Principios de Inf Forense P2

¿Qué asegura la coincidencia entre valores hash generados durante la adquisición de datos en informática forense?. Que la copia en una réplica exacta del original. Que la información ha tenido pocos cambios. Que la cadena de custodia se rompio.

Un equipo de respuesta a incidentes está investigando un posible ataque en un servidor crítico de la empresa. Durante la inspección inicial, descubren que varios archivos importantes han sido borrados recientemente, y el servidor sigue funcionando con un alto nivel de actividad en la red. El equipo decide proceder con una adquisición de datos para preservar la evidencia antes de apagar el sistema. ¿Qué método de adquisición es el más adecuado en este escenario para garantizar la captura de datos volátiles y no volátiles?. Adquisición en vivo utilizando herramientas especializadas. Adquisición de fuerza bruta, para capturar hasta el trafico de red. Adquisición en frio, inmediatamente despues de apagar el sistema.

En un caso de robo de información, el análisis forense muestra que un dispositivo móvil se utilizó para realizar transferencias de archivos a través de una aplicación de mensajería segura. ¿Qué elemento de evidencia digital es el más relevante para identificar a los responsables?. Metadatos de los archivos transferidos. Los archivos de registro de la aplicación de mensajería. Los logs de la compañía telefónica.

¿Cuál es el propósito principal del análisis temporal en la investigación de evidencias digitales?. Reconstruir una línea de tiempo basada en actividades y eventos relevantes. Verificar que los datos coinciden con la sucesión de hechos. Poder identificar los actores y sus metodos.

¿Cuál de las siguientes herramientas es útil para extraer y analizar metadatos gráficos de una imagen digital durante un análisis forense?. Exiftool. Norton Commander. Periscope.

¿Cuáles de las siguientes prácticas son recomendadas en el análisis forense de imágenes digitales? Selecciona las (3) tres opciones correctas. Seguir los estándares establecidos por SWGIT para garantizar buenas prácticas. Preservar las imágenes adecuadamente para garantizar su aceptación como evidencia. Adquirir imágenes en formato RAW para evitar pérdidas de datos por compresión. Verificar que provengan de los dispositivos auditados.

La adquisición en vivo es el método más apropiado para recopilar datos volátiles como procesos activos y contenido de memoria RAM. VERDADERO. FALSO.

Jorge Ruiz realiza un análisis de los registros de actividad del sistema de “Telenet” y también revisa los archivos de acceso con credenciales privilegiadas. Tras el análisis, encuentra que los archivos fueron accedidos y modificados fuera del horario laboral, coincidiendo con el uso de la cuenta de un empleado especifico. ¿Cuáles son los métodos que Jorge utilizo para investigar la filtración de datos en este caso? Selecciona las (2) dos opciones correctas: Análisis temporal, que permite establecer una línea de tiempo sobre las actividades realizadas en los sistemas de la empresa. Análisis de propiedad y posesión, que vincula los archivos modificados con el usuario específico que los manipuló. Análisis de profundidad, que vincula los archivos con los sistemas comprometidos. Análisis de seguimiento, que traza el vinculo de los archivos y las ip de destino.

¿Qué característica distingue el análisis de la memoria RAM en la informática forense?. La recuperación de datos temporales no almacenados en disco. La trazabilidad de procesos que fueron ejecutados en el corto plazo. La posibilidad de aislar usuarios en tiempo real.

¿Qué principio ético debe aplicarse si, durante un análisis forense, se descubren evidencias de un delito no relacionado con la investigación inicial?. Detener el análisis y notificar a las autoridades pertinentes. Obviar la nueva informacion, pero disponibilizarla para el analisis de las autoridades. Continuar con el análisis actual, preservando la nueva evidencia.

¿Qué dispositivos son considerados soportes de datos?. Dispositivos que permiten el almacenamiento permanente de archivos informáticos. Dispositivos que permiten el almacenamiento eventual de archivos informaticos. Dispositivos que permiten manipular archivos informáticos.

¿Cuál de las siguientes afirmaciones refleja correctamente un principio fundamental en la gestión de evidencias digitales?. Preservar una cadena de custodia rigurosa y trabajar con copias forenses exactas para garantizar la integridad de las evidencias. Realizar una cadena de custodia precisa y trabajar con la información que asegure la resolución del caso, descartando el resto. Trabajar con la información original y evitar que nadie manipule la misma para preservarla correctamente.

Un investigador forense digital está a cargo de analizar un caso de acceso no autorizado en una red corporativa. Durante la recolección de evidencias, nota que uno de los dispositivos involucrados contiene información sensible no relacionada con el caso, incluyendo datos personales de empleados. ¿Qué debe hacer el investigador forense respecto a la información sensible encontrada en el dispositivo?. Documentar la existencia de la información y garantizar que no se use ni se divulgue, respetando los principios éticos y legales. Obviar la información encontrada y garantizar la información pertinente al caso. Divulgar la información sensible a los investigadores encargados del caso y hacerle una copia de resguardo.

¿Por qué en necesario calcular valores hash (por ejemplo, SHA-256) durante la creación de copias forenses?. Para verificar que las copias son idénticas a los datos originales. Para tener una credencial criptografica que garantice la preservacion de los datos. Para preservar la cadena de custodia.

Una empresa tecnológica descubre que su red interna ha sido comprometida. Los atacantes instalaron un software malicioso en varios servidores y lograron transferir datos confidenciales a un servidor externo. El análisis inicial muestra que los atacantes utilizaron técnicas de ofuscación para evitar la detección y eliminaron registros críticos para encubrir sus actividades. ¿Qué técnicas forenses deberán emplearse para reconstruir los eventos y rastrear las actividades de los atacantes? Selecciona las (2) dos opciones correctas. Recuperación de artefactos digitales eliminados. Análisis de registros de eventos del sistema. Recuperación de los registros desde los backups. Tracear los servidores externos.

¿Cuál de las siguientes afirmaciones en correcta respecto a las etapas de una investigación forense?. Es esencial trabajar sobre copias forenses de los datos para evitar alteraciones que comprometan la integridad de la evidencia. Es innecesario hacer copias de la informacion de los servidores, se puede trabajar en ellos mientras esten desconectados de la red. Las primeras etapas de la investigación son las mas importantes y no merecen documentacion especial.

Una empresa multinacional detecta que varias cuentas corporativas han sido comprometidas, lo que resulta en transferencias no autorizadas desde sus cuentas bancarias. Durante la investigación, los especialistas forenses notan que el atacante utilizo un servidor remoto y cifro todo el tráfico entre los sistemas comprometidos. Además, las cuentas utilizadas fueron accesadas desde múltiples ubicaciones globales en un corto periodo de tiempo. Basándose en esta información. ¿Qué técnica forense debe priorizarse para identificar la infraestructura utilizada por el atacante?. Análisis de tráfico de red y correlación de direcciones IP. Análisis de los servidores atacados y busqueda de backdoors. Investigación del servidor remoto.

¿Cuáles de las siguientes prácticas son recomendadas para la adquisición forense de discos duros? Selecciona las (3) tres opciones correctas. Utilizar un bloqueador de escritura para prevenir modificaciones accidentales. Precintar el soporte original y almacenarlo en un depósito de pruebas. Conectar discos IDE como Master o Slave en un equipo de análisis. Realizar copias con software de clonado, y entregarlas a otros investigadores.

Un especialista en informática forense está analizando un servidor que muestra signos de actividad sospechosa, incluidos intentos de conexión a múltiples direcciones IP externas. Durante la investigación, descubre que el servidor utiliza un sistema RAID para la gestión de discos, lo que implica el acceso a los datos individuales en cada disco. ¿Cuál es el paso más apropiado para garantizar un análisis forense exitoso en este escenario?. Emplear herramientas diseñadas para ensamblar y analizar configuraciones RAID. Estudiar el tipo de RAID y emplear metodos de clonado especiales. Desensamblar el RAID y estudiar cada disco por separado.

¿Cuáles son los requisitos que debe cumplir la evidencia digital para ser considerada admisible en un proceso judicial? Selecciona las (3) tres opciones correctas. Integridad de los datos recolectados. Credibilidad del investigador y sus procedimientos. Aceptabilidad de las herramientas utilizadas. Debe ser eliminada la información no util para el caso.

¿En qué consiste la etapa de presentación de informes y cierre de un análisis forense?. Es importante preparar informes claros y comprensibles para una auditoria no técnica, y realizar un análisis retrospectivo en el cierre del caso. Es la etapa donde el investigador presenta las evidencias tecnicas encontradas y realiza su opinion formada sobre el caso para influir la decision. Es importante preparar informes claros y técnicos, y realizar solamente un análisis de los aspectos salientes.

¿Cuál es una de las primeras acciones esenciales el iniciar el análisis forense de un sistema operativo Microsoft Windows comprometido?. Capturar información volátil del sistema antes de apagarlo. Desconectar el servidor de la red. Apagar el servidor para evitar la corrupción de la información.

Cuál es el paso fundamental para garantizar que las evidencias digitales recolectadas no sean alteradas durante el análisis forense?. Crear copias forenses exactas de los datos originales. Crear copias exactas de los datos originales con cualquier herramienta disponible. Intercambiar la información con otro investigador a fin de preservar la integridad.

Carlos y Mariana, dos investigadores forenses, están trabajando en un caso de acceso no autorizado a sistemas corporativos. Al llegar al lugar, reciben un disco que supuestamente contiene rastros de actividad ilícita. Carlos sugiere realizar la copia directamente en su computadora personal para acelerar el proceso, mientras que Mariana insiste en usar un dispositivo de write blocking y generar un hash para garantizar la validez de la imagen forense. ¿Qué deberán hacer Carlos y Mariana para garantizar un manejo adecuado de la evidencia?. Generar una imagen forense usando herramientas específicas y un write blocker para evitar alteraciones en el disco original. Generar la copia directamente a la computadora y utilizar herramientas de volcado de datos para investigar. Hacer uso de un dispositivo de write blocking y luego trabajar directamente sobre el disco.

¿Qué aspecto clave debe priorizar el investigador forense digital para garantizar la validez de la investigación?. Conocer las normas legales y políticas internas relevantes que regulan el tratamiento de evidencias. Conocer el caso y la información buscada, y desestimar cualquier información no relevante. Conocer las técnicas de extracción de dato y demostrar el conocimiento ante sus pares.

¿Cuál es el riesgo principal de no respetar el marco legal durante la recolección de evidencias digitales?. Que las evidencias no sean admisibles en un juicio por la doctrina del “fruto del árbol envenenado”. Que los derechos de los implicados no sean documentados adecuadamente. Que las evidencias se contaminen y pierdan su integridad. Que se genere duplicidad de evidencias sin utilidad legal. Que el proceso de análisis sea más largo y complicado.

¿Cuál es el propósito fundamental de la preservación de evidencias digitales en un análisis forense?. Garantizar que las pruebas no sufran alteraciones y mantener su integridad. Garantizar que el investigador haya hecho bien su trabajo. Que sean admisibles en el juicio.

Una empresa sospecha que uno de sus servidores fue comprometido por un acceso no autorizado. El especialista forense nota que el tráfico de red del servidor incluye múltiples conexiones a un dominio externo desconocido. Además, el análisis inicial revela que varios archivos clave del sistema tienen marcas de tiempo alteradas. ¿Cuál es el siguiente paso más apropiado para identificar la actividad sospechosa sin comprometer la evidencia?. Capturar y analizar el tráfico de red usando herramientas como Wireshark. Gestionar los archivos clave y compararlos con sus backups. Rastrear las conexiones al servidor externo.

Una organización detecta que un dispositivo móvil corporativo se conectó repetidamente a redes Wi-Fi desconocidas y envió archivos cifrados antes de un ciberataque. ¿Qué técnica forense es la más adecuada para investigar estos eventos?. Análisis de historial de conexiones de red del dispositivo. Análisis criptográfico de los archivos cifrados. Cuestionar al actor propietario del dispositivo movil para ver su grado de involucramiento.

¿Cuál de las siguientes afirmaciones es correcta en relación con la metodología de análisis forense?. Es común utilizar una combinación de perspectivas de análisis para responder a las preguntas clave de una investigación. Es irreal pensar que toda evidencia es relevante, asique se debe priorizar la que ayude al caso. Es común utilizar solo un método para evitar ser rechazado por los pares.

¿Cuál es la principal ventaja de realizar una adquisición física en un dispositivo móvil frente a una adquisición lógica?. Permite recuperar datos eliminados o en sectores no asignados. Permite tener la fuente de la información y poder rastrear al propietario. Es mas fácil capturar información desde el formato físico aunque este se encuentre cifrado.

Sofía y Mateo, dos investigadores forenses, están analizando una computadora confiscada en un caso de fraude empresarial. Sofía propone usar una herramienta automatizada para generar una línea de tiempo y cerrar el caso rápidamente, mientras que Mateo insiste en realizar un análisis manual para complementar los resultados generados por la herramienta. Además, deben decidir cómo integrar la línea de tiempo en el informe final, asegurándose de que sea clara y útil tanto para contextos técnicos como legales. ¿Qué deberán hacer Sofía y Mateo para construir una línea de tiempo electiva y cumplir con los estándares forenses?. Combinar herramientas automatizadas con análisis manual y contextual para reforzar la precisión de la línea de tiempo. Combinar herramientas estandarizadas y propietarias, y justificar la linea de tiempo como sea. Utilizar solo herramientas automatizadas, para que el contexto este libre de impericias.

Durante una auditoria forense en una empresa de tecnología, se detectó que un empleado realizo transferencias de archivos confidenciales a un dispositivo USB no autorizado. Los registros muestran que el dispositivo fue conectado al sistema durante un horario inusual, pero el USB no ha sido recuperado. El investigador debe determinar cómo proceder para rastrear la actividad y proteger los datos. ¿Qué acción deberá priorizar el investigador para continuar la investigación sobre esta actividad no autorizada?. Revisar los registros de acceso y los logs de actividad del sistema para identificar detalles del dispositivo USB conectado. Revisar los efectos personales de los empleados hasta encontrar el dispositivo. Revisar los registros de acceso y tomar muestras de que permitan identificar al empleado.

Durante un análisis forense de un servidor, el investigador descubre que el sistema operativo utiliza una configuración RAID para administrar sus discos. El servidor está apagado y se sospecha que contiene datos críticos necesarios para la investigación. ¿Cuál es el procedimiento más adecuado para extraer la información de los discos sin comprometer la integridad de los datos?. Usar herramientas específicas para reconstruir la configuración RAID y crear una imagen forense. Desarmar el RAID y clonar los discos bit a bit. Encender el servidor y tomar recaudos, como desconectarlo de la red.

¿Cuáles de las siguientes son metodologías utilizadas en la adquisición de datos en informática forense? Seleccione las (4) cuatro opciones correctas. Generación de imágenes forenses. Adquisición por hardware. Adquisición en vivo. Adquisición estática. Análisis de datos cifrados.

¿Cuál de las siguientes herramientas es adecuada para analizar el contenido de la memoria RAM en un análisis forense?. Volatility. Fractality. Fatality. Babality.

Una entidad bancaria detecta actividades sospechosas en su red interna, incluyendo el acceso no autorizado a cuentas corporativas. El equipo forense utiliza herramientas para analizar los registros de tráfico y reconstruir los eventos. ¿Qué tipo de análisis se está aplicando en este caso?. Forense de redes. Análisis de trafico. Forense de infraestructura.

¿Cuál de las siguientes características hace que los pendrives sean relevantes en investigaciones forenses?. La posibilidad de configurarse como dispositivos de arranque. La posibilidad de utilizarse como payload de ataque. La posibilidad de utilizarse para incapacitar o quemar equipos.

Una organización financiera ha detectado un acceso no autorizado a su base de datos de clientes, lo que resultó en la filtración de información sensible. El investigador forense revisa los registros y descubre que un empleado con privilegios administrativos ejecuto comandos inusuales antes del accidente. El investigador debe determinar si estas acciones están relacionadas con la brecha. ¿Qué herramienta o técnica deberá priorizar el investigador para determinar la relación entre las acciones del empleado y la filtración de datos?. Analizar los registros de auditoría del sistema para identificar comandos y acciones ejecutadas por el empleado. Analizar los conocimientos del empleado y si escalo privilegios de manera forzosa. Revisar la información sensible filtrada, y tomar acciones legales contra el empleado.

Un ciberataque a una compañía internacional involucra el uso de un ransomware que cifra los archivos de la empresa y solicita un pago en criptomonedas. ¿Qué enfoque forense es clave para rastrear el origen del pago?. Análisis forense de blockchain. Análisis forense criptografico. Análisis criptográfico blockchain.

¿Cuál es el nivel de análisis forense que se centra en los sectores de datos de un disco?. Análisis físico. Análisis lógico. Análisis sectorizado.

¿Qué rama de la informática forense se centra en el análisis de transacciones en redes descentralizadas?. Forense de blockchain y criptomonedas. Forense de transacciones descentralizadas. Forense de fraude criptográfico.

Durante una investigación de un caso de espionaje industrial, el investigador forense digital descubre que un empleado utilizo su acceso administrativo para descargar documentos confidenciales. En una reunión con el equipo legal, le solicitan que presente los resultados preliminares antes de completar el análisis técnico detallado. ¿Cómo deberá proceder el investigador forense para cumplir su responsabilidad profesional ante esta solicitud?. Presentar un informe preliminar basado únicamente en los datos confirmados y documentados hasta el momento. Presentar un informe preliminar basado en los pensamientos y experiencia del investigador. Presentar un informe preliminar con especulaciones basadas en los datos encontrados.

¿Cuál es la principal ventaja del uso de dispositivos de bloqueo de escritura durante la adquisición de datos?. Previenen modificaciones accidentales en la evidencia original. Previenen modificaciones en la evidencia y garantizan que las copias puedan ser realizadas. Permite que los datos sean tomados como evidencia.

¿Qué características de los dispositivos móviles representan desafíos clave para los investigadores forenses? Selecciona las (4) cuatro opciones correctas. Diversidad de hardware y software. Avances en técnicas de cifrado. Generación constante de registros de actividad. Uso de sistemas operativos multiplataforma. Facilidad para ser destruidos en caso de captura.

Un investigador forense está trabajando en un caso de fraude en el que se usaron transferencias electrónicas no autorizadas desde cuentas bancarias corporativas. Las investigaciones preliminares sugieren que un atacante pudo haber obtenido acceso a las credenciales a través de un ataque de phishing. El investigador tiene acceso a los correos electrónicos de los empleados afectados y a los registros de actividad en el sistema. ¿Cuál deberá ser el enfoque inicial del investigador para identificar como el atacante obtuvo acceso a las credenciales de los empleados?. Analizar los correos electrónicos recibidos por los empleados afectados en busca de intentos de phishing. Analizar las credenciales utilizadas para dar con el empleado que permitio el ataque. Analizar el tipo de transferencia y verificar quien tenia acceso a las mismas.

¿Qué acción es clave en el momento de análisis del caso durante una investigación forense digital?. Documentar la escena de forma detallada con croquis, fotografías y anotaciones antes de recopilar evidencias. Apagar todos los dispositivos electronicos para evitar fugas de informacion. Realizar un backup de todo lo posible y destruir la informacion no importante.

Durante la recopilación de evidencias, no es necesario cumplir con la legislación vidente siempre que se mantenga la cadena de custodia y se utilicen métodos para garantizar la integridad de los datos. FALSO. VERDADERO.

¿Qué aspecto es indispensable para que la evidencia digital sea aceptable en un tribunal?. Cumplir con los principios de aceptabilidad, integridad y credibilidad. Cumplir con los principios de confidencialidad, disponibilidad e integridad. Cumplir con los principios eticos y no tener legajo criminal.

Una compañía de comercio electrónico, “E-Shop Global”, descubrió la filtración de datos confidenciales de clientes. Un análisis preliminar sugiere que un archivo comprimido fue extraído y transferido a una dirección IP desconocida desde un servidor interno. Para esclarecer el incidente, se contrata a Claudia Pérez, especialista en informática forense, quien realiza un análisis de información oculta en los dispositivos involucrados. Claudia Pérez analizo los dispositivos de E-Shop Global y encontró un archivo comprimido eliminado que contenía registros de clientes. Este archivo fue recuperado utilizando herramientas de análisis forense que examinan sectores no asignados del disco. ¿Cuál es el propósito principal del análisis de información oculta en una investigación forense digital?. Identificar y recuperar datos eliminados o inaccesibles mediante métodos convencionales, como archivos ocultos o en sectores no asignados. Identificar datos eliminados de manera fortuita por el criminal. Identificar y recuperar información del atacante que buscaba esconder sus metodos.

¿Qué método de adquisición es más adecuado para capturar datos volátiles, como procesos activos y contenido de la memoria RAM?. Adquisición en vivo. Snapshots. Clonación de discos. Adquisición estática. Adquisición por hardware.

¿Cuáles de las siguientes opciones son cualidades esenciales que debe poseer un investigador forense digital para desempeñar su rol de manera profesional? Selecciones las (4) cuatro opciones correctas. Dominio técnico: tener conocimientos avanzados en herramientas y metodologías de análisis forense. Confidencialidad: proteger la información sensible y no divulgar datos no relacionados con el caso. Capacidad de documentación: registrar detalladamente cada paso de la investigación para asegurar la trazabilidad. Imparcialidad: realizar el análisis sin influencias personales ni prejuicios. Capacidad de improvisación.

Un empleado denuncia que su dispositivo móvil ha sido comprometido y utilizado como parte de una red de bots para ataques DDoS. ¿Qué evidencia digital es clave para confirmar esta actividad?. Registros de actividad del sistema operativo y de las aplicaciones. Fotos almacenadas en la galería. Lista de contactos. Fondo de pantalla. Información bancaria.

¿Cuál es el propósito fundamental de la presentación de evidencias digitales en un análisis forense?. Garantizar que las pruebas no sufran alteraciones y mantener su integridad. Para almacenar evidencia en bases de datos de investigación. Para compartir evidencia con todas las partes interesadas. Para garantizar el análisis rápido de la evidencia. Para permitir modificaciones posteriores de la evidencia.

Diego y Paula, dos investigadores forenses, han concluido un análisis exhaustivo de un caso de fraude financiero y deben presentar los resultados. Diego propone elaborar un informe breve y general para ahorrar tiempo, mientras que Paula insiste en preparar un informe detallado y claro, anticipando que podrían ser llamados a declarar como peritos. Durante la preparación, surge la duda de como estructurar el informe para que sea útil tanto para los tribunales como para otros actores involucrados, como los abogados y los departamentos de seguridad. ¿Qué deberán hacer Diego y Paula para garantizar una presentación adecuada de los resultados?. Elaborar un informe detallado, claro y objetivo, documentando las evidencias encontradas y el proceso seguido. Presentar conclusiones sin necesidad de respaldo documental. Utilizar lenguaje técnico solo entendible por peritos. Dirigir el informe exclusivamente a fiscales o jueces. Centrar el informe solo en aspectos técnicos.

¿Cuál es la característica esencial que debe cumplir una herramienta utilizada en el análisis forense para ser aceptada en un entorno legal?. Contar con el reconocimiento de la comunidad profesional. Ser aprobada por el acusado. Ser desarrollada específicamente para el caso. Ser gratuita y de código abierto. Estar autorizada por la defensa.

¿Cuál es la principal función de los valores hash en la adquisición de los datos digitales?. Garantizar la integridad y autenticidad de la evidencia. Garantizar que la información es congruente. Verificar que no esta encriptada.

¿Cuál de los siguientes elementos puede analizarse con la herramienta RegRipper en un análisis forense de sistemas Microsoft Windows?. El Registro de Windows. Metadatos de archivos. Particiones NTFS o FAT. Correos electrónicos en formato PST o DBX. Historial de navegación de Internet Explorer o Chrome.

¿Cuál de las siguientes afirmaciones refleja correctamente una práctica esencial en la preparación del entorno y los materiales?. Preparar el equipo técnico y trabajar con copias de las evidencias digitales. Priorizar el almacenamiento de las evidencias en cualquier sistema disponible. Utilizar una única herramienta universal que cubra todas las necesidades forenses. Trabajar directamente con los originales para garantizar la autenticidad de las evidencias. Realizar la investigación sin considerar la legislación vigente o las autorizaciones necesarias.

¿Qué procedimiento es fundamental para proteger las evidencias digitales de factores externos que puedan dañarlas o alterarlas?. Almacenamiento en bolsas antiestáticas o de Faraday. Transportarlas únicamente en dispositivos seguros. Limitar el acceso a las evidencias únicamente al personal autorizado. Evitar su manipulación hasta que estén en el laboratorio forense. Utilizar software especializado para cifrar las evidencias.

Laura y Martín, dos especialistas en informática forense, reciben un disco duro como evidencia principal de un caso de fraude financiero. Laura sugiere analizar directamente el disco duro para ahorrar tiempo, mientras que Martín insiste en crear una imagen forense antes de realizar cualquier análisis. Además, tienen un DVD con información adicional protegida como solo lectura. ¿Qué deberá hacer el equipo para garantizar un análisis forense adecuado y preservar la validez probatoria?. Realizar una imagen forense del disco duro y trabajar sobre ella. Hacer un análisis preliminar directo en los soportes originales y luego crear imágenes forenses. Utilizar el disco duro original y el DVD protegido como fuentes directas de análisis. Analizar directamente el disco duro original para evitar demoras en el caso. Manipular el DVD protegido sin precauciones adicionales porque es solo lectura.

Un móvil corporativo sospechoso de haber sido utilizado para actividades maliciosas contiene una tarjeta SD que se cree fue utilizada para almacenar información confidencial. ¿Qué tipo de adquisición es la más efectiva para recuperar todos los datos, incluidos los eliminados?. Adquisición física. Escaneo superficial con antivirus. Transferencia manual de archivos visibles. Restauración de fábrica del sistema. Análisis lógico del dispositivo.

Un equipo de análisis forense recibe un dispositivo móvil utilizado en un caso de fraude financiero. Se sospecha que el dispositivo fue empleado para transferir información sensible a través de aplicaciones encriptadas. ¿Qué pasos o técnicas son esenciales para analizar este dispositivo y garantizar la validez de la evidencia recolectada? Seleccione las (4) cuatro opciones correctas. Aislar el dispositivo en una jaula de Faraday. Realizar una adquisición física del dispositivo. Analizar las bases de datos SQLite para recuperar registros eliminados. Utilizar herramientas como Cellebrite para acceder a datos cifrados. Ingenieria social del empleado.

¿Qué característica distingue a las herramientas de análisis forense ampliamente aceptadas en investigaciones legales?. Su capacidad para generar informes detallados que cumplen estándares reconocidos. Su facilidad de uso sin necesidad de conocimientos técnicos avanzados. Su capacidad para acceder a sistemas protegidos sin necesidad de autorización. Su integración automática con cualquier sistema operativo. Su enfoque exclusivo en el análisis de datos en tiempo real.

¿Cuál es el riesgo principal de no respetar el marco legal durante la recolección de evidencias digitales?. Que las evidencias no sean admisibles en un juicio por la doctrina del “fruto del árbol envenenado”. Que los derechos de los implicados no sean documentados adecuadamente. Que se genere duplicidad de evidencias sin utilidad legal. Que el proceso de análisis sea más largo y complicado. Que las evidencias se contaminen y pierdan su integridad.

¿Cuál es el procedimiento más utilizado para analizar un disco duro en informática forense?. Crear una imagen a bajo nivel del disco original para su análisis. Crear una imagen con norton ghost y analizarla con norton commander. Abrir el disco y revisar con un analizador de archivos.

¿Cuáles de las siguientes opciones son cualidades esenciales que debe poseer un investigador forense digital para desempeñar su rol de manera profesional? Selecciona las 4 respuestas correctas. Imparcialidad: realizar el análisis sin influencias personales ni prejuicios. Dominio técnico: tener conocimientos avanzados en herramientas y metodologías de análisis forense. Capacidad de documentación: registrar detalladamente cada paso de la investigación para asegurar la trazabilidad. Confidencialidad: proteger la información sensible y no divulgar datos no relacionados con el caso. Autenticidad: tener métodos propios que aseguren éxito.

¿Qué asegura la coincidencia entre los valores hash generados durante la adquisición de datos en informática forense?. Que la copia es una réplica exacta del original. Que los archivos son únicos. Que los datos provienen de un único HDD.

¿Cuál de las siguientes afirmaciones es correcta en relación con la metodología de análisis forense?. Es común utilizar una combinación de perspectivas de análisis para responder a las preguntas clave de una investigación. Las metodologías dependen del investigador, por lo tanto son personales. Es raro utilizar una combinación de perspectivas, siempre es mejor una unica perspectiva bien documentada.

¿Cuáles de los siguientes son pasos esenciales en el análisis forense de servidores? Selecciona las 4 respuestas correctas. Adquisición de datos. Análisis de logs y tráfico de red. Preservación de la cadena de custodia. Generación de informes. Preservación del hardware como fue encontrado.

Un investigador forense digital ha recibido un dispositivo móvil confiscado en un caso de fraude corporativo. El móvil está protegido con PIN y se sospecha que contiene correos electrónicos clave y registros de llamadas. Antes de proceder, el investigador debe preservar la integridad de los datos para su posible presentación en un tribunal. ¿Cuál es la primera acción que deberá realizar el investigador forense para garantizar la preservación de las evidencias digitales en este dispositivo móvil?. Activar el modo avión y crear una imagen forense del dispositivo utilizando herramientas especializadas. Apagar el dispositivo. Quitarle la batería y colocarlo en una jaula de Faraday.

En una institución bancaria, "BankSecure", se detecta un intento de manipulación de registros financieros en su sistema interno. El análisis inicial muestra que un empleado podría haber modificado archivos críticos. Para investigar, se contrata a Diego Morales, quien realiza un análisis de propiedad y posesión de los archivos. Descubre que un usuario externo accedió usando credenciales de un empleado. ¿Cuál es el propósito principal del análisis de propiedad y posesión en una investigación forense digital?. Asociar actividades con grupo de usuarios, estableciendo que grupo es el que filtro la información. Identificar al usuario que perdió las credenciales y despedirlo. Asociar actividades específicas con usuarios individuales, estableciendo quién tuvo acceso o modificó determinados archivos.

¿Cuál fue el principal avance en la informática forense durante la década de los años 90?. El desarrollo de herramientas como EnCase y FTK. El desarrollo de herramientas especiales como Norton Commander y Gnome. La actualización de sistemas operativos de 16bits a 32bits.

Un analista forense recibe un caso relacionado con un servidor que gestiona bases de datos críticas. Durante la investigación, se observa que el servidor registra intentos de acceso desde direcciones IP desconocidas y un incremento en el tráfico cifrado. Además, los logs del servidor tienen marcas de tiempo alteradas, lo que dificulta establecer una cronología precisa de los eventos. ¿Cuál es la mejor estrategia para reconstruir la cronología de los eventos?. Correlacionar los registros de auditoría de otros sistemas conectados al servidor. Pedirle al ISP el registro de conexiones entrantes. Verificar el firewall para determinar a donde salieron los paquetes.

¿Qué principio fundamental asegura que las pruebas digitales recopiladas durante una investigación forense mantienen su consistencia y pueden ser presentadas como válidas en un entorno legal?. La integridad de las evidencias. La confidencialidad de las evidencias. La copia bit a bit de las evidencias.

Una startup de tecnología denuncia un ataque en el que un ex empleado utilizó dispositivos IoT corporativos, como cámaras de seguridad conectadas, para acceder al servidor principal de la empresa y extraer datos confidenciales. Los investigadores descubren que los dispositivos IoT no tienen configuraciones de seguridad personalizadas y sus registros no están centralizados. ¿Qué estrategia forense debe aplicarse para reconstruir el ataque?. Realizar un análisis forense de dispositivos IoT para identificar vulnerabilidades explotadas. Realizar un backup del servidor principal y reconstruir la linea de tiempo. Verificar el software de las camaras.

En el análisis forense, ¿qué elemento es indispensable para construir una narrativa coherente y cronológica de los eventos investigados?. La elaboración de una línea de tiempo. El display de evidencias de manera coherente. Verificar las existencia de una metodología aprobada.

¿Cuáles son los principios fundamentales que garantizan la integridad de la evidencia digital en una investigación forense? Seleccione las 3 respuestas correctas. Método científico. Preservación de la evidencia. Cadena de custodia. Mantener aislados los discos rigidos de otros investigadores.

¿Cuáles de las siguientes responsabilidades son esenciales para un investigador forense digital en el contexto de una investigación legal? Selecciona las 4 respuestas correctas. Garantizar la repetibilidad de los hallazgos. Utilizar herramientas certificadas. Preservar la cadena de custodia. Comunicar hallazgos de manera comprensible. Tener las ultimas herramientas disponibles, licenciadas y de mejor calidad.

TechNova Corp. contrató a Ana Torres, especialista en informática forense, para investigar un caso de fraude financiero. Durante su trabajo, Ana identificó varios dispositivos relevantes, documentó el estado físico de los discos duros y calculó valores hash para verificar su integridad. ¿Cuál es el propósito de calcular los valores hash en copias forenses?. Garantizar que las copias forenses sean idénticas a los originales, evitando alteraciones durante el análisis posterior y preservando su autenticidad legal. Documentar con un resumen lo que contienen los discos. Explorar los discos de manera rápida para descartar errores.

La construcción de una línea de tiempo en un análisis forense digital permite contextualizar los eventos investigados y establecer relaciones causa-efecto. Verdadero. Falso.

¿Cuál es el objetivo principal de iniciar una cadena de custodia durante la preservación de evidencias digitales?. Documentar cada interacción con las evidencias para garantizar su autenticidad. Preservar la evidencia de actores desconocidos. Gestionar la responsabilidad en muchos actores.

¿En qué década se formalizó la cadena de custodia digital como estándar en las investigaciones de informática forense?. En los años 2000. En los años 1980. En los años 1990.

¿Cuál es la herramienta principal utilizada para realizar una adquisición física completa en un análisis forense de dispositivos móviles?. Cellebrite. Autocell. Forensic. Authopsy.

¿Cuál es el objetivo principal de la informática forense según su definición por el DFRWS en 2001?. Reconstruir hechos delictivos y prevenir actividades ilegales. Reconstruir los datos perdidos y la cadena de hechos. Verificar que los datos comprometidos sean recuperados.

¿Cuál fue una de las primeras herramientas desarrolladas en la década de los años 90 para el análisis de discos duros en investigaciones de informática forense?. EnCase. EnCasa. TuCasa. MiCasa.

¿Cuál de las siguientes tecnologías ha sido integrada recientemente para identificar patrones en grandes volúmenes de datos forenses?. Inteligencia artificial. Computacion en la nube. Computacion cuantica. Big Data.

¿Qué deben hacer Lucía y Javier trabajan en el equipo de ciberseguridad de una emrpesa. Reciben un archivo sospechoso que podría contener malware avanzado.Lucia propone........ su compartmiento sin comprometer la red de la empresa. Sin embargo, Javier advierte que el malware podria emplear tecnicas de evasion.....como detectar si esta siendo ejecutada.... la necesidad de identificar características maliciosas , pero tambien en evitar que el archivo interactue con el sistema de produccion. ¿que deben hacer Lucia y Javier para garantizar un análisis seguro de un archivo sospechoso que podría contener malware avanzado?. Utilizar una sandbox con capacidades avanzadas de detección de evasión. Utilizar un detector de malware y en su defecto detección manual. Desconectar el equipo que recibió el malware y borrarlo.

¿Cuáles de los siguientes son pasos esenciales en un análisis forense de ciberseguridad? Selecciona las 4 correctas. Análisis temporal. Análisis de red. Análisis de aplicaciones. Análisis de propiedad y posesión. Análisis Fisico.

La recuperación de datos eliminados en discos SSD puede complicarse debido a que algunos sistemas operativos y dispositivos antiguos no soportan la cadena de comandos TRIM/GC. Verdadero. Falso.