Cuestionario de Computacion Forense
|
|
Título del Test:
![]() Cuestionario de Computacion Forense Descripción: Computacion Forense |



| Comentarios |
|---|
NO HAY REGISTROS |
|
En el contexto de una investigación pericial, ¿cuál es el propósito fundamental de realizar una imagen forense bit a bit antes de iniciar cualquier análisis?. Garantizar que el análisis se realice sobre una copia exacta, preservando la integridad del dispositivo original para evitar la alteración de fechas o sobrescritura de datos. Aumentar la velocidad de búsqueda de archivos eliminados mediante la compresión de los datos del disco original. Eliminar virus y malware del dispositivo para asegurar que las herramientas de análisis no se infecten durante el proceso. Reparar sectores dañados del disco duro original para facilitar el acceso a particiones que no pueden ser montadas por el sistema operativo. ¿Cuál es la función específica del 'Especialista en la escena del delito informático' según la jerarquía de roles en la investigación forense?. Delimitar el área del incidente y recolectar las evidencias físicas y digitales asegurando que no sufran alteraciones durante el transporte. Redactar el informe pericial definitivo y defender las conclusiones técnicas ante un tribunal de justicia. Actuar como enlace jurídico entre la empresa afectada y el Consejo de la Judicatura para gestionar las órdenes de allanamiento. Procesar y analizar técnicamente los datos recolectados utilizando herramientas avanzadas para reconstruir los hechos. Desde la perspectiva técnica de un sistema de ficheros, ¿por qué es posible recuperar un archivo que ha sido 'vaciado' de la papelera de reciclaje?. Porque el sistema solo elimina la referencia en el índice y marca el espacio como disponible, pero los datos físicos permanecen en el disco hasta ser sobrescritos. Porque los metadatos del archivo se sincronizan con la nube de forma obligatoria, permitiendo su descarga posterior. Porque los sistemas operativos modernos mantienen una copia oculta de cada archivo borrado en una partición de recuperación invisible al usuario. Porque la tabla de particiones MBR duplica automáticamente la información de los archivos en el sector de arranque por seguridad. Si un perito debe trabajar con un disco antiguo cuya capacidad máxima direccionable es de 2 TB y admite hasta 4 particiones primarias, ¿qué esquema de particionado está analizando?. Master Boot Record (MBR). File Allocation Table (FAT32). Sistema de archivos NTFS. GUID Partition Table (GPT). Un analista forense nota que es casi imposible recuperar archivos borrados en un disco de estado sólido (SSD) moderno a comparación de un disco mecánico (HDD). ¿Cuál es el factor tecnológico responsable?. La función TRIM, que ordena al SSD limpiar físicamente los bloques de memoria marcados como libres para optimizar el rendimiento. El uso de la tabla GPT, que sobrescribe automáticamente el espacio libre con ceros por motivos de seguridad. La fragmentación excesiva que sufren los archivos en memorias flash, impidiendo la técnica de file carving. La encriptación nativa de los controladores SATA que impide la lectura de datos sin el índice original del sistema de ficheros. ¿Cuál de los siguientes elementos es crítico para garantizar la validez legal de la evidencia digital desde su recolección hasta el juicio?. La cadena de custodia, que registra documentadamente quién manipuló la evidencia, cuándo y mediante qué procedimiento. La presencia física de un notario público durante todo el proceso de análisis forense en el laboratorio. La eliminación de todos los metadatos del archivo para proteger la privacidad de los involucrados en el caso. El uso exclusivo de herramientas de software con licencia comercial aprobadas por el fabricante del sistema operativo. En una investigación sobre el uso no autorizado de dispositivos de almacenamiento externo en Windows, ¿qué fuente de evidencia permitiría ver el historial de USBs conectados?. El Registro de Windows (Windows Registry). La tabla de particiones MBR del disco duro principal. El proceso 'explorer.exe' en tiempo real. Los metadatos EXIF de los archivos del sistema. Al analizar un archivo de imagen, un perito encuentra información sobre el modelo de la cámara, la fecha de captura y las coordenadas GPS. Estos datos se clasifican como: Metadatos. Clusters de datos. Imagen forense. Firmas de archivo (File Signatures). Un perito informático recibe un computador que fue formateado rápidamente. ¿Qué técnica debería aplicar si los índices del sistema de ficheros han desaparecido pero los datos físicos aún existen?. File Carving (Recuperación por firmas). Cálculo de valores hash en el original. Reconfiguración de la UEFI para restaurar el arranque. Análisis proactivo de redes. ¿Cuál es la diferencia principal entre el análisis forense de redes reactivo y el proactivo?. El reactivo investiga tras la detección de un incidente, mientras que el proactivo vigila el tráfico para detectar anomalías antes de que ocurra un daño mayor. El reactivo utiliza herramientas de hardware y el proactivo se basa únicamente en protocolos legales. El reactivo busca archivos borrados y el proactivo analiza metadatos de correos electrónicos. El reactivo se aplica solo en dispositivos móviles y el proactivo en infraestructuras de la nube (Cloud). ¿Cuál es el propósito fundamental de un análisis forense informático según el material de estudio?. Aclarar las acciones realizadas en la escena del delito para brindar un panorama claro al juez. Eliminar permanentemente los registros de acceso para proteger la privacidad de la empresa. Sustituir inmediatamente el hardware afectado para evitar pérdidas económicas. Identificar vulnerabilidades futuras sin analizar los hechos pasados. En la etapa de preservación, ¿cuál es la función de la técnica denominada 'Cadena de Custodia'?. Garantizar que la evidencia recolectada sea la misma desde el hallazgo hasta el juicio. Asignar un oficial de policía físico para custodiar cada ordenador las 24 horas. Acelerar el proceso de borrado de datos temporales para liberar espacio en el servidor. Encriptar todos los discos duros para que nadie pueda leer su contenido. Si un perito utiliza algoritmos SHA1 o MD5 y obtiene códigos distintos al comparar el original con la copia, ¿qué conclusión debe extraer?. La información ha sido alterada o borrada en algún punto del proceso. La copia se realizó correctamente pero en un sistema operativo diferente. El archivo está protegido por una contraseña que impide el cálculo exacto. Se debe a un error normal de redondeo del procesador del servidor. ¿Por qué es crucial evitar el lenguaje excesivamente técnico en la presentación del informe pericial?. Porque los destinatarios finales suelen ser jueces, fiscales o gerentes no especializados. Para reducir el peso digital del archivo del informe final. Porque los estándares internacionales como IDIP prohíben el uso de tecnicismos. Para evitar que otros peritos descubran las herramientas de software utilizadas. ¿Cuál es la utilidad principal de realizar simulacros dentro de un plan de respuesta a incidentes?. Identificar fallas o acciones faltantes en el protocolo antes de que ocurra un evento real. Cifrar la base de datos de la empresa de forma automática durante el ejercicio. Entrenar a los usuarios para que puedan realizar sus propios análisis forenses. Justificar la compra de equipos informáticos de última generación anualmente. En el contexto de la volatilidad de la evidencia, ¿por qué es peligroso apagar o reiniciar un equipo comprometido sin un plan previo?. Porque la información contenida en memorias volátiles como la RAM se perderá definitivamente. Porque el sistema operativo aplicará actualizaciones que borrarán los logs de red. Porque se invalidan automáticamente todas las funciones Hash previamente calculadas. Porque el disco duro se desmagnetiza automáticamente al perder corriente súbitamente. ¿Qué distingue al estándar Digital Forensic Process de otros modelos más tradicionales?. Es una plataforma de código abierto que divide el trabajo en siete fases detalladas. Prohíbe la recolección de evidencias que no estén almacenadas en la nube. Se centra exclusivamente en la investigación de escenas de crímenes físicos como robos de oficinas. No requiere la fase de presentación de conclusiones para ser válido. Durante la fase de pre-análisis, ¿qué acción se debe tomar si no se logra romper el cifrado de una evidencia?. Anotar en el reporte pericial que no se pudo acceder al contenido de dicha evidencia. Eliminar la evidencia del caso para no entorpecer el análisis de otros archivos. Suponer el contenido del archivo basándose en el nombre de la extensión. Utilizar herramientas de hackeo ilegales para forzar el acceso sin autorización judicial. ¿Cuál es la extensión de archivo típica para identificar máquinas virtuales creadas bajo la especificación de Microsoft (Hyper-V)?. .EXE. .XVA. .VMDK. .VHD. En el análisis del sistema operativo, ¿por qué es importante investigar si existen 'usuarios anormales'?. Para detectar posibles cuentas creadas por atacantes para mantener persistencia o privilegios. Para desinstalar programas que consumen demasiada memoria RAM. Para cambiar el idioma de la interfaz del sistema operativo a uno estándar. Para verificar si los empleados están compartiendo sus contraseñas personales. ¿Cuál es el propósito principal de acotar la escena del crimen en un análisis forense informático?. Restringir el acceso para evitar que personas no calificadas alteren o comprometan la evidencia. Limpiar el área de trabajo para que el perito pueda instalar sus propias herramientas de análisis. Desconectar inmediatamente todos los equipos para evitar la pérdida de datos volátiles. Identificar únicamente los equipos que no sufrieron daños directos durante el incidente. En el contexto de la adquisición de evidencias, ¿cuál es la diferencia fundamental entre una adquisición física y una lógica?. La adquisición física copia todo el contenido del dispositivo bit a bit, mientras que la lógica se limita a volúmenes o particiones específicos. La adquisición física se realiza solo mediante hardware, mientras que la lógica requiere software especializado. La adquisición lógica garantiza la integridad del dispositivo original, mientras que la física siempre altera los datos. La adquisición física es exclusiva para memorias volátiles y la lógica para dispositivos de almacenamiento masivo. ¿Por qué el uso de herramientas como Dumplt para recuperar la memoria RAM se considera una acción que altera inevitablemente la evidencia?. Porque al cargarse en el sistema operativo, el software ocupa espacio en la propia memoria RAM que se intenta capturar. Porque el software Dumplt sobrescribe automáticamente el historial del navegador para liberar espacio. Porque solo es compatible con sistemas operativos de código abierto que no protegen la integridad de los datos. Porque requiere que el equipo sea reiniciado antes de comenzar el proceso de recolección. De acuerdo con el estándar de seguridad NATO para el borrado seguro de información, ¿cuál es el procedimiento que se sigue?. Se realizan siete pasadas de sobrescritura, alternando valores fijos y finalizando con un carácter aleatorio. Se sobrescribe la información original únicamente con ceros en una sola pasada para ahorrar tiempo. Se aplica un algoritmo que sobrescribe la información con una serie de 35 patrones diferentes. Consiste en tres pasadas de sobrescritura utilizando un valor fijo, un valor complementario y valores aleatorios. Al investigar un navegador Chrome en Windows 10, ¿qué comando o dirección permite al perito identificar rápidamente la ruta del directorio del perfil del usuario?. chrome://version/. chrome://settings/profiles/. chrome://history/view/. C:\Users\Default\AppData\. En la arquitectura de redes móviles, ¿cuál es la función de las bases de datos HLR y VLR desde una perspectiva forense?. Registrar el estado de los clientes e indicar su localización en la red, lo cual es relevante para ubicar un dispositivo. Sustituir el código IMEI por un identificador temporal para proteger la identidad del usuario. Almacenar el contenido íntegro de las conversaciones de voz y mensajes SMS de forma permanente. Encriptar la tarjeta SIM para que no pueda ser leída por herramientas de terceros. ¿Qué ventaja técnica ofrece el uso de una imagen forense en lugar de realizar un clon directo de un disco duro físico?. Permite que varios analistas trabajen sobre el mismo archivo simultáneamente y facilita el marcado de archivos de interés dentro de la evidencia. Elimina la necesidad de utilizar bloqueadores de escritura durante el proceso de copia. Es el único método que permite realizar una adquisición 'en caliente' de un servidor crítico. La imagen forense reduce el tamaño de los datos originales mediante una compresión que elimina los espacios vacíos. Al realizar análisis de red con Wireshark, ¿cuál es la función de la librería WinPcap o similares?. Gestionar la captura de paquetes de información que circulan por la interfaz de red. Proveer una interfaz gráfica para que el usuario pueda filtrar los protocolos TCP. Limpiar los virus y malware presentes en los paquetes de datos capturados. Desencriptar automáticamente las contraseñas que viajan de forma segura por la red. ¿En qué situación un perito informático optaría obligatoriamente por una adquisición 'en caliente'?. Cuando se trata de sistemas críticos para una empresa que no pueden ser apagados ni retirados de su ubicación. Cuando el perito no cuenta con bloqueadores de escritura de hardware en el laboratorio. Cuando el objetivo principal es recuperar archivos que fueron borrados hace más de un año del disco duro. Siempre que el dispositivo sea un smartphone, debido a que su memoria interna se borra al apagarse. ¿Qué información crítica se puede extraer específicamente de una tarjeta SIM durante un análisis forense de smartphones?. Identificadores del proveedor de servicio para asociar la línea y, en ocasiones, un número limitado de contactos o mensajes. Las llaves de cifrado de aplicaciones de mensajería instantánea como WhatsApp. El historial de navegación completo de los últimos seis meses del usuario. La copia de seguridad completa de las fotos y videos capturados por la cámara. ¿Cuál es el propósito principal de implementar una cadena de custodia en la informática forense?. Reducir el espacio de almacenamiento necesario para las copias de seguridad. Garantizar la validez legal de las evidencias evitando alteraciones o sustituciones. Permitir que cualquier persona del laboratorio manipule las evidencias sin registro previo. Aumentar la velocidad de procesamiento de los datos durante el análisis. Según el protocolo de M. Romero (2020), ¿qué información debe incluirse obligatoriamente en el registro de traslados de una evidencia?. La marca y modelo del dispositivo informático transportado. Tiempos, origen, destino y posibles incidentes durante el desplazamiento. Únicamente el nombre del conductor del vehículo de transporte. El costo estimado del hardware recolectado en la escena del crimen. Al trabajar con un disco duro, ¿cuál es la regla de oro que debe seguir todo perito forense?. Nunca trabajar sobre los soportes originales. Formatear el disco original antes de realizar la copia para eliminar virus. Realizar el análisis directamente sobre el soporte original para evitar pérdida de bits. Utilizar herramientas de edición de archivos para corregir errores en el disco original. Dentro de la clasificación por tipos de licencia, ¿cuál de las siguientes herramientas se considera 'No Comercial' u Open Source?. ProDiscover. FTK. Autopsy. EnCase. Al utilizar FTK Imager para crear una imagen física de un USB, ¿qué opción de 'Source Evidence Type' permite capturar la totalidad del dispositivo, incluyendo espacio no asignado?. Image File. Physical Drive. Contents of a Folder. Logical Drive. En una adquisición de evidencia 'en vivo', ¿qué componente del sistema se captura para obtener un volcado de memoria?. La memoria RAM. Únicamente la papelera de reciclaje. La BIOS del sistema. El registro de arranque maestro (MBR). ¿Qué función cumple el archivo 'pagefile.sys' en el contexto de una captura de memoria con FTK Imager?. Es el archivo que contiene todas las contraseñas cifradas del usuario. Actúa como memoria virtual para intercambiar datos entre el sistema y la RAM. Es un virus que debe ser eliminado antes de iniciar la pericia. Sirve para registrar los nombres de todos los dispositivos USB conectados. Según el material, ¿qué herramienta es ideal para examinar ficheros o imágenes a nivel de bits utilizando un editor hexadecimal?. Wireshark. Hex Workshop. DumpIT. Recuva. Al finalizar la creación de una imagen con FTK Imager, ¿qué parámetro asegura que la copia es idéntica al original?. El nombre asignado al archivo de imagen. La verificación de los valores Hash (MD5 o SHA1). El tiempo de ejecución del proceso. La marca de la computadora donde se realizó la copia. ¿Por qué es importante documentar el 'Traspaso de Posesión' en la cadena de custodia?. Para transferir la responsabilidad directa de la conservación de la evidencia a una nueva persona. Para cambiar el formato de la imagen forense de E01 a Raw. Para permitir que la evidencia sea analizada sin supervisión legal. Para ocultar incidentes ocurridos durante el almacenamiento. Durante la fase de adquisición forense de un servidor Linux empresarial en producción que almacena bases de datos críticas en tiempo real, ¿qué procedimiento técnico garantiza la recolección íntegra de las conexiones de red activas sin corromper los servicios de la organización?. Ejecutar herramientas nativas como netstat o ss redirigiendo su salida hacia un medio de almacenamiento externo confiable previamente montado. Realizar un apagado forzado por desconexión de energía eléctrica (hard shutdown) para evitar escrituras concurrentes. Montar un bloqueador de escritura por hardware directamente sobre los canales lógicos del kernel en caliente. Clonar el disco del servidor mediante comandos dd mientras las tablas de bases de datos se actualizan. Al realizar la extracción manual de artefactos en un sistema Windows indexado bajo NTFS, un analista localiza datos residentes dentro de la estructura de la MFT (Master File Table). ¿Qué implicación tiene este hallazgo técnico para el análisis forense?. El archivo es extremadamente pequeño (menor a 700-900 bytes), lo que permite que el propio registro de la MFT guarde su contenido directamente eliminando la necesidad de clusters asignados. Los metadatos del sistema lógicos fueron encriptados mediante BitLocker por el usuario. El archivo fue borrado de forma segura utilizando la metodología NATO de sobreescritura aleatoria. Es una partición inválida que solo puede ser leída con herramientas propietarias de licencia comercial. ¿Cuál es la razón técnica por la que se prefiere almacenar y distribuir copias forenses en formato Expert Witness Compression (E01) en lugar de volcados en bruto o Raw (DD)?. El formato E01 incluye por diseño metadatos detallados del caso, compresión nativa de bloques y sumas de verificación criptográficas intercaladas para validar la integridad del archivo en tiempo real. El formato DD modifica obligatoriamente los registros de tiempo de acceso (timestamps) de los ficheros del disco analizado. El formato E01 permite eludir de manera automatizada las llaves de cifrado configuradas en los sistemas de ficheros nativos. Solo el formato E01 es compatible con editores hexadecimales de nivel de bit para tareas de file carving. Si un perito informático se encuentra analizando un teléfono móvil inteligente que cuenta con cifrado total de disco de fábrica (FDE) y el dispositivo ha sido apagado por completo (estado Before First Unlock - BFU), ¿cuál es la limitación pericial más restrictiva a la que se enfrenta en la extracción de datos de la memoria física?. Las llaves criptográficas principales de las aplicaciones de mensajería y del perfil de usuario no están cargadas en la memoria RAM, impidiendo la decodificación de la información del chip flash aunque se realice un volcado físico. La base de datos del operador (HLR) se desincroniza del número IMEI del smartphone automáticamente al perder corriente. Las tarjetas SIM modernas borran de manera permanente su lista de contactos almacenada tras pasar un ciclo de apagado. La UEFI o gestor de arranque bloquea la interfaz de hardware impidiendo recolectar los metadatos EXIF del procesador. |





