo fuera de servicio |
| DDoS | Como DoS pero desde múltiples orígenes coordinados (botnet) |
| Fuerza bruta | Prueba todas las combinaciones posibles de contraseña |
| Diccionario | Variante de fuerza bruta usando listas de contraseñas comunes |
| Repetición | Captura y reenvía un comando legítimo para suplantar al usuario |
| CAM Table Overflow | Satura la tabla MAC del switch con MACs falsas, convirtiéndolo en hub |
| Man-in-the-Middle | Intercepta la comunicación pudiendo leer y modificar los datos |
| Inyección SQL | Inyecta código SQL en formularios para acceder a la base de datos |
| XSS | Inyecta código en páginas web dinámicas para ejecutarlo en el navegador víctima |
| CSRF | Fuerza al sitio a ejecutar acciones no autorizadas en nombre del usuario autenticado |
| Session Hijacking | Secuestra la sesión de un usuario interceptando su cookie |
| Phishing | Suplanta una entidad por email para robar credenciales |
| Spear Phishing | Phishing dirigido a una persona u organización concreta con datos personalizados |
| Fraude del CEO (Whaling) | Spear phishing dirigido a altos cargos de la empresa |
| Pharming | Manipula el DNS para redirigir a webs falsas aunque la URL sea correcta |
| Spoofing | Suplantación de identidad: IP, ARP, DNS, Mail o Web |
| Watering hole | Infecta una web legítima frecuentada por las víctimas objetivo |
| Defacement | Modifica la apariencia visual de una página web |
| Desbordamiento de buffer | Sobrescribe memoria adyacente para ejecutar código malicioso |
| Malware | Descripción |
|---|---|
| Virus | Infecta ficheros ejecutables o sectores de arranque. Necesita acción humana para propagarse |
| Gusano (Worm) | Se replica y propaga automáticamente por la red sin acción humana |
| Troyano | Se disfraza de software legítimo. Crea backdoors, se controla desde C&C. +80% del malware |
| Ransomware | Cifra o secuestra datos del sistema y exige rescate económico |
| Spyware | Recopila información del usuario sin su consentimiento y la envía a un tercero |
| Adware | Muestra publicidad no deseada. Puede incluir comportamiento espía |
| Rootkit | Acceso persistente con permisos de administrador, manteniéndose oculto |
| Keylogger | Tipo de spyware que registra las teclas pulsadas y las envía al atacante |
| Bomba lógica | Código oculto que se activa al cumplirse una condición predefinida |
| Dropper | Instala malware en el equipo. Puede contenerlo o descargarlo de Internet |
| Bot / Zombie | Equipo infectado controlado remotamente. Forma parte de una botnet |
| Botnet | Red de equipos infectados (bots) controlados por un servidor C&C central |
💡 Diferencia Virus vs Gusano: el virus necesita que el usuario ejecute un fichero infectado. El gusano se propaga solo, aprovechando vulnerabilidades de red, sin acción humana.
| Herramienta | Descripción |
|---|---|
| Firewall / Cortafuegos | Controla el tráfico entrante y saliente según reglas. Hardware o software |
| NGFW | Next Generation Firewall: múltiples servicios integrados con mayor procesamiento |
| UTM | Unified Threat Management: gestión centralizada de amenazas en un único dispositivo |
| IDS | Intrusion Detection System: detecta intrusiones pero no las bloquea |
| IPS | Intrusion Prevention System: detecta y bloquea intrusiones. Extensión del IDS |
| SIEM | Gestiona y analiza eventos de seguridad en tiempo real para detectar amenazas |
| SOC | Security Operations Center: equipo especializado en monitorizar y responder a incidentes |
| Sandbox | Entorno aislado para ejecutar aplicaciones sospechosas sin riesgo para el sistema |
| Honeypot | Sistema trampa para detectar y estudiar ataques reales |
| DMZ | Zona desmilitarizada: red aislada con servidores accesibles desde Internet |
| VPN | Red privada virtual: túnel cifrado sobre una red pública (Internet) |
| Proxy | Intermediario entre red interna e Internet. Puede filtrar y cachear tráfico |
| DLP | Data Loss Prevention: previene fugas de información desde dentro de la organización |
💡 IDS vs IPS: el IDS es pasivo (detecta y alerta). El IPS es activo (detecta y bloquea). El IPS está tecnológicamente más cerca de un firewall que el IDS.
| Tipo | Claves | Velocidad | Uso principal | Ejemplo |
|---|---|---|---|---|
| Cifrado simétrico | Una sola clave compartida | Rápido | Cifrado de datos en masa | AES |
| Cifrado asimétrico | Par clave pública / privada | Lento | Intercambio de claves, firma digital | RSA, PGP |
Cifrado asimétrico — cómo funciona
├── Emisor cifra con la CLAVE PÚBLICA del receptor
├── Receptor descifra con su CLAVE PRIVADA (solo él la conoce)
└── Para firma digital:
├── Emisor firma con su CLAVE PRIVADA
└── Cualquiera verifica con la CLAVE PÚBLICA del emisor
| Concepto | Descripción |
|---|---|
| Hash | Función unidireccional que genera un identificador único e irrepetible. No reversible |
| Firma electrónica | Cifra el hash con la clave privada. Garantiza integridad, identidad y no repudio |
| Certificado digital | Fichero de una CA (Autoridad Certificadora) que asocia identidad a claves criptográficas |
| PKI | Infraestructura de Clave Pública: hardware, software, políticas y procedimientos criptográficos |
| CRL | Lista de Revocación de Certificados: lista de certificados anulados antes de su caducidad |
| SSL / TLS | Cifra comunicaciones cliente-servidor. TLS es la versión moderna y segura de SSL |
| IPsec | Asegura comunicaciones IP autenticando y/o cifrando cada paquete a nivel de red |
| Kerberos | Protocolo de autenticación por criptografía de clave secreta. Desarrollado por el MIT |
⚠️ AES = simétrico (una clave compartida). RSA = asimétrico (par público/privado). No confundirlos en el examen.
| Concepto | Definición |
|---|---|
| Activo de información | Cualquier información o sistema con valor para la organización |
| Amenaza | Circunstancia desfavorable que puede provocar daño a los activos |
| Vulnerabilidad | Debilidad o fallo que puede ser explotado por una amenaza |
| Riesgo | Probabilidad de que una amenaza explote una vulnerabilidad causando daño |
| Impacto | Efecto que produce un incidente en los niveles de servicio de la empresa |
| Análisis de riesgos | Identifica activos, vulnerabilidades, amenazas, probabilidad e impacto |
| Bastionado (Hardening) | Reducir vulnerabilidades eliminando servicios, usuarios y configuraciones innecesarias |
| Mínimo privilegio | Conceder solo los permisos estrictamente necesarios para cada actividad |
| Pentest | Prueba de penetración: ataque controlado para encontrar vulnerabilidades |
| Ingeniería social | Técnicas de engaño para obtener información o accesos de usuarios legítimos |
| Zero-day (0-day) | Vulnerabilidad desconocida para el fabricante. No existe parche disponible |
| CVE | Listado estándar de vulnerabilidades conocidas |
| CVSS | Sistema de puntuación de la gravedad de una vulnerabilidad |
| IOC | Indicators of Compromise: evidencias de que un sistema ha sido comprometido |
| Equipo rojo (Red Team) | Simula ataques reales para encontrar vulnerabilidades |
| Equipo azul (Blue Team) | Defiende y refuerza la seguridad ante ataques reales y simulados |
| CERT / CSIRT | Equipo de respuesta ante emergencias o incidentes de seguridad informática |
| Normativa | Ámbito | Descripción |
|---|---|---|
| RGPD | UE (2016) | Reglamento General de Protección de Datos personales |
| LOPDGDD | España | Ley Orgánica que transpone el RGPD al ordenamiento español |
| LSSI-CE | España | Regula el comercio electrónico y servicios de la Sociedad de la Información |
| SGSI / ISO 27001 | Internacional | Sistema de Gestión de la Seguridad de la Información |
| PCI DSS | Internacional | Estándar de seguridad para la industria de tarjetas de pago |
| ENS | España | Esquema Nacional de Seguridad: marco de referencia para las AAPP españolas |
💡 El RGPD es el reglamento europeo (obligatorio en todos los estados miembro). La LOPDGDD es la ley española que lo adapta y complementa con particularidades nacionales.
16. ¿Cuáles son los tres pilares de la tríada CIA?
17. Un malware que se replica y propaga automáticamente por la red sin acción humana se denomina:
18. ¿Cuál es la diferencia fundamental entre un IDS y un IPS?
19. El algoritmo AES es un sistema de cifrado:
20. ¿Qué ataque manipula el DNS para redirigir a webs fraudulentas aunque la URL escrita sea correcta?
21. Una vulnerabilidad desconocida para el fabricante y sin parche disponible se denomina:
22. ¿Qué caracteriza a un ataque Man-in-the-Middle?
23. ¿Qué normativa europea obliga a las organizaciones a proteger los datos personales de los ciudadanos?
24. ¿Cuál es la diferencia entre Phishing y Spear Phishing?
25. ¿Qué protocolo Wi-Fi se recomienda desactivar por tener una vulnerabilidad conocida?
1 → c) El protocolo IP opera en la capa 3 (Red). Es el responsable del direccionamiento lógico y el enrutamiento entre redes. TCP y UDP operan en capa 4. Ethernet opera en capa 2.
2 → c) Los switches toman decisiones en base a las direcciones MAC (capa 2). Construyen una tabla CAM con MAC → puerto. Los routers usan direcciones IP (capa 3).
3 → d) La capa 6 (Presentación) se ocupa de la traducción de formatos, el cifrado/descifrado y la compresión. Aquí trabajan SSL/TLS y formatos como JPEG o MPEG.
4 → b) TCP establece el Three-way handshake, garantiza la entrega ordenada y controla el flujo. UDP es sin conexión, sin garantías, pero mucho más rápido. VoIP y streaming usan UDP por la importancia de la latencia.
5 → d) DNS (Domain Name System) traduce nombres de dominio en direcciones IP. Opera en el puerto 53. ARP resuelve IP → MAC. DHCP asigna IPs dinámicamente. ICMP es para mensajes de error.
6 → c) La cabecera IPv4 sin opciones tiene 20 bytes. IHL mínimo = 5 palabras de 32 bits = 5 × 4 bytes = 20 bytes.
7 → b) Con DF=1 el router descarta el paquete y envía ICMP "Fragmentation Needed" al origen. El origen deberá reducir el tamaño de sus paquetes para que pasen sin fragmentación.
8 → d) El campo TTL evita los bucles infinitos. Cada router decrementa TTL en 1. Al llegar a 0 el paquete se descarta y se notifica al origen con ICMP "Time Exceeded".
9 → c) MF=1 indica que quedan más fragmentos del mismo datagrama por llegar. Solo el último fragmento tiene MF=0. El campo Identificador permite al receptor reconocer qué fragmentos pertenecen al mismo datagrama original.
10 → b) IHL máximo = 15 (4 bits, valor máximo 1111). 15 × 4 bytes = 60 bytes máximos de cabecera. Los primeros 20 son obligatorios y los 40 restantes corresponden a opciones.
11 → c) TIER III (Mantenimiento concurrente) tiene disponibilidad del 99,982% y permite mantenimiento planificado sin cortar el servicio. TIER IV también pero además tolera fallos no planificados.
12 → c) TIA-942 define exactamente 4 subsistemas: telecomunicaciones, arquitectura, sistema eléctrico y sistema mecánico.
13 → b) La redundancia 2(N+1) de TIER IV significa dos UPS independientes, cada uno con redundancia N+1 internamente. Ningún fallo único puede interrumpir el suministro.
14 → c) La revisión TIA-942A prohíbe OM1 y OM2 en Data Centers. Solo se permiten OM3 y OM4 (50/125 µm) con emisores LASER a 850 nm.
15 → d) Un CPD TIER I puede estar inactivo hasta 28,82 horas al año. Es el nivel básico, sin redundancia, sensible a cualquier tipo de interrupción.
16 → b) Los tres pilares son Confidencialidad, Integridad y Disponibilidad (CIA). La autenticación y el no repudio son principios importantes pero no forman la tríada CIA.
17 → c) Un gusano se propaga solo aprovechando vulnerabilidades de red, sin necesitar que el usuario ejecute nada. El virus necesita un fichero infectado que el usuario ejecute. El troyano se disfraza de software legítimo.
18 → b) El IDS (Intrusion Detection System) solo detecta y genera alertas. El IPS (Intrusion Prevention System) detecta y bloquea activamente. El IPS es tecnológicamente más cercano a un firewall.
19 → c) AES (Advanced Encryption Standard) es cifrado simétrico: usa la misma clave para cifrar y descifrar. Es el estándar de cifrado simétrico más extendido. RSA es asimétrico. SHA-256 es una función hash.
20 → c) El Pharming manipula el DNS para redirigir silenciosamente a webs fraudulentas aunque el usuario escriba correctamente la URL. El phishing engaña al usuario para que pulse un enlace falso.
21 → d) Una vulnerabilidad Zero-day es desconocida para el fabricante y sin parche disponible. Los APT las explotan con frecuencia porque el usuario no puede protegerse con actualizaciones.
22 → b) En un Man-in-the-Middle el atacante se interpone entre los comunicantes pudiendo escuchar, leer y modificar los mensajes sin que ninguna parte lo note. La mitigación principal es el cifrado extremo a extremo.
23 → c) El RGPD es la normativa europea de 2016. La LOPDGDD es la ley española que transpone el RGPD. La LSSI-CE regula el comercio electrónico.
24 → b) El Phishing es masivo y genérico. El Spear Phishing va dirigido específicamente a una persona u organización concreta, usando datos personalizados (nombre, cargo, empresa) para resultar más creíble.
25 → c) WPS (Wi-Fi Protected Setup) tiene una vulnerabilidad conocida que permite descubrir el PIN y acceder a la red fácilmente. La recomendación es desactivarlo. WPA3 es el protocolo más seguro actualmente.
| Concepto | Valor / Respuesta clave |
|---|---|
| Capa OSI donde opera IP | Capa 3 — Red |
| Capa OSI donde opera TCP/UDP | Capa 4 — Transporte |
| Capa OSI donde opera Ethernet | Capa 2 — Enlace de datos |
| Capa OSI de cifrado y compresión | Capa 6 — Presentación |
| Switch: decisión de reenvío | Dirección MAC (capa 2) |
| Router: decisión de reenvío | Dirección IP (capa 3) |
| Puerto HTTP / HTTPS | 80 / 443 |
| Puerto FTP | 20 (datos) / 21 (control) |
| Puerto SSH | 22 |
| Puerto DNS | 53 |
| Puerto SMTP | 25 |
| Three-way handshake TCP | SYN → SYN-ACK → ACK |
| Protocolo de diagnóstico (ping) | ICMP |
| Tamaño mínimo cabecera IPv4 | 20 bytes (IHL=5) |
| Tamaño máximo cabecera IPv4 | 60 bytes (IHL=15) |
| TTL típico IPv4 | 64 o 128 saltos |
| Flag DF=1 | No fragmentar |
| Flag MF=1 | Hay más fragmentos |
| TIER I — tiempo parada anual | 28,82 horas |
| TIER II — tiempo parada anual | 22,0 horas |
| TIER III — tiempo parada anual | 1,6 horas |
| TIER IV — tiempo parada anual | 52,56 minutos |
| TIER III — disponibilidad | 99,982% |
| TIER IV — disponibilidad | 99,995% |
| TIER IV — redundancia UPS | 2(N+1) |
| TIA-942: número de subsistemas | 4 (telecom, arquitectura, eléctrico, mecánico) |
| TIA-942A: fibras permitidas en DC | OM3 y OM4 (prohibidas OM1 y OM2) |
| TIA-942A: cableado cobre mínimo | Cat6 (recomendado Cat6A apantallado) |
| Tríada CIA | Confidencialidad, Integridad, Disponibilidad |
| AES | Cifrado simétrico |
| RSA / PGP | Cifrado asimétrico (clave pública) |
| Hash | Función unidireccional (no reversible) |
| Zero-day | Vulnerabilidad sin parche, desconocida para el fabricante |
| APT | Advanced Persistent Threat (patrocinado por estados/mafias) |
| Gusano vs Virus | Gusano = se propaga solo; Virus = necesita acción humana |
| Ransomware | Cifra datos y exige rescate |
| DoS vs DDoS | DoS = un origen; DDoS = múltiples orígenes |
| Pharming vs Phishing | Pharming = DNS manipulado; Phishing = engaño por email/enlace |
| IDS vs IPS | IDS = solo detecta; IPS = detecta y bloquea |
| Honeypot | Sistema señuelo para detectar y estudiar ataques |
| DMZ | Zona con servidores accesibles desde Internet, aislada de la LAN |
| SIEM | Gestión de eventos de seguridad en tiempo real |
| RGPD | Reglamento europeo de protección de datos (2016) |
| WPS | Desactivar — vulnerabilidad conocida |
| WPA3 | Cifrado Wi-Fi más moderno y seguro |