Parcial

1. El análisis forense de memoria RAM permite recuperar información sobre procesos en ejecución, conexiones de red y datos temporales. Falso. Verdadero.

2. Las herramientas forenses como Autopsy y Sleuth Kit solo son compatibles con sistemas operativos Windows. Verdadero. Falso.

3. La adquisición de imágenes forenses debe realizarse preferiblemente sobre el dispositivo original, sin usar herramientas de duplicación. Verdadero. Falso.

4. El hash MD5 garantiza la integridad de una evidencia digital al generar un identificador único de la misma. Verdadero. Falso.

5. En una investigación, el análisis forense de correos electrónicos incluye la revisión de encabezados, direcciones IP y contenido. Verdadero. Falso.

6. ¿Cuál de las siguientes herramientas se utiliza para analizar dispositivos móviles en informática forense. a) Wireshark. b) Cellebrite UFED. c) FTK Imager. d) Metasploit.

7. ¿Qué protocolo suele utilizar un analista forense para analizar el tráfico de red capturado en un archivo PCAP?. a) HTTP. b) ICMP. c) DNS. d) TCP/IP.

8. ¿Cuál es la finalidad principal de una cadena de custodia en informática forense?. a) Analizar los datos recolectados. b) Mantener la integridad y rastreo de la evidencia. c) Eliminar información redundante. d) Transferir archivos al investigador principal.

9. ¿Es posible recuperar archivos eliminados permanentemente de un disco duro si no han sido sobrescritos?. Sí. No.

10. ¿Es válido usar herramientas como Kali Linux para realizar pruebas forenses en entornos no autorizados sin orden judicial?. Sí. No.

11. ¿Cuál de las siguientes opciones describe correctamente cómo un perito forense asegura la integridad de la evidencia digital desde su recolección hasta su presentación en un juicio?. a) Realizando modificaciones en la evidencia para adaptarla al caso. b) Utilizando herramientas de hashing para verificar la integridad y documentando la cadena de custodia. c) Analizando la evidencia directamente en el dispositivo original sin duplicarla. d) Creando copias de respaldo sin importar la alteración de los datos originales.

12. ¿Cuál de las siguientes acciones sería la más adecuada para un perito forense al encontrarse con un dispositivo encendido en la escena de un delito?. a) Apagar inmediatamente el dispositivo para preservar la evidencia. b) Fotografiar la pantalla, documentar el estado actual y realizar un análisis en vivo si es seguro hacerlo. c) Desconectar el dispositivo de la fuente de energía para evitar modificaciones en los datos. d) Acceder a los archivos del dispositivo para identificar rápidamente posibles evidencias.