SSI - Tema 4 FIC UDC

¿Cuál es el objetivo principal de la informática forense según las definiciones presentadas en el pdf?. Detectar vulnerabilidades técnicas en sistemas informáticos. Identificar, preservar, analizar y presentar evidencias digitales de forma legalmente aceptable. Recuperar información eliminada sin necesidad de justificación legal. Automatizar la investigación de incidentes de seguridad.

¿Qué implica añadir “técnicas científicas y analíticas especializadas” al análisis forense informático?. Uso exclusivo de herramientas comerciales. Aplicación de procedimientos reproducibles, verificables y documentados. Eliminación de la interpretación humana. Sustitución del análisis manual por inteligencia artificial.

El Principio de Intercambio de Locard aplicado al ámbito digital implica que: Todo sistema comprometido genera alertas automáticas. Toda interacción con un sistema deja algún tipo de rastro digital. Toda evidencia digital es volátil por naturaleza. Todo ataque implica acceso remoto y capacidad para realizar un daño.

¿Cuál de las siguientes actividades se encuadra específicamente dentro del análisis forense digital?. Implementar controles de acceso preventivos. Analizar registros digitales como evidencia. Diseñar arquitecturas de seguridad corporativa. Configurar sistemas de monitorización.

En un caso de fuga de información, la informática forense se utiliza principalmente para: Evitar futuras filtraciones. Determinar responsabilidades mediante evidencias digitales. Aplicar sanciones disciplinarias. Restaurar sistemas afectados.

¿Cuál es el objetivo de la familia de normas UNE 71505:2013?. Definir técnicas de análisis de malware. Definir una gestión de evidencias electrónicas. Regular la actuación judicial del perito. Definir cuales son los diferentes delitos informáticos.

La UNE 71505-1 se centra principalmente en: Procedimientos técnicos de adquisición. Vocabulario, conceptos y principios generales. Formatos de informes periciales. Técnicas de preservación física.

¿Qué aspecto cubre específicamente la UNE 71505-3?. Metodología de análisis forense. Formatos y mecanismos técnicos para intercambio de evidencias. Requisitos legales de admisibilidad. Responsabilidades del perito.

La norma UNE 71506:2013 define: Un sistema de certificación profesional. Una metodología completa para el análisis forense. Requisitos de seguridad de la información. Procedimientos de auditoría.

¿Para qué se utiliza la UNE 197010:2015 dentro del proceso forense?. Para adquirir evidencias digitales. Para hacer informes pericales TIC. Para calcular integridad criptográfica. Para definir el orden de volatilidad.

¿Cuál es el objetivo principal de la ISO/IEC 27037:2012?. Establecer requisitos de auditoría. Guiar la identificación, recolección, adquisición y preservación de evidencias digitales. Regular la presentación en juicio. Definir algoritmos criptográficos.

¿Qué RFC define el concepto de “Order of Volatility”?. RFC 4810. RFC 4998. RFC 3227. RFC 6283.

La ISO/IEC 27042:2015 se centra en: La preservación de evidencias. El análisis de evidencias. La gestión de incidentes. La cadena de custodia.

¿Cuál es la relación correcta entre ISO 27037 e ISO 27042?. Ambas regulan exactamente lo mismo. Ninguna de las anteriores. La 27042 sustituye a la 27037. Solo una de ellas es aplicable a forense.

El “orden de volatilidad” establece que: Se analicen primero los datos más grandes. Se recolecten primero los datos con menor tiempo accesible. Se clonen primero los discos. Se prioricen los backups.

Según RFC 3227, ¿qué tipo de información tiene mayor volatilidad?. Discos duros. Sistemas de archivos temporales. Registros en memoria y caché. Copias de seguridad.

¿Cuál es el objetivo principal de la RFC 4810?. Definir el orden de adquisición. Establecer la preservación de información. Definir formatos de evidencia. Regular la cadena de custodia.

La RFC 4998 define: Un algoritmo hash. Evidence Record Syntax (ERS). Procedimientos de análisis. Normativa legal.

¿Qué aporta la RFC 6283 respecto a la RFC 4998?. Sustituye ERS por JSON. Implementa ERS utilizando XML. Elimina la necesidad de hashes. Define nuevos algoritmos.

¿Por qué es crítica la fase de preparación del caso?. Las 2 opciones son correctas. Porque se garantiza la validez legal del proceso. Porque se asegura la escena. Ninguna opción es correcta.

Durante la identificación se debe: Analizar la información encontrada. Localizar fuentes de evidencia y evaluar su relación con el incidente. Clonar los dispositivos. Destruir datos irrelevantes.

¿Por qué se revisa el entorno legal del bien analizado?. Para determinar si el acceso a la información es legalmente admisible (Fase de identificación). Para determinar si el acceso a la información es legalmente admisible (Fase de análisis). Para determinar si el acceso a la información es legalmente admisible (Fase de preservación). Para determinar si el acceso a la información es legalmente admisible (Fase de presentación).

¿Qué NO garantiza principalmente la cadena de custodia?. Confidencialidad. Autenticidad. Integridad. Todas garantizan la cadena de custodia.

¿Qué información debe documentarse en la cadena de custodia?. Quién, cuándo y cómo se ha manejado la evidencia en todo momento. Quién ha custodiado la evidencia, durante cuánto tiempo y cómo se ha almacenado. Dónde, cuándo y quién descubrió y recolectó la evidencia. Todas las anteriores son correctas.

¿Qué fase del proceso forense implica la recopilación técnica de evidencias?. Identificación. Adquisición. Preservación. Presentación.

¿Por qué la adquisición debe documentarse exhaustivamente?. Por motivos técnicos. Para garantizar la cadena de custodia. Por requisitos de la herramienta. Para acelerar el análisis.

¿En que orden se deben adquirir los tipos de datos según el orden de volatibilidad?. Registros y caché → Archivos Temporales → Discos → Memoria → Datos de Registro. Registros y caché → Archivos Temporales → Memoria → Discos → Datos de Registro. Registros y caché → Memoria → Archivos Temporales → Discos → Datos de Registro. Registros y caché → Datos de Registro → Memoria → Archivos Temporales → Disco.

La adquisición en modo LIVE consiste en: Analizar el sistema apagado. Obtener datos volátiles con el sistema en funcionamiento. Clonar discos desconectados. Analizar imágenes forenses.

¿Cuál es el principal riesgo del modo LIVE?. Pérdida de rendimiento. Alteración inevitable de la evidencia. Falta de acceso a memoria. Incompatibilidad de herramientas.

El modo DEAD se caracteriza por: Equipo apagado abruptamente para evitar modificaciones. Sistema encendido. Captura de memoria. Análisis remoto.

¿Por qué no se recomienda un apagado ordenado en modo DEAD?. Porque tarda más. Porque ejecuta procesos que modifican la evidencia. Porque daña el hardware. Porque impide el clonado.

¿Qué es un clonado forense bit a bit?. Copia lógica de archivos visibles. Copia exacta de todos los sectores del disco, incluidos errores. Copia comprimida del sistema. Backup incremental.

¿Por qué se analiza una copia y no el original?. Por limitaciones técnicas. Para preservar la integridad. Por comodidad. Siempre es recomendable hacer análisis en el equipo original.

¿Qué problema genera montar un disco durante el clonado?. Pérdida de rendimiento. Modificación de la evidencia. Error de lectura. Imposibilidad de hash.

¿Para qué se utilizan bloqueadores de escritura?. Acelerar el clonado. Evitar cualquier modificación del dispositivo original. Cifrar la información. Comprimir datos.

¿Por qué se calculan hashes en forense?. Para cifrar la información. Para demostrar que la copia es idéntica al original. Para recuperar datos. Para reducir tamaño.

¿Para qué se utiliza la herramienta dd en forense?. Analizar memoria. Clonar discos bit a bit. Calcular hashes. Analizar logs.

El uso de plugins en Volatility permite: Modificar la evidencia. Ampliar capacidades de análisis. Cifrar la memoria. Reducir la volatilidad.

¿Qué aporta dc3dd respecto a dd?. Cálculo de hashes durante la copia. Análisis automático. Compresión. Interfaz gráfica.

¿Qué problema presentan MD5 y SHA-1?. Son demasiado lentos. Vulnerabilidad a colisiones. No son compatibles. No existen implementaciones.

¿Qué algoritmos se recomiendan actualmente?. CRC32 o RSA. AES o DES. SHA-2 o SHA-3. MD5 y SHA-1 combinados.

¿Para qué sirve FTK Imager dentro del proceso forense?. Analizar memoria RAM. Crear y verificar imágenes forenses. Capturar tráfico de red. Gestionar cadena de custodia.

¿Para qué se utiliza principalmente Autopsy dentro del análisis forense?. Capturar tráfico de red en tiempo real. Analizar evidencias digitales de forma estructurada. Calcular hashes durante el clonado. Realizar copias bit a bit.

¿Qué tipo de evidencias puede analizar Autopsy?. Únicamente discos duros. Evidencias de memoria RAM. Imágenes forenses y sistemas de archivos. Solo tráfico de red.

Cúal NO es una característica clave de Autopsy es que: Permite trabajo en equipo. Permite ampliar funcionalidades mediante módulos. Solo analiza sistemas Windows. Es Open Source.

¿En qué fase del proceso forense se utiliza principalmente Autopsy?. Análisis. Identificación. Adquisición. Preservación.

¿Qué tipo de evidencia analiza Volatility?. Discos duros. Tráfico de red. Memoria RAM. Copias de seguridad.

¿Qué información puede obtenerse del análisis de memoria?. Archivos eliminados antiguos. Procesos en ejecución. Copias incrementales. Firmas digitales.

¿Qué es un perito informático forense?. Un administrador de sistemas. Un experto en análisis de pruebas digitales. Un técnico de soporte. Un desarrollador especializado.

¿Cuál es la función principal del perito en un proceso judicial?. Dictar sentencia. Aportar opinión técnica fundamentada. Defender a una de las partes. Recopilar pruebas policiales.

¿Qué diferencia a un perito judicial de otros expertos técnicos?. Su formación universitaria. Su capacidad de testificar ante un tribunal. El uso de herramientas forenses. La experiencia profesional.

¿Qué es un perito de parte?. Un perito elegido por el juez. Un perito designado por una de las partes. Un perito colegiado obligatoriamente. Un perito de la administración.

¿Qué es un perito de oficio?. Un perito propuesto por el fiscal. Un perito designado por el juez o tribunal. Un perito privado. Un perito corporativo.

¿Qué responsabilidad se deriva de no comparecer ante un requerimiento judicial?. Penal. Civil. Disciplinaria. Profesional.

¿Qué responsabilidad obliga a reparar daños a un particular?. Penal. Civil. Disciplinaria. Profesional.

¿Cuál de las siguientes herramientas permite realizar clonado y cálculo de hashes de forma simultánea?. dd. FTK Imager. dc3dd. sha256sum.

¿Por qué las clonadoras de alta gama son necesarias para igualar a las herramientas software?. Porque soportan más sistemas de archivos. Porque ofrecen funcionalidades avanzadas como verificación y gestión de errores. Porque permiten análisis en tiempo real. Porque generan informes periciales automáticamente.

¿Cuál de los siguientes dispositivos es una clonadora forense de hardware?. Autopsy. Tableau TD2u. Volatility. EnCase.

Qué factor NO suele variar significativamente entre clonadoras forenses?. Velocidad de copia. Precio. Comprobación de integridad. Sistema operativo analizado.

¿Cuál es un objetivo clave de la fase de preservación?. Analizar patrones de uso. Garantizar la cadena de custodia. Identificar nuevas fuentes de evidencia. Reconstruir eventos del sistema.

¿Cuál de los siguientes NO es un tipo real de clonadora forense?. Clonadora autónoma hardware. Clonadora basada en write-blocker. Clonadora híbrida HW/SW. Clonadora virtual de análisis lógico.

Una ventaja principal de la clonación por software es: Mayor aislamiento de la evidencia. Menor dependencia del sistema analizado. Flexibilidad y variedad de herramientas. Eliminación total del riesgo de modificación.

¿Cuál es un riesgo asociado a la clonación por software?. Incompatibilidad con discos modernos. Alteración accidental por montaje del dispositivo. Falta de soporte para hashes. Incapacidad de clonar sectores defectuosos.

En un sistema GNU/Linux, ¿cuál de las siguientes rutas corresponde correctamente a un disco SATA o USB utilizado como origen en un clonado con dd?. /dev/hdX. /dev/sdX. /mnt/sda. /media/disk1.

En el comando dc3dd if=/dev/sdb of=/imagen5.img hash=md5,sha256 ¿qué representa correctamente la ruta /imagen5.img?. Un dispositivo físico de destino conectado por USB. Un punto de montaje del sistema de archivos origen. Un archivo de imagen forense generado durante el clonado. Un identificador interno de dc3dd para el cálculo de hashes.

¿Cuál de las siguientes características distingue principalmente a SIFT (SANS Investigative Forensic Toolkit) frente a otras distribuciones forenses?. Incorpora por defecto herramientas orientadas a análisis de memoria en tiempo real. Está basada en Debian y enfocada principalmente a pentesting. Es una distribución basada en Ubuntu con un amplio conjunto de herramientas forenses mantenidas por SANS. Requiere licencia comercial para su uso en entornos profesionales.

¿Qué funcionalidad específica hace especialmente relevante a CAINE en un entorno forense?. Integración nativa con herramientas de análisis móvil. Bloqueo automático de escritura en dispositivos conectados. Soporte exclusivo para análisis en modo LIVE. Generación automática de informes periciales.

¿Cuál de las siguientes afirmaciones sobre Paladin Forensic Suite es correcta?. Es una distribución desarrollada por el SANS Institute. Está orientada principalmente a tareas de respuesta a incidentes en red. Se distribuye como un sistema GNU/Linux enfocado al análisis forense. Carece de mecanismos para evitar la modificación de evidencias.

¿En qué se diferencia principalmente Parrot Security OS de otras distribuciones forenses mencionadas en el pdf?. Está diseñada exclusivamente para análisis post-mortem. Es una distribución basada en Debian con un enfoque amplio en seguridad, no solo forense. Incluye únicamente herramientas certificadas judicialmente. Solo puede ejecutarse en modo live sin instalación.