Analisis forense - VIU

¿Un SOC y CSIRT proporcionan los mismos servicios de respuesta ante incidentes?. FALSO. VERDADERO.

¿La capacidad de persistencia en el tiempo de los datos es la volatilidad?. FALSO. VERDADERO.

¿La cadena de custodia es obligatoria en todos los procesos que se judicializan y llevan evidencia digitales?. VERDADERO. FALSO.

¿Todas las evidencias digitales pueden ser admitidas como pruebas en un proceso judicial?. Ninguna de las respuestas. No, dependerá de muchos factores, entre ellos el modo de obtención de las mismas. Sí, todas deben ser admitidas si se demuestra que se han hecho con cadena de custodia.

¿Qué es el hash en una evidencia digital?. Es la marca de agua que se introduce en las pruebas impresas de las evidencias digitales. Es un elemento que hace irrefutable a la evidencia digital. Es un algoritmo matemático que se aplica en el momento de la obtención de la evidencia digital y le aporta integridad.

¿Qué es un fedatario público digital?. Son las personas pertenecientes a la FFCCSS que certifican la obtención de evidencias digitales en un proceso judicial. Son los denominados prestadores de servicios electrónicos de confianza, que permiten certificar evidencias digitales. Son los notarios para las evidencias digitales.

Todas las herramientas forenses sirven para analizar cualquier tipo de artefacto. FALSO. VERDADERO.

La notificación obligatoria de incidentes o brechas de seguridad siempre es en las 72 horas siguientes a la detección. FALSO. VERDADERO.

Cualquier información generada o almacenada en un sistema informático y que pueda ser utilizada en un proceso legal como prueba" es... Evidencia digital. Prueba informática. Registro electrónico. Archivo digital.

Autopsy es: Una herramienta de pago sólo para análisis de artefactos web. Herramienta de gestión de logs. Suite gratuita para análisis forense que integra varias herramientas y plugins para analizar gran parte de elementos (correo, imágenes, líneas de tiempo, etc.).

¿Cuál es la definición más correcta del análisis forense digital?. El estudio de la adquisición, análisis, preservación y presentación de evidencias electrónicas para ser procesadas y conservadas de tal forma que puedan utilizarse como prueba legal. El estudio del análisis y presentación de evidencias electrónicas para ser procesadas y conservadas de tal forma que puedan utilizarse como prueba legal. La aplicación de la metodología forense aplicada a los incidentes acaecidos en los sistemas de información aprovechando técnicas de extracción y obtención de evidencias para ser posteriormente examinadas, clasificadas, informadas y preparadas para que pueda utilizarse como medio de prueba y explicación del incidente acaecido.

En un informe pericial forense nunca se debe: Aportar hipótesis probables pero no contrastadas. Aportar evidencias no contrastadas. Incluir valoraciones subjetivas.

¿Qué es un Volcado de memoria (en inglés core dump o memory dump)?. Una copia de seguridad completa de un sistema informático. Un registro de las actividades de un usuario en un sistema. Una captura del contenido de la memoria RAM de un sistema en un momento específico. Un archivo que contiene el código fuente de un programa en ejecución.

Las MRU son artefactos forenses de Windows que contienen la lista con los ficheros más utilizados por los usuarios. FALSO. VERDADERO.

¿Debe usar un perito informático el disco original para hacer sus averiguaciones?. No, nunca, siempre debe trabajar con una copia, a ser posible refrendado por un fedatario público. Sí, puede trabajar siempre que le haya hecho copia y la haya depositado en un fedatario público. No, nunca, debe usar copias clonadas refrendadas por un fedatario público.

¿Cuáles de las siguientes opciones son artefactos de Windows?. Papelera, Prefetch, ShadowCopy. Papelera, hive, Redcom. Prefetch, hive, bin.

Aquello que nos permite indicarle a Volatility la información que deseamos obtener de la imagen de memoria adquirida, es... Los plugins. Los hashes. El sistema operativo. Las claves de cifrado.

La "Cadena de custodia" permite el seguimiento y control de las evidencias que certifica: Que las evidencias no han sido alteradas desde su adquisición. Que las evidencias cumplen con las políticas internas de seguridad. Que las evidencias son fáciles de analizar con herramientas automatizadas. Que las evidencias siempre tienen respaldo en la nube.

¿Cuál es la principal diferencia entre prueba digital y evidencia digital?. Una prueba es un hecho irrefutable mientras que la evidencia carece de certeza, sólo es un indicio. Sólo la evidencia se puede presentar en un juicio. Una prueba digital es un indicio que puede demostrar un hecho, una evidencia digital es un elemento que certifica de manera irrefutable un hecho acaecido.

A partir de un hash podemos obtener la información original. VERDADERO. FALSO.

Para qué sirve un IoC (Indicator of Compromise)?. Identificar señales de posibles compromisos de seguridad en un sistema. Generar contraseñas seguras y proteger la red. Bloquear automáticamente accesos no autorizados en tiempo real. Encriptar archivos sensibles durante una investigación forense.

Un informe pericial forense aportado en un proceso judicial siempre debe ser firmado por un perito forense informático acreditado. VERDADERO. FALSO.

La notificación de las brechas siempre es obligatoria hacerla a los afectados si se notifica a la Autoridad de Control competente. FALSO. VERDADERO.

Si una clínica dental detecta que ha sufrido un incidente en que afecta a la confidencialidad de la BBDD que contiene los datos de contacto de sus 500 pacientes, ¿deberá notificarlo a la Agencia Española de Protección de Datos antes de 72 horas?. No necesariamente, dependerá de la evaluación del impacto del incidente. Sí, son datos sensibles. Sí, y a sus clientes en las 36 horas siguientes.

La autoridad competente para todos los operadores de servicios esenciales sean o no operadores críticos siempre es el Centro Nacional para Infraestructuras Críticas (CNPIC). VERDADERO. FALSO.

La autoridad competente para la gestión de brechas de seguridad en el marco de las Administraciones Públicas siempre es el Centro Nacional Criptológico (CCN). VERDADERO. FALSO.

Si nos encontramos un dispositivo encendido podemos: Analizar la memoria RAM para obtener información volátil. Apagarlo inmediatamente para preservar la evidencia. Realizar copias directamente sin análisis previo. Acceder al dispositivo sin precaución para ver el estado de los archivos.

¿Qué es Ícaro?. Una herramienta de análisis de vulnerabilidades. Una plataforma de compartición de IoC´s de malware conocido para facilitar su detección. Una suite de análisis forense.

¿Qué es un HIVE?. Es un log del registro de Windows que almacena datos volátiles o datos que se pueden cambiar en cualquier momento. Es una rama del registro de Windows que almacena datos volátiles o datos que se pueden cambiar en cualquier momento. Es un indicador de compromiso del sistema.

DumpIt y LiME son herramientas que permiten el volcado de memoria de: Sistemas operativos Windows y Linux. Dispositivos móviles con Android e iOS. Bases de datos en servidores en la nube. Sistemas operativos en modo de suspensión.

¿Qué es el RFC 3227?. Una guía que establece el orden de recopilación de evidencias digitales en un incidente. Un estándar de cifrado para proteger datos digitales. Una normativa que regula la privacidad en redes sociales. Un protocolo de red para transferir archivos en entornos seguros.

En un informe de reporte de incidente de seguridad siempre se debe especificar: Ninguna de las dos. El día de la semana en que ocurrió y las medidas de mitigación aplicadas. El impacto en los sistemas del mismo y las medidas de mitigación aplicadas.

¿Cuál de las siguientes afirmaciones NO es cierta?. Una brecha de seguridad es un incidente de seguridad en la que hay datos personales. Un incidente de seguridad es lo mismo que una brecha de seguridad, sólo que la brecha es clasificada con peligrosidad alta. Una brecha de seguridad siempre es un incidente de seguridad.

En cualquier informe forense, independientemente de la metodología o norma usada, siempre. Se deben documentar las evidencias. Se deben documentar las evidencias. Todas son correctas. Terminar con resumen y conclusiones.

La aplicación de la Directiva NIS en España, en su actual ley, conlleva la notificación obligatoria de todos los incidentes de seguridad. VERDADERO. FALSO.

¿Es obligatorio el uso de MD5 solamente para el cálculo del hash de una evidencia?. VERDADERO. FALSO.

¿Qué es MISP?. Una BBDD de un SIEM. Es un sistema de intercambio de información de ciberinteligencia.

¿Qué es LOKI, para qué sirve?. Es un editor de MISP, sirve para correlar eventos. Es un escáner gratuito de amenazas basado en indicadores de compromiso. Sirve para buscar los patrones que tiene incorporados en los sistemas. Un artefacto de Windows.

¿Cuál es la primera actuación a realizar por un equipo de respuesta ante incidente cuando se produce el mismo?. Hacer la notificación pertinente a la autoridad competente. Recolectar las evidencias. Contener el mismo.

Volatility, Caine y Cellebrite son: Herramientas forenses de aplicaciones web. Herramientas forenses apropiadas para hacer copias de discos. Herramientas de gestión de logs.

¿Es obligatorio realizar la obtención de las evidencias a través de un fedatario público digital para garantizar su integridad?. VERDADERO. FALSO.

¿Qué son las reglas YARA?. Colección de firmas de antivirus. Reglas que permiten detectar strings, secuencias de instrucciones, expresiones regulares y otros patrones existentes en archivos maliciosos. Un artefacto de Windows.

SNORT es un detector de intrusiones basado en red y sirve para implementar reglas de IoC´s. VERDADERO. FALSO.

¿Es recomendable realizar la obtención de las evidencias a través de un fedatario público digital para garantizar su integridad?. VERDADERO. FALSO.

¿Cuáles son las principales fuentes de evidencias electrónicas?. Remotas, virtuales y cadena de custodia. Físicas y remotas. Físicas, remotas y virtuales.

¿Qué son las técnicas anti forenses?. Ninguna de las respuestas. Técnicas orientadas a enmascarar, impedir, destruir la recolección y tratamiento de evidencias en los sistemas de información. Son herramientas que ayudan a realizar el informe forense de manera que no puedan ser alteradas.

Las etapas principales del análisis forense suelen ser las siguientes y por ese orden: Activación de la cadena de custodia, obtención, análisis, redacción del informe y conservación de las evidencias. Obtención, identificación, tratamiento, análisis, redacción del informe y conservación de evidencias. Identificación, obtención, tratamiento, análisis, redacción del informe y conservación de evidencias.

Los CERT nacionales en España son CCN-CERT y el INCIBE-CERT. VERDADERO. FALSO.

La autoridad competente para todos los operadores de servicios esenciales que son operadores críticos siempre es el Centro Nacional para Infraestructuras y Ciberseguridad (CNIPC). VERDARO. FALSO.

repaso_analisis forense: ¿Qué principio establece que dos objetos que entran en contacto transfieren material entre sí?. Principio de autenticidad. Principio de intercambio de Locard. Principio de integridad de la evidencia. Principio de volatilidad.

repaso_analisis forense: ¿Cuál es el objetivo principal del análisis forense?. Automatizar la detección de incidentes. Identificar, preservar, analizar y presentar evidencia digital. Realizar un seguimiento de amenazas cibernéticas. Generar estadísticas de seguridad.

repaso_analisis forense: ¿Qué define un incidente de seguridad según las clases?. Un evento predecible que afecta el rendimiento de un sistema. Un evento que compromete la confidencialidad, integridad o disponibilidad de datos. Un ataque externo exitoso. Una falla en el hardware de un sistema.

¿Qué tipos de evidencia digital se pueden considerar en un análisis?. Logs, discos duros y testimonios humanos. Solo información almacenada en dispositivos físicos. Documentos y fotos exclusivamente. Redes sociales y correos electrónicos únicamente.

repaso_analisis forense: ¿Qué herramientas son comunes en el análisis forense de metadatos?. FTK, Autopsy y ExifTool. Wireshark y Metasploit. Nessus y OpenVAS. Snort y Nmap.

repaso_analisis forense: ¿Cuál es la primera fase del ciclo de vida de un incidente según el modelo NIST?. Mitigación. Detección. Preparación. Recuperación.

repaso_analisis forense: ¿Qué fase implica la contención del incidente?. Preparación. Erradicación. Análisis. Mitigación.

repaso_analisis forense: ¿Qué modelo describe cómo las amenazas avanzadas se estructuran en fases para ejecutar ataques?. Kill Chain. NIST. STIX. CSIRT.

repaso_analisis forense: ¿Qué fase del ciclo de vida implica aprender de un incidente para prevenir futuros problemas?. Contención. Lecciones aprendidas. Erradicación. Recuperación.

repaso_analisis forense: ¿Qué guía utiliza el CCN para clasificar la peligrosidad de los incidentes?. STIC 817. NIST SP 800-61. ISO 27001. GDPR.

repaso_analisis forense: ¿Cuál es el objetivo principal de la fase de erradicación en un incidente?. Detectar el ataque. Eliminar la amenaza de la infraestructura. Notificar a las autoridades. Preparar el informe final.

repaso_analisis forense: Según el modelo NIST, ¿qué fase sigue a la detección?. Mitigación. Análisis. Contención. Recuperación.

repaso_analisis forense: ¿Qué recurso se recomienda para gestionar incidentes a nivel nacional en España?. INCIBE. NIST.

repaso_analisis forense: ¿Qué herramienta se utiliza para verificar la integridad de una imagen de disco en formato E01?. sha256sum. Wireshark. FTK Imager. Autopsy.

¿Qué sistema de archivos es el más común en sistemas Windows para análisis forense?. NTFS. ext4. FAT32.

repaso_analisis forense: ¿Qué herramienta es útil para extraer información de logs en sistemas Linux?. LogParser. Syslog. ExifTool.

repaso_analisis forense: ¿Cuál es el comando en Linux para listar archivos ocultos durante un análisis?. ls -l. ls -a. find /hidden. grep .hidden.

repaso_analisis forense: ¿Qué característica tiene una adquisición de disco en modo "solo lectura"?. Protege los datos originales de alteraciones. Acelera el proceso de análisis. Reduce el tamaño de la evidencia.

repaso_analisis forense: ¿Qué herramienta puede usarse para visualizar el historial de comandos ejecutados en Linux?. grep history. history. ps aux.

repaso_analisis forense: ¿Qué herramienta permite analizar y extraer metadatos de documentos en formato PDF?. ExifTool. Syslog. Metasploit.

repaso_analisis forense: ¿Qué técnica puede ocultar información dentro de documentos ofimáticos como Word?. Esteganografía. Criptografía. Hashing.

repaso_analisis forense: ¿Qué es necesario para asegurar la cadena de custodia de las evidencias?. Usar software especializado en forense. Registrar quién, cuándo y cómo manipuló las evidencias. Tener múltiples copias de las evidencias.

repaso_analisis forense: Según la NIS-2, ¿qué es obligatorio tras detectar un incidente de seguridad significativo?. Notificar a las autoridades competentes. Proteger los datos personales de los empleados. Emitir un comunicado de prensa.

repaso_analisis forense: ¿Qué normativa regula la protección de datos personales en Europa?. GDPR. STIC. NIS-2.