Análisis forense informático - Repaso PACs

¿Cuál de las siguientes NO es una fase del análisis forense informático?. Identificación. Preservación. Comercialización. Documentación.

Durante la fase de identificación, ¿qué se debe determinar?. El coste de reparación. Qué dispositivos y medios contienen evidencias relevantes para la investigación. La marca del dispositivo. El año de fabricación.

¿Qué principio fundamental debe respetarse al recolectar evidencias digitales?. Optimizar el rendimiento del sistema. Actualizar todo el software. Eliminar archivos duplicados. No alterar las evidencias originales.

¿Qué permite reconstruir el análisis de la línea de tiempo (Timeline Analysis)?. Solo la fecha de instalación del sistema. La secuencia cronológica de eventos y acciones realizadas en el sistema. El número de usuarios del sistema. La capacidad del disco duro.

En el contexto de análisis forense, ¿qué es un "artefacto"?. Un dispositivo antiguo. Un error de hardware. Un archivo de configuración. Evidencia digital o huella dejada por la actividad del usuario o sistema.

¿Qué información puede extraerse del análisis de volatilidad de la RAM?. Procesos en ejecución, conexiones de red activas, claves de cifrado y malware en memoria. Solo el fabricante de la memoria. Únicamente la capacidad total. Solo la velocidad de la memoria.

¿Cuál es el propósito de generar un hash de las evidencias?. Comprimir los archivos. Verificar la integridad y demostrar que no han sido alteradas. Cifrar la información. Acelerar el análisis.

Los logs del sistema Windows se encuentran principalmente en: Event Viewer (Visor de eventos) - archivos .evtx. C:\Users\Public. C:\Logs. Desktop.

¿Qué debe incluir un informe forense completo?. Solo las conclusiones. Únicamente capturas de pantalla. Solo la fecha del análisis. Metodología empleada, herramientas utilizadas, hallazgos, evidencias y cadena de custodia.

¿Qué tipo de datos se consideran "volátiles" en un sistema informático?. Archivos del disco duro. Configuración de BIOS. Contenido de la memoria RAM, conexiones de red activas y procesos en ejecución. Particiones del disco.

¿Qué es el análisis forense informático?. Reparación de ordenadores dañados. Aplicación de técnicas científicas y analíticas a medios digitales para identificar, preservar y analizar información. Instalación de sistemas operativos. Desarrollo de software antivirus.

¿Cuál es el objetivo principal del análisis forense digital?. Formatear dispositivos comprometidos. Recuperar, analizar y presentar material informático de manera que sea aceptable como prueba en un tribunal. Instalar actualizaciones de seguridad. Eliminar malware del sistema.

¿Qué fase del análisis forense implica asegurar el lugar de los hechos y los dispositivos?. Análisis. Preservación. Documentación. Explotación.

En la fase de adquisición, ¿qué tipo de copia se debe realizar de las evidencias?. Copia selectiva de archivos importantes. Copia solo de archivos visibles. Backup estándar del sistema. Copia bit a bit (imagen forense) que incluya sectores eliminados y ocultos.

¿Qué algoritmo se utiliza comúnmente para verificar la integridad de las evidencias digitales?. AES. RSA. MD5 o SHA-256 (funciones hash). DES.

¿Qué información contiene un TimeStamp MACB?. Modified, Accessed, Changed, Birth (creación). Modificación, Acceso, Creación y Backup. Memory, Application, CPU, BIOS. Master, Auxiliary, Cache, Buffer.

¿Por qué es crítico capturar la memoria RAM durante un análisis forense?. Porque es la más rápida del sistema. Porque ocupa mucho espacio. Porque es fácil de analizar. Porque contiene datos volátiles que se pierden al apagar el equipo (procesos activos, contraseñas, conexiones).

¿Qué herramienta se menciona específicamente para el análisis de memoria volátil?. Microsoft Word. Volatility Framework. Adobe Reader. Google Chrome.

¿Qué es la cadena de custodia en análisis forense?. Un cable de seguridad para dispositivos. Una lista de contraseñas. Documentación que registra quién ha manejado las evidencias, cuándo y cómo. Un método de cifrado.

¿Qué información NO se suele encontrar en los logs del sistema?. Las preferencias de color del usuario. Intentos de inicio de sesión. Errores de aplicaciones. Conexiones de red establecidas.

¿Qué es el análisis forense en dispositivos móviles?. Reparación de pantallas rotas. Actualización del sistema operativo. Aplicación de metodologías para extraer, preservar y analizar evidencias digitales de smartphones y tablets. Instalación de aplicaciones.

¿Cuál es la primera acción que debe tomarse al asegurar un dispositivo móvil como evidencia?. Intentar desbloquearlo. Cargarlo completamente. Encenderlo para verificar su contenido. Aislarlo de redes (modo avión o bolsa de Faraday) para evitar manipulación remota.

¿Qué tipo de extracción de datos proporciona la mayor cantidad de información forense?. Extracción lógica. Extracción física (bit a bit del almacenamiento). Copia de seguridad estándar. Exportación manual de archivos.

¿Qué diferencia existe entre extracción lógica y extracción física?. La lógica es más completa que la física. La física solo obtiene fotografías. No hay diferencia. La lógica accede solo a datos accesibles por el sistema operativo, la física obtiene todo el contenido incluidos datos eliminados.

¿Qué herramienta es comúnmente utilizada para análisis forense móvil?. Adobe Photoshop. VLC Media Player. Microsoft Excel. Cellebrite UFED, Oxygen Forensics o XRY.

¿Por qué es importante aislar el dispositivo móvil de las redes?. Para evitar borrado remoto, sincronización o recepción de datos que alteren las evidencias. Para mejorar el rendimiento. Para facilitar el desbloqueo. Para ahorrar batería.

¿Qué es una bolsa de Faraday en el contexto forense móvil?. Un tipo de cargador especial. Un contenedor que bloquea señales electromagnéticas para aislar el dispositivo. Una bolsa de almacenamiento normal. Una bolsa para transportar herramientas.

¿Qué información se puede extraer de un dispositivo móvil durante un análisis forense?. Únicamente contactos. Llamadas, mensajes, ubicaciones GPS, aplicaciones, historial de navegación, archivos multimedia y datos eliminados. Solo llamadas telefónicas. Solo la hora del sistema.

¿Qué metodología debe seguirse en el análisis forense de dispositivos móviles?. Métodos inventados sobre la marcha. Prueba y error sin registro. Metodologías personalizadas sin documentación. Metodologías establecidas, actualizadas y reconocidas internacionalmente (NIST, ISO).

¿Qué reto específico presentan los dispositivos móviles en análisis forense?. Son muy fáciles de analizar. Son muy grandes y pesados. Cifrado, diversidad de sistemas operativos, actualizaciones constantes y variedad de modelos. No tienen almacenamiento.

¿Cuál es el objetivo principal de la extracción de evidencias en dispositivos móviles?. Obtener datos de forma forense sin alterar la evidencia original. Formatear el dispositivo. Instalar nuevas aplicaciones. Mejorar el rendimiento del dispositivo.

¿Qué método de extracción es menos invasivo pero también menos completo?. Extracción lógica. Extracción física. Extracción destructiva. Extracción química.

Las herramientas de mercado más comunes para análisis forense móvil incluyen: Word, Excel y PowerPoint. Photoshop y Illustrator. Chrome y Firefox. Cellebrite, Oxygen Forensics, MSAB XRY y Magnet AXIOM.

¿Qué tipo de datos NO se pueden recuperar típicamente de un dispositivo móvil?. Pensamientos del usuario. Mensajes de WhatsApp. Ubicaciones GPS históricas. Archivos eliminados de la papelera.

¿Por qué es crítico documentar el estado del dispositivo al momento de su incautación?. Para cumplir con burocracia innecesaria. Para mantener la cadena de custodia y validez legal de las evidencias. Para llenar informes. Por capricho del investigador.

¿Qué información debe registrarse sobre el dispositivo móvil incautado?. Solo la marca. Únicamente el color. Solo si está encendido o apagado. Marca, modelo, IMEI, número de serie, estado de batería, aplicaciones visibles y estado de bloqueo.

En dispositivos Android, ¿dónde se almacenan principalmente los datos de aplicaciones?. En la tarjeta SIM. En /data/data/ y almacenamiento interno/externo. En la batería. En la carcasa.

¿Qué desafío presenta el cifrado en dispositivos móviles modernos?. Dificulta o imposibilita la extracción de datos sin las credenciales correctas. Ninguno, es fácil de romper. Hace más rápido el análisis. No afecta al análisis forense.

¿Qué es el "jailbreak" o "root" en el contexto de análisis forense móvil?. Una marca de teléfonos. Un tipo de malware. Una aplicación de mensajería. Proceso de eliminar restricciones del sistema operativo para acceder a más datos.

Las metodologías de análisis forense móvil deben ser actualizadas porque: Los sistemas operativos, aplicaciones y medidas de seguridad evolucionan constantemente. Es un requisito legal arbitrario. Para gastar más dinero en formación. Los dispositivos móviles no cambian nunca.

¿Cuál es el propósito principal de la recopilación de información mediante técnicas activas en una red?. Obtener detalles sobre el tráfico de red sin comprometer la privacidad. Obtener solo el nombre de la red sin interacción. Crear un inventario de dispositivos, usuarios y vulnerabilidades en la red objetivo. Recopilar únicamente direcciones IP de la red objetivo.

¿Wireshark se utilizaría comúnmente para interceptar tráfico de red y buscar información sensible?. Verdadero. Falso.

¿Cuál es una característica principal de un ataque de intermediario (Man-in-the-Middle)?. El atacante modifica las configuraciones de seguridad del servidor. El atacante lanza un ataque de fuerza bruta contra contraseñas. El atacante modifica directamente el sistema operativo del objetivo. El atacante intercepta y modifica el tráfico de red entre dos partes sin que lo detecten.

¿Qué técnica se utiliza comúnmente para comprometer sistemas remotos explotando vulnerabilidades?. Desactivación de servicios innecesarios en el servidor. Explotación de vulnerabilidades conocidas a través de herramientas como Metasploit. Solo la actualización de los sistemas operativos. Uso de un ataque de fuerza bruta contra contraseñas.

¿Qué describe la fase de reconocimiento o "footprinting" en un ataque a redes y sistemas?. La manipulación de tráfico de red para crear nuevas conexiones. La recolección de información sobre el sistema objetivo sin interactuar directamente con él. La inyección de datos en una red para acceder a contraseñas. La explotación de vulnerabilidades en el sistema objetivo.

¿Cuál es el propósito principal de la fase de escaneo o "fingerprinting" en un ataque?. Destruir los datos del sistema objetivo. Obtener información sobre los servicios activos y puertos abiertos en el sistema objetivo. Modificar los archivos del sistema objetivo. Establecer una puerta trasera para accesos futuros.

¿Qué es la manipulación e inyección de tráfico en un ataque a redes?. Monitorizar los paquetes de datos sin realizar cambios en ellos. Enviar paquetes falsificados o modificar datos de comunicación entre dos extremos sin que estos lo detecten. Cambiar las credenciales de acceso a los sistemas remotos. Realizar un ataque de denegación de servicio.

¿Cuál de las siguientes es una herramienta comúnmente utilizada para la explotación de vulnerabilidades en redes y sistemas?. WhatsApp. Burp Suite. Microsoft Excel. Google Chrome.

¿Qué técnica de ingeniería social se utiliza para engañar a los usuarios y obtener acceso no autorizado a sistemas?. DoS (Denial of Service). Hijacking. Rootkit. Phishing.

¿Qué se pretende lograr al establecer una línea temporal durante el análisis forense?. Determinar el coste del incidente. Ordenar cronológicamente los eventos relacionados con el caso. Identificar todos los dispositivos conectados a la red. Analizar el hardware del dispositivo IoT.

¿Por qué es importante documentar todo el proceso de análisis forense?. Para simplificar el informe final. Para evitar realizar análisis manual. Para garantizar la validez y reproducibilidad del análisis. Para reducir el tiempo de investigación.

Durante un análisis forense IoT, las conclusiones deben: Presentarse sin justificar el proceso seguido. Evitar referencias a los resultados obtenidos. Incluir únicamente datos técnicos sin interpretación. Basarse en las evidencias analizadas durante la investigación.

En una investigación forense sobre un dispositivo IoT, ¿cuál es el primer paso antes de comenzar el análisis técnico?. Elaborar el informe final. Identificar los dispositivos que deben ser analizados. Realizar un análisis automático de evidencias. Presentar las conclusiones del caso.

¿Qué finalidad tiene mantener la cadena de custodia durante la investigación?. Simplificar la documentación del caso. Garantizar la integridad y autenticidad de las evidencias. Automatizar el proceso de análisis. Acelerar el análisis técnico.

¿Qué ventaja tiene el análisis automático de evidencias?. Elimina la necesidad de documentar el proceso. Garantiza automáticamente la cadena de custodia. Sustituye completamente el análisis manual. Permite procesar grandes volúmenes de datos de forma rápida.

En una investigación forense de IoT, ¿por qué es importante identificar correctamente los dispositivos implicados?. Para determinar qué sistemas pueden contener información relevante. Para limitar el uso de herramientas forenses. Para reducir la cantidad de evidencias analizadas. Para evitar el análisis de los datos almacenados.

¿Qué objetivo tiene la fase de adquisición de evidencias en un análisis forense IoT?. Documentar las conclusiones del análisis. Obtener copias de los datos relevantes para la investigación. Elaborar la línea temporal del incidente. Analizar directamente el comportamiento del atacante.

La presentación de conclusiones en un análisis forense tiene como objetivo: Realizar nuevas pruebas sobre el dispositivo. Eliminar información irrelevante. Repetir el proceso de adquisición de evidencias. Explicar los resultados de forma clara a los responsables del caso.

En el análisis forense de dispositivos IoT, el análisis manual de evidencias consiste en: Utilizar únicamente herramientas automáticas. Eliminar datos irrelevantes del dispositivo. Presentar el informe final del análisis. Revisar directamente los datos y registros obtenidos.

¿Qué tipo de información se busca principalmente durante la extracción de evidencias?. Datos temporales sin relación con el caso. Información relevante para reconstruir el incidente. Información irrelevante del sistema. Configuraciones de red únicamente.

¿Qué aspecto garantiza la cadena de custodia durante una investigación?. Que el análisis se realice automáticamente. Que las evidencias se mantengan intactas y controladas. Que los dispositivos se desconecten de la red. Que se eliminen los datos irrelevantes.

En una investigación forense sobre IoT, la identificación de dispositivos permite: Determinar qué equipos están relacionados con el incidente. Reducir el volumen de datos almacenados. Eliminar dispositivos de la red. Automatizar el análisis forense.

¿Por qué es importante documentar cada fase del proceso forense?. Para reducir el volumen de datos analizados. Para simplificar el uso de herramientas automáticas. Para evitar realizar conclusiones. Para permitir que el análisis pueda ser revisado o repetido.

Las conclusiones de un análisis forense deben: Evitar referencias a la investigación. Basarse en opiniones del analista. Basarse en las evidencias obtenidas y analizadas. Incluir únicamente datos técnicos sin contexto.

En el análisis forense de dispositivos IoT, la combinación de análisis manual y automático permite: Sustituir completamente el análisis manual. Eliminar la documentación del proceso. Evitar el uso de herramientas especializadas. Aumentar la precisión y eficiencia del análisis.

El análisis manual de evidencias implica: Ejecutar herramientas automáticas sin supervisión. Eliminar registros del dispositivo. Revisar los datos obtenidos de forma directa por el analista. Presentar el informe final del análisis.

La creación de una línea temporal en una investigación forense permite: Determinar el hardware del dispositivo. Organizar los eventos según el momento en que ocurrieron. Eliminar evidencias irrelevantes. Identificar el coste del incidente.

Las herramientas automáticas en análisis forense IoT se utilizan principalmente para: Facilitar el procesamiento de evidencias. Eliminar datos irrelevantes automáticamente. Reemplazar completamente al analista. Evitar la documentación del proceso.

La presentación final de los resultados de un análisis forense tiene como objetivo: Reducir el número de dispositivos analizados. Eliminar evidencias irrelevantes. Comunicar los hallazgos de forma clara y comprensible. Repetir el análisis técnico.

Un informe pericial incluye una sección que permite localizar rápidamente cada apartado del documento. ¿Por qué es importante esta parte?. Resume las conclusiones del análisis. Permite estructurar y navegar por el contenido del informe. Describe los antecedentes del caso. Define los términos técnicos utilizados.

En un informe pericial se explica qué ocurrió antes del análisis y qué circunstancias llevaron a realizar la investigación. ¿Para qué sirve incluir esta información?. Describir la normativa legal. Definir el índice del documento. Permitir comprender el contexto del caso. Identificar al responsable del informe.

Antes de explicar el análisis técnico, el informe describe qué se pretende demostrar con el estudio. ¿Qué función cumple esta sección?. Establecer el objetivo del informe. Explicar las normas legales aplicadas. Detallar los antecedentes del incidente. Identificar al autor del informe.

Un perito comienza su informe indicando el título del documento, la empresa implicada y su firma. ¿Para qué sirve principalmente esta parte del informe?. Identificar formalmente el documento y su autor. Explicar los antecedentes del caso. Describir la normativa aplicada. Explicar el objetivo del análisis.

Durante la revisión de un informe, un auditor busca rápidamente una sección concreta utilizando los números de página. ¿Qué parte del informe facilita esta tarea?. Índice de la memoria. Objeto. Antecedentes. Alcance.

Un supervisor necesita entender rápidamente qué cubre el informe y hasta dónde llega el análisis realizado. ¿Para qué sirve la sección que proporciona esta información?. Explicar la normativa legal. Definir el alcance del informe. Describir los antecedentes. Identificar al autor del informe.

En un informe forense se citan leyes y reglamentos que se han tenido en cuenta durante el análisis. ¿Cuál es la finalidad de incluir estas referencias?. Explicar los antecedentes del incidente. Identificar al responsable del documento. Justificar el marco normativo del informe. Definir el objetivo del análisis.

Un informe cita diferentes leyes y reglamentos relacionados con el análisis realizado. ¿Por qué se incluyen estos documentos?. Para justificar el objetivo del informe. Para mostrar las referencias normativas utilizadas. Para explicar el contexto del incidente. Para identificar al perito responsable.

Antes de presentar el análisis técnico, el informe explica brevemente el problema que motivó la investigación. ¿Por qué es importante incluir esta información?. Ayuda a comprender las conclusiones del informe. Define las normas legales aplicables. Resume el índice del informe. Permite identificar al autor del documento.

Un informe describe qué aspectos del sistema se han analizado y cuáles no forman parte del estudio. ¿Para qué sirve especificar esta información?. Identificar al autor del informe. Definir los límites del análisis realizado. Presentar los antecedentes del caso. Explicar las normas aplicadas.

Qué sección recoge las expresiones técnicas empleadas en el informe?. Requisitos. Análisis de soluciones. Antecedentes. Definiciones y abreviaturas.

Un informe incluye referencias a documentos legales utilizados durante el análisis. ¿Qué aportan estas referencias al informe?. Contexto normativo del análisis. Organización del informe. Explicación de los antecedentes. Identificación del autor del documento.

¿En qué apartado se incluyen las condiciones establecidas por el cliente o la normativa aplicable?. Requisitos. Alcance. Normas. Índice.

¿Qué apartado permite tener una supervisión rápida del contenido y resultados del informe?. Requisitos. Alcance. Antecedentes. Definiciones.

Antes de presentar el análisis técnico, el informe describe los hechos que llevaron a iniciar la investigación. ¿Para qué sirve esta información?. Comprender el origen del problema analizado. Explicar la normativa legal. Identificar al responsable del informe. Definir la estructura del documento.

Un informe especifica qué sistemas han sido analizados y qué elementos quedan fuera del estudio. ¿Qué se está definiendo en esta parte del documento?. Las normas aplicadas. Los antecedentes del caso. El alcance del informe. La identificación del informe.

Un informe menciona varias leyes y reglamentos relacionados con el análisis forense. ¿Qué función cumple esta información dentro del documento?. Definir la estructura del informe. Explicar el contexto del incidente. Identificar al autor del documento. Establecer el marco legal del informe.

Un informe pericial explica qué se pretende analizar y por qué se ha realizado el estudio. ¿Qué información aporta esta parte del documento?. La normativa aplicada. El objetivo del informe. El contexto del incidente. La estructura del informe.

¿Dónde se añaden documentos adicionales que amplían la información del informe?. Antecedentes. Índice. Anexos. Requisitos.

Un informe comienza con una sección donde aparece el nombre del perito, el título del documento y su firma. ¿Qué garantiza principalmente esta información?. La identificación formal del documento. La estructura del informe. La descripción del contexto del caso. La explicación del análisis realizado.