Principios de Inf Forense P2

¿Qué asegura la coincidencia entre valores hash generados durante la adquisición de datos en informática forense?. Que la copia en una réplica exacta del original. Que la información ha tenido pocos cambios. Que la cadena de custodia se rompio.

Un equipo de respuesta a incidentes está investigando un posible ataque en un servidor crítico de la empresa. Durante la inspección inicial, descubren que varios archivos importantes han sido borrados recientemente, y el servidor sigue funcionando con un alto nivel de actividad en la red. El equipo decide proceder con una adquisición de datos para preservar la evidencia antes de apagar el sistema. ¿Qué método de adquisición es el más adecuado en este escenario para garantizar la captura de datos volátiles y no volátiles?. Adquisición en vivo utilizando herramientas especializadas. Adquisición de fuerza bruta, para capturar hasta el trafico de red. Adquisición en frio, inmediatamente despues de apagar el sistema.

En un caso de robo de información, el análisis forense muestra que un dispositivo móvil se utilizó para realizar transferencias de archivos a través de una aplicación de mensajería segura. ¿Qué elemento de evidencia digital es el más relevante para identificar a los responsables?. Metadatos de los archivos transferidos. Los archivos de registro de la aplicación de mensajería. Los logs de la compañía telefónica.

¿Cuál es el propósito principal del análisis temporal en la investigación de evidencias digitales?. Reconstruir una línea de tiempo basada en actividades y eventos relevantes. Verificar que los datos coinciden con la sucesión de hechos. Poder identificar los actores y sus metodos.

¿Cuál de las siguientes herramientas es útil para extraer y analizar metadatos gráficos de una imagen digital durante un análisis forense?. Exiftool. Norton Commander. Periscope.

¿Cuáles de las siguientes prácticas son recomendadas en el análisis forense de imágenes digitales? Selecciona las (3) tres opciones correctas. Seguir los estándares establecidos por SWGIT para garantizar buenas prácticas. Preservar las imágenes adecuadamente para garantizar su aceptación como evidencia. Adquirir imágenes en formato RAW para evitar pérdidas de datos por compresión. Verificar que provengan de los dispositivos auditados.

La adquisición en vivo es el método más apropiado para recopilar datos volátiles como procesos activos y contenido de memoria RAM. VERDADERO. FALSO.

Jorge Ruiz realiza un análisis de los registros de actividad del sistema de “Telenet” y también revisa los archivos de acceso con credenciales privilegiadas. Tras el análisis, encuentra que los archivos fueron accedidos y modificados fuera del horario laboral, coincidiendo con el uso de la cuenta de un empleado especifico. ¿Cuáles son los métodos que Jorge utilizo para investigar la filtración de datos en este caso? Selecciona las (2) dos opciones correctas: Análisis temporal, que permite establecer una línea de tiempo sobre las actividades realizadas en los sistemas de la empresa. Análisis de propiedad y posesión, que vincula los archivos modificados con el usuario específico que los manipuló. Análisis de profundidad, que vincula los archivos con los sistemas comprometidos. Análisis de seguimiento, que traza el vinculo de los archivos y las ip de destino.

¿Qué característica distingue el análisis de la memoria RAM en la informática forense?. La recuperación de datos temporales no almacenados en disco. La trazabilidad de procesos que fueron ejecutados en el corto plazo. La posibilidad de aislar usuarios en tiempo real.

¿Qué principio ético debe aplicarse si, durante un análisis forense, se descubren evidencias de un delito no relacionado con la investigación inicial?. Detener el análisis y notificar a las autoridades pertinentes. Obviar la nueva informacion, pero disponibilizarla para el analisis de las autoridades. Continuar con el análisis actual, preservando la nueva evidencia.

¿Qué dispositivos son considerados soportes de datos?. Dispositivos que permiten el almacenamiento permanente de archivos informáticos. Dispositivos que permiten el almacenamiento eventual de archivos informaticos. Dispositivos que permiten manipular archivos informáticos.

¿Cuál de las siguientes afirmaciones refleja correctamente un principio fundamental en la gestión de evidencias digitales?. Preservar una cadena de custodia rigurosa y trabajar con copias forenses exactas para garantizar la integridad de las evidencias. Realizar una cadena de custodia precisa y trabajar con la información que asegure la resolución del caso, descartando el resto. Trabajar con la información original y evitar que nadie manipule la misma para preservarla correctamente.

Un investigador forense digital está a cargo de analizar un caso de acceso no autorizado en una red corporativa. Durante la recolección de evidencias, nota que uno de los dispositivos involucrados contiene información sensible no relacionada con el caso, incluyendo datos personales de empleados. ¿Qué debe hacer el investigador forense respecto a la información sensible encontrada en el dispositivo?. Documentar la existencia de la información y garantizar que no se use ni se divulgue, respetando los principios éticos y legales. Obviar la información encontrada y garantizar la información pertinente al caso. Divulgar la información sensible a los investigadores encargados del caso y hacerle una copia de resguardo.

¿Por qué en necesario calcular valores hash (por ejemplo, SHA-256) durante la creación de copias forenses?. Para verificar que las copias son idénticas a los datos originales. Para tener una credencial criptografica que garantice la preservacion de los datos. Para preservar la cadena de custodia.

Una empresa tecnológica descubre que su red interna ha sido comprometida. Los atacantes instalaron un software malicioso en varios servidores y lograron transferir datos confidenciales a un servidor externo. El análisis inicial muestra que los atacantes utilizaron técnicas de ofuscación para evitar la detección y eliminaron registros críticos para encubrir sus actividades. ¿Qué técnicas forenses deberán emplearse para reconstruir los eventos y rastrear las actividades de los atacantes? Selecciona las (2) dos opciones correctas. Recuperación de artefactos digitales eliminados. Análisis de registros de eventos del sistema. Recuperación de los registros desde los backups. Tracear los servidores externos.

¿Cuál de las siguientes afirmaciones en correcta respecto a las etapas de una investigación forense?. Es esencial trabajar sobre copias forenses de los datos para evitar alteraciones que comprometan la integridad de la evidencia. Es innecesario hacer copias de la informacion de los servidores, se puede trabajar en ellos mientras esten desconectados de la red. Las primeras etapas de la investigación son las mas importantes y no merecen documentacion especial.

Una empresa multinacional detecta que varias cuentas corporativas han sido comprometidas, lo que resulta en transferencias no autorizadas desde sus cuentas bancarias. Durante la investigación, los especialistas forenses notan que el atacante utilizo un servidor remoto y cifro todo el tráfico entre los sistemas comprometidos. Además, las cuentas utilizadas fueron accesadas desde múltiples ubicaciones globales en un corto periodo de tiempo. Basándose en esta información. ¿Qué técnica forense debe priorizarse para identificar la infraestructura utilizada por el atacante?. Análisis de tráfico de red y correlación de direcciones IP. Análisis de los servidores atacados y busqueda de backdoors. Investigación del servidor remoto.

¿Cuáles de las siguientes prácticas son recomendadas para la adquisición forense de discos duros? Selecciona las (3) tres opciones correctas. Utilizar un bloqueador de escritura para prevenir modificaciones accidentales. Precintar el soporte original y almacenarlo en un depósito de pruebas. Conectar discos IDE como Master o Slave en un equipo de análisis. Realizar copias con software de clonado, y entregarlas a otros investigadores.

Un especialista en informática forense está analizando un servidor que muestra signos de actividad sospechosa, incluidos intentos de conexión a múltiples direcciones IP externas. Durante la investigación, descubre que el servidor utiliza un sistema RAID para la gestión de discos, lo que implica el acceso a los datos individuales en cada disco. ¿Cuál es el paso más apropiado para garantizar un análisis forense exitoso en este escenario?. Emplear herramientas diseñadas para ensamblar y analizar configuraciones RAID. Estudiar el tipo de RAID y emplear metodos de clonado especiales. Desensamblar el RAID y estudiar cada disco por separado.

¿Cuáles son los requisitos que debe cumplir la evidencia digital para ser considerada admisible en un proceso judicial? Selecciona las (3) tres opciones correctas. Integridad de los datos recolectados. Credibilidad del investigador y sus procedimientos. Aceptabilidad de las herramientas utilizadas. Debe ser eliminada la información no util para el caso.

¿En qué consiste la etapa de presentación de informes y cierre de un análisis forense?. Es importante preparar informes claros y comprensibles para una auditoria no técnica, y realizar un análisis retrospectivo en el cierre del caso. Es la etapa donde el investigador presenta las evidencias tecnicas encontradas y realiza su opinion formada sobre el caso para influir la decision. Es importante preparar informes claros y técnicos, y realizar solamente un análisis de los aspectos salientes.

¿Cuál es una de las primeras acciones esenciales el iniciar el análisis forense de un sistema operativo Microsoft Windows comprometido?. Capturar información volátil del sistema antes de apagarlo. Desconectar el servidor de la red. Apagar el servidor para evitar la corrupción de la información.

Cuál es el paso fundamental para garantizar que las evidencias digitales recolectadas no sean alteradas durante el análisis forense?. Crear copias forenses exactas de los datos originales. Crear copias exactas de los datos originales con cualquier herramienta disponible. Intercambiar la información con otro investigador a fin de preservar la integridad.

Carlos y Mariana, dos investigadores forenses, están trabajando en un caso de acceso no autorizado a sistemas corporativos. Al llegar al lugar, reciben un disco que supuestamente contiene rastros de actividad ilícita. Carlos sugiere realizar la copia directamente en su computadora personal para acelerar el proceso, mientras que Mariana insiste en usar un dispositivo de write blocking y generar un hash para garantizar la validez de la imagen forense. ¿Qué deberán hacer Carlos y Mariana para garantizar un manejo adecuado de la evidencia?. Generar una imagen forense usando herramientas específicas y un write blocker para evitar alteraciones en el disco original. Generar la copia directamente a la computadora y utilizar herramientas de volcado de datos para investigar. Hacer uso de un dispositivo de write blocking y luego trabajar directamente sobre el disco.

¿Qué aspecto clave debe priorizar el investigador forense digital para garantizar la validez de la investigación?. Conocer las normas legales y políticas internas relevantes que regulan el tratamiento de evidencias. Conocer el caso y la información buscada, y desestimar cualquier información no relevante. Conocer las técnicas de extracción de dato y demostrar el conocimiento ante sus pares.

¿Cuál es el riesgo principal de no respetar el marco legal durante la recolección de evidencias digitales?. Que las evidencias no sean admisibles en un juicio por la doctrina del “fruto del árbol envenenado”. Que las evidencias sean admisibles pero no sean suficientes o relevantes. Que las evidencias no sean admisibles por impericia del investigador.

¿Cuál es el propósito fundamental de la preservación de evidencias digitales en un análisis forense?. Garantizar que las pruebas no sufran alteraciones y mantener su integridad. Garantizar que el investigador haya hecho bien su trabajo. Que sean admisibles en el juicio.

Una empresa sospecha que uno de sus servidores fue comprometido por un acceso no autorizado. El especialista forense nota que el tráfico de red del servidor incluye múltiples conexiones a un dominio externo desconocido. Además, el análisis inicial revela que varios archivos clave del sistema tienen marcas de tiempo alteradas. ¿Cuál es el siguiente paso más apropiado para identificar la actividad sospechosa sin comprometer la evidencia?. Capturar y analizar el tráfico de red usando herramientas como Wireshark. Gestionar los archivos clave y compararlos con sus backups. Rastrear las conexiones al servidor externo.

Una organización detecta que un dispositivo móvil corporativo se conectó repetidamente a redes Wi-Fi desconocidas y envió archivos cifrados antes de un ciberataque. ¿Qué técnica forense es la más adecuada para investigar estos eventos?. Análisis de historial de conexiones de red del dispositivo. Análisis criptográfico de los archivos cifrados. Cuestionar al actor propietario del dispositivo movil para ver su grado de involucramiento.

¿Cuál de las siguientes afirmaciones es correcta en relación con la metodología de análisis forense?. Es común utilizar una combinación de perspectivas de análisis para responder a las preguntas clave de una investigación. Es irreal pensar que toda evidencia es relevante, asique se debe priorizar la que ayude al caso. Es común utilizar solo un método para evitar ser rechazado por los pares.

¿Cuál es la principal ventaja de realizar una adquisición física en un dispositivo móvil frente a una adquisición lógica?. Permite recuperar datos eliminados o en sectores no asignados. Permite tener la fuente de la información y poder rastrear al propietario. Es mas fácil capturar información desde el formato físico aunque este se encuentre cifrado.

Sofía y Mateo, dos investigadores forenses, están analizando una computadora confiscada en un caso de fraude empresarial. Sofía propone usar una herramienta automatizada para generar una línea de tiempo y cerrar el caso rápidamente, mientras que Mateo insiste en realizar un análisis manual para complementar los resultados generados por la herramienta. Además, deben decidir cómo integrar la línea de tiempo en el informe final, asegurándose de que sea clara y útil tanto para contextos técnicos como legales. ¿Qué deberán hacer Sofía y Mateo para construir una línea de tiempo electiva y cumplir con los estándares forenses?. Combinar herramientas automatizadas con análisis manual y contextual para reforzar la precisión de la línea de tiempo. Combinar herramientas estandarizadas y propietarias, y justificar la linea de tiempo como sea. Utilizar solo herramientas automatizadas, para que el contexto este libre de impericias.

Durante una auditoria forense en una empresa de tecnología, se detectó que un empleado realizo transferencias de archivos confidenciales a un dispositivo USB no autorizado. Los registros muestran que el dispositivo fue conectado al sistema durante un horario inusual, pero el USB no ha sido recuperado. El investigador debe determinar cómo proceder para rastrear la actividad y proteger los datos. ¿Qué acción deberá priorizar el investigador para continuar la investigación sobre esta actividad no autorizada?. Revisar los registros de acceso y los logs de actividad del sistema para identificar detalles del dispositivo USB conectado. Revisar los efectos personales de los empleados hasta encontrar el dispositivo. Revisar los registros de acceso y tomar muestras de que permitan identificar al empleado.

Durante un análisis forense de un servidor, el investigador descubre que el sistema operativo utiliza una configuración RAID para administrar sus discos. El servidor está apagado y se sospecha que contiene datos críticos necesarios para la investigación. ¿Cuál es el procedimiento más adecuado para extraer la información de los discos sin comprometer la integridad de los datos?. Usar herramientas específicas para reconstruir la configuración RAID y crear una imagen forense. Desarmar el RAID y clonar los discos bit a bit. Encender el servidor y tomar recaudos, como desconectarlo de la red.

¿Cuáles de las siguientes son metodologías utilizadas en la adquisición de datos en informática forense? Seleccione las (4) cuatro opciones correctas. Generación de imágenes forenses. Adquisición por hardware. Adquisición en vivo. Adquisición estática. Análisis de datos cifrados.

¿Cuál de las siguientes herramientas es adecuada para analizar el contenido de la memoria RAM en un análisis forense?. Volatility. Fractality. Fatality. Babality.

Una entidad bancaria detecta actividades sospechosas en su red interna, incluyendo el acceso no autorizado a cuentas corporativas. El equipo forense utiliza herramientas para analizar los registros de tráfico y reconstruir los eventos. ¿Qué tipo de análisis se está aplicando en este caso?. Forense de redes. Análisis de trafico. Forense de infraestructura.

¿Cuál de las siguientes características hace que los pendrives sean relevantes en investigaciones forenses?. La posibilidad de configurarse como dispositivos de arranque. La posibilidad de utilizarse como payload de ataque. La posibilidad de utilizarse para incapacitar o quemar equipos.

Una organización financiera ha detectado un acceso no autorizado a su base de datos de clientes, lo que resultó en la filtración de información sensible. El investigador forense revisa los registros y descubre que un empleado con privilegios administrativos ejecuto comandos inusuales antes del accidente. El investigador debe determinar si estas acciones están relacionadas con la brecha. ¿Qué herramienta o técnica deberá priorizar el investigador para determinar la relación entre las acciones del empleado y la filtración de datos?. Analizar los registros de auditoría del sistema para identificar comandos y acciones ejecutadas por el empleado. Analizar los conocimientos del empleado y si escalo privilegios de manera forzosa. Revisar la información sensible filtrada, y tomar acciones legales contra el empleado.

Un ciberataque a una compañía internacional involucra el uso de un ransomware que cifra los archivos de la empresa y solicita un pago en criptomonedas. ¿Qué enfoque forense es clave para rastrear el origen del pago?. Análisis forense de blockchain. Análisis forense criptografico. Análisis criptográfico blockchain.

¿Cuál es el nivel de análisis forense que se centra en los sectores de datos de un disco?. Análisis físico. Análisis lógico. Análisis sectorizado.

¿Qué rama de la informática forense se centra en el análisis de transacciones en redes descentralizadas?. Forense de blockchain y criptomonedas. Forense de transacciones descentralizadas. Forense de fraude criptográfico.

Durante una investigación de un caso de espionaje industrial, el investigador forense digital descubre que un empleado utilizo su acceso administrativo para descargar documentos confidenciales. En una reunión con el equipo legal, le solicitan que presente los resultados preliminares antes de completar el análisis técnico detallado. ¿Cómo deberá proceder el investigador forense para cumplir su responsabilidad profesional ante esta solicitud?. Presentar un informe preliminar basado únicamente en los datos confirmados y documentados hasta el momento. Presentar un informe preliminar basado en los pensamientos y experiencia del investigador. Presentar un informe preliminar con especulaciones basadas en los datos encontrados.

¿Cuál es la principal ventaja del uso de dispositivos de bloqueo de escritura durante la adquisición de datos?. Previenen modificaciones accidentales en la evidencia original. Previenen modificaciones en la evidencia y garantizan que las copias puedan ser realizadas. Permite que los datos sean tomados como evidencia.

¿Qué características de los dispositivos móviles representan desafíos clave para los investigadores forenses? Selecciona las (4) cuatro opciones correctas. Diversidad de hardware y software. Avances en técnicas de cifrado. Generación constante de registros de actividad. Uso de sistemas operativos multiplataforma. Facilidad para ser destruidos en caso de captura.

Un investigador forense está trabajando en un caso de fraude en el que se usaron transferencias electrónicas no autorizadas desde cuentas bancarias corporativas. Las investigaciones preliminares sugieren que un atacante pudo haber obtenido acceso a las credenciales a través de un ataque de phishing. El investigador tiene acceso a los correos electrónicos de los empleados afectados y a los registros de actividad en el sistema. ¿Cuál deberá ser el enfoque inicial del investigador para identificar como el atacante obtuvo acceso a las credenciales de los empleados?. Analizar los correos electrónicos recibidos por los empleados afectados en busca de intentos de phishing. Analizar las credenciales utilizadas para dar con el empleado que permitio el ataque. Analizar el tipo de transferencia y verificar quien tenia acceso a las mismas.

¿Qué acción es clave en el momento de análisis del caso durante una investigación forense digital?. Documentar la escena de forma detallada con croquis, fotografías y anotaciones antes de recopilar evidencias. Apagar todos los dispositivos electronicos para evitar fugas de informacion. Realizar un backup de todo lo posible y destruir la informacion no importante.

Durante la recopilación de evidencias, no es necesario cumplir con la legislación vidente siempre que se mantenga la cadena de custodia y se utilicen métodos para garantizar la integridad de los datos. FALSO. VERDADERO.

¿Qué aspecto es indispensable para que la evidencia digital sea aceptable en un tribunal?. Cumplir con los principios de aceptabilidad, integridad y credibilidad. Cumplir con los principios de confidencialidad, disponibilidad e integridad. Cumplir con los principios eticos y no tener legajo criminal.

Una compañía de comercio electrónico, “E-Shop Global”, descubrió la filtración de datos confidenciales de clientes. Un análisis preliminar sugiere que un archivo comprimido fue extraído y transferido a una dirección IP desconocida desde un servidor interno. Para esclarecer el incidente, se contrata a Claudia Pérez, especialista en informática forense, quien realiza un análisis de información oculta en los dispositivos involucrados. Claudia Pérez analizo los dispositivos de E-Shop Global y encontró un archivo comprimido eliminado que contenía registros de clientes. Este archivo fue recuperado utilizando herramientas de análisis forense que examinan sectores no asignados del disco. ¿Cuál es el propósito principal del análisis de información oculta en una investigación forense digital?. Identificar y recuperar datos eliminados o inaccesibles mediante métodos convencionales, como archivos ocultos o en sectores no asignados. Identificar datos eliminados de manera fortuita por el criminal. Identificar y recuperar información del atacante que buscaba esconder sus metodos.