Informática Forense y respuesta ante incidentes

¿Qué es un incidente?. Un evento planificado con alta probabilidad de comprometer las operaciones de la entidad. Un evento no deseado con alta probabilidad de comprometer las operaciones de la entidad. Un evento planificado con baja probabilidad de comprometer las operaciones de la entidad. Un evento no deseado con baja probabilidad de comprometer las operaciones de la entidad.

Los incidentes pueden ser de diversa naturaleza. Algunos de los más comunes son: Desastres naturales. Ataques externos y/o externos. Errores humanos. Todas las anteriores son correctas.

¿Qué significan las siglas RTO?. Punto de recuperación objetivo. Tiempo de recuperación al origen. Punto de recuperación al origen. Tiempo de recuperación objetivo.

¿Cuál de los siguientes no es un proceso clave en la gestión de incidentes?. Los sistemas de detección. Los procedimientos de acción. La estrategia de comunicación. La investigación y el análisis.

¿Cuál de estos no es un objetivo de un análisis forense?. Averiguar qué se ha alterado. Descubrir por qué se ha realizado la alteración. Saber cómo se ha realizado la alteración. Descubrir quién ha realizado la alteración.

Cuando intentamos responder a la pregunta: ¿quién ha realizado la alteración?. Tenemos que descubrir a la persona física responsable de la alteración. Podemos llegar a descubrir el usuario del sistema que realizó la modificación. Podemos obtener la dirección IP o MAC del equipo desde el que se realizó la alteración. Las respuestas B y C son correctas.

Con respecto a la recolección de evidencias digitales: Tiene que hacerse con medios que aseguren, en la medida de lo posible, la no modificación de estas. Es necesario documentar los cambios que se hayan tenido que realizar en el equipo si no ha sido posible evitar su modificación. Es uno de los primeros pasos que se dan a la hora de realizar un análisis forense digital. Todas las anteriores son correctas.

Las etapas de un análisis forense según el NIST son: Recolección, examen, análisis y redacción del informe pericial. Recolección, respuesta, examen y análisis. Recolección, examen y análisis. Recolección, análisis y redacción del informe pericial.

Durante la fase de recolección, lo que se busca es: Garantizar que lo que se analiza es lo que se ha recolectado. Obtener las evidencias que son consideradas de interés. Dar respuesta a la pregunta ¿cómo se ha alterado?. Ninguna es correcta.

En el ámbito del análisis forense digital, el mantenimiento de la cadena de custodia se suele llevar a cabo mediante: La documentación de las personas custodiantes de la evidencia. El uso de funciones hash que garanticen la integridad la evidencia. Un registro de las personas que realicen cualquier operación con la evidencia. Todas las anteriores son correctas.

¿Cuál de las siguientes evidencias es más volátil?. Archivos temporales. Tabla de enrutamiento. Archivos en la nube. Disco duro.

¿Qué dice el principio de intercambio de Locard?. Que en algunas ocasiones existe intercambio de materia física durante el proceso de ataque. Que atacador y atacante pueden intercambiar sus papeles en un momento de la acción. Que siempre es posible, mediante las pruebas, identificar al atacante en el proceso de una acción criminal. Que, cuando se comete una acción sobre un determinado objeto, siempre se puede encontrar algún indicio de dicha acción.

¿Cuáles de las anteriores son características de las evidencias volátiles?. Cambian con mayor facilidad que las no volátiles. Desaparecen al interrumpir la corriente. Deben ser adquiridas antes. Todas las anteriores.

¿Qué significa que una evidencia digital es confiable?. Que ha sido firmada digitalmente. Que la evidencia está relacionada con el hecho que se quiere probar, y sirve para probar las acciones del atacante o su inocencia. Que la evidencia es autentica, real y está relacionada con el incidente de manera adecuada. Que ha sido obtenida solo por un perito judicial.

¿Qué es la presunción de inocencia?. Es un derecho fundamental en nuestra constitución. Es uno de los fundamentos de derecho en los países democráticos. Que toda persona acusada de un delito tiene derecho a que se presuma su inocencia mientras no se demuestre su culpabilidad. Todas son ciertas.

¿Cuál de las siguientes evidencias no vamos a poder adquirir?. Los procesos en ejecución. Los discos en la nube. La caché del procesador. Las tablas de enrutamiento.

¿Qué es una evidencia digital?. El conjunto de información que, una vez analizada, queda en custodia de un fedatario público para que sirva de prueba en el posterior juicio. Aquella información que admite el juez como válida en un juicio. Aquel conjunto de información almacenada o transmitida de manera digital que puede ser utilizada como medio de prueba. Cualquier tipo de rastro, objeto o dispositivo que puede ser utilizado como medio de prueba.

¿Cuál de las siguientes piezas de información puede ser una evidencia?. Documentos de texto. Logs de aplicaciones. Todas son ciertas. Imágenes o vídeos.

Según la ISO 27037, ¿cuáles deben ser las características de una evidencia digital?. Relevancia y confianza. Relevancia, confianza y suficiencia. Relevancia, confianza y volatilidad. Relevancia, suficiencia y volatilidad.

Atendiendo a la carga de la prueba: Si alguien es acusado de un delito, este debe presentar pruebas que demuestren su inocencia. No se puede acusar a nadie de un delito sin pruebas. El jurado puede determinar si se necesitan pruebas para juzgar un hecho. Solo los delitos de sangre necesitan pruebas para ser juzgados.

¿Cómo aseguramos el bloqueo contra escritura de una evidencia que vamos a adquirir en frío?. Mediante dispositivos hardware. Nunca es posible bloquear totalmente contra escritura. Mediante bloqueadores hardware o mediante bloqueo software a través de programas o scripts o bien cargando una distro Linux forense. Todas las anteriores son ciertas.

¿Qué hemos de tener en cuenta al acotar la escena del crimen?. Aquellos equipos que han sufrido directamente el incidente. Los equipos que han sufrido directamente el incidente y otros que puedan estar relacionados. Se debe recoger todo el material posible, pues ello nos ayudará a realizar un mejor análisis. Los equipos que han sufrido directamente el incidente y todos los servidores con los que este interactúe.

¿Cuáles de los siguientes son algoritmos hash?. SHA1. SHA3. MD5. Todas las anteriores.

¿Cuándo debemos realizar una adquisición en caliente?. Cuando existen evidencias volátiles que queremos conservar. Cuando se trata de un equipo que no se puede apagar. Cuando nos encontramos con un disco duro cifrado. Todas las anteriores son correctas.

¿Cuáles son las ventajas de la imagen forense frente al clonado?. No es necesario ningún programa para trabajar con imágenes. Puedo tener varias imágenes en un mismo dispositivo de almacenamiento. En las imágenes forenses puedo comprimir datos, añadir metadatos, redundancia, etc. La B y la C son ciertas.

Cuando adquirimos un disco duro completo, con todas sus particiones y la tabla de particiones, estamos realizando: Una adquisición en caliente. Una adquisición lógica. Una adquisición física. Una imagen en caliente.

Según la ISO 27037, hay que hacer una adquisición parcial: Cuando el tamaño del dispositivo a adquirir es muy grande. Todas son ciertas. Cuando el juez nos limita la información a adquirir. Cuando solo una parte de la información es relevante.

«El proceso de recopilación de los elementos físicos que pueden contener una potencial evidencia digital» es la definición de: Adquisición. Clonado. Recolección. Imagen forense.

Según la ISO 27037, ¿cuál de los siguientes no es un supuesto especial?. Adquisición parcial. Adquisición de un ordenador portátil. Dispositivo de almacenamiento. Dispositivo crítico.

¿Cuáles de las siguientes propiedades no pertenece a la función hash?. Inyectividad. Compresión. Bajo coste computacional. Bidireccionalidad.

¿Cuál es la estructura típica de un dispositivo de almacenamiento?. Partición > Volumen > Sistema de ficheros > Archivos y carpetas. Partición > Sistema de ficheros > Volumen > Archivos y carpetas. Volumen > Partición > Sistema de ficheros > Archivos y carpetas. Volumen > Sistema de ficheros > Partición > Archivos y carpetas.

¿Qué dos esquemas de partición existen principalmente?. NTFS y FAT. MBR y Master Boot Record. MBR y FAT. MBR y GPT.

¿Qué es una partición?. Una división física del espacio disponible en el dispositivo de almacenamiento. Una división lógica del espacio disponible en el dispositivo de almacenamiento. Una división física formateada. Una división lógica formateada.

Montamos un RAID cuando: Creamos un único volumen que hace uso de varios dispositivos de almacenamiento que trabajan en conjunto. Creamos una única partición que hace uso de varios volúmenes que trabajan en conjunto. Creamos una única partición que hace uso de varios dispositivos de almacenamiento que trabajan en conjunto. Creamos un único volumen dentro de un único dispositivo de almacenamiento.

Si un dispositivo de almacenamiento no tuviera sistema de ficheros: No pasaría nada, la información se podría seguir leyendo a través del MBR. La información tan solo sería una gran cantidad ceros y unos sin ningún orden. No pasaría nada, la información se podría seguir leyendo a través del sistema FAT. La información sería accesible instalando nuevamente un sistema de ficheros MBR.

En un sistema de ficheros FAT, los archivos que componen el índice son: FAT1 y FAT2. Las entradas de directorio y la FAT1. Las entradas de directorio, la FAT1 y la FAT2. Las entradas de directorio.

En un sistema de ficheros NTFS, los archivos que componen el índice propiamente dicho (de manera similar a FAT) son: Los archivos $Bitmap, $MFT y $MFTMirr. Los archivos $Bitmap y $MFT. Los archivos $MFT, $MFTMirr y $Boot. Los archivos $MFT y $BadClus.

¿Qué ocurre en la $MFT cuando añadimos un archivo?. Que se crea una nueva entrada dentro de la propia $MFT. Que se crea una nueva entrada dentro del archivo $BadClus. Que se crea una nueva entrada dentro del archivo $MFTMirr. Que se crea una nueva entrada tanto en $MFT como en $BadClus.

En un sistema de ficheros Ext4, cuando se elimina un archivo: Se elimina el enlace desde la entrada de directorio. Se elimina el enlace desde el inodo hasta las distintas partes del archivo. Se elimina el enlace a la primera parte del archivo. Se marca como eliminado.

El archivo Catalog dentro de un sistema de ficheros APFS es utilizado para: Mantener la lista de los bloques utilizados y disponibles. Describir la jerarquía de bloques. Mantener la lista de archivos y carpetas por partición. Describir la jerarquía de archivos y carpetas del volumen.

¿Qué es un archivo?. Un conjunto de bytes relacionados entre sí. Un conjunto de información que puede ser utilizada de forma individual. Un conjunto de información que es almacenada en un dispositivo de almacenamiento. Todas las anteriores son correctas.

Con respecto al nombre de un archivo: Se almacena dentro del propio archivo. Se almacena en el sistema de ficheros. Se almacena dentro del MBR. Ninguna de las anteriores es correcta.

¿Qué es la firma de un archivo?. Un conjunto de bytes que se encuentra al final del archivo y que identifica su función. Un conjunto de bytes que se encuentra al final del archivo y que identifica el tipo de archivo que es. Un conjunto de bytes que se encuentra al principio del archivo y que identifica su función. Un conjunto de bytes que se encuentra al principio del archivo y que identifica el tipo de archivo que es.

¿Qué son los metadatos?. Datos que describen a otros datos. Información que almacena el sistema de ficheros sobre un archivo interno. Datos que describen los archivos del sistema de ficheros. Ninguna de las anteriores es correcta.

Si el archivo se mueve a la papelera de reciclaje ¿qué podemos recuperar?. Todo. El contenido del archivo y los datos asociados a este. Únicamente el contenido del archivo, no los datos asociados. Únicamente, los datos asociados. Ninguna de las anteriores es correcta.

Si el archivo se marca como borrado en el índice del sistema de ficheros ¿Qué podemos recuperar?. Todo. El contenido del archivo y los datos asociados a este . Únicamente el contenido del archivo, no los datos asociados. Únicamente, los datos asociados. Ninguna de las anteriores es correcta.

Si la entrada del archivo en el índice del sistema de ficheros se elimina, ¿qué podemos recuperar?. Todo. El contenido del archivo y los datos asociados a este. Únicamente el contenido del archivo, no los datos asociados. Únicamente, los datos asociados. Ninguna de las anteriores es correcta.

Si el archivo se sobrescribe parcialmente, ¿qué podemos recuperar?. Todo. El contenido del archivo y los datos asociados a este. En función de la cantidad de información sobrescrita, es posible recuperar una parte del archivo. Únicamente, el contenido del archivo, no los datos asociados. Ninguna de las anteriores es correcta.

¿En qué consiste una recuperación en bruto?. En la aplicación de programas que acceden a bajo nivel al sistema de ficheros y muestran los archivos marcados como eliminados. En la aplicación de programas que acceden a bajo nivel al sistema de ficheros y muestran los archivos existentes. En la búsqueda a lo largo de todo el dispositivo de almacenamiento (o de una partición concreta) de firmas de archivo. Ninguna de las anteriores es correcta.

¿Qué características de los discos SSD son las que más impacto tienen a la hora de recuperar archivos eliminados en este tipo de dispositivos?. La nivelación del desgaste. El recolector de basura. El comando TRIM. Todas las anteriores son correctas.

¿En qué fases se divide el esquema general de análisis planteado?. Fase de pre-análisis, análisis y post-análisis. Fase de análisis y post-análisis. Fase de pre-análisis y análisis. Ninguna de las anteriores es correcta.

La identificación de volúmenes cifrados, ¿a qué fase del análisis pertenece?. Durante un análisis forense no se identifican los volúmenes cifrados. Al post-análisis. A la fase de análisis. A la fase de pre-análisis.

¿Cuál de los siguientes pasos se da durante la fase de pre-análisis?. La recuperación de archivos eliminados. La búsqueda de palabras clave. El análisis del sistema operativo. Ninguno ya que no hay fase de pre-análisis.

¿Cuál de los siguientes pasos se da durante la fase de análisis?. La búsqueda de palabras clave. El análisis del sistema operativo. Las respuestas A y B son correctas. Ninguno ya que no hay fase de análisis.

¿Cuál es el objetivo de realizar un hash a los archivos contenidos en la evidencia?. Comprobar si en los archivos que vamos a analizar coincide lo que la extensión indica con el contenido del archivo. Filtrar los archivos a analizar, para poder categorizarlos en «buenos» y «sospechosos». Es contraproducente la realización de un hash a los archivos contenidos en la evidencia. Ninguna de las anteriores es correcta.

Con respecto a la búsqueda de máquinas virtuales: Es un paso que se da en la etapa de pre-análisis. Lo ideal es comenzar buscando las aplicaciones de virtualización instaladas en el equipo. Podemos también localizar máquinas virtuales por los discos duros de estas. Todas las anteriores son correctas.

Respecto a la búsqueda de palabras clave: En ocasiones nos podemos encontrar con análisis en los que es necesario obtener documentos relacionados con determinadas palabras. Es una tarea perteneciente a la fase de pre-análisis. No se usa para buscar documentos en los que se mencione a personas. Es una tarea perteneciente a la fase de post-análisis.

¿Qué es una expresión regular?. Una secuencia de caracteres que conforma un patrón de búsqueda. Una secuencia de caracteres que conforma un patrón de análisis. Una secuencia de caracteres que conforma un patrón de respuesta. Ninguna de las anteriores es correcta.

Durante el análisis del sistema operativo: Tenemos que responder a preguntas como: ¿es una versión no oficial o hay alguna actualización que no lo sea?. Se realiza un análisis de seguridad para determinar si el equipo se encuentra infectado por algún virus. Obtenemos los dispositivos que han sido conectados al equipo. Todas las respuestas son correctas.

Durante el análisis de las comunicaciones: Obtenemos la lista de programas que permitan realizar el hecho que se está investigando. Los componentes de red no se analizan. Obtenemos la lista de páginas web visitadas por el usuario. Ninguna de las anteriores es correcta.

En un Sistema Windows podemos obtener los usuarios que han iniciado sesión utilizando las herramientas: PsLoggedOn. LogonSessions. El comando «query user /server:$SERVER» de PowerShell. Todas las anteriores son correctas.

Durante el análisis de un equipo sospechoso de estar infectado con un malware: No analizamos las conexiones abiertas. Analizamos las conexiones abiertas. Analizamos las conexiones cerradas. Ninguna de las anteriores es correcta.

¿Qué es el registro de Windows?. El contenedor de los logs del sistema operativo. Un archivo de intercambio del sistema. Una gran base de datos jerárquica. Ninguna de las anteriores es correcta.

¿Qué es el registro de eventos de un Sistema Operativo Windows?. Un conjunto de archivos especiales en el que se registran los eventos que se producen en el sistema. Un archivo de intercambio del sistema. Una gran base de datos jerárquica. Ninguna de las anteriores es correcta.

¿Dónde se ubica la papelera de reciclaje en un S. O. Windows 10?. En «Recycler\{SID del usuario}». Dentro de la carpeta «$Recycle.Bin», en la raíz del dispositivo. Dentro de la carpeta «$Recycle.Bin», en la carpeta del usuario. En «{SID del usuario}\Recycler».

¿Que indica que en la columna de password del archivo «/etc/passwd» de un S.O. Linux tengamos una «x»?. Que la contraseña está en claro en el archivo «/etc/shadow». Que la contraseña está encriptada en el archivo «/etc/shadow». Que la contraseña está en claro en el archivo «/etc/passwd». Que la contraseña está encriptada en el archivo «/etc/passwd».

¿Dónde se almacena la mayoría de los archivos de log en un Sistema Operativo Linux?. En la carpeta del usuario root. En la ruta «/tmp». En la ruta «/var/log/». Ninguna de las anteriores es correcta.

¿Cómo podemos obtener la lista de usuarios que han iniciado sesión en un equipo con S. O. MacOS apagado?. Mediante el comando «last». Analizando los archivos «/var/log/wtmp» y «/var/log/btmp». Analizando el archivo «/var/run/utmpx». Ninguna de las anteriores es correcta.

¿Cómo podemos realizar el volcado de los procesos de un equipo con S. O. MacOS?. A través del directorio «/proc». Analizando los archivos de la carpeta «/var/process». A través del directorio «/proc/process». Ninguna de las anteriores es correcta.

¿Dónde se almacena la mayoría de los archivos de log en un sistema MacOS?. En la ruta «/var/log/». En la ruta «/Library/Logs/». En la ruta «/Users/[USUARIO]/Library/Logs». Todas las anteriores son correctas.

Cuando vamos a realizar la adquisición de un dispositivo móvil el procedimiento a seguir es: Adquirir la tarjeta del operador, la tarjeta de memoria (si dispone de ella) y la memoria del terminal. Adquirir la tarjeta del operador y la memoria del terminal. Adquirir la tarjeta de memoria (si dispone de ella) y la memoria del terminal. Ninguna de las anteriores es correcta.

Algunas de las peculiaridades de la tarjeta SIM son: Dispone de poca capacidad de almacenamiento. Puede contener contactos. Puede contener registros de llamadas y mensajes. Todas las anteriores son correctas.

Para adquirir la tarjeta SIM (no virtual) de un terminal, necesitaremos: Un lector de tarjetas SIM. Un software de adquisición. El código PIN o PUK de la tarjeta. Todas las anteriores son correctas.

En la tarjeta de memoria podemos encontrar: Archivos multimedia (fotografías, vídeos, música, etc.). Archivos descargados por el usuario. Cachés o registros de aplicaciones. Todas las anteriores son correctas.

Si disponemos del patrón o contraseña de desbloqueo del terminal ¿Cuál sería la opción más sencilla para realizar su adquisición?. Realizar un ChipOff. Adquirir mediante Custom Recovery la partición de datos del usuario. Realizar la adquisición mediante alguna herramienta como Magnet Acquire. Ninguna de las anteriores es correcta.

¿Podemos realizar la adquisición de un dispositivo iOS mediante ADB?. Si, este procedimiento de adquisición es válido tanto para iOS como para Android. Si, este procedimiento de adquisición es válido para Ios. No, este procedimiento de adquisición es solo válido para Android. No, este procedimiento de adquisición no es válido para iOS ni tampoco para Android.

¿Qué es un Custom Recovery?. Es un driver específico para dispositivos Samsung. Es una herramienta de flasheo. Es una distribución específica que sustituye la partición de recuperación del terminal. Ninguna de las anteriores es correcta.

¿Cuál de los siguientes no se considera un procedimiento avanzado de adquisición?. JTAG. Chip Off. Direct Emmc. Todos las anteriores se consideran procedimientos avanzados.

Podemos utilizar la suite forense Autopsy para realizar el análisis de un dispositivo Android. Verdadero, ya que dispone de un plugin específico. Falso, Autopsy solo es válido para el análisis de dispositivos iOS. Falso, Autopsy solo es válido para el análisis de dispositivos informáticos, no dispositivos móviles. Falso, Autopsy no es válido como suite forense de análisis, solo es de adquisición.

Los archivos PLIST: Almacenan información en forma de «clave – valor». El uso más común de estos archivos es almacenar las preferencias del usuario. La información puede ser almacenada en formato binario (BPlist) o XML (Plist). Todas las anteriores son correctas.

La labor de priorizar el análisis de unas evidencias frente a otras y establecer la profundidad de análisis de estas se denomina: Digital Forensics. Análisis de Logs. IOC. Triage.

¿Qué es la respuesta a incidentes?. La concepción y ejecución de un procedimiento no estructurado para manejar un incidente desde el momento en que se detecta hasta su resolución. La concepción de un procedimiento estructurado para manejar un incidente desde el momento que se detecta hasta su resolución. La concepción y ejecución de un procedimiento estructurado para manejar un incidente desde el momento que se detecta hasta su resolución. La concepción de un procedimiento no estructurado para manejar un incidente desde el momento que se detecta hasta su resolución.

Bajo la idea «forensic by design»: Se deben realizar aplicaciones forenses con un adecuado interfaz de usuario. Debemos tener en cuenta cuando diseñamos nuestra arquitectura que en el futuro necesitaremos realizar, en algún momento, un análisis forense. Se diseñarán procedimientos forenses estándar para la recuperación de cualquier tipo de sistemas. Se buscarán perfiles técnicos con la doble visión de diseño web y análisis forense.

Un informe de situación forense en el contexto de respuesta a incidentes debe contener: Lista de cuentas comprometidas. Cuando se trata de un equipo que no se puede apagar. Lista de evidencias con fecha y hora de recolección. Todas las anteriores son correctas.

¿Qué importancia tiene la gestión de activos en la respuesta a incidentes?. Es importante disminuir el número de activos controlados para, de ese modo, realizar una recuperación más rápida. La gestión de activos debe realizarse de manera descentralizada y por departamentos; disminuyendo así la carga sobre el equipo de IT. No es necesario gestionar los endpoints, solo la infraestructura central. La única manera de saber qué partes de nuestros sistemas se han visto comprometidas es tener un correcto inventario de activos.

¿Cuáles de los siguientes departamentos no es necesario que forme parte del equipo de respuesta a incidentes?. RRHH. Legal. Calidad. IT.

¿Qué hemos de tener en cuenta al realizar análisis forenses de arquitecturas cloud?. La ubicación física del cloud. El tipo de cloud (Iaas, Paas, SaaS…). La calidad del datacenter. La A y la B son ciertas.

¿Cómo se debe reaccionar en los momentos iniciales de un incidente?. Siempre lo antes posible, ya que así se minimiza el riesgo. Dependerá siempre del objetivo de dicha acción. La acción siempre debe ser retardada para evitar la reacción del atacante. Dependerá solo de la gravedad del ataque.

La segmentación de red y los anillos de seguridad: Son mecanismos de contención de ataques. Son mecanismos de gestión de incidentes de seguridad. Son dos mecanismos de prevención para contener posibles ataques que se puedan producir. La A y la C son ciertas.

Un plan de contingencia debe contener: Solo las tareas de defensa ante el inminente ataque. Tareas de defensa ante el ataque y tareas de refuerzo de la seguridad desde un punto de vista estratégico. Tareas de defensa ante el ataque, tareas de refuerzo de la seguridad y un presupuesto detallado. Tareas de defensa ante el ataque, tareas de refuerzo de la seguridad, un presupuesto detallado y un plan de seguimiento a, al menos, tres años.

Indica cuál de las siguientes afirmaciones es falsa. Un informe pericial: Ha de encontrarse identificado en todas sus páginas. Ha de contener un índice. Debe tener sus páginas numeradas. Debe encontrarse firmado en todas sus páginas.

Los diagramas de red y líneas o tablas de tiempos: Son elementos obligatorios en todo informe pericial. Nunca deben aparecer en un informe pericial. Son recursos útiles para un mejor entendimiento de la información reflejada en un informe pericial. Son elementos específicamente recomendados por la norma UNE 197010.

Según la norma UNE 197010, un informe pericial debe contener: Un índice. La firma del perito. Un juramento o promesa del perito. Todas las anteriores son ciertas.

La norma UNE 197010: Especifica los anexos a incluir por cada tipo de evidencias. Especifica cómo debe codificarse un informe pericial. Especifica el tamaño mínimo que debe tener un informe pericial. Especifica un índice de contenidos exacto para todo informe pericial.

Según el artículo 343 de la Ley de Enjuiciamiento Civil, indique la opción incorrecta: Un perito puede ser tachado por tener amistad o enemistad con una de las partes. Un perito puede ser tachado por mantener una relación laboral con una de las partes. Un perito puede ser tachado por residir cerca de una de las partes. Un perito puede ser tachado por tener relación familiar con una de las partes.

La redacción de un informe pericial conforme a una norma o estándar: Es obligatoria en contencioso administrativo. Puede ser obligada por el juez. Es aconsejable para dar imagen de profesionalidad y facilitar la ejecución y mejorar claridad del documento. Un informe pericial no redactado conforme a norma o estándar puede ser invalidado.

En el apartado de «objeto del encargo», ¿qué hemos de tener en cuenta al realizar análisis forenses de arquitecturas cloud?. Incorporaremos un pequeño resumen de las labores llevadas a cabo y sus conclusiones. Describiremos los elementos de trabajo con los que contamos. Analizaremos las circunstancias que se conocen y dan lugar a la situación actual. Se suele desglosar el motivo de nuestro trabajo y las cuestiones que tenemos que responder. se explicará para qué se nos ha requerido el informe pericial y qué pretendemos conseguir con nuestra peritación.

En el apartado de conclusiones: Se intentarán contestar a las preguntas que se nos formularon y estableceremos una conclusión final. Debemos ser muy breves, y no ocupar más de cinco líneas. Las conclusiones serán fruto de nuestra interpretación como expertos de los resultados obtenidos en el análisis. La A y la C son ciertas.

Es conveniente aportar como anexos: El CV del perito y un glosario de términos. No es conveniente poner anexos si no es necesario ya que aumentan el tamaño del informe. Una copia de todas las conversaciones mantenidas con nuestro cliente. Una copia de todos nuestros títulos y diplomas.

Un informe pericial debe ser: Riguroso y con lenguaje científico. Riguroso, pero, a la vez, didáctico. Ante todo, didáctico, y debe utilizar ejemplos claros y fáciles de entender aunque no sean totalmente rigurosos. Legal, en el que es imprescindible utilizar terminología legal por encima del hecho tecnológico.

¿Qué tres preguntas buscamos responder con un análisis forense?. ¿Qué se ha alterado? y ¿Quién ha realizado dicha alteración?. ¿Qué se ha alterado? y ¿Cómo se ha alterado?. ¿Qué se ha alterado?, ¿Por que se ha alterado? y ¿Quien ha realizado dicha alteración?. ¿Qué se ha alterado?, ¿Como se ha alterado? y ¿Quien ha realizado dicha alteracion?.

¿Cuales son las etapas de un análisis forense?. Recolectar, reservar y presentar. Recolectar, preservar y presentar. Recolectar, reservar, preservar, analizar y presentar. Recolectar, preservar, analizar y presentar.

¿Que debemos detallar en un informe pericial?. El procedimiento realizado por los peritos y sus resultados. El procedimiento realizado por los peritos, el resultado se detalla únicamente en sede judicial. El equipo utilizado por los peritos, el procedimiento y resultados, únicamente en sede judicial. Ninguna de las anteriores es correcta.

Atendiendo a la definición dada en los apuntes, ¿Qué es un sistema de ficheros?. Es la forma en que se organiza y mantiene la jerarquía de ficheros. Es la forma en que se organiza y gestiona la jerarquía de ficheros. Es la forma en que se organiza, gestiona y mantiene la jerarquía de ficheros. Ninguna de las anteriores es correcta.

La adquisición de evidencias NO volátiles. Una evidencia no volátil no puede ser adquirida pues se degradaría. Se realiza en "frío" o en "caliente" en función de diversos factores. Se realiza siempre en "caliente". Ninguna de las anteriores es correcta.

¿A qué fase del análisis pertenece la identificación de volúmenes cifrados?. La identificación de volúmenes cifrados no pertenece a ninguna de las fases presentes en un análisis forense. A la fase del Post-Análisis. A la fase de Pre-Análisis. A la fase de análisis.

Los métodos avanzados de adquisición más comúnmente utilizados son: Jtag, Direct Chip y eMMC Off. Jtag Off, Direct Chip y eMMC. Jtag, Direct eMMC y Chip Off. Jtag y Direct eMMC.

Entre la información que podemos encontrar en la tarjeta de memoria externa de un terminal móvil no encontraremos: Archivos multimedia. Los códigos ICCID. APKs instaladas por el usuario. Bases de datos.

Salvo en aquellos casos en los que el dispositivo esté rooteado o podamos rootearlo, la única información que nos vamos a llevar va a ser la que esté disponible al usuario. Falso, también podemos acceder a la información de sistema. Falso, también podemos acceder a la información de las particiones de recuperación del sistema. Falso, si el teléfono no está rooteado no tendremos acceso a la información. Verdadero, únicamente vamos a poder acceder a la información disponible al usuario.

Las principales características de un informe pericial deben ser: Claridad, Concisión, Fundamentación y Justificación. Claridad, Fundamentación y Justificación. Claridad, Concisión y Justificación. Claridad, Concisión y Fundamentación.

¿Que fases podemos diferenciar durante la realización de un análisis forense?. Solo tenemos una fase y es la fase de análisis propiamente dicha. La fase de pre-análisis, la fase de análisis, la fase de post-análisis y la fase de redacción. La fase de pre-análisis y la fase de análisis propiamente dicha. Ninguna de las anteriores es correcta.

¿Cuál de las siguientes evidencias es la de menor volatilidad?. La memoria RAM. La tabla ARP. La caché de la CPU. El espacio de intercambio.

Cuando se redacta un informe pericial sobre un análisis realizado, ¿Qué se debe detallar en el mismo?. Únicamente los resultados que se obtienen del análisis. El procedimiento realizado y los resultados obtenidos. Únicamente el procedimiento realizado, los resultados pueden variar de un perito a otro y por eso no se indican. Ninguna de las anteriores es correcta.

Cual de estos NO es un objetivo de un análisis forense. Averiguar QUÉ se ha alterado. Descubrir POR QUÉ se ha realizado la alteración. Saber CÓMO se ha realizado la alteración. Descubrir QUIÉN ha realizado la alteración.

¿Cuáles son los objetivos que se busca conseguir mediante el uso de la cadena de custodia? (Seleccione la respuesta que considere más completa). Garantizar la integridad, inamobilidad, autenticidad, localización, trazabilidad y preservación de la evidencia. Garantizar la integridad, inamobilidad, autenticidad, trazabilidad y preservación de la evidencia. Garantizar la inamobilidad, autenticidad, trazabilidad, preservación y localización de la evidencia. Garantizar la integridad, autenticidad, localización, trazabilidad y preservación de la evidencia.

Indique cuál de los siguientes archivos no se considera, en principio, un archivo de interés dentro de un Sistema Operativo Windows. El registro de Windows. Los archivos de eventos del Sistema. Los archivos de paginación e hibernación. Todas las anteriores se consideran archivos de interés.

El Sistema Operativo Android está basado en Windows. Verdadero. Falso.

Sobre la herramienta de adquisición Magnet Acquire. Es una herramienta que nos permite analizar terminales Android. Es una herramienta para la adquisición de terminales Android únicamente. Es una herramienta para el análisis de terminales iOS. Es una herramienta que permite la adquisición de terminales Android e iOS.

Antes de rootear un dispositivo móvil dentro de un procedimiento judicializado... Es necesario solicitar permiso expreso al juez. No será necesario solicitar ningún tipo de autorización. Basta con la autorización del propietario del terminal. Ninguna de las anteriores es correcta.

El cuerpo del informe pericial suele incluir: Resumen ejecutivo, Objeto del encargo, Antecedentes, Fuentes de información y Análisis. Resumen ejecutivo, Objeto del encargo, Antecedentes, Fuentes de información, Procedimiento de trabajo y fundamentación. Resumen ejecutivo, Objeto del encargo, Antecedentes, Fuentes de información, Procedimiento de trabajo y fundamentación y Análisis. Resumen ejecutivo, Objeto del encargo, Fuentes de información, Procedimiento de trabajo y fundamentación y Análisis.

Las etapas de un análisis forense son: Recolectar, reservar, analizar y presentar. Recolectar, preservar y analizar. Recolectar, preservar, analizar y presentar. Recolectar, preservar y presentar.

¿Qué información sería posible recuperar tras la eliminación de un archivo si además, también se vacía la papelera de reciclaje (o carpeta similar)?. Si se elimina el enlace o su definición en la tabla índice, solo el archivo, sin los datos asociados al mismo. No es posible recuperar información sobre el archivo, sólo sus metadatos. Es posible recuperar únicamente la definición del archivo en la tabla índice. Ninguna de las anteriores es correcta.

Durante el análisis de los componentes de red. En un análisis forense, los componentes de red no son analizados. Obtenemos la lista de programas utilizados por el usuario. Obtenemos la lista de dispositivos usb conectados al equipo. Ninguna de las anteriores es correcta.

¿Cuál de las siguientes evidencias es de mayor volatilidad?. Los archivos temporales de Internet. La caché ARP. El espacio de intercambio. Los datos almacenados en el disco duro del equipo.

En un informe pericial, ¿Qué debemos detallar?. Los resultados obtenidos, el procedimiento no se detalla. El procedimiento realizado y sus resultados. El procedimiento realizado por los peritos únicamente. El equipo utilizado y los resultados, no el procedimiento realizado.

El Sistema Operativo Android está basado en Linux. Verdadero. Falso.

Las adquisiciones mediante ADB o Custom Recovery... Sólo las podremos realizar sobre terminales iOS. Sólo las podremos realizar sobre terminales Android. Sólo las podremos realizar sobre terminales Windows. Las podremos realizar sobre terminales Android e iOS.

¿Podemos realizar la adquisición de un terminal sin conocer el patrón (PIN, contraseña, etc.) de desbloqueo?. Si, siempre será posible acceder al terminal. No, salvo que aprovechemos vulnerabilidades conocidas o utilicemos herramientas comerciales que exploten estas vulnerabilidades. Sí, si utilizamos algún método avanzado de adquisición, aunque nos podríamos llevar la información cifrada. Las respuestas B (2) y C (3) son correctas.

Cuál de los siguientes no es un apartado de los indicados por la normativa UNE 197010 que deben aparecer en todos los informes periciales: Identificación. Declaración de imparcialidad. Reverso. Conclusiones.