AF-2EV-1-38

¿Cuál es el objetivo principal de un análisis forense informático?. Identificar a los usuarios legítimos del sistema. Determinar responsabilidades en un incidente y establecer la secuencia de eventos. Optimizar el rendimiento del sistema. Eliminar archivos maliciosos.

¿Qué herramienta o técnica se usa para establecer el marco temporal de un incidente?. Firewall. Timeline o análisis de secuencia temporal. Cifrado de datos. Monitoreo en tiempo real.

¿Cuál de los siguientes elementos NO suele ser analizado en una investigación de competencia desleal?. Slack space. Procesos inusuales. Historial de navegación. Cuentas de usuario extrañas.

¿Qué técnica se usa para preservar la integridad de los datos en un análisis forense?. Desfragmentación del disco. Clonado de discos duros. Eliminación de archivos temporales. Reinstalación del sistema operativo.

¿Cuál es el primer paso en la recolección de datos durante una respuesta a incidentes?. Clonar los discos duros. Desconectar la red inmediatamente. Recopilar información de conexiones de red. Analizar correos electrónicos.

¿Por qué no se debe confiar en el sistema analizado en un incidente de seguridad?. Porque el sistema puede tener un hardware defectuoso. Porque el atacante pudo haberlo comprometido. Porque los registros se eliminan automáticamente. Porque los análisis forenses solo se realizan en copias de seguridad.

¿Qué es un artefacto forense en informática?. Un software de análisis forense. Un rastro de actividad digital que puede servir como evidencia. Un archivo encriptado en el sistema. Un virus informático.

¿Qué establece el Principio de intercambio de Locard?. Que los sistemas operativos siempre registran la actividad del usuario. Que cada contacto deja un rastro. Que los archivos pueden ser recuperados siempre que no hayan sido encriptados. Que los registros de eventos son la única fuente de evidencia digital.

¿Cuál de los siguientes elementos es un artefacto forense en un sistema operativo?. Un acceso no autorizado. Un rastro de actividad de un usuario. Un registro del sistema. Una acción realizada por un hacker.

¿Cuál es la diferencia entre artefacto y evidencia en informática forense?. No hay diferencia, ambos términos significan lo mismo. Un artefacto es el rastro de actividad, mientras que la evidencia es el archivo original. Un artefacto es un elemento del sistema, mientras que la evidencia es el rastro de actividad encontrado en él. La evidencia solo se encuentra en sistemas Windows, mientras que los artefactos están en todos los sistemas.

¿Qué tecnología utiliza un disco duro HDD para almacenar datos?. Memoria flash NAND. Ondas de radio. Partículas magnéticas. Tecnología láser.

¿Por qué es importante la pista 0 en un HDD?. Almacena la mayor parte de los datos del usuario. Contiene información clave para el sistema. Permite mejorar la velocidad de lectura. Es la única pista que se puede modificar.

¿Qué es el tamaño de bloque físico en un disco duro?. La cantidad de datos que un disco puede almacenar en total. El mínimo de información que se puede leer o escribir en una operación. La cantidad de sectores por pista. El tamaño del disco duro dividido por el número de archivos.

¿Qué técnica utilizan los discos SSD para prolongar la vida de las celdas de memoria?. Duplicación de datos. Fragmentación de archivos. TRIM. Desfragmentación automática.

¿Qué ocurre con los datos en un SSD cuando se aplica TRIM?. Se guardan en una ubicación segura. Se eliminan de forma definitiva. Se copian a otro sector del disco. Se cifran automáticamente.

¿Cuál de los siguientes dispositivos tiene acceso secuencial en lugar de aleatorio?. Disco duro HDD. Disco SSD. Cinta magnética. Disco óptico.

¿Qué característica define a los discos ópticos como CD o DVD?. Utilizan tecnología láser para almacenar datos. Son más rápidos que los SSD. Tienen acceso aleatorio como los discos duros. Permiten escribir datos de forma indefinida.

¿Cuál de los siguientes medios de almacenamiento es menos relevante en análisis forense?. HDD. SSD. CD/DVD. Memorias USB.

¿Qué interfaz es la más común en discos duros de PC modernos?. IDE. SATA. SCSI. SAS.

¿Qué tipo de interfaz suele utilizarse en servidores y entornos empresariales?. SATA. SCSI/SAS. USB 2.0. IDE.

¿Qué interfaz está sustituyendo a SATA en portátiles y dispositivos móviles?. PCIe. M.2. USB-C. IDE.

¿Qué interfaz permite conectar un SSD de alto rendimiento directamente a la placa base?. USB 3.0. SATA II. PCIe (NVMe). IDE.

¿Qué ocurre con la integridad forense de un SSD cuando se enciende después de haber sido desconectado?. Los datos permanecen inalterados. Se pueden recuperar con facilidad. Puede haber modificaciones debido al TRIM. Se genera un hash de seguridad automáticamente.

¿Por qué las cintas magnéticas no son prácticas para análisis forense?. Porque los datos se sobrescriben demasiado rápido. Porque solo se usan en servidores. Porque tienen acceso secuencial y no contienen trazas de usuario. Porque no permiten almacenar datos de forma permanente.

¿Qué herramienta o cable es fundamental en un kit de clonado forense?. Cable VGA. Adaptador HDMI. Set de cables para distintas interfaces de disco. Convertidor de señal Wi-Fi.

En un sistema con BIOS tradicional, ¿qué elemento se encarga de cargar el código de arranque del sistema operativo en la memoria?. El sistema de archivos del disco. El Partition Boot Code. El firmware del sistema operativo. El gestor de arranque UEFI.

¿Cuál es la función principal del BIOS en el proceso de arranque del sistema operativo?. Acceder a los sistemas de archivos del disco duro. Buscar en la MBR particiones arrancables y cargar su código de arranque en memoria. Cargar directamente el sistema operativo en la RAM. Proporcionar un entorno gráfico de configuración del hardware.

¿Cuál es la principal diferencia entre MBR y GPT?. MBR usa LBA y GPT usa CHS. GPT permite más particiones y tamaños mayores que MBR. MBR usa un sistema más seguro que GPT. GPT solo es compatible con Windows.

¿Cuántas particiones primarias permite MBR?. 4. 16. 128. Ilimitadas.

¿Qué tamaño ocupa el MBR en un disco?. 512 KB. 512 bytes. 16 KB. 1 MB.

¿Qué función cumple el Master Boot Code en MBR?. Contener información de usuario. Proteger los datos contra alteraciones. Cargar el boot loader del sistema operativo. Definir el tamaño del disco.

¿Qué tipo de direccionamiento usa GPT?. CHS. FAT32. LBA. NTFS.

¿Cuántos bloques de 512 bytes usa GPT al inicio y al final del disco?. 16. 32. 64. 128.

¿Cuál de las siguientes afirmaciones es falsa sobre GPT?. Puede almacenar hasta 128 particiones. No necesita un sistema de archivos específico. Solo es compatible con Windows de 32 bits. Usa un "Protective MBR" para compatibilidad.

¿Qué comando en Linux permite hacer una copia de seguridad de la MBR?. mmls. dd. fsck. chmod.

¿Qué herramienta se puede usar para analizar particiones en GPT?. TSK. BIOS. MBR. DHCP.

¿Qué hace el comando xxd en Linux?. Formatea discos GPT. Crea un volcado hexadecimal de un archivo. Convierte archivos a NTFS. Borra la tabla de particiones.