INFORMATICA FORENSE Y RESPUESTA ANTE INCIDENTES

¿Qué es un incidente?. Un evento no deseado con alta probabilidad de comprometer las operaciones de la entidad. Un evento deseado con alta probabilidad de comprometer las operaciones de la entidad. Un evento no deseado que no compromete las operaciones de la entidad. Un evento deseado que no compromete las operaciones de la entidad.

¿Qué engloba la respuesta a incidentes?. Al conjunto de procedimientos opcionales para afrontar un incidente de manera óptima tanto a nivel tecnológico como de negocio. Al conjunto de procedimientos necesarios para afrontar un evento programado de manera óptima tanto a nivel tecnológico como de negocio. Al conjunto de procedimientos necesarios para afrontar un incidente de manera óptima tanto a nivel tecnológico como de negocio. Al conjunto de procedimientos opcionales para afrontar un evento programado de manera óptima tanto a nivel tecnológico como de negocio.

Desde la perspectiva de negocio, los incidentes pueden ser de diversa naturaleza, algunos de los más comunes son: Desastres naturales. Ataques y ataques internos. Errores humanos. Todas las anteriores son correctas.

¿Qué es el RTO?: El punto de recuperación objetivo. El tiempo de recuperación objetivo. El tiempo máximo tolerable de caída. Ninguna de las anteriores es correcta.

¿Qué es el DRaaS o disaster recovery as a service?. La externalización de la infraestructura de recuperación ante desastres. El uso de terminales personales dentro de la organización. La gestión de los SLA (service level agreement). Ninguna de las anteriores es correcta.

¿Cuáles son los objetivos de un análisis forense?. Saber qué se ha alterado. Determinar cómo se ha producido la alteración. Saber quién ha realizado dicha alteración. Todas las anteriores son correctas.

Según el NIST, ¿cuáles son las etapas de un análisis forense?. Recolección, examen, análisis y redacción del informe pericial. Recolección, análisis y redacción del informe pericial. Recolección, examen y redacción del informe pericial. Ninguna de las anteriores es correcta.

Durante la etapa de recolección: Se deben identificar los elementos donde es posible encontrar potenciales evidencias digitales y adquirir o recolectar su información. Se evalúan los datos obtenidos en la etapa anterior y se extrae la información relevante de ellos. Lo que se busca es la consecución de los objetivos de todo análisis forense. Ninguna de las anteriores es correcta.

Para responder a la pregunta de qué se ha alterado: Lo que se busca es reconstruir los pasos dados por el autor de los hechos para llegar a comprender cómo hizo lo que hizo. Hay que ser capaz de detectar los accesos o cambios no autorizados que se han realizado en el sistema. Nos plantea el reto de saber quién fue el autor material de los hechos. Ninguna de las anteriores es correcta.

¿En qué etapas divide la ISO 27037 la fase de recolección?. Adquisición o recolección y preservación. Identificación y preservación. Identificación, adquisición, análisis y preservación. Identificación, adquisición o recolección y preservación.

¿Cuál de los siguientes no es un objetivo de la cadena de custodia?. Garantizar la integridad de la evidencia. Garantizar su autenticidad, permitiendo contrastar su origen. Garantizar la trazabilidad de los accesos a la evidencia. Todos los anteriores son objetivos de la cadena de custodia.

En el ámbito del forense digital, el mantenimiento de la cadena de custodia se lleva a cabo mediante: La documentación de las personas custodiantes. La documentación de los procesos realizados sobre la evidencia. El uso de funciones hash. Todas las anteriores son correctas.

Sobre la responsabilidad penal del perito: Se da únicamente por la realización del hecho con dolo. Se da únicamente por la imprudencia a la hora de realizar la pericial. Se da por la realización del hecho con dolo o por imprudencia o falta de celo a la hora de realizar la pericial. Ninguna de las anteriores es correcta.

La figura del perito se corresponde con: La de un experto en todas las materias. La de un experto en alguna materia artística. La de un experto en alguna materia (artística o científica). Ninguna de las anteriores es correcta.

Nuestra labor como peritos: Ha de ser siempre parcial con nuestro cliente. Está destinada a mostrar de forma difusa aquellos aspectos que por su naturaleza son fácilmente entendibles. Ha de ser siempre imparcial. Ninguna de las anteriores es correcta.

Según la ISO/IEC 27037, ¿qué es una evidencia digital?. Aquel conjunto de información almacenada de manera digital y que puede ser utilizada como medio de prueba. Aquel conjunto de información transmitida de manera digital que puede ser utilizada como medio de prueba. Aquel conjunto de información almacenada o transmitida de manera digital que puede ser utilizada como medio de prueba. Ninguna de las anteriores es correcta.

La evidencia digital va a consistir, por tanto, en: Datos digitales en cualquier formato que puedan ser utilizados como medio de prueba. Datos analógicos que puedan ser utilizados como medio de prueba. Dispositivos de almacenamiento como pendrives USB o discos duros. Ninguna de las anteriores es correcta.

¿Cuál es la diferencia entre un contenedor de potenciales evidencias digitales y una evidencia digital?: Ambas cosas son lo mismo. Una evidencia digital será el dispositivo que permita almacenar o transmitir información mientras que el contenedor será la información. Un contenedor será el dispositivo que permita almacenar o transmitir la información, mientras que la evidencia digital será la información que dicho dispositivo contenga. Ninguna de las anteriores es correcta.

¿Qué es la libre valoración de la prueba?. Significa que, ante una prueba, es el juez quien la valora y determina si es suficiente para demostrar un hecho. Que la prueba puede ser valorada por los abogados como suficiente o no. Que, ante una prueba, es el perito quien valora si es suficiente para demostrar la culpabilidad. Ninguna de las anteriores es correcta.

Con respecto a la prueba: Ha de ser obtenida por los procedimientos adecuados, sin vulnerar la ley. Ha de ser consistente y argumentada de manera sólida para que la valoración de esta sea positiva. Las dos anteriores son correctas. Ninguna de las anteriores es correcta.

Según la ISO 20737, ¿cuáles son las características de la evidencia digital?. Relevancia, confianza y suficiencia. Relevancia, confianza y autenticidad. Relevancia, confianza, suficiencia y versatilidad. Ninguna de las anteriores es correcta.

Con respecto a la relevancia: La evidencia debe ser autentica, ha de ser real y estar relacionada con el incidente de manera adecuada. La evidencia debe estar relacionada con el hecho que se quiere probar y tiene que servir para probar las acciones del atacante o su inocencia. La evidencia debe contener toda la información necesaria para que, a través del análisis oportuno, se pueda constatar el hecho investigado. Ninguna de las anteriores es correcta.

Con respecto a la confianza: La evidencia debe ser autentica, ha de ser real y estar relacionada con el incidente de manera adecuada. La evidencia debe estar relacionada con el hecho que se quiere probar y tiene que servir para probar las acciones del atacante o su inocencia. La evidencia debe contener toda la información necesaria para que, a través del análisis oportuno, se pueda constatar el hecho investigado. Ninguna de las anteriores es correcta.

Con respecto a la suficiencia: La evidencia debe ser autentica, ha de ser real y estar relacionada con el incidente de manera adecuada. La evidencia debe estar relacionada con el hecho que se quiere probar y tiene que servir para probar las acciones del atacante o su inocencia. La evidencia debe contener toda la información necesaria para que, a través del análisis oportuno, se pueda constatar el hecho investigado. Ninguna de las anteriores es correcta.

Si una evidencia no está relacionada con el caso investigado, ¿qué característica no cumpliría?. La relevancia. La confianza. La suficiencia. Cumplira todas las caracteristicas.

¿Qué determina la volatilidad de las evidencias digitales?. La cantidad de evidencia que contienen. La cantidad de información que almacenan. La facilidad con la que estas se modifican a lo largo del tiempo. Ninguna de las anteriores es correcta.

Las evidencias digitales las podemos agrupar en dos grandes grupos: volátiles y no volátiles: Verdadero. Falso, las podemos agrupar en volátiles, menos volátiles y no volátiles. Falso, las podemos agrupar únicamente en volátiles. Falso, las podemos agrupar en volátiles, muy volátiles y no volátiles.

Las evidencias volátiles: Cambian con facilidad. Desaparecen al apagar el equipo. Solo las podemos recoger si el equipo está encendido. Todas las anteriores son correctas.

¿Los archivos temporales son más volátiles que los datos almacenados en remoto?. Sí, porque los datos almacenados en remoto entran dentro del grupo de evidencias no volátiles. No, porque los datos almacenados en remoto son altamente volátiles. No, porque los archivos temporales se consideran archivos en memoria RAM. No, porque los archivos temporales no se consideran evidencias.

La memoria RAM es menos volátil que los datos almacenados en el disco duro: Falso, la memoria RAM es una evidencia no volátil. Falso, la memoria RAM es una de las evidencias más volátiles. Verdadero, la memoria RAM es una evidencia muy poco volátil. Verdadero, los datos almacenados en el disco duro se consideran muy volátiles.

¿Qué es lo primero que haremos cuando vamos a realizar una adquisición?. Determinar sobre qué equipos o dispositivos debemos actuar. Adquirir rápidamente el primer dispositivo que veamos. Adquirir a la vez todos los dispositivos de la escena. Ninguna de las anteriores es correcta.

Una vez en la escena: Es probable que nos encontremos una gran cantidad de dispositivos, por lo que debemos comenzar la adquisición cuanto antes. Lo más probable es que apenas encontremos dispositivos. Es probable que nos encontremos una gran cantidad de dispositivos, por lo que debemos analizar qué vamos a adquirir y qué elementos no son necesarios. Ninguna de las anteriores es correcta.

Para acotar la escena del crimen debemos responder a dos preguntas: ¿Qué equipos han sufrido de manera directa el incidente?. ¿Qué otros equipos, que sin haber sufrido directamente el incidente, pueden estar relacionados?. Las dos respuestas son correctas. Ninguna de las anteriores es correcta.

¿En qué nos basamos para determinar si es viable la adquisición, si nos llevamos las evidencias al laboratorio o si realizamos el análisis en vivo?. En la respuesta a las preguntas ¿qué equipos han sufrido de manera directa el incidente? y ¿qué otros equipos, que sin haber sufrido directamente el incidente, pueden estar relacionados?. En la respuesta a la pregunta ¿qué equipos han sufrido de manera directa el incidente?. En la respuesta a la pregunta ¿qué otros equipos, que sin haber sufrido directamente el incidente, pueden estar relacionados?. Ninguna de las anteriores es correcta.

En un incidente de infección por malware, ¿qué equipos se podrían considerar relevantes?. Los equipos infectados con el malware. Cualquier otro dispositivo externo infectado. Si ha entrado a través de correo electrónico, la información del servidor de correo electrónico. Todas las anteriores son correctas..

¿Qué es una función hash?. Una función matemática computable mediante un algoritmo que tiene como entrada un conjunto de elementos y que genera como salida un conjunto de elementos de longitud finita. Una función matemática computable mediante un algoritmo que tiene como entrada un conjunto de elementos y que genera como salida un conjunto de elementos de longitud infinita. Una función de cifrado. Ninguna de las anteriores es correcta.

¿Cuál de las siguientes no es una propiedad de las funciones hash?. Bajo coste computacional. Compresión. Inyectividad. Todas son propiedades de las funciones hash.

¿Qué quiere decir que una función hash sea determinista?. Que para cada entrada se genera un hash diferente. Que es de un solo sentido. Que dada una entrada A, la salida siempre va a ser el mismo conjunto de caracteres B. Ninguna de las anteriores es correcta.

Las funciones hash tienen diversos usos en el ámbito del análisis forense, algunos de ellos son: Descartar/señalar archivos conocidos. Buscar archivos duplicados (o incluso similares). Garantizar la no modificación de la evidencia o de las muestras obtenidas. Todas las respuestas anteriores son usos de las funciones hash en el ámbito del forense digital.

¿Cuál de los siguientes no es un algoritmo de una función hash?. MD5. SHA256. SHA3. Todos los anteriores son algoritmos de funciones hash.

Un bloqueador contra escritura: Es una herramienta hardware que impide la escritura sobre un dispositivo de almacenamiento. Es una herramienta software que impide la escritura sobre un dispositivo de almacenamiento. Es una herramienta hardware o software que impide la escritura sobre un dispositivo de almacenamiento. Ninguna de las anteriores es correcta.

El borrado seguro: Es un método de borrado que sobrescribe la información original de forma que esta no pueda ser recuperada. Es un método de borrado que permite la recuperación de información borrada. Es un método de cifrado de información. Ninguna de las anteriores es correcta.

Un borrado seguro se puede realizar sobre: Todo un dispositivo. Una partición del dispositivo. El espacio libre de un dispositivo. Todas las anteriores son correctas.

¿Qué es una imagen forense?. Una copia exacta de un dispositivo físico que es almacenada en un archivo. Una copia exacta (bit a bit) de un dispositivo físico en otro dispositivo físico similar. Una copia archivo a archivo guardada en un fichero comprimido. Ninguna de las anteriores es correcta.

¿Qué es un clonado?. Una copia exacta de un dispositivo físico que es almacenada en un archivo. Una copia exacta (bit a bit) de un dispositivo físico en otro dispositivo físico similar. Una copia archivo a archivo guardada en un fichero comprimido. Ninguna de las anteriores es correcta.

¿Qué es una partición?. La manera en que se estructuran las particiones de un dispositivo. Una división lógica del espacio disponible en el dispositivo de almacenamiento. Una división física del espacio disponible en el dispositivo de almacenamiento. Ninguna de las anteriores es correcta.

¿Qué es el esquema de particionado?. La manera en que se estructuran las particiones de un dispositivo. Una división lógica del espacio disponible en el dispositivo de almacenamiento. Una división física del espacio disponible en el dispositivo de almacenamiento. Ninguna de las anteriores es correcta.

¿Qué dos esquemas de particionado principales existen?. FAT y NTFS. MBR y GUID Partition Table. FAT y MBR. Ninguna de las anteriores es correcta.

¿Qué tipos de particiones tenemos en un esquema de particionado MBR?. Primarias. Extendidas. Lógicas. Todas las anteriores.

¿Qué es un volumen?. Una partición sin formatear. Una partición que no tiene sistema de ficheros. Una partición formateada con un sistema de ficheros. Una partición formateada con un sistema de ficheros, aunque también es posible crear un volumen utilizando varias particiones.

¿Qué archivos componen un Sistema de Ficheros FAT?. Las entradas de directorio y los archivos FAT1 y FAT2. Las entradas de directorio únicamente. El archivo FAT1 y las entradas de directorio. El archivo FAT2 y las entradas de directorio.

¿Qué información registran las entradas de directorio?. Las entradas de directorio no registran información. Almacenan el estado de cada uno de los clústeres en los que se encuentra dividido el dispositivo. Registran cada uno de los archivos existentes en la carpeta. Ninguna de las anteriores es correcta.

¿Entre otras cosas, el sistema de ficheros NTFS permite el manejo de forma nativa de...?. Archivos comprimidos. Archivos cifrados. Las dos respuestas son correctas. Ninguna de las anteriores es correcta.

El archivo $Bitmap: Contiene una entrada por cada archivo contenido en la partición. Contiene información sobre todos los atributos del archivo utilizables en un volumen. Es el archivo encargado de gestionar el sistema transaccional de NTFS. Almacena el estado de cada uno de los clústeres en los que se encuentra dividido el dispositivo.

El archivo $MFT: Contiene una entrada por cada archivo contenido en la partición. Contiene información sobre todos los atributos del archivo utilizables en un volumen. Es el archivo encargado de gestionar el sistema transaccional de NTFS. Almacena el estado de cada uno de los clústeres en los que se encuentra dividido el dispositivo.

La tabla de inodos (inode table) en un sistema de ficheros Ext4: Almacena el uso de los bloques de datos dentro del grupo. Almacena los inodos footer del grupo. Almacena los distintos inodos del grupo. Ninguna de las anteriores es correcta.

Cuando un archivo se elimina dentro de un sistema de ficheros Ext4: La entrada de directorio se marca como borrada. Se modifica el primer carácter del nombre. Los enlaces desde el inodo hasta las distintas partes del archivo se borran. Ninguna de las anteriores es correcta.

Algunas de sus características más destacadas APFS son: Clones. Encriptación de disco completo. Espacio libre compartido. Todas las anteriores son correctas.

Sobre el espacio libre compartido en un sistema de ficheros APFS: Es una copia idéntica de un archivo sin ocupar espacio. Permite que varios volúmenes puedan compartir el espacio disponible e ir llenándolo conforme lo necesiten. Permite que un volumen pueda compartir el espacio disponible entre archivos. Ninguna de las anteriores es correcta.

¿Para qué se utiliza el «catalog» en un sistema de ficheros APFS?. Para describir la jerarquía de archivos y carpetas del volumen. Para mantener la lista de inodos utilizados y disponibles. Para mantener la lista de bloques utilizados y disponibles. Ninguna de las anteriores es correcta.

¿Qué es la firma de un archivo?. Un conjunto de bytes que se encuentran al final del archivo y que identifican el tipo de archivo. Un conjunto de bytes que se encuentran al principio del archivo y que identifican el tipo de archivo. Un conjunto de bytes que se encuentran en el segundo sector ocupado por el archivo y que identifican el tipo de archivo. Un conjunto de bytes que se encuentran en el último sector ocupado por el archivo y que identifican el tipo de archivo.

¿Cuál de los siguientes formatos no tiene firma de archivo?. Imágenes JPG. Archivos de audio MP3. Archivos de texto plano TXT. Todos los archivos tienen firma.

¿Hay archivos con firma o marca final?: Sí, todos los archivos tienen marca de fin. Sí, algunos tipos de archivo, como las imágenes JPG, tienen una firma que indica su final. No, ningún tipo de archivo tiene marca de fin. La firma de archivos únicamente se encuentra al final.

¿Por qué cuando eliminamos un archivo no se elimina físicamente?. Sí se elimina físicamente siempre. Si borramos la papelera de reciclaje, sí se elimina físicamente. Porque si se tuviera que eliminar físicamente, el proceso de borrado llevaría el mismo tiempo que el de copiado. Ninguna de las anteriores es correcta.

¿Es posible la recuperación de un archivo sobrescrito parcialmente?. No, un archivo sobrescrito parcialmente no se puede recuperar. No, los archivos se sobrescriben siempre completamente. Sí, aunque perderemos la información sobrescrita. Ninguna de las anteriores es correcta.

¿Qué información podemos recuperar si el usuario borra un archivo y vacía la papelera de reciclaje?. Si se marca como borrado en el índice del sistema de ficheros, toda la información. Solo los datos asociados, no el archivo. Podremos recuperar parcialmente el archivo. Ninguna de las anteriores es correcta.

¿Qué información podemos recuperar si el usuario borra un archivo, vacía la papelera de reciclaje y se sobrescriben los datos del archivo?. Toda la informacion. No podremos recuperar nada en ningún caso. Es posible una recuperacion parcial del archivo. Ninguna de las anteriores es correcta.

Cuando el usuario borra un archivo y vacía la papelera de reciclaje: No es necesario recuperar nada, el archivo sólo se ha movido de carpeta. Realizaremos una recuperación básica. Realizaremos una recuperación en bruto. Ninguna de las anteriores es correcta.

Cuando el usuario borra un archivo, vacía la papelera de reciclaje y se sobrescribe la entrada en el índice del sistema de ficheros: No es necesario recuperar nada, el archivo solo se ha movido de carpeta. Realizaremos una recuperación básica. Realizaremos una recuperación en bruto. Ninguna de las anteriores es correcta.

En una recuperación básica de archivos: Utilizamos herramientas que trabajan a bajo nivel y muestran los archivos marcados como borrados. Consiste en la búsqueda a lo largo de todo el dispositivo de almacenamiento (o de una partición concreta) de firmas de archivo. El archivo se recupera de la papelera de reciclaje. Ninguna de las anteriores es correcta.

Una unidad de estado sólido o SSD es un tipo de dispositivo de almacenamiento que: Utiliza discos magnéticos para su funcionamiento. Utiliza memorias flash para almacenar datos. Las dos respuestas son correctas. Ninguna de las anteriores es correcta.

¿Cuáles son las características que más impacto tienen a la hora de recuperar archivos en un disco SSD?. La nivelación del desgaste. El recolector de basura junto con el comando TRIM. Las dos respuestas son correctas. Ninguna de las anteriores es correcta.

La nivelación del desgaste: Intenta que los bloques se desgasten de manera uniforme. Solo funciona en discos magnéticos. Borra los datos antes de escribir nuevamente encima. Ninguna de las anteriores es correcta.

El recolector de basura: Realiza la eliminación física de los bloques no utilizados para que la escritura sobre ellos sea más rápida. Intenta que los bloques se desgasten de manera uniforme. Solo funciona en discos magnéticos. Ninguna de las anteriores es correcta.

El comando TRIM: Solo funciona en discos magnéticos. Intenta que los bloques se desgasten de manera uniforme. Le dice al disco qué bloques están marcados como borrados. Ninguna de las anteriores es correcta.

El esquema general de análisis se divide en varias fases, ¿cuáles son: Fase de preanálisis y fase de posanálisis. Fase de preanálisis y fase de análisis. Fase de preanálisis, fase de análisis y fase de postanálisis. Ninguna de las anteriores es correcta.

El esquema general de análisis propuesto: Es único e invariable, siendo aplicable a cualquier escenario. Es único e invariable, no siendo aplicable a ningún escenario. Plantea una estrategia que podemos utilizar en la mayoría de los escenarios. Todos los archivos tienen firma.

Durante la fase de preanálisis: Lo que buscamos es preparar la información contenida en la evidencia o evidencias para realizar posteriormente su estudio. Es donde se realizan las operaciones necesarias para dar respuesta a las preguntas que se nos plantean. Las dos respuestas anteriores son correctas. Ninguna de las anteriores es correcta.

Durante la fase de análisis: Lo que buscamos es preparar la información contenida en la evidencia o evidencias para realizar posteriormente su estudio. Es donde se realizan las operaciones necesarias para dar respuesta a las preguntas que se nos plantean. Las dos respuestas anteriores son correctas. Ninguna de las anteriores es correcta.

El esquema general de un análisis forense debe ser flexible porque: Dentro del ámbito del forense digital cada caso y sistema son únicos. El esquema general debe ser una guía fija e inflexible. Dentro del forense digital todos los casos son iguales. Ninguna de las anteriores es correcta.

Con respecto a la fase de preanálisis: Se realiza una preparación de las evidencias que posteriormente van a ser estudiadas. Se puede realizar de forma casi automática en todos los casos que nos encontremos. Las dos respuestas son correctas. Ninguna de las anteriores es correcta.

La recuperación de archivos eliminados: Es parte de la fase de preanálisis. Es parte de la fase de análisis. No forma parte de ninguna de las fases. Ninguna de las anteriores es correcta.

La verificación de firmas: Es parte de la fase de preanálisis. Es parte de la fase de análisis. No forma parte de ninguna de las fases. Ninguna de las anteriores es correcta.

La búsqueda de keywords: Es parte de la fase de preanálisis. Es parte de la fase de análisis. No forma parte de ninguna de las fases. Ninguna de las anteriores es correcta.

¿Descomprimiremos archivos comprimidos en la fase de preanálisis: Sí, aunque es un proceso que suele realizarse de manera automática. No, forma parte de la fase de análisis. No, no forma parte de ninguna fase. Ninguna de las anteriores es correcta.

Con respecto a la fase de análisis: Realizamos las operaciones y búsquedas que nos llevarán a contestar a las preguntas que nos plantean. Es la más personalizada y varía entre unos casos y otros. Las dos anteriores son correctas. Ninguna de las anteriores es correcta.

La búsqueda de palabras clave: Es similar a la que podemos realizar con nuestro propio sistema operativo. Busca sobre espacios libres de la evidencia. Busca en el interior de los archivos. Todas las anteriores son correctas.

Sobre el análisis del sistema operativo: El objetivo es analizar los datos registrados por el sistema operativo. El objetivo es conseguir información sobre los archivos eliminados. El objetivo es analizar los espacios en blanco de la evidencia. Ninguna de las anteriores es correcta.

Durante el análisis de los usuarios del sistema y sus privilegios intentaremos responder ciertas las preguntas, entre otras: ¿Hay algún usuario anormal?. ¿Hay cuentas anónimas activas?. ¿Alguno de los usuarios es el propietario de algún archivo sospechoso?. Todas las anteriores son correctas.

Durante el análisis de las comunicaciones: Estudiaremos los distintos navegadores de Internet que tenga el equipo. Analizaremos el software P2P. Analizaremos el software utilizado para el envío y recepción de correos electrónicos. Todas las anteriores son correctas.

Cuando analizamos un sistema Windows, ¿en qué nos vamos a centrar?. El registro de Windows. El registro de eventos. La actividad reciente. Todas las anteriores son correctas.

Desde un punto de vista forense, en un sistema Windows, ¿qué información volátil podemos considerar de interés (entre otras)?. La fecha y hora del Sistema. Los usuarios que han iniciado sesión. Información sobre los archivos abiertos. Todas las anteriores son correctas.

El conocer la fecha y hora del sistema: Nos permitirá construir una línea temporal fidedigna. No tiene relevancia de cara al análisis forense. Nos sirve únicamente a efectos de documentar. Ninguna de las anteriores es correcta.

¿Qué es el registro de Windows?: Una gran base de datos jerárquica. Una gran base de datos SQL. Windows no tiene registro como tal. Ninguna de las anteriores es correcta.

¿Qué es el registro de eventos en un sistema Windows?. Una gran base de datos jerárquica. Una gran base de datos SQL. Un conjunto de archivos especiales donde se registran los eventos que se producen en el sistema. Ninguna de las anteriores es correcta.

Cuando analizamos un sistema Linux, ¿en qué nos vamos a centrar?. Recolección de información volátil. Los archivos de log. Tareas programadas y servicios. Todas las anteriores son correctas.

¿Es posible saber qué usuarios han iniciado sesión en un sistema Linux?. No, esa información no queda registrada. Únicamente podemos saber el último usuario que inicio sesión. Si, mediante el comando «last» o analizando los archivos que almacenan los históricos de inicio de sesión. Ninguna de las anteriores es correcta.

¿En un sistema Linux es posible adquirir la información de un proceso?. Si, podemos acceder al directorio «/proc» y a la carpeta con su PID. No, solo es posible con un volcado de la memoria RAM. No, en ningún caso. Ninguna de las anteriores es correcta.

La mayoría de logs de un sistema MacOS los encontramos en: Logs del sistema, carpeta /var/log. Logs de aplicaciones del sistema, carpeta /Library/Logs. Logs de aplicaciones del usuario, carpeta /Users/[USUARIO]/Library/Logs. Todas las anteriores son correctas.

Los archivos PList;. Almacenan información en forma de clave – valor. Pueden estar en formato binario (BPList) o XML (PList). Las dos anteriores son correctas. Ninguna de las anteriores es correcta.

La ISO 27037: Proporciona directrices para la identificación, recogida, adquisición y conservación de evidencias digitales. Proporciona directrices para el análisis y la interpretación de las evidencias digitales. Las dos anteriores son correctas. No es un estándar internacional.

En los entornos corporativos hay dos fuentes de información que suelen ser muy interesantes: Las evidencias en la nube y las evidencias online. Las evidencias en los dispositivos móviles y las evidencias en las tablets. Las evidencias en la nube y las evidencias en dispositivos móviles. Ninguna de las anteriores es correcta.

¿Cuál es la diferencia entre SaaS y PaaS?. Cuando hablamos de SaaS, el software se encuentra en los servidores del proveedor, mientras que en el PaaS nuestro software corre sobre la plataforma del proveedor. Cuando hablamos de PaaS, el software se encuentra en los servidores del proveedor, mientras que en el SaaS nuestro software corre sobre la plataforma del proveedor. Las dos anteriores son correctas. Ninguna de las anteriores es correcta.

¿Qué es un MDM?. Un sistema de gestión de dispositivos móviles. Es un sistema de gestión de evidencias digitales. Es un sistema de gestión de cuentas de usuario. MDM no es ningún tipo de sistema que se utilice en entornos corporativos.

Las nubes privadas: Solemos encontrárnoslas en entornos corporativos. Los datos se encuentran dentro de una granja de servidores privada. Las dos anteriores son correctas. Ninguna de las anteriores es correcta.

Cuando realizamos la adquisición de un dispositivo móvil es prácticamente imposible no alterar su contenido: Falso, al igual que en informática forense, en telefonía forense la máxima es no modificar la evidencia y proteger contra la escritura. Verdadero, en telefonía forense esta máxima no aplica, ya que es imposible realizar la adquisición de un dispositivo móvil sin alterar su contenido. Falso, siempre debemos modificar la evidencia, tanto en informática forense como en telefonía forense. Ninguna de las anteriores es correcta.

El principal problema al que nos enfrentamos cuando queremos realizar la adquisición de un dispositivo móvil. Son las limitaciones de manejo. Son las limitaciones de seguridad. Las dos anteriores son correctas. Ninguna de las anteriores es correcta.

Sobre el sistema de bloqueo del terminal: No nos afecta, las herramientas forenses se saltan siempre el sistema de bloqueo. No nos afecta, las herramientas forenses atacan a bajo nivel y lo evitan. No nos afecta, podemos realizar la adquisición con el dispositivo bloqueado. Ninguna de las anteriores es correcta.

¿Podemos recuperar archivos eliminados en bruto de un dispositivo móvil?. Siempre, salvo que hayan sido sobrescritos. Sí, siempre. Podremos recuperar algunos archivos, pero no podemos recuperar archivos en bruto. Ninguna de las anteriores es correcta.

En un dispositivo móvil, ¿tenemos acceso completo a la memoria?. En la mayoría de los casos, no. Sí, siempre. No, nunca. Ninguna de las anteriores es correcta.

Cuando vamos a realizar la adquisición de un dispositivo móvil el procedimiento a seguir es: Adquirir la tarjeta del operador (tarjeta SIM), la tarjeta de memoria y la memoria del terminal. Adquirir la tarjeta del operador (tarjeta SIM) y la tarjeta de memoria. Adquirir la tarjeta de memoria y la memoria del terminal. Ninguna de las anteriores es correcta.

Con respecto a la tarjeta del operador (SIM): Tiene poca capacidad de almacenamiento de información. No contiene datos multimedia. Podemos obtener los códigos ICCID e IMSI. Todas las anteriores son correctas.

Una eSIM: Es una evolución de la tarjeta SIM que integra el chip de estas en el propio hardware del dispositivo. Elimina la necesidad de introducir físicamente la tarjeta o de cambiarla por una nueva cuando cambiamos de operador. No almacena información como la que podemos llegar a obtener de una tarjeta SIM clásica. Todas las anteriores son correctas.

La tarjeta de memoria: Todos los dispositivos tienen una y, por tanto, debemos analizarla. Ningún dispositivo móvil tiene tarjeta de memoria, por lo que no debemos analizarla. Algunos dispositivos hacen uso de tarjetas de memoria y, en tal caso, la analizaremos. Ninguna de las anteriores es correcta.

Para adquirir la memoria interna del dispositivo: Podemos utilizar la propia suite de backup del fabricante. Podemos utilizar herramientas forenses, como Magnet Acquire. Podemos realizar la adquisición mediante ADB (Android únicamente). Todas las anteriores son correctas.

La partición «system» en un dispositivo Android: Contiene los drivers, el kernel del sistema operativo (SO) y otros archivos necesarios para el arranque. Contiene los archivos del sistema operativo instalado. Almacena datos temporales necesarios para la actualización del sistema operativo. Ninguna de las anteriores es correcta.

Como norma general, la base de datos con los contactos en un terminal Android: Se encuentra en «Userdata/Root/data/com.android.providers.contacts/databases/». Está en formato SQLite. Las 2 respuestas son correctas. Ninguna de las anteriores es correcta.

Las bases de datos SQL: Son muy comunes en dispositivos Android. Son muy comunes en dispositivos iOS. No se utilizan en dispositivos móviles. Son muy comunes, tanto en sistemas Android como iOS.

Los archivos Plist: Son muy utilizados en dispositivos Android. No se utilizan en dispositivos iOS. Son utilizados en dispositivos iOS. Ninguna de las anteriores es correcta.

Un archivo PList: Almacena la información en forma de clave-valor. Pueden ser binarios o en formato XML. Las 2 respuestas son correctas. Ninguna de las anteriores es correcta.

¿Cuál de los siguientes no es un factor a tener en cuenta a la hora de planificar una respuesta a incidentes?. La severidad del incidente. La tecnología. El presupuesto. Todas las anteriores son factores para tener en cuenta.

El tiempo de recuperación previsto: No es un factor para tener en cuenta cuando se planifica la respuesta a incidentes. Es un factor para tener en cuenta únicamente cuando planificamos la respuesta a incidentes leves de seguridad. Es un factor para tener en cuenta cuando planificamos la respuesta a incidentes. Ninguna de las anteriores es correcta.

¿Cuál de los siguientes no sería un miembro clave de un DFIR?: El responsable del equipo. El responsable de recuperación. El equipo de investigación. Todos los anteriores se consideran miembros clave de un DFIR.

Sobre la segmentación de red y control de acceso: Se considera una buena práctica para delimitar riesgos dentro de las políticas de red. No es algo que aplique a la respuesta a incidentes. Se considera una buena práctica solo en empresas pequeñas. Ninguna de las anteriores es correcta.

Los anillos de seguridad: Son un mecanismo de contingencia poco utilizado. Es un mecanismo típico de contingencia. No se consideran un mecanismo de contingencia. Ninguna de las anteriores es correcta.

Un plan de contingencia: Es el elemento fundamental de trabajo a la hora de comenzar las actividades de respuesta a un incidente. Es un elemento accesorio de trabajo. Es un elemento fundamental a la hora de comenzar las actividades tras la resolución del incidente. Ninguna de las anteriores es correcta.

¿Cuál de las siguientes no es una de las seis fases que debe tener en cuenta un plan de contingencia?. Preparacion. Mejora tras la recuperación. Desarrollo de las medidas de esquivo. Todas las respuestas anteriores son correctas.

En la fase de preparación: Se creará el equipo de trabajo y se intentará determinar el tiempo con el que se cuenta. Se implementan acciones de contención. Se eliminan los accesos indebidos del atacante. Ninguna de las anteriores es correcta.

El plan de erradicación: Creará el equipo de trabajo y se intentará determinar el tiempo con el que se cuenta. Consiste en eliminar los accesos indebidos del atacante o el control a determinados recursos y por último erradicación del sector de ataque. Servirá para mejorar nuestro equipo de respuesta. Ninguna de las anteriores es correcta.

¿Cuál es el objetivo de documentar el incidente?. Que sirva como referencia en otras ocasiones, como archivo y que se puedan extraer lecciones aprendidas a futuro. Contener el incidente una vez finalizado. Contener el incidente antes de que se inicie. Ninguna de las anteriores es correcta.

Con respecto al análisis forense por capas: Consiste en realizarlo en diferentes niveles de profundidad dependiendo de la importancia del recurso. Consiste en realizarlo en un único nivel de profundidad. Consiste en realizar el análisis directo del recurso. Ninguna de las anteriores es correcta.

Con respecto al análisis forense por capas, ¿con cuántas capas trabajamos habitualmente?: Se trabaja siempre con una única capa. El análisis forense por capas no se aplica. Habitualmente trabajamos con tres capas (o tiers). Ninguna de las anteriores es correcta.

¿Cuál de las siguientes no es un tier del modelo habitual de análisis forense por capas?: Ingeniería inversa, desencriptación. Análisis de artefactos. Triaje, análisis de logs, monitorización de eventos. Todas las anteriores son capas habituales en este modelo de análisis por capa.

Con respecto al triaje: Se utiliza para acelerar el proceso de análisis. Es conocido como DFT o digital forensics triage. Las 2 respuestas A y B son correctas. Ninguna de las anteriores es correcta.

Un problema típico con el que nos encontramos es el de analizar una gran cantidad de información temporal de manera simultánea: Verdadero, por eso utilizamos las conocidas como mini timelines. Verdadero, por eso utilizamos las conocidas como super timelines. Falso, esto solo se da en entidades de pequeño tamaño. Ninguna de las anteriores es correcta.

La norma UNE 197010: Trata sobre la adquisición de evidencias digitales. No es una normativa existente. Nos marca una estructura tipo de informe pericial. Ninguna de las anteriores es correcta.

La norma (UNE 197010) indica una serie de contenidos que deben aparecer en todos los informes periciales, que son: Identificación. Declaración de imparcialidad. Juramento o promesa. Todas las anteriores.

Con respecto a la identificación del informe: El informe se debe de presentar debidamente identificado en todos sus aspectos. Se le asignará un título descriptivo. Se le asignará un código único de identificación que deberá aparecer en todas las páginas del documento. Todas las anteriores.

Sobre la declaración de imparcialidad y juramento o promesa: Son dos contenidos que suelen presentarse de manera simultánea. No aplica a los informes periciales. Únicamente debemos realizar la declaración de imparcialidad. Todas las anteriores.

Con respecto al resumen ejecutivo: Suele ser un pequeño resumen únicamente del trabajo que vamos a realizar. Suele ser un pequeño resumen del trabajo que vamos a realizar, así como de las conclusiones principales. Suele ser un pequeño resumen únicamente de las conclusiones principales. Ninguna de las anteriores es correcta.

A modo general, se deben tener en cuenta que todas las páginas deben ir numeradas: Verdadero. Falso, solo es necesario numerar los anexos. Falso, únicamente numeraremos las páginas pares. Ninguna de las anteriores es correcta.

¿Cuál de los siguientes no es un recurso visual que podamos utilizar?. Esquema de elementos implicados. Cronogramas de actividades. Fichas con el análisis de los artefactos. Todas las anteriores son correctas.

El objeto del informe es: Las circunstancias que se conocen y dan lugar a la situación actual. El motivo de la peritación planteado por el solicitante y elementos sobre los cuales se realizará el análisis. Es el punto más importante, donde vamos a ver, entre otras cosas, las herramientas a utilizar. Ninguna de las anteriores es correcta.

Los antecedentes del informe son: Las circunstancias que se conocen y dan lugar a la situación actual. El motivo de la peritación planteado por el solicitante y elementos sobre los cuales se realizará el análisis. Es el punto más importante, donde vamos a ver, entre otras cosas, las herramientas a utilizar. Ninguna de las anteriores es correcta.

Con respecto a la terminología y abreviaturas: Es un apartado que incluiremos si se considera necesario. Nunca debemos incluir este apartado en nuestro informe. Incluiremos este apartado únicamente en informes parciales al cliente. Todas las anteriores son correctas.

Es habitual establecer una conclusión final: No, nunca debemos establecer una conclusión final. Sí, es recomendable a modo de resumen. Solo cuando el número de conclusiones parciales sea superior a diez. Ninguna de las anteriores es correcta.

Las conclusiones han de ser: Claras, rotundas y sin ambigüedades. Ajustadas a lo solicitado y al hecho tecnológico. Imparciales. Todas las anteriores son correctas.

En la conclusión final indicaremos si las evidencias eran suficientes y estaban correctamente adquiridas: Si, siempre. Si, en el caso de que procesa señalarse. No, nunca. No, cuando las evidencias parciales sean breves.

Si hemos encontrado algún tipo de dificultad, traba o impedimento por parte de cualquiera de los interviniente. No debemos hacer mención de ello. Haremos mención de ello en nuestro resumen ejecutivo únicamente. Si procede, haremos mención de ello en nuestra conclusión final. Ninguna de las anteriores es correcta.

El apartado de conclusiones suele comenzar con una fórmula del tipo: Esta es mi fiel y técnica información pericial, que someto al más ilustrado dictamen de Su Señoría. Conforme a los resultados anteriormente expuestos, este perito llega a las siguientes CONCLUSIONES. El apartado de conclusiones no comienza con ninguna fórmula tipo. Ninguna de las anteriores es correcta.