Cuestionario de Introducción al Análisis Forense Informático

¿Qué es el Análisis Forense Informático?. Un conjunto de técnicas para extraer software. Un conjunto de técnicas y procedimientos para extraer evidencias digitales sin alterar su estado. Un tipo de software para análisis de malware. Un proceso para formatear discos duros.

¿Cuáles son las "5 Ws" que se utilizan en el análisis forense?. What, Where, Who, When, Why. Windows, Wireless, Websites, Workstations, Wi-Fi. Write, Read, Execute, Delete, Copy. World, Wide, Web, Worker, Wire.

¿Cuál es la fase más importante del análisis forense?. Análisis. Presentación. Adquisición. Preservación.

¿Qué es la cadena de custodia en el análisis forense?. Un tipo de software de análisis. Un registro de los dispositivos de almacenamiento. Un protocolo para garantizar la integridad de las evidencias. Un protocolo de seguridad para proteger los datos.

¿Qué es un 'write blocker'?. Un tipo de software para analizar logs. Un dispositivo que previene la modificación de datos en un disco duro. Una herramienta para clonar discos. Un tipo de cable para conectar discos.

¿Qué es un timestamp en el contexto forense?. Una herramienta para analizar archivos. Una marca de tiempo que indica cuándo se creó o modificó un archivo. Un tipo de malware. Una contraseña para acceder a un sistema.

¿Qué tipo de información se considera volátil en una investigación forense?. Archivos en discos duros. Contenido de la memoria RAM. Documentos en CD-ROM. Datos en dispositivos USB.

¿Qué se necesita para asegurar una buena preservación de las evidencias?. No tocar los dispositivos. Obtener copias idénticas de las evidencias. Formatear los discos duros. Reemplazar los discos duros.

¿Qué es un informe forense?. Un tipo de software de análisis. Un documento que presenta los resultados del análisis y las conclusiones. Un registro de los dispositivos de almacenamiento. Un protocolo de seguridad.

¿Qué es un resumen ejecutivo en un informe forense?. Un desglose detallado de las técnicas utilizadas. La presentación de los resultados y conclusiones de forma resumida. Un análisis en profundidad de cada archivo encontrado. Una lista de todas las herramientas utilizadas.

¿Qué información debe contener una cadena de custodia?. La marca y el modelo de los dispositivos. El nombre del analista y el lugar de trabajo. La descripción detallada de los datos. Identificación unívoca de las evidencias, preservación, marcado de tiempo, localización física, documentación y registros de control.

¿Cuál es la importancia de la línea de tiempo (timeline) en un análisis forense?. Es un registro de todos los correos electrónicos. Es irrelevante para la investigación. Ayuda a entender la cronología de los eventos. Es un mapa de la red.

¿Qué es un análisis de logs?. Un análisis de la memoria RAM. Un análisis de discos duros. El análisis de los registros de eventos de un sistema. El análisis de los correos electrónicos.

¿Qué herramienta es común para el análisis de memoria RAM?. EnCase. Volatility. Cellebrite. SIFT (SANS).

¿Qué tipo de evidencias se encuentran en un dispositivo lógico?. Discos duros. Ficheros, imágenes, etc. Teléfonos móviles. Tabletas.

¿Cuál es el objetivo principal de un analista forense?. Reconstruir computadoras dañadas. Contar la historia de lo sucedido aportando las evidencias que sustentan los hechos. Crear software de seguridad. Arreglar redes informáticas.

¿Cuál es la función de los 'write blockers' en el análisis forense?. Clonar discos duros rápidamente. Impedir la modificación de los datos en el disco duro durante el análisis. Borrar datos de forma segura. Aumentar la velocidad de transferencia de datos.

¿Qué tipo de análisis forense se enfoca en responder a un ciber incidente?. Forense dentro de un proceso judicial. Forense dentro de la respuesta a un ciber incidente. Análisis de discos duros. Análisis de teléfonos móviles.

¿Qué es la reproducción en el análisis forense?. Un tipo de software para análisis. La capacidad de repetir el proceso y obtener los mismos resultados. La creación de una copia de los archivos. La protección de las evidencias.

¿Qué es la confidencialidad en la protección de datos?. Asegurar que los datos sean accesibles cuando se necesitan. Impedir el acceso no autorizado a los datos. Garantizar que los datos no se modifiquen. Proteger los datos contra pérdidas.

¿Cuál es la importancia de la objetividad en un informe forense?. No es importante para el informe. Permite sesgar los resultados para favorecer a una parte. Garantiza que las conclusiones se basen en hechos y evidencias. Hace que el informe sea más largo y complicado.

¿Qué herramientas se utilizan para analizar logs?. Volatility, EnCase, FTK suite. Cut, grep, PowerShell, SIEMs. Cellebrite, SIFT (SANS), MagnetForensics Suite. ATA, SATA, IDE, PCI, SCSI, USB.

¿Qué son los SIEMs?. Sistemas de Información y Evaluación de Malware. Sistemas de Inserción y Extracción de Memoria. Sistemas de Información y Gestión de Eventos de Seguridad. Software de Inspección y Evaluación de Malware.

¿Cuál es la utilidad de los protectores de escritura ('write blockers')?. Acelerar el proceso de análisis. Asegurar que la evidencia no se altere. Facilitar el acceso remoto a los datos. Simplificar la copia de la evidencia.

¿Cuál es la diferencia entre un disco duro físico y uno lógico?. No hay diferencia. El disco duro físico es el dispositivo, el lógico son los archivos y carpetas. El disco duro físico es el software, el lógico es el hardware. El disco duro físico es más volátil que el lógico.

¿Qué es la integridad en la protección de datos?. Asegurar que los datos sean accesibles cuando se necesitan. Impedir el acceso no autorizado a los datos. Garantizar que los datos no se modifiquen. Proteger los datos contra pérdidas.

¿Qué son los ficheros temporales?. Ficheros que almacenan contraseñas. Ficheros con información que cambia rápidamente y se almacenan temporalmente. Ficheros de registro del sistema operativo. Ficheros que almacenan datos encriptados.

¿Cuál es el orden de volatilidad en el análisis forense, de mayor a menor?. Cachés de memoria, registros CPU, Memoria RAM, Discos duros. Discos duros, Memoria RAM, Cachés de memoria, registros CPU. Memoria RAM, Cachés de memoria, registros CPU, Discos duros. Cachés de memoria, registros CPU, Memoria RAM, tabla de procesos, discos duros.

¿Qué herramientas se utilizan para clonar discos duros?. Volatility y EnCase. Los 'write blockers'. Herramientas de análisis de logs. Hardware forense con distintas interfaces (ATA, SATA, IDE, PCI, SCSI, USB, Firewire, etc).

¿Qué es la trazabilidad en la cadena de custodia?. La velocidad a la que se analizan las evidencias. La capacidad de rastrear el camino de una evidencia desde su origen hasta su presentación. El costo del análisis forense. La cantidad de datos que contiene una evidencia.

El análisis inicial de la situación, incluido el análisis minucioso del escenario tiene lugar en la fase de: Investigación. Adquisición. Procesado de evidencias. Identificación.

¿Qué pasa si no se preserva la cadena de custodia?. Que no podremos responer las preguntas de manera correcta. Que sería ilegal. La evidencia podría ser impugnada. Que nos estaremos saltando varias fases y procesos.

¿Cuál de los siguientes es un objetivo del análisis forense?. investigar quien está detrás del ataque. Tener claro la linea de tiempo de lo que ha sucedido. Saber qué ha pasado. Todas las anteriores.

¿Qué elementos mínimos debe de tener el documento de cadena de custodia?. Código fuente. Identificación unívoca. Línea de tiempo. Registro de control.