AFI

¿Cuál de las siguientes NO es una fase del análisis forense informático?. Identificación. Preservación. Comercialización. Documentación.

Durante la fase de identificación, ¿qué se debe determinar?. El coste de reparación. Qué dispositivos y medios contienen evidencias relevantes para la investigación. La marca del dispositivo. El año de fabricación.

¿Qué principio fundamental debe respetarse al recolectar evidencias digitales?. Optimizar el rendimiento del sistema. Actualizar todo el software. Eliminar archivos duplicados. No alterar las evidencias originales.

¿Qué permite reconstruir el análisis de la línea de tiempo (Timeline Analysis)?. Solo la fecha de instalación del sistema. La secuencia cronológica de eventos y acciones realizadas en el sistema. El número de usuarios del sistema. La capacidad del disco duro.

En el contexto de análisis forense, ¿qué es un "artefacto"?. Un dispositivo antiguo. Un error de hardware. Un archivo de configuración. Evidencia digital o huella dejada por la actividad del usuario o sistema.

¿Qué información puede extraerse del análisis de volatilidad de la RAM?. Procesos en ejecución, conexiones de red activas, claves de cifrado y malware en memoria. Solo el fabricante de la memoria. Únicamente la capacidad total. Solo la velocidad de la memoria.

¿Cuál es el propósito de generar un hash de las evidencias?. Comprimir los archivos. Verificar la integridad y demostrar que no han sido alteradas. Cifrar la información. Acelerar el análisis.

Los logs del sistema Windows se encuentran principalmente en: Event Viewer (Visor de eventos) - archivos .evtx. C:\Users\Public. C:\Logs. Desktop.

¿Qué debe incluir un informe forense completo?. Solo las conclusiones. Únicamente capturas de pantalla. Solo la fecha del análisis. Metodología empleada, herramientas utilizadas, hallazgos, evidencias y cadena de custodia.

¿Qué tipo de datos se consideran "volátiles" en un sistema informático?. Archivos del disco duro. Configuración de BIOS. Contenido de la memoria RAM, conexiones de red activas y procesos en ejecución. Particiones del disco.

¿Qué es el análisis forense informático?. Reparación de ordenadores dañados. Aplicación de técnicas científicas y analíticas a medios digitales para identificar, preservar y analizar información. Instalación de sistemas operativos. Desarrollo de software antivirus.

¿Cuál es el objetivo principal del análisis forense digital?. Formatear dispositivos comprometidos. Recuperar, analizar y presentar material informático de manera que sea aceptable como prueba en un tribunal. Instalar actualizaciones de seguridad. Eliminar malware del sistema.

¿Qué fase del análisis forense implica asegurar el lugar de los hechos y los dispositivos?. Análisis. Preservación. Documentación. Explotación.

En la fase de adquisición, ¿qué tipo de copia se debe realizar de las evidencias?. Copia selectiva de archivos importantes. Copia solo de archivos visibles. Backup estándar del sistema. Copia bit a bit (imagen forense) que incluya sectores eliminados y ocultos.

¿Qué algoritmo se utiliza comúnmente para verificar la integridad de las evidencias digitales?. AES. RSA. MD5 o SHA-256 (funciones hash). DES.

¿Qué información contiene un TimeStamp MACB?. Modified, Accessed, Changed, Birth (creación). Modificación, Acceso, Creación y Backup. Memory, Application, CPU, BIOS. Master, Auxiliary, Cache, Buffer.

¿Por qué es crítico capturar la memoria RAM durante un análisis forense?. Porque es la más rápida del sistema. Porque ocupa mucho espacio. Porque es fácil de analizar. Porque contiene datos volátiles que se pierden al apagar el equipo (procesos activos, contraseñas, conexiones).

¿Qué herramienta se menciona específicamente para el análisis de memoria volátil?. Microsoft Word. Volatility Framework. Adobe Reader. Google Chrome.

¿Qué es la cadena de custodia en análisis forense?. Un cable de seguridad para dispositivos. Una lista de contraseñas. Documentación que registra quién ha manejado las evidencias, cuándo y cómo. Un método de cifrado.

¿Qué información NO se suele encontrar en los logs del sistema?. Conexiones de red establecidas. Errores de aplicaciones. Intentos de inicio de sesión. Las preferencias de color del usuario.

¿Qué es el análisis forense en dispositivos móviles?. Actualización del sistema operativo. Instalación de aplicaciones. Aplicación de metodologías para extraer, preservar y analizar evidencias digitales de smartphones y tablets. Reparación de pantallas rotas.

¿Cuál es la primera acción que debe tomarse al asegurar un dispositivo móvil como evidencia?. Aislarlo de redes (modo avión o bolsa de Faraday) para evitar manipulación remota. Intentar desbloquearlo. Cargarlo completamente. Encenderlo para verificar su contenido.

¿Qué tipo de extracción de datos proporciona la mayor cantidad de información forense?. Extracción física (bit a bit del almacenamiento). Copia de seguridad estándar. Exportación manual de archivos. Extracción lógica.

¿Qué diferencia existe entre extracción lógica y extracción física?. La física solo obtiene fotografías. La lógica es más completa que la física. No hay diferencia. La lógica accede solo a datos accesibles por el sistema operativo, la física obtiene todo el contenido incluidos datos eliminados.

¿Qué herramienta es comúnmente utilizada para análisis forense móvil?. Microsoft Excel. Cellebrite UFED, Oxygen Forensics o XRY. Adobe Photoshop. VLC Media Player.

¿Por qué es importante aislar el dispositivo móvil de las redes?. Para evitar borrado remoto, sincronización o recepción de datos que alteren las evidencias. Para facilitar el desbloqueo. Para ahorrar batería. Para mejorar el rendimiento.

¿Qué es una bolsa de Faraday en el contexto forense móvil?. Una bolsa para transportar herramientas. Una bolsa de almacenamiento normal. Un contenedor que bloquea señales electromagnéticas para aislar el dispositivo. Un tipo de cargador especial.

¿Qué información se puede extraer de un dispositivo móvil durante un análisis forense?. Llamadas, mensajes, ubicaciones GPS, aplicaciones, historial de navegación, archivos multimedia y datos eliminados. Solo llamadas telefónicas. Solo la hora del sistema. Únicamente contactos.

¿Qué metodología debe seguirse en el análisis forense de dispositivos móviles?. Metodologías personalizadas sin documentación. Métodos inventados sobre la marcha. Prueba y error sin registro. Metodologías establecidas, actualizadas y reconocidas internacionalmente (NIST, ISO).

¿Qué reto específico presentan los dispositivos móviles en análisis forense?. Son muy grandes y pesados. No tienen almacenamiento. Cifrado, diversidad de sistemas operativos, actualizaciones constantes y variedad de modelos. Son muy fáciles de analizar.

¿Cuál es el objetivo principal de la extracción de evidencias en dispositivos móviles?. Obtener datos de forma forense sin alterar la evidencia original. Formatear el dispositivo. Instalar nuevas aplicaciones. Mejorar el rendimiento del dispositivo.

¿Qué método de extracción es menos invasivo pero también menos completo?. Extracción lógica. Extracción física. Extracción destructiva. Extracción química.

Las herramientas de mercado más comunes para análisis forense móvil incluyen: Word, Excel y PowerPoint. Photoshop y Illustrator. Chrome y Firefox. Cellebrite, Oxygen Forensics, MSAB XRY y Magnet AXIOM.

¿Qué tipo de datos NO se pueden recuperar típicamente de un dispositivo móvil?. Pensamientos del usuario. Mensajes de WhatsApp. Ubicaciones GPS históricas. Archivos eliminados de la papelera.

¿Por qué es crítico documentar el estado del dispositivo al momento de su incautación?. Para cumplir con burocracia innecesaria. Para mantener la cadena de custodia y validez legal de las evidencias. Para llenar informes. Por capricho del investigador.

¿Qué información debe registrarse sobre el dispositivo móvil incautado?. Solo la marca. Marca, modelo, IMEI, número de serie, estado de batería, aplicaciones visibles y estado de bloqueo. Solo si está encendido o apagado. Únicamente el color.

En dispositivos Android, ¿dónde se almacenan principalmente los datos de aplicaciones?. En la tarjeta SIM. En /data/data/ y almacenamiento interno/externo. En la batería. En la carcasa.

¿Qué desafío presenta el cifrado en dispositivos móviles modernos?. Dificulta o imposibilita la extracción de datos sin las credenciales correctas. Ninguno, es fácil de romper. Hace más rápido el análisis. No afecta al análisis forense.

¿Qué es el "jailbreak" o "root" en el contexto de análisis forense móvil?. Una marca de teléfonos. Un tipo de malware. Una aplicación de mensajería. Proceso de eliminar restricciones del sistema operativo para acceder a más datos.

Las metodologías de análisis forense móvil deben ser actualizadas porque: Los sistemas operativos, aplicaciones y medidas de seguridad evolucionan constantemente. Es un requisito legal arbitrario. Para gastar más dinero en formación. Los dispositivos móviles no cambian nunca.

¿Cuál es el propósito principal de la recopilación de información mediante técnicas activas en una red?. Obtener detalles sobre el tráfico de red sin comprometer la privacidad. Recopilar únicamente direcciones IP de la red objetivo. Crear un inventario de dispositivos, usuarios y vulnerabilidades en la red objetivo. Obtener solo el nombre de la red sin interacción.

¿Wireshark se utilizaría comúnmente para interceptar tráfico de red y buscar información sensible?. Verdadero. Falso.

¿Cuál es una característica principal de un ataque de intermediario (Man-in-the-Middle)?. El atacante intercepta y modifica el tráfico de red entre dos partes sin que lo detecten. El atacante modifica las configuraciones de seguridad del servidor. El atacante modifica directamente el sistema operativo del objetivo. El atacante lanza un ataque de fuerza bruta contra contraseñas.

¿Qué técnica se utiliza comúnmente para comprometer sistemas remotos explotando vulnerabilidades?. Solo la actualización de los sistemas operativos. Desactivación de servicios innecesarios en el servidor. Explotación de vulnerabilidades conocidas a través de herramientas como Metasploit. Uso de un ataque de fuerza bruta contra contraseñas.

¿Qué describe la fase de reconocimiento o "footprinting" en un ataque a redes y sistemas?. La manipulación de tráfico de red para crear nuevas conexiones. La recolección de información sobre el sistema objetivo sin interactuar directamente con él. La inyección de datos en una red para acceder a contraseñas. La explotación de vulnerabilidades en el sistema objetivo.

¿Cuál es el propósito principal de la fase de escaneo o "fingerprinting" en un ataque?. Destruir los datos del sistema objetivo. Obtener información sobre los servicios activos y puertos abiertos en el sistema objetivo. Modificar los archivos del sistema objetivo. Establecer una puerta trasera para accesos futuros.

¿Qué es la manipulación e inyección de tráfico en un ataque a redes?. Monitorizar los paquetes de datos sin realizar cambios en ellos. Enviar paquetes falsificados o modificar datos de comunicación entre dos extremos sin que estos lo detecten. Cambiar las credenciales de acceso a los sistemas remotos. Realizar un ataque de denegación de servicio.

¿Cuál de las siguientes es una herramienta comúnmente utilizada para la explotación de vulnerabilidades en redes y sistemas?. WhatsApp. Burp Suite. Microsoft Excel. Google Chrome.

¿Qué técnica de ingeniería social se utiliza para engañar a los usuarios y obtener acceso no autorizado a sistemas?. DoS (Denial of Service). Hijacking. Rootkit. Phishing.

En el análisis forense de dispositivos IoT, el análisis manual de evidencias consiste en: Presentar el informe final del análisis. Revisar directamente los datos y registros obtenidos. Eliminar datos irrelevantes del dispositivo. Utilizar únicamente herramientas automáticas.

¿Qué se pretende lograr al establecer una línea temporal durante el análisis forense?. Determinar el coste del incidente. Identificar todos los dispositivos conectados a la red. Ordenar cronológicamente los eventos relacionados con el caso. Analizar el hardware del dispositivo IoT.

¿Qué finalidad tiene mantener la cadena de custodia durante la investigación?. Simplificar la documentación del caso. Automatizar el proceso de análisis. Garantizar la integridad y autenticidad de las evidencias. Acelerar el análisis técnico.

¿Por qué es importante documentar todo el proceso de análisis forense?. Para evitar realizar análisis manual. Para garantizar la validez y reproducibilidad del análisis. Para reducir el tiempo de investigación. Para simplificar el informe final.

En una investigación forense de IoT, ¿por qué es importante identificar correctamente los dispositivos implicados?. Para determinar qué sistemas pueden contener información relevante. Para reducir la cantidad de evidencias analizadas. Para limitar el uso de herramientas forenses. Para evitar el análisis de los datos almacenados.

¿Qué ventaja tiene el análisis automático de evidencias?. Sustituye completamente el análisis manual. Elimina la necesidad de documentar el proceso. Garantiza automáticamente la cadena de custodia. Permite procesar grandes volúmenes de datos de forma rápida.

Durante un análisis forense IoT, las conclusiones deben: Presentarse sin justificar el proceso seguido. Incluir únicamente datos técnicos sin interpretación. Evitar referencias a los resultados obtenidos. Basarse en las evidencias analizadas durante la investigación.

En una investigación forense sobre un dispositivo IoT, ¿cuál es el primer paso antes de comenzar el análisis técnico?. Identificar los dispositivos que deben ser analizados. Realizar un análisis automático de evidencias. Presentar las conclusiones del caso. Elaborar el informe final.

¿Qué objetivo tiene la fase de adquisición de evidencias en un análisis forense IoT?. Analizar directamente el comportamiento del atacante. Elaborar la línea temporal del incidente. Documentar las conclusiones del análisis. Obtener copias de los datos relevantes para la investigación.

La presentación de conclusiones en un análisis forense tiene como objetivo: Repetir el proceso de adquisición de evidencias. Realizar nuevas pruebas sobre el dispositivo. Explicar los resultados de forma clara a los responsables del caso. Eliminar información irrelevante.

En el análisis forense de dispositivos IoT, la combinación de análisis manual y automático permite: Sustituir completamente el análisis manual. Aumentar la precisión y eficiencia del análisis. Evitar el uso de herramientas especializadas. Eliminar la documentación del proceso.

¿Qué tipo de información se busca principalmente durante la extracción de evidencias?. Información relevante para reconstruir el incidente. Datos temporales sin relación con el caso. Información irrelevante del sistema. Configuraciones de red únicamente.

La presentación final de los resultados de un análisis forense tiene como objetivo: Repetir el análisis técnico. Eliminar evidencias irrelevantes. Comunicar los hallazgos de forma clara y comprensible. Reducir el número de dispositivos analizados.

Las conclusiones de un análisis forense deben: Incluir únicamente datos técnicos sin contexto. Basarse en las evidencias obtenidas y analizadas. Evitar referencias a la investigación. Basarse en opiniones del analista.

La creación de una línea temporal en una investigación forense permite: Identificar el coste del incidente. Organizar los eventos según el momento en que ocurrieron. Eliminar evidencias irrelevantes. Determinar el hardware del dispositivo.

¿Qué aspecto garantiza la cadena de custodia durante una investigación?. Que el análisis se realice automáticamente. Que se eliminen los datos irrelevantes. Que las evidencias se mantengan intactas y controladas. Que los dispositivos se desconecten de la red.

Las herramientas automáticas en análisis forense IoT se utilizan principalmente para: Evitar la documentación del proceso. Reemplazar completamente al analista. Eliminar datos irrelevantes automáticamente. Facilitar el procesamiento de evidencias.

En una investigación forense sobre IoT, la identificación de dispositivos permite: Determinar qué equipos están relacionados con el incidente. Eliminar dispositivos de la red. Automatizar el análisis forense. Reducir el volumen de datos almacenados.

El análisis manual de evidencias implica: Eliminar registros del dispositivo. Revisar los datos obtenidos de forma directa por el analista. Presentar el informe final del análisis. Ejecutar herramientas automáticas sin supervisión.

¿Por qué es importante documentar cada fase del proceso forense?. Para evitar realizar conclusiones. Para simplificar el uso de herramientas automáticas. Para permitir que el análisis pueda ser revisado o repetido. Para reducir el volumen de datos analizados.