FORENSE

“En informática forense, la etapa de preservación puede omitirse si el analista tiene la certeza de que los datos no serán modificados accidentalmente durante el análisis.”. Verdadero. Falso.

Durante una investigación de un incidente de seguridad, un perito digital debe realizar varias etapas. ¿Cuál de las siguientes situaciones representa correctamente el orden lógico de un proceso forense adecuado?. A. Presenta los hallazgos ante un juez, luego identifica la evidencia y finalmente la preserva. B. Analiza la evidencia antes de preservarla para ahorrar tiempo y evitar duplicidad de datos. C. Identifica las posibles fuentes de evidencia, preserva la información sin alterarla y posteriormente realiza el análisis para finalmente presentar los resultados. D. Preserva la evidencia sin identificar su origen y luego la presenta antes de analizarla.

Durante la investigación de un fraude informático en una entidad pública, se requiere realizar un análisis de informática forense para obtener evidencia digital admisible judicialmente. Diversos entes estatales intervienen en el proceso, cada uno desde sus competencias legales. ¿Cuál de los siguientes escenarios describe correctamente un ente de control que NO participa en el análisis técnico forense, aunque sí pueda tener interés en los resultados para ejercer su función?. A. La Fiscalía General de la Nación ordena la incautación de dispositivos, coordina la cadena de custodia y solicita peritazgos a laboratorios forenses certificados. B. La Procuraduría General de la Nación realiza vigilancia disciplinaria durante la investigación y practica directamente la extracción y análisis técnico de discos duros para determinar responsabilidad. C. La Contraloría General de la República revisa posteriormente los informes periciales para determinar posibles afectaciones al patrimonio público, pero no ejecuta análisis forenses sobre la evidencia digital. D. Un cuerpo técnico de investigación adscrito a la Fiscalía realiza el clonado forense, el cálculo de hashes y el análisis de logs para identificar manipulaciones o accesos no autorizados.

“La Contraloría General de la República puede intervenir directamente en el análisis técnico de evidencia digital durante una investigación de informática forense, siempre que el caso involucre posibles perjuicios al patrimonio público.”. Verdadero. Falso.

Velociraptor es una herramienta utilizada en análisis forense y respuesta a incidentes. En el contexto de una investigación digital, un analista necesita obtener artefactos del sistema sin alterar el estado general del equipo investigado. ¿Cuál de las siguientes afirmaciones describe correctamente una capacidad clave de Velociraptor que lo hace adecuado para esta tarea?. A. Permite realizar imágenes completas bit a bit del disco duro en caliente sin riesgo de alterar archivos del sistema operativo. B. Facilita la recolección remota y en tiempo real de artefactos forenses mediante consultas VQL, minimizando la alteración del sistema investigado. C. Ejecuta análisis automatizados de malware en sandbox nativa para identificar procesos maliciosos sin intervención humana. D. Realiza cifrado automático de todos los artefactos recolectados para evitar accesos no autorizados, aun antes de transmitirlos al servidor forense.

Durante una investigación de intrusión en un servidor Windows, el equipo forense decide utilizar Velociraptor para identificar posibles rastros de persistencia utilizados por el atacante. Un analista debe seleccionar el artefacto o enfoque adecuado para obtener esta información. ¿Cuál de las siguientes acciones representa el uso más apropiado de Velociraptor para identificar mecanismos de persistencia en el sistema?. A. Ejecutar un escaneo completo del registro con herramientas externas y luego importar manualmente los resultados al servidor de Velociraptor para su análisis. B. Utilizar artefactos predefinidos de Velociraptor, como Windows.Persistence o Windows.Registry.RunKeys, que permiten consultar rutas de persistencia mediante VQL de forma directa. C. Desplegar un agente de Velociraptor para realizar una copia bit a bit del disco completo y luego revisar manualmente todos los archivos en busca de scripts sospechosos. D. Configurar Velociraptor para forzar el reinicio del sistema y así reiniciar servicios críticos; después, ejecutar búsquedas de nuevos procesos generados post-arranque.

En una escena donde aparece un cuerpo sin vida y se sospecha que el fallecimiento está relacionado con un posible acceso no autorizado a información sensible del dispositivo móvil de la víctima, un equipo interdisciplinario interviene. Tanto la medicina forense como la informática forense deben coordinar sus actividades. ¿Cuál de las siguientes opciones describe correctamente una acción conjunta adecuada entre ambas disciplinas sin comprometer la evidencia física ni digital?. D. Ambos expertos acuerdan encender el dispositivo inmediatamente para revisar las últimas comunicaciones y así determinar el posible móvil del hecho. C. El médico forense documenta la posición, estado y posibles rastros biológicos del dispositivo, mientras el perito informático realiza la preservación digital sin alterar la evidencia físico-biológica. A. El médico forense desbloquea el teléfono utilizando las huellas dactilares del cadáver para acelerar la obtención de datos antes de que el perito digital llegue. B. El perito informático extrae el dispositivo móvil sin guantes para evitar interferir con la recolección de evidencia biológica por parte del médico forense.

Durante una inspección técnica en la escena de un incidente, el investigador debe clasificar correctamente los objetos recolectados como Elemento Material Probatorio (EMP) o Evidencia Física (EF), dependiendo de su naturaleza y finalidad dentro del proceso judicial. ¿Cuál de las siguientes opciones describe correctamente la diferencia funcional entre EMP y EF?. A. El EMP corresponde únicamente a objetos digitales, mientras que la EF corresponde únicamente a objetos físicos encontrados en la escena. B. El EMP es cualquier objeto físico o digital que tiene la capacidad de demostrar un hecho relevante, mientras que la EF es solo aquella que requiere análisis técnico especializado. C. La EF comprende todos los elementos materiales que se incorporan al proceso, mientras que el EMP incluye únicamente testimonios directos obtenidos en la escena. D. El EMP es el conjunto de objetos, rastros o datos que sirven para demostrar un hecho investigado, mientras que la EF es la manifestación material y tangible de dichos objetos o rastros recolectados en la escena.

Durante una investigación digital, el perito forense cumple diversos roles técnicos y legales que garantizan la validez de la evidencia digital obtenida. ¿Cuáles de las siguientes funciones corresponden realmente al rol del perito forense digital? Seleccione todas las opciones correctas. A. Preservar la integridad de la evidencia digital mediante técnicas como clonación forense y generación de hashes. B. Emitir juicios personales sobre la culpabilidad del sospechoso basándose en su experiencia previa. C. Documentar cada procedimiento realizado, asegurando la continuidad y validez de la cadena de custodia. D. Presentar hallazgos técnicos de manera clara y comprensible ante autoridades judiciales. E. Modificar archivos del sistema analizado para facilitar la lectura y comprensión de la evidencia. F. Aplicar metodologías forenses reconocidas internacionalmente para garantizar que el análisis sea reproducible.

Relacione cada concepto (columna A) con la descripción correcta (columna B). Velociraptor Forense. Contraloría General de la República. Elemento Material Probatorio (EMP). Evidencia Física (EF). Rol del Perito Forense Digital. Interacción Medicina Forense - Informática Forense.