AFI CETI CIDEAD

¿Cuál es el objetivo principal del análisis forense informático?. Proteger redes corporativas. Extraer evidencias digitales sin alterar su estado. Diseñar sistemas de ciberseguridad. Realizar auditorías financieras.

¿Qué pregunta NO forma parte de las "5 Ws" del análisis forense?. ¿Qué ha pasado?. ¿Dónde han sucedido los hechos?. ¿Cuánto dinero se ha perdido?. ¿Quién está involucrado?.

¿Qué elemento debe analizarse primero según el orden de volatilidad?. A) Discos duros. B) Configuraciones físicas. C) Memoria RAM. D) Ficheros temporales.

¿Qué característica NO es esencial para un proceso forense válido?. A) Verificable. B) Reproducible. C) Documentado. D) Rentable.

¿Qué se busca garantizar con la cadena de custodia en un análisis forense?. A) La rapidez del análisis. B) La integridad y trazabilidad de las evidencias. C) La confidencialidad del caso. D) La validez técnica del hardware analizado.

¿Cuál es una fuente lógica común en un análisis forense?. A) Discos duros externos. B) Contenido de la memoria RAM. C) Teléfonos móviles. D) Topologías de red físicas.

¿Qué guía normativa puede usarse como referencia en un análisis forense?. A) ISO/IEC 27037:2016. B) ISO 9001:2015. C) COBIT 5. D) ITIL v4 Foundation.

En un proceso judicial, ¿qué figura puede certificar la metodología del análisis forense?. A) Un juez especializado en cibercrimen. B) Un notario público. C) Un administrador de sistemas certificado. D) Un auditor financiero externo.

¿Qué fase del análisis forense condiciona todo el proceso posterior?. A) Presentación de resultados. B) Identificación y adquisición de evidencias. C) Documentación final del caso. D) Preservación de las evidencias.

Según Edmond Locard, ¿qué es imposible que haga un delincuente sin dejar rastros?. A) Escapar sin ser detectado. B) Actuar, especialmente en delitos intensos. C) Ocultar dispositivos digitales. D) Cambiar la identidad digital.

Dentro del análisis forense, ¿qué se considera una fuente física de información?. A) Ficheros temporales. B) Tabla ARP. C) Teléfonos móviles. D) Contenido de la memoria RAM.

¿Cuál es el objetivo principal al documentar el proceso forense?. A) Reducir costos operativos. B) Facilitar la comprensión y validez judicial. C) Minimizar el tiempo empleado. D) Evitar la reproducción del análisis por otros expertos.

En un entorno cloud, ¿qué debe hacerse para analizar las fuentes de información?. A) Instalar software especializado directamente en el servidor cloud. B) Descargar los artefactos o máquinas desde el proveedor cloud. C) Desconectar los servicios cloud temporalmente. D) Solicitar acceso al hardware físico del proveedor.

En un ciberincidente, ¿cuál es la prioridad principal del análisis forense?. A) Mitigar la amenaza lo antes posible. B) Preparar un informe detallado para juicio. C) Identificar a los responsables legales. D) Certificar todas las evidencias con notarios.

Según el orden de volatilidad, ¿qué elemento tiene menor prioridad para ser adquirido?. A) Cachés de memoria y registros CPU. B) Tabla ARP y procesos activos. C) Discos duros. D) Memoria RAM.

¿cuál es el principal objetivo de un analista forense informático?. A) Diseñar sistemas de seguridad informática. B) Contar una historia de lo que ha sucedido, aportando evidencias. C) Implementar medidas de protección contra ataques cibernéticos. D) Desarrollar software de análisis forense.

En el contexto de un análisis forense dentro de un proceso judicial, ¿qué rol juega un notario?. A) Realizar el análisis técnico de las evidencias. B) Certificar el proceso que está siguiendo el analista forense. C) Actuar como perito judicial. D) Custodiar las evidencias digitales.

¿Cuáles son las dos primeras fases del análisis forense que, según el temario, condicionan todo el proceso?. A) Análisis y Presentación. B) Preservación y Análisis. C) Identificación y Adquisición. D) Documentación y Verificación.

¿Qué característica NO es esencial para que un proceso de análisis forense sea considerado válido en una investigación y proceso judicial?. A) Ser Verificable. B) Ser Reproducible. C) Ser Documentado. D) Ser Rápido.

¿Qué tipo de dispositivos o elementos pueden ser analizados a nivel forense para extraer evidencias?. A) Solo dispositivos físicos como discos duros y portátiles. B) Solo dispositivos lógicos como ficheros e imágenes. C) Tanto dispositivos físicos como lógicos. D) Solo la memoria RAM de los ordenadores.

En un escenario forense, ¿qué acción se debe realizar primero para identificar las fuentes de información disponibles?. A) Comenzar directamente con la adquisición de datos. B) Observar el entorno de forma minuciosa y anotar cualquier elemento relevante. C) Desconectar todos los dispositivos de la red. D) Realizar una copia de seguridad de todos los sistemas.

Según el temario, ¿qué se entiende por "orden de volatilidad"?. A) La capacidad de un dispositivo para resistir daños físicos. B) La prioridad en que las fuentes de información deben ser adquiridas. C) La velocidad a la que se pueden transferir datos de un dispositivo a otro. D) La duración de la batería de un dispositivo móvil.

¿Cuál es el objetivo principal de la cadena de custodia?. A) Acelerar el proceso de análisis forense. B) Garantizar la confidencialidad de la información obtenida. C) Garantizar la exacta identidad de lo incautado y de lo analizado. D) Reducir los costos asociados al análisis forense.

¿Qué elementos mínimos deben quedar reflejados en una cadena de custodia?. A) Identificación unívoca de las evidencias, preservación, timestamp, localización física y documentación. B) Solo la identificación de las personas que han tenido contacto con la evidencia. C) Solo el timestamp y la localización física de la evidencia. D) Solo la documentación del proceso de análisis.

¿Qué tipo de fuentes de información deberían recolectarse primero en un análisis forense, según el temario?. A) Discos duros externos. B) Memoria RAM del ordenador. C) CD-ROMs. D) Ficheros dentro del ordenador.

¿Cuál de las siguientes preguntas clave debe responderse en una investigación forense, según el temario?. A) ¿Cuál es la marca del ordenador utilizado?. B) ¿Qué ha sucedido realmente?. C) ¿Cuántas personas trabajan en la empresa afectada?. D) ¿Cuál es el sistema operativo más reciente instalado?.

En un análisis forense, ¿qué se debe hacer con las fuentes de información en entornos cloud?. A) Analizarlas directamente en el servidor cloud. B) Descargar los artefactos o las máquinas desde el proveedor de cloud. C) Desconectar los servicios cloud temporalmente. D) Solicitar acceso al hardware físico del proveedor.

¿Cuál es la prioridad al adquirir información durante la fase de adquisición?. A) Adquirir la información más fácil de obtener. B) Adquirir la información más relevante para el caso. C) Adquirir las fuentes de información que tienen un índice de volatilidad mayor. D) Adquirir la información más reciente.

¿Cuál es el debate central sobre la cadena de custodia?. A) La velocidad con la que se transfieren las evidencias. B) La fiabilidad de la prueba. C) El costo de la preservación de las evidencias. D) La validez de las evidencias.

¿Cuál es el objetivo principal del análisis forense informático?. Recuperar datos perdidos. b) Contar una historia de lo sucedido con evidencias. c) Mejorar el rendimiento de los sistemas. d) Instalar software de seguridad.

¿Qué preguntas clave debe responder un análisis forense (5W)?. a) What, Where, Who, When, Why. b) How, Why, Which, When, Where. c) Who, What, How, Why, Where. d) What, Which, Who, When, How.

¿Cuál es la primera fase del análisis forense?. a) Adquisición. b) Identificación. c) Análisis. d) Preservación.

¿Qué característica debe cumplir un proceso forense para ser válido en un juicio?. a) Ser rápido. b) Ser verificable y reproducible. c) Utilizar herramientas costosas. d) Ser realizado por un solo analista.

¿Qué tipo de evidencia es más volátil?. a) Disco duro. b) Memoria RAM. c) USB. d) CD-ROM.

¿Qué herramienta se usa para analizar memoria RAM?. a) EnCase. b) Volatility. c) FTK. d) Cellebrite.

¿Qué es un "write blocker"?. a) Una herramienta para borrar datos. b) Un dispositivo que evita la modificación de evidencias. c) Un software para clonar discos. d) Un tipo de malware.

¿Qué incluye la cadena de custodia?. a) Identificación unívoca de evidencias y registro de responsables. b) Solo el análisis técnico. c) Herramientas utilizadas. d) Conclusiones del informe.

¿Qué norma internacional es relevante para el análisis forense?. b) ISO/IEC 27037. a) ISO 9001. c) ISO 14001. d) ISO 45001.

¿Qué tipo de nube ofrece mayor control sobre los datos?. a) Nube pública. b) Nube privada. c) Nube híbrida. d) Nube comunitaria.

¿Qué tipo de nube ofrece mayor control sobre los datos?. Nube pública. Nube privada. Nube híbrida. Nube comunitaria.

¿Qué desafío presenta el análisis forense en la nube?. Falta de herramientas. Jurisdicción y propiedad de los datos. Velocidad de procesamiento. Coste económico.

¿Qué componente de un dispositivo móvil es más volátil?. Memoria interna. Tarjeta SD. Memoria RAM. ROM.

¿Qué método de extracción en móviles requiere desoldar el chip?. Extracción lógica. JTAG. Chip-Off. Extracción manual.

¿Qué herramienta es común para análisis forense en móviles?. EnCase. Cellebrite UFED. Volatility. Wireshark.

¿Qué reto presenta IoT en forense?. Sistemas operativos estandarizados. Diversidad de dispositivos y falta de documentación. Baja cantidad de datos. Facilidad de acceso.

¿Qué es crucial en la cadena de custodia en IoT?. Velocidad de análisis. Seguimiento fiable de la fuente y timestamp. Uso de herramientas caras. Análisis en la nube.

¿Qué debe incluir un informe forense?. Solo conclusiones técnicas. Resumen ejecutivo y análisis detallado. Opiniones personales. Solo herramientas utilizadas.

¿Dónde debe ir el resumen ejecutivo en un informe?. Al final. En los anexos. Al principio. No es necesario.

¿Qué ley regula el peritaje informático en España?. Ley Orgánica de Protección de Datos. Ley de Enjuiciamiento Civil. Ley de Propiedad Intelectual. Ley de Seguridad Nacional.

¿Qué es el TLP en seguridad de la información?. Un protocolo de clasificación de información sensible. Un tipo de malware. Una herramienta forense. Un estándar de nube.

¿Qué fase sigue a la identificación en el proceso forense?. Análisis. Adquisición. Preservación. Presentación.

¿Qué herramienta se utiliza para analizar discos duros en entornos Windows?. EnCase. FTK Suite. Volatility. Wireshark.

¿Qué función cumple un "hash" en el análisis forense?. Acelerar el proceso de copia. Verificar la integridad de las evidencias. Comprimir archivos. Cifrar datos.

¿Qué tipo de extracción en móviles es la menos invasiva?. Chip-Off. JTAG. Extracción lógica. Microextracción.

¿Qué herramienta permite analizar registros (logs) en sistemas Unix?. FTK. Grep. Cellebrite. Autopsy.

¿Para qué se usa el comando "dd" en forense?. Clonar discos bit a bit. Analizar memoria RAM. Extraer datos de móviles. Borrar evidencias.

¿Qué proveedor de nube ofrece "CloudTrail" como herramienta de auditoría?. Google Cloud. Microsoft Azure. AWS. Oracle Cloud.

¿Qué modelo de servicio en la nube implica mayor responsabilidad del proveedor en la gestión de datos?. IaaS. PaaS. SaaS. Hybrid Cloud.

¿Qué ley europea afecta directamente el análisis forense en la nube?. Ley Patriot. GDPR. ISO 27001. TLP.

¿Qué desafío presenta la nube híbrida en forense?. Falta de herramientas. Dispersión de datos entre entornos públicos/privados. Altos costes. Lentitud en la extracción.

¿Qué herramienta es específica para forense en Azure?. Azure Sentinel. FTK Cloud. Cellebrite Cloud. Magnet AXIOM.

¿Qué información se puede extraer de una tarjeta SIM?. Solo contactos. Contactos y mensajes SMS. Memoria RAM del dispositivo. Historial de navegación.

¿Qué sistema operativo móvil es más difícil de analizar por su cifrado predeterminado?. Android. iOS. Windows Phone. BlackBerry OS.

¿Qué método de extracción requiere conectar pines físicos al dispositivo móvil?. Extracción manual. JTAG. Extracción lógica. NAND Mirroring.

¿Qué herramienta es líder en extracción física de móviles?. EnCase. Cellebrite UFED. Wireshark. Autopsy.

¿Qué componente de un móvil almacena datos de forma persistente incluso apagado?. Memoria RAM. Memoria NAND. CPU. GPU.

¿Qué dato suelen registrar los dispositivos IoT que es útil en forense?. Solo temperatura. Ubicación GPS y horarios. Memoria swap. Contraseñas de red.

¿Qué norma regula la admisibilidad de pruebas digitales en España?. Ley Orgánica 3/2018. Ley de Enjuiciamiento Civil. Reglamento GDPR. ISO 27037.

¿Qué problema común tienen los dispositivos IoT en forense?. Sistemas operativos estandarizados. Falta de timestamp confiable. Exceso de documentación. Bajo almacenamiento.

¿Qué herramienta se usa para analizar datos de wearables (ej. relojes inteligentes)?. FTK Imager. Magnet AXIOM. Oxygen Forensics. Wireshark.

¿Qué artículo de la LEC menciona la validez de pruebas digitales?. Artículo 299.2. Artículo 340. Artículo 457. Artículo 12.

¿Qué debe evitarse en un informe forense?. Conclusiones basadas en evidencias. Hipótesis no sustentadas. Descripción detallada de herramientas. Cronología de eventos.

¿Qué sección del informe explica el proceso técnico paso a paso?. Resumen ejecutivo. Alcance. Investigación. Anexos.

¿Qué protocolo clasifica información sensible pero no clasificada?. GDPR. TLP. ISO 27001. NIST SP 800-86.

¿Qué significa TLP:RED?. Información para uso público. Información restringida a receptores específicos. Información para compartir en una comunidad. Información para redes sociales.

Si un ordenador está encendido al llegar a la escena, ¿qué evidencia priorizarías?. Disco duro. Memoria RAM. USB conectado. Logs del sistema.

¿Qué harías si encuentras un móvil bloqueado con patrón?. Reiniciarlo para bypass. Usar Cellebrite UFED. Extraer manualmente la SIM. Dejarlo apagado.

¿Cómo documentarías un disco duro como evidencia?. Solo anotando la marca. Registrando marca, modelo, número de serie y hash. Fotografiándolo sin más. Usando herramientas de borrado.

¿Qué es el "orden de volatilidad" en forense?. Prioridad para analizar evidencias según su persistencia. Método para cifrar datos. Técnica de recuperación de archivos. Estándar ISO para nubes.

¿Qué técnica permite recuperar archivos borrados?. JTAG. File Carving. Chip-Off. Hex Dump.

¿Qué norma española complementa a la ISO 27037 en forense?. UNE 71506. LOPDGDD. ISO 9001. TLP:WHITE.

¿Qué herramienta usa SANS para análisis forense?. SIFT Workstation. FTK Imager. EnCase. X-Ways.