RESPUESTA A INCIDENTES Y ANÁLISIS FORENSE

¿Cuál es el propósito principal del análisis forense digital?. Automatizar la identificación de incidentes. Encontrar, preservar y analizar evidencias digitales siguiendo metodología adecuada. Sustituir completamente el trabajo de auditoría. Acelerar el rendimiento del sistema operativo.

El Principio de Locard aplicado al mundo digital establece que: La evidencia digital siempre se pierde al apagar un sistema. Solo se generan rastros si se usan dispositivos externos. Toda interacción deja algún tipo de rastro o transferencia de información. Los logs del sistema no pueden ser manipulados.

¿Por qué el análisis forense no funciona como en la serie CSI?. Porque no existen herramientas reales. Porque siempre es imposible recuperar información borrada. Porque no hay herramientas mágicas ni procesos instantáneos; requiere tiempo y conocimiento. Porque los sistemas modernos no registran evidencia suficiente.

¿Cuál de los siguientes es un motivo válido para iniciar un análisis forense?. Aumentar la productividad de empleados. Justificar compras de hardware. Investigar incidentes como ransomware, fraude o intrusiones. Reducir costes operativos.

¿Cuál de los siguientes dispositivos puede ser objeto de análisis forense?. Videoconsolas. Impresoras. Smart TVs. Todos los anteriores.

¿Cuál es la primera fase del tratamiento de evidencias?. Preservación. Identificación. Presentación. Análisis.

La memoria RAM se considera un tipo de dato: Permanente. Frágil. Volátil. No estructurado.

¿Por qué puede ser problemático apagar un sistema comprometido?. Puede causar un reinicio inesperado. Se perdería la evidencia volátil contenida en memoria. El disco puede quedar bloqueado. El procesador puede sobrecalentarse.

¿Qué normativa ofrece directrices para identificación y preservación de evidencia digital?. ISO 9001. ISO/IEC 27037:2016. GDPR. NIST 800-53.

¿Qué establece la RFC 3227?. Cómo cifrar discos durante un incidente. Un orden recomendado de volatilidad para adquirir evidencias. Cómo formatear discos de forma segura. Qué herramientas deben usarse obligatoriament.

¿Por qué la RFC 3227 no debe seguirse estrictamente?. Porque es ilegal en Europa. Porque solo aplica a sistemas Mac. Porque es una guía general, no un estándar rígido. Porque contradice a todas las normas ISO.

La norma UNE 71506:2013 se centra en: Gestión de logs. Metodología de adquisición de evidencias electrónicas. Informes periciales. Ciberseguridad ofensiva.

¿Qué diferencia existe entre imagen y clon?. No existe diferencia. El clon copia sector a sector; la imagen puede omitir sectores no usados. La imagen es menos fiable legalmente. El clon siempre comprime la evidencia.

¿Por qué el hash MD5 no es aceptado como único verificador forense?. Porque es lento. Porque tiene colisiones conocidas y no garantiza integridad. Porque no es estándar. Porque no funciona en archivos grandes.

¿Qué herramienta permite calcular hashes de archivos?. Excel. HashMyFiles. Wireshark. FOCA.

¿Para qué sirve un bloqueador de escritura?. Para acelerar la clonación. Para evitar modificar la evidencia accidentalmente. Para cifrar discos automáticamente. Para corregir sectores dañados.

¿Qué RAID permite clonar un único disco manteniendo integridad?. RAID 0. RAID 1. RAID 5. Ninguno.

¿Qué problema presenta el RAID 0 para el análisis forense?. Es demasiado lento. La información está dividida entre discos y no puede verificarse con un único hash. Solo funciona en Linux. No genera logs.

¿Qué herramienta destaca para imagen forense manual en Linux?. Excel. Guymager. SSH. Chrome.

¿Qué ocurre si no se mantiene cadena de custodia?. Se debe repetir el informe técnico. El caso se archiva automáticamente. La evidencia puede invalidarse en juicio. Se pierde integridad de los discos.

El MBR ocupa: 1 KB. 512 bytes. 1 MB. 2 KB.

¿Qué sistema de archivos introduce journaling que dificulta recuperación de archivos?. FAT16. FAT32. EXT3 / EXT4. NTFS.

¿Qué técnica permite identificar archivos borrados mediante cabeceras?. ARP reverse. Magic numbers. DNS caching. Hex injection.

¿Qué herramienta extrae metadatos de documentos Office?. Netcat. Wireshark. FOCA. Procmon.

Los metadatos EXIF pueden incluir: Solo el tamaño del archivo. Información GPS, fecha, modelo de cámara. Solo datos del sistema operativo. Scripts ocultos.

¿Para qué se usa Xplico?. Para editar video. Para extraer datos de tráfico PCAP (HTTP, VoIP, email). Para generar scripts de análisis. Para cifrar capturas.

El encabezado de email contiene: Solo el mensaje. Información sobre remitente, servidores y ruta Received. Solo adjuntos. Código HTML.

¿Qué campo permite detectar la IP original del remitente (si existe)?. Subject. To. Received / X-Originating-IP. Content-Type.

¿Por qué Gmail no muestra IP del remitente?. Fallo técnico. Por políticas de privacidad. Error del usuario. Porque usa IPv6.

Un email impreso NO es válido como prueba porque: No puede leerse. Puede manipularse y no demuestra autenticidad. No contiene texto. No muestra el asunto.

Un inodo contiene: Solo el nombre del archivo. Permisos, propietario, fechas, y punteros a bloques. Solo el contenido del archivo. Información de red.

La carpeta /var/log en Linux contiene: Configuración de red. Registros del sistema y servicios. Perfiles de usuario. Librerías dinámicas.

¿Qué utilidad recupera archivos borrados usando cabeceras?. Ping. Lsof. Foremost. Top.

LiME permite: Extraer logs. Realizar volcados de memoria RAM en Linux. Crear máquinas virtuales. Editar particiones.

¿Qué formato de LiME rellena con ceros la memoria no usada?. Raw. Padded. Lime. Zeroed.

¿Qué herramienta permite visualizar y extraer artefactos de RAM?. FOCA. Nmap. Volatility. Nessus.

¿Qué plugin de Volatility lista procesos activos?. Netscan. Pslist. Dlldump. Hashdump.

El plugin Netscan permite: Ver tareas programadas. Identificar conexiones TCP/UDP activas. Extraer contraseñas. Mostrar DLLs cargadas.

¿Qué información puede encontrarse en RAM?. Configuración del router. Historial de navegación completo. Conexiones activas, procesos y credenciales temporales. Solo elementos cifrados.

La cadena de custodia debe incluir: Edad del analista. Quién accedió a la evidencia, cuándo y cómo se almacenó. Solo el hash MD5. Marca del disco duro.

El orden correcto de volatilidad debe empezar por: Discos duros. Interfaces USB. CPU, registros y memoria. Configuración de BIOS.

Un ejemplo de dato frágil es: Un archivo en /home. Un archivo temporal. Un binario del sistema. Una partición EXT4.

¿Qué es un timeline forense?. Una copia del MBR. Una reconstrucción cronológica de eventos. Un informe HTML. Un volcado de memoria.

¿Qué dato se obtiene del plugin Hashdump de Volatility?. Rutas de ejecución. Hashes de contraseñas SAM. Conexiones remotas. Archivos abiertos.

¿Qué directorio Linux suele contener claves de usuarios?. /var/log. /etc/shadow. /usr/bin. /mnt.

¿Qué herramienta analiza correos PST?. Nmap. Foremost. MiTeC Mail Viewer. TestDisk.

Un encabezado Received: debe leerse: De arriba hacia abajo. De abajo hacia arriba. Solo el primero. En orden aleatorio.

¿Qué herramienta identifica archivos sospechosos mediante reglas?. ARP Scan. YARA. Curl. SSH.

¿Qué herramienta permite extracción masiva de información reciente del usuario?. TCPDump. Autopsy (Recent Activity). FTP. SNMPWalk.

Una ventaja forense de máquinas virtuales es que: No generan evidencia. No pueden cifrarse. Sus discos pueden copiarse fácilmente sin desmontar hardware. No usan RAM.

El slack space es: Espacio libre totalmente vacío. Espacio sobrante dentro de un cluster que puede contener datos residuales. Una partición oculta. Memoria RAM.

¿Qué función cumple FTK Imager?. Cifrar unidades. Crear imágenes forenses verificadas con hash. Editar particiones. Monitorear red.

¿Qué formato suele tener el MBR?. 256 bytes. 512 bytes con tabla de particiones. 4 KB. 64 bytes.

¿Qué carpeta suele analizarse para artefactos web en Linux?. /bin. /home//.cache. /dev. /etc/default.

¿Qué tipo de evidencia almacena /var/mail?. Logs del kernel. Correos locales recibidos por usuarios. Firmware. Solicitudes DNS.

¿Qué comando muestra últimas conexiones en Linux?. Ping. Last. Cat. Ps aux.

¿Qué directorio suele contener scripts de inicio?. /opt. /mnt. /etc/init.d. /tmp.

¿Qué muestra el plugin Linux_pslist de Volatility?. El timeline del sistema. Procesos activos en RAM de Linux. Archivos borrados. Rootkits instalados.

¿Qué permite el comando dd con conv=noerror,sync?. Cifrar disco. Evitar que errores interrumpan la clonación y rellenar sectores dañados. Crear hash. Dividir particiones.

¿Qué es un informe pericial forense?. Un manual técnico del sistema. Un documento formal que explica metodología, hallazgos y conclusiones. Un registro automático del sistema. Un listado general de archivos.