alejandro

En un sistema de lazo cerrado, la realimentación proviene principalmente de: A) Una señal generada por el SCADA. B) El operador humano. C) Sensores que miden la variable controlada. D) El actuador que ejecuta la orden.

¿Cuál de los siguientes elementos NO aparece necesariamente en todos los SCI?. A) Actuadores. B) PLC. C) Sensores. D) Sistemas de captura/envío de datos.

¿Qué característica distingue a un DCS frente a un SCADA?. A) El DCS siempre usa protocolos propietarios. B) El DCS trabaja más cerca del proceso, con control distribuido en planta. C) El SCADA no puede generar alarmas. D) El DCS solo funciona en la nube.

Según Locard, una evidencia digital se genera cuando: A) El investigador manipula el sistema. B) El SO escribe un nuevo log. C) El atacante interactúa con el sistema. D) Se captura un hash del dispositivo.

¿Qué aspecto del Principio de Heisenberg afecta directamente al análisis forense?. A) Que las evidencias son irrepetibles. B) Que la observación altera el sistema analizado. C) Que las funciones hash pueden variar. D) Que las evidencias digitales desaparecen naturalmente.

¿Cuál de los siguientes sistemas es más crítico para el análisis forense por su baja tolerancia a interrupciones?. A) Sistema de logs de un servidor Linux. B) PLC en una línea de producción. C) Router de comunicaciones. D) Ordenador del operador.

¿Qué tipo de SCI permite control manual directo desde el panel?. A) SCADA. B) DCS. C) Controladores discretos. D) PLC.

¿Cuál de las siguientes NO es una función del sistema SCADA según el documento?. A) Supervisar. B) Recopilar datos. C) Control directo de actuadores sin PLC. D) Generar informes.

El análisis forense en SCI incluye el de sistemas TIC tradicionales más: A) La parte criptográfica. B) La especificación OT de sensores. C) La interacción con PLC y su programación. D) El análisis de redes segmentadas.

¿Cuál es el principal riesgo de usar únicamente la intuición en análisis forense según el documento?. A) Permite contaminar la evidencia. B) Puede llevar a conclusiones sesgadas por primeras impresiones. C) Impide el uso de funciones hash. D) Contradice la cadena de custodia.

Una investigación auditable debe: A) Ser ejecutada exclusivamente por personal certificado. B) Poder ser revisada por terceros con evidencia documentada. C) Mantener ocultos los pasos internos por seguridad. D) Usar exclusivamente herramientas automatizadas.

¿Qué técnica requiere comparar múltiples unidades de almacenamiento?. A) Análisis estocástico. B) Análisis de transmisión cruzada. C) Análisis en vivo. D) Esteganografía.

El análisis en vivo permite: A) Modificar procesos para detener el incidente. B) Recoger evidencias sin detener el sistema. C) Saltarse la cadena de custodia por necesidad. D) Evitar capturar datos volátiles.

¿Qué característica NO se exige a un proceso forense según el documento?. A) Repetible. B) Reproducible. C) Reversible. D) Justificable.

La ruptura de la cadena de custodia implica: A) Que la evidencia no puede certificarse como íntegra. B) Que la evidencia debe ser analizada de nuevo. C) Que se deben generar hashes adicionales. D) Que solo se invalida parte del análisis.

¿Qué documento NO forma parte de la cadena de custodia?. A) Registro de intervenciones. B) Firma de responsables. C) Documento notarial si se requiere. D) Informe de impacto del atacante.

Un error típico en adquisición es: A) Generar varios hashes para el mismo archivo. B) No registrar la fecha exacta del aislamiento de evidencia. C) Usar herramientas certificadas. D) Evitar interactuar con datos no relacionados.

¿Qué situación requiere especial cuidado por riesgo de contaminación?. A) Equipo apagado desde hace horas. B) PLC que debe permanecer operativo. C) Servidor en frío. D) Imagen de disco ya extraída.

¿Qué norma regula la identificación y adquisición de evidencias electrónicas?. A) ISO 27001. B) ISO/IEC 27037. C) NIST 800-61. D) ISA/IEC 62443.

El análisis estocástico se basa en: A) Cálculo de hashes para correlación. B) Teoría de la probabilidad y modelos matemáticos. C) Comparación binaria cruzada. D) Estudio de empaquetado de malware.

Una propiedad esencial de un hash criptográfico es: A) Que requiera clave secreta. B) Que sea reversible. C) Que un pequeño cambio en el input genere un cambio drástico en el output. D) Que genere valores de tamaño variable.

El estado interno en una función hash se refiere a: A) El valor final del hash. B) La variable que acumula los resultados parciales de cada bloque. C) El contenido de la RAM durante el cálculo. D) El bloque inicial antes de aplicar rondas.

SHA-1 está en desuso por: A) Baja velocidad. B) Debilidad ante ataques de extensión. C) Colisiones factibles. D) Números primos incorrectos.

¿Qué diferencia clave tiene SHA-3 respecto a SHA-2?. A) Usa cifrado simétrico. B) Utiliza una construcción de esponja. C) Necesita clave privada. D) Produce hashes únicamente de 512 bits.

Un hash MD5 tiene una longitud de: A) 64 bits. B) 128 bits. C) 256 bits. D) 512 bits.

Una función hash NO debe tener: A) Determinismo. B) Resistencia a colisiones. C) Unidireccionalidad. D) Capacidad de descifrar el input.

¿Qué propiedad se vulnera cuando dos archivos diferentes generan el mismo hash?. A) Pre-imagen. B) Compresión. C) Colisión. D) Difusión.

¿Qué algoritmo protege mejor contra ataques de extensión?. A) MD5. B) SHA-1. C) SHA-2. D) SHA-3.

¿Qué operación suele utilizarse en el cálculo de SHA-3 durante la absorción?. A) XOR. B) AND. C) Divisiones modulares. D) Cifrado RSA.

¿Qué indica un hash diferente al esperado en una evidencia?. A) El archivo es mayor. B) Se ha alterado el contenido. C) Se ha comprimido. D) Tiene permisos insuficientes.

La seguridad por oscuridad falla principalmente porque: A) Es demasiado costosa. B) Se basa en mantener secretos los componentes internos. C) Los protocolos propietarios son inseguros. D) No permite cifrado.

Un ejemplo de esteganografía mediante LSB es: A) Ocultar información en metadatos EXIF. B) Modificar el bit menos significativo de cada píxel. C) Cifrar contenido con AES. D) Generar un hash SHA-3 con datos incrustados.

La esteganografía en archivos de audio puede usar: A) Variación del header TCP. B) Segmentos de silencio. C) Repetición de claves públicas. D) Desbordamiento de buffer.

¿Qué elemento NO suele servir como cobertura esteganográfica?. A) Imágenes. B) Textos simples sin formato. C) Vídeos. D) Archivos de audio.

Una técnica avanzada de ocultación puede consistir en: A) Cambiar permisos de archivos. B) Incrustar datos en redundancia de formato. C) Renombrar ficheros. D) Crear carpetas ocultas.

¿Qué riesgo tienen los sistemas que dependen únicamente de ocultación?. A) No permiten autenticación. B) Cuando se revela el diseño interno, pierden la seguridad. C) No pueden usarse en ICS. D) Generan logs corruptos.

¿Qué método permitiría extraer información esteganográfica?. A) Fuzzing de red. C) Escaneo de puertos. B) Análisis de patrones pixel a pixel. D) Dump de firmware.

¿Cuál de las siguientes afirmaciones es falsa?. A) La esteganografía puede ocultar malware. B) La esteganografía puede evadir medidas de seguridad. C) La esteganografía altera perceptiblemente toda imagen. D) Puede usarse para exfiltrar datos.

¿Qué técnica podría combinarse con esteganografía en un ataque avanzado ICS?. A) Inyección SQL. B) Cifrado asimétrico. C) Falsificación de procesos SCADA. D) Hashing MD5.

¿Qué se busca al usar redundancia en un archivo para ocultar datos?. A) Reemplazar contenido crítico. B) Aprovechar información sobrante sin alterar el archivo perceptiblemente. C) Aumentar el tamaño para esconderlo. D) Cambiar permisos de lectura.

¿Qué evidencia desaparece al reiniciar un sistema ICS?. A) Logs del SCADA. B) Configuración del PLC. C) Conexiones activas. D) Archivos .bak.

¿Qué herramienta se recomienda para volcado de RAM?. A) MemForensic ICS. B) RAM Capturer. C) FTK PLC Edition. D) SCADA Dump Tool.

¿Cuál de estos es un ejemplo de evidencia en tránsito?. A) Archivo .csv descargado. B) Trama viajando por un protocolo industrial. C) Configuración del HMI. D) Imagen del disco.

¿Qué comando de Linux se usa tradicionalmente para clonado bit a bit?. A) mv. B) cp -a. C) dd. D) hashcat.

¿Por qué se wipea la unidad destino antes de un clonado?. A) Para mejorar el rendimiento. B) Para asegurar que no contenga información previa que contamine la evidencia. C) Para cifrar automáticamente. D) Porque lo exige la ISO.

¿Cuál es un ejemplo de evidencia en uso?. A) Un email enviado. B) Un archivo almacenado. C) Datos cargados por una aplicación en tiempo real. D) Un paquete de red capturado.

El análisis manual es más adecuado cuando: A) El incidente involucra ingeniería social. B) El incidente es masivo y automático. C) Se desea una correlación exhaustiva y muy contextual. D) No existen logs disponibles.

El análisis automatizado NO es ideal cuando: A) El ataque es computacional. B) Se necesitan correlaciones rápidas. C) El vector involucra comportamiento humano. D) Hay mucha evidencia repetitiva.

¿Qué evidencia no volátil se encuentra típicamente en ICS?. A) Registros UEFI. B) Tabla ARP volátil. C) Conexiones TCP. D) Datos temporales en RAM.

¿Qué se busca con un volcado de memoria en un sistema operativo del SCADA?. A) Capturar únicamente los procesos visibles. B) Obtener una instantánea del estado del sistema en ese instante. C) Reemplazar la memoria para evitar corrupción. D) Generar logs para auditoría.

En un sistema SCADA, la principal función del sistema respecto al proceso industrial es: A) Actuar únicamente como controlador de lazos cerrados. B) Supervisar, recopilar, analizar datos y permitir el control remoto del proceso. C) Ejecutar directamente las órdenes de los actuadores sin intervención de PLC. D) Sustituir totalmente al operador humano.

¿Qué premisa forma parte del Principio de Locard aplicado al análisis forense en entornos ICS?. A) La información volátil nunca puede considerarse evidencia. B) Todo análisis altera inevitablemente el estado del sistema. C) Cada interacción deja rastros de entrada o salida que pueden ser analizados. D) Las evidencias digitales no son comparables a evidencias físicas.

¿Qué característica de los sistemas ICS dificulta especialmente el análisis forense en comparación con entornos IT tradicionales?. A) El uso exclusivo de sistemas Linux. B) La imposibilidad de registrar logs locales. C) La coexistencia de sistemas propietarios y software estándar en un mismo entorno. D) La falta total de protocolos de comunicación industrial.

¿Cuál de las siguientes NO es una característica esencial de un proceso forense correcto según el documento?. ) Debe ser justificable. B) Debe ser auditable. C) Debe ser cifrado. D) Debe ser reproducible.

Una función hash se utiliza principalmente en análisis forense para: A) Garantizar la confidencialidad de los datos extraídos. B) Comparar el tamaño de archivos eliminados con la memoria física. C) Verificar integridad y asegurar que la evidencia no ha sido alterada. D) Ofuscar el contenido sensible para impedir acceso judicial.

¿Cuál es la principal debilidad que dejó en desuso a SHA-1 en contextos forenses?. A) Su baja velocidad de cálculo. B) Su incapacidad de generar valores menores de 256 bits. C) Su alta tasa de colisiones detectada por la comunidad. D) Su incompatibilidad con sistemas Windows.

En un análisis en vivo dentro de un entorno ICS, ¿qué tipo de información tiene prioridad?. A) Archivos del PLC almacenados en backup. B) Imágenes del disco del SCADA. C) Evidencias volátiles como memoria RAM y conexiones activas. D) Registros judiciales previos al incidente.

¿Cuál es una técnica común de esteganografía mencionada como sistema de ocultación?. A) Fuzzing de protocolos. B) Sobrescritura XOR de sectores críticos. C) Modificación del bit menos significativo de una imagen (LSB). D) Explotación de vulnerabilidades de firmware.

¿Cuál de estas afirmaciones sobre la cadena de custodia es correcta?. A) Solo es obligatoria si la evidencia se presenta en un juicio penal. B) Su ruptura invalida únicamente las evidencias volátiles. C) Debe registrar todas las intervenciones realizadas sobre la evidencia. D) No aplica a dispositivos industriales por ser sistemas críticos.

¿Cuál de las siguientes evidencias NO es volátil?. A) Conexiones activas de red. B) Contenido de RAM. C) Registros guardados en una base de datos. D) Tablas de procesos en ejecución.

¿Qué diferencia clave existe entre recogida y adquisición de evidencias?. A) La recogida requiere orden judicial y la adquisición no. B) La recogida la realiza quien interactúa directamente con el sistema, la adquisición se basa en material entregado por terceros. C) La adquisición solo se aplica en incidentes ICS. D) La adquisición es un proceso manual y la recogida siempre es automatizada.

¿Qué vulnerabilidad se aprovecha principalmente en la seguridad por oscuridad?. A) La falta de algoritmos criptográficos modernos. B) El desconocimiento del funcionamiento interno del sistema por parte del atacante. C) El acceso remoto a PLC sin autenticación. D) El uso de protocolos industriales heredados.

En el análisis de transmisión cruzada, ¿qué se compara para detectar patrones?. A) Tramas de red contra configuraciones de firewall. B) Discos duros diferentes para hallar coincidencias o anomalías. C) Segmentos del firmware del PLC. D) Hashes de memoria RAM en distintos tiempos.

¿Cuál es la función principal de la norma ISO/IEC 27037 en contextos forenses ICS?. A) Estandarizar los procesos de cifrado de discos completos. B) Definir requisitos de certificación de analistas forenses. C) Establecer directrices para identificar, recoger, adquirir y preservar evidencias electrónicas. D) Regular la seguridad física de entornos industriales críticos.