Forense

Cuestionario de Examen Febrero de 2019
1.- Análisis Forense Informático es la ciencia de adquirir, preservar, obtener y

presentar datos que han sido procesados electrónicamente y guardados en un
medio computacional
Verdadero Falso
3.- Identificación / Evaluar, Preservación o adquisición, Análisis, Informar/

Presentación de los resultados de la evidencia. Es la metodología a seguir en una
investigación forense?
Verdadero Falso
4.- La Evidencia Volátil y No Volátil son los tipos de videncia que podemos
identificar en el Análisis Forense?
Verdadero Falso
5.- El Computación forense es la disciplina de las ciencias forenses que

consideran las tareas propias de la evidencia además de intentar descubrir e
interpretar la información en los medios informáticos para establecer los hechos y
poder formular hipótesis relacionadas con el caso.
Verdadero Falso
6.- El Forense Informático es la persona que hace uso de esas técnicas para
descubrir evidencia en un dispositivo electrónico (Equipo de cómputo, DD,
celulares, email, etc) Verdadero
Falso
9.- El Principio de intercambio o transferencia menciona que es imposible que un

criminal actúe, especialmente en la tensión de la acción criminal, sin dejar rastros
de su presencia. Buscando la relación entre estos componentes (autor, víctima y
escena del hecho) se le conoce como triángulo de la evidencia.
Verdadero Falso
10.- El Método científico es una forma de observar, pensar y resolver problemas

de una forma objetiva y sistemática, constituye un procedimiento de trabajo que
permite descubrir las circunstancias en que se presentan hechos concretos y se
caracteriza por ser: verificable, de observación objetiva y de razonamiento
riguroso.
Verdadero Falso
11.- Es un tipo de evidencia física construida de campos magnéticos y pulsos

electrónicos, que por sus características deben ser recolectados y analizados con
herramientas y técnicas especiales.
a) Evidencia digital
b) Análisis Forense
c) Criminalística
d) Criminología
Cuestionario Guía de Examen © Universidad Internacional de La Rioja, S. A.

(UNIR) Página 1 de 26
12.- Intenta responder las siguientes preguntas:
• ¿Quién ha realizado el ataque?
• ¿Cómo se realizó?
• ¿Qué vulnerabilidades se han explotado?
• ¿Qué hizo el intruso una vez que accedió al sistema?
c) Criminalística
d) Criminología
13.- La confiabilidad de la como prueba estará dada por

algunos aspectos básicos: ¿Cómo se obtuvo?, ¿Cómo se conserva? y ¿Quién lo
realizó?
c) Criminalística
d) Criminología
15.- Un Incidentes de seguridad es cualquier acción fuera de la ley o no

autorizada: ataques de denegación de servicio, extorsión, posesión de
pornografía infantil, envío de correos electrónicos ofensivos, fuga de información
confidencial dentro de la organización, en el cual está involucrado algún sistema
telemático de nuestra organización.
Verdadero
16.- Es la Metodología en un incidente de seguridad

a) Preparación y prevención
b) Detección del incidente
c) Respuesta inicial
d) Todas las anteriores
e) Ninguna de las anteriores
17.- Se entiende como Incidentes de seguridad al conjunto de datos en formato

binario, comprende los ficheros, su contenido o referencias a éstos (metadatos)
que se encuentren en los soportes físicos o lógicos del sistema atacado?
Verdadero Falso
20.- La aparición de nuevas tecnologías en los lugares del hecho ha motivado a los equipos
de técnicos o peritos que participan en la recolección, a contar con una necesaria formación y
capacitación para la adecuada preservación y levantamiento de la evidencia digita, es un
Objetivo de?
c) Criminalística
d) Criminología

21.- La informática forense tiene 3 objetivos
a) La compensación de los daños causados por los criminales o intrusos.
b) La persecución y procesamiento judicial de los criminales.
c) La creación y aplicación de medidas para prevenir casos similares con un enfoque
preventivo
22.- Etapas de un Análisis Forense son:

1. Identificar las acciones que se deben llevar a cabo cuando ya ha
sucedido un incidente de seguridad.
2. Conocer las fases del análisis forense.
3. Conocer las herramientas que se deben utilizar en la gestión de
incidentes de seguridad.
4. Saber elaborar un informe.
Verdadero
Falso
24.- En la fase de Preservación del Análisis Forense se debe garantizar la

información recopilada con el fin de que no se destruya o sea transformada. Es
decir que nunca debe realizarse un análisis sobre la muestra incautada, sino que
deberá ser copiada y sobre la copia se deberá realizar la pericia.
Verdadero Falso
25.- Es un acta en donde se registra el lugar, fecha, analista y demás actores que
manipularon la muestra.
a) Cadena de custodia
b) Análisis físico y Análisis lógico
c) Informe Ejecutivo e Informe Técnico.
37.- Cuando se accede a la información podemos encontrar dos tipos de análisis:

c) Informe Ejecutivo e Informe Técnico
d) Evidencia volátil y Evidencia no volátil
28.- En la Fase final de Documentación del Análisis Forense, recomendamos ir

documentando todas las acciones, en lo posible, a medida que vayan ocurriendo.
Aquí ya debemos tener claro por nuestro análisis qué fue lo sucedido, e intentar
poner énfasis en cuestiones críticas y relevantes a la causa. Debemos citar y
adjuntar toda la información obtenida, estableciendo una relación lógica entre las
pruebas obtenidas y las tareas realizadas, asegurando la repetibilidad de la
investigación.
Verdadero Falso
30.- En la Fase final de Presentación del Análisis Forense Presentación se

generan dos documentos a) Cadena de custodia

d) Sistema de ficheros
31.- Un “Informe _________” muestra los rasgos más importantes de forma resumida y
ponderando por criticidad en la investigación sin entrar en detalles técnicos. Este informe debe
ser muy claro, certero y conciso, dejando afuera cualquier cuestión que genere algún tipo de
duda.
a) Informe Ejecutivo
b) Informe Técnico
c) Análisis físico
d) Análisis lógico
32.- El Informe _____consta de los siguientes puntos: (Introducción, Descripción,

Recomendaciones)
a) Informe Ejecutivo
b) Informe Técnico
c) Análisis físico
d) Análisis lógico
35.- De acuerdo a los Niveles de Actuación del Informático Forense el

Responsable de Identificación es la persona idónea para las tareas de
identificación, y no necesariamente un especialista informático.
Verdadero Falso
37.- De acuerdo a los Niveles de Actuación del Informático Forense El Especialista

en Adquisición es la Persona autorizada, entrenada y calificada para recolectar
dispositivos y adquirir evidencia digital de estos, como ser imágenes de disco,
volcados de memoria o red, copias lógicas, entre otros tipos de evidencia digital.
Verdadero Falso
39.- Algunos tipos de Análisis forense son:

a) Análisis forense de sistemas
b) Análisis forense de redes
c) Análisis forense de sistemas embebidos
d) Todos los anteriores
e) Ninguno de los anteriores
40.- En el Análisis forense de sistemas se tratarán los incidentes de seguridad

acaecidos en servidores y estaciones de trabajo con los sistemas operativos: Mac
OS, sistemas operativos de Microsoft (Windows 9X/Me, Windows 2000
server/workstation, Windows 2003 Server, Windows XP, Windows Vista, Windows
2008 Server, etc.), sistemas Unix (Sun OS, SCO Unix, etc.) y sistemas GNU/Linux
(Debian, RedHat,Suse, etc.).Verdadero Falso
42.- En el Análisis forense de sistemas embebidos se analizaran incidentes

acaecidos en móviles, PDA, etc. Un sistema embebido posee una arquitectura

semejante a la de un ordenador personal.
Verdadero Falso
43.- Que entiendes por sistema de ficheros? 44.-

Que entiendes por archivos borrados?
45.- Que son los metadatos de los archivos?
46.- Describe un ejemplo de recuperación de un archivo eliminado.
47.- La Cadena de Custodia es la manipulación adecuada de los elementos,

rastros e indicios hallados en el lugar del hecho, durante todo el proceso judicial.
Verdadero Falso
48.- Es una secuencia o serie de recaudos destinados a asegurar el origen,

identidad e integridad de la evidencia, evitando que ésta se pierda, destruya o
altere. Se aplica a todo acto de aseguramiento, identificación, obtención, traslado,
almacenamiento, entrega, recepción, exhibición y análisis de la evidencia,
preservando su fuerza probatoria. Permite, además, hacer transparente todo
eventual cambio o alteración del material probatorio.
a) Criminología
b) Método científico
c) Cadena de Custodia
d) Metadatos
49.- Las etapas de la Cadena de custodia son:

a) Identificación
b) Validación y preservación
c) Análisis de evidencia
d) Informe y preservación de las pruebas
e) Todas las anteriores
50.- En la ________es necesario documentar:

Dónde, cuándo y quién manejo o examinó la evidencia, incluyendo su nombre, su
cargo, un número identificativo, fechas y horas, etc.
Quién estuvo custodiando la evidencia, durante cuánto tiempo y dónde se
almacenó. Cuando se cambie la custodia de la evidencia también deberá
documentarse cuándo y cómo se produjo la transferencia y quién la transportó.
a) Criminología
d) Metadatos
51.- El proceso de ______se basa en los principios probatorios de
protección del indicio, buscando que el mismo no sufra alteraciones; legitimidad,

respetando las normas legales; veracidad, libre de vicios de nulidad y de la
necesidad de que los hechos sobre los cuales se basa la acusación y sentencia se
encuentren acreditados.
a) Criminología
d) Metadatos
52.- La _______recoge los principios éticos que deben ser asumidos

por todos los profesionales de la informática pertenecientes a una asociación.
a) Deontología informática
b) Perito informático
d) Metadatos
53.- Los deberes del perito informático son:

a) Ser objetivo y ajeno completamente al proceso en el cual se le requiere o se
presenta su participación.
b) Ser una persona imparcial y sin intereses particulares.
c) Poseer los conocimientos, la experiencia y la formación teórico-práctica
como experto en la materia.
d) Rechazar cualquier proceso que le sea imputado por coacción y no pueda
ejercer de manera voluntaria
54.- En un dispositivo de almacenamiento nos encontraremos con tres tipos de

datos recuperados:
a) Allocated
b) Deleted/Reallocated
c) Unallocated
55.- Allocated es un Inodo y nombre del fichero intactos, con lo que dispondremos
del contenido integro
Verdadero Falso
57.- Unallocated es un Inodo y nombre de fichero no disponibles, con lo que no

tendremos el contenido íntegro del archivo aunque sí algunas partes.
Verdadero Falso
58.- Es una estructura de datos propia de los sistemas de archivos

tradicionalmente empleados en los sistemas operativos tipo UNIX como es el

caso de Linux.
a) Inodo
b) Allocated
c) Deleted/Reallocated
d) Unallocated
e) Todos los anteriores
59.- las características de un ______son (permisos, fechas, ubicación, pero NO el nombre) de

un archivo regular, directorio, o cualquier otro objeto que pueda contener el sistema de ficheros.
a) Inodo
b) Allocated
c) Deleted/Reallocated
d) Unallocated
e) Todos los anteriores
60.-Es la forma en que se organiza, gestiona y mantiene la jerarquía de ficheros

en los dispositivos de almacenamiento.
61.- Los sistemas de ficheros más habituales son:

a) FAT32 Y NTFS
b) Ext3/4
c) HFS+
62.- FAT32 Y NTFS es el Sistema de ficheros para Sistemas Operativos Windows

Verdadero
Falso
64.- HFS+ es el Sistema de ficheros para Sistemas Operativos MAC OS

Verdadero Falso
65.- Es un conjunto contiguo de sectores que componen la unidad más pequeña

de almacenamiento de un disco
a) Clúster
66.- “El motivo por el cual no se elimina físicamente el archivo, es que este
proceso implicaría llenar de ceros (o cualquier otro valor irrelevante) la zona del
dispositivo donde se encontraba dicho archivo, lo que conllevaría mucho

tiempo y desgaste del propio dispositivo.”
Verdadero Falso
68.- Los programas de recuperación de archivos trabajan de dos formas

diferentes:
a) El programa de recuperación de archivos, lee el índice, va a la posición donde
este indica que se encuentra el archivo y lo recupera.
b) denominada recuperación en bruto, consiste en leer los espacios del disco
duro marcados como libres en el índice del sistema de ficheros y buscar en
dichos espacios firmas de archivos conocidas, de manera que cuando encuentre
una de estas firmas, sabemos que lo que viene a continuación es un archivo.
c) Todos los anteriores
d) Ninguno de los anteriores
69.- Los metadatos son información sobre datos que no están a simple vista pero
que mediante etiquetas nos dicen muchas cosas de un archivo o documento.
Verdadero Falso
70.- Estos ______a menudo plantean riesgos de seguridad, porque quizá estemos dando
información sensible como nombres, teléfonos, direcciones de correo o rutas a personas
malintencionadas. Esto es muy común si publicamos, compartimos o enviamos archivos a
través de Internet.
a) Clúster
b) Metadatos
71.- Los archivos como los documentos ofimáticos (hojas de cálculo, documentos
de texto…), las fotografías, los archivos de vídeo y audio y los mensajes de correo
electrónico (las cabeceras del mensaje) contienen
a) Clúster
b) Metadatos
73.- Los ____de los archivos pueden representar una fuente de pruebas digitales para el
informático forense y perito.
a) Clúster
b) Metadatos

75.- La Clasificación de los Metadatos son:
a) Por contenido
b) Variabilidad
c) Por función
d) Por finalidad
76.- El Rol y función de los Metadatos son:

a) Búsqueda y Recuperación
b) Transferencia y Evaluación
c) Archivo, conservación e Interoperabilidad
78.- Los metadatos pueden ser creados o modificados en los siguientes puntos
dentro de la vida de los datos:
a) Cuando se crean los datos.
b) Cuando se organizan o catalogan los datos.
c) Cuando se modifican o editan los datos.
d) Cuando se archivan o descatalogan los datos.
79.- Son escenarios de perdida de datos:

a) Eliminación accidental
b) Formateo
c) Operación inadecuada
80.- Son la parte fundamental de un análisis forense, pues sin ellas el resto del estudio no se
podría realizar
a) Clúster
b) Metadatos
c) Evidencias
81.- Una Evidencia Digital es cualquier información que, sujeta a una intervención humana,
electrónica y/o informática, ha sido extraída de cualquier clase de medio tecnológico
informático (computadoras, celulares, aparatos de video digital, por ejemplo). Técnicamente,
es un tipo de evidencia física que está constituida por campos magnéticos y pulsos
electrónicos que pueden ser recolectados y analizados con herramientas y técnicas
especiales.

Verdadero Falso
82.- La evidencia digital debe poseer las siguientes características esenciales:

a) Relevancia y Suficiencia
b) Validez legal y Confiabilidad.
c) Todas las anteriores
d) Ninguna de las anteriores
83.- Las evidencias digitales engloban:

a) Evidencias volátiles
b) Evidencias No volátiles
84.- Las Evidencias volátiles son aquellas evidencias que cambian con facilidad como
pueden ser las memorias caché, tablas de enrutamiento, los procesos que están en
ejecución o la memoria RAM, entre otros. Este tipo de evidencias son las que primeramente
tendremos que adquirir puesto que nuestras acciones pueden modificar su valor original y
desaparecen al apagar el equipo.
Verdadero Falso
85.- Es un ejemplo de evidencias volátiles:

a) Procesos en ejecución, Conexiones activas.
b) Drivers cargados, Direcciones web.
c) Passwords y Servicios.
86.-Son evidencias No Volátiles las que no cambian con tanta facilidad, aunque por
supuesto nuestras acciones pueden alterar su valor si no actuamos con cuidado.
Dentro de este tipo de evidencias se engloban los discos duros, pendrives, CDs, etc
Verdadero Falso
88.- Como se acota la escena del crimen?
89.- Al acotar la escena del crimen debemos de tener en cuenta:

a) ¿Qué equipos han sufrido de manera directa el incidente?
b) ¿Qué otros equipos que sin haber sufrido el incidente pueden estar relacionados
con el mismo?
90.- En la Escena del Delito los Investigadores que llegan primero a una escena
del crimen tienen ciertas responsabilidades:
a) Observar y establecer los parámetros de la escena del delito, Iniciar las
medidas de seguridad

b) Asegurar físicamente la escena, Asegurar físicamente las evidencias
c) Entregar la escena del delito y Elaborar la documentación de la explotación
de la escena
c) Ninguna de las anteriores
91.- Acotando la escena del crimen el primero en llegar a la escena, debe Observar
y establecer los parámetros de la escena del delito. Establecer si el delito está
todavía en progreso, luego tiene que tomar nota de las características físicas del
área circundante. Verdadero
Falso
92.- Acotando la escena del crimen al Iniciar las medidas de seguridad el objetivo
principal en toda investigación es la seguridad de los investigadores y de la
escena. Verdadero
Falso
93.- Acotando la escena del crimen en la etapa de Asegurar físicamente la escena

es crucial durante una investigación, se debe retirar de la escena del delito a todas
las personas extrañas a la misma, el objetivo principal es el prevenir el acceso no
autorizado de personal a la escena, evitando así la contaminación de la evidencia
o su posible alteración.
Verdadero Falso
94.- Acotando la escena del crimen al Asegurar físicamente las evidencias en este
paso es muy importante a fin de mantener la cadena de custodia de las
evidencias, se debe guardar y etiquetar cada una de ellas.
Verdadero Falso
95.- Acotando la escena del crimen después de que se han cumplido todas las
etapas anteriores, Entregar la escena del delito la escena puede ser entregada a
las autoridades que se harán cargo de la misma.
Verdadero Falso
96.- Acotando la escena del crimen es Indispensable para los investigadores

documentar cada una de las etapas de este proceso, a fin de tener una completa
bitácora de los hechos sucedidos durante la explotación de la escena del delito,
las evidencias encontradas y su posible relación con los sospechosos elaborando
la documentación de la explotación de la escena
Verdadero Falso
97.- La ________permite al investigador forense comprender todos los hechos relacionados

con el cometimiento de una infracción, usando para ello las evidencias disponibles.
a) Reconstrucción del delito
b) Reconstrucción Funcional
c) Reconstrucción Temporal

98.- Los indicios que son utilizados en la reproducción del Delito permiten al
investigador realizar formas de reconstrucción a saber: (Reconstrucción
Relacional, Reconstrucción Funcional, Reconstrucción Temporal
Verdadero Falso
99.- La reconstrucción relacional de la Escena del Delito se hace en base a indicios

que muestran la correspondencia que tiene un objeto en la escena del delito y su
relación con los otros objetos presentes.
Verdadero Falso
100.- En la reconstrucción Temporal de la Escena del Delito señala la función de

cada objeto dentro de la escena y la forma en que estos trabajan y como son
usados Verdadero
Falso
101.- La reconstrucción Temporal de la Escena del Delito se hace con indicios que
nos ubican en la línea temporal del cometimiento de la infracción y en relación
con las evidencias encontradas.
Verdadero Falso
102.- Adquirir una evidencia es sencillamente crear un archivo que contenga toda
la información contenida en la evidencia original. Incluidos los espacios marcados
como vacíos o libres (si estamos hablando de dispositivos como un disco duro o un
pendrive). Verdadero
Falso
103.- Los tipos de archivos de evidencia más comunes son: RAW (*.*) , EnCase
EVF (*.Exx) y Advanced Forensics Format (*.AFF)
Verdadero Falso
104.- Las evidencias _________, como la memoria RAM, tendremos que adquirirlas en caliente,
esto es, con el equipo a examinar encendido (pues como ya se ha dicho, estas evidencias
desaparecen al apagar el equipo). El principal problema de este tipo de adquisición, es que las
evidencias del equipo se degradan, pudiendo incluso llegar a perderse evidencias si no tenemos
cuidado con nuestras acciones.
a) Evidencias Volátiles
b) Evidencias No volátiles
c) Evidencias Lógicas
d) evidencias Materiales
106.- Del análisis de la memoria RAM se puede obtener:

a) Contraseñas de acceso (en claro o el hash de las mismas)
b) Documentos abiertos por el usuario, aunque no se hubieran guardado
c) Imágenes que se estuvieran visualizando

d) Programas en ejecución (es posible extraer un ejecutable completo de la
captura de la memoria RAM)
107.- La adquisición de evidencias no volátiles podemos adquirirlas:

a) En frío con el equipo apagado
b) Como en caliente
c) Con el equipo en funcionamiento
108.- El RFC 3227 es una normativa recomendada para la adquisición de

evidencia Verdadero Falso
109.- Preservación de la integridad e identidad de las evidencias

1.Alejar a todas las personas no autorizadas de la escena
2.Identificar al administrador de los sistemas en caso de necesitar apoyo técnico
3.Mantener el estado de los dispositivos, si están encendidos, no apagarlos y
viceversa 4.Buscar posibles notas asociadas a las contraseñas o PINs de acceso
a los equipos 5.Fotografiar la escena, para documentar el estado inicial y para
una posible reconstrucción posterior
6.Etiquetar dispositivos y cableado
7.Localizar equipos inalámbricos instalados y determinar los modos de conexión
que usan
8.No desconectar fuentes de alimentación cuando las evidencias estén
almacenadas en soportes volátiles
9. En los distintos dispositivos digitales, revisar la existencia de dispositivos
de almacenamiento adicionales introducidos en ellos
Verdadero Falso
110.- El estado en el que se encuentran los sistemas, de modo que el proceso de

adquisición de evidencias no será el mismo.
Verdadero Falso
111.- En los Sistemas apagados la preservación de la integridad e identidad de

las evidencias, las recomendaciones básicas, para el perito informático, son
realizar un borrado seguro del soporte que va a contener el clonado forense y,
una vez realizado dicho borrado, utilizar dispositivos bloqueadores de escritura
(hardware o software) para garantizar la no alteración de los datos originales,
calculando el resumen hash tanto de la información contenida en el soporte
original, como en el soporte copia obtenido, comprobando que ambos resúmenes
son idénticos. Verdadero Falso
112.- En los Sistemas encendidos la preservación de la integridad e identidad de

las evidencias, cuando los sistemas se encuentran en funcionamiento, se deberá
proceder a su adquisición según el orden de volatilidad, de mayor a menor
volatilidad. El grado de volatilidad posee, por lo general, dos niveles
Verdadero Falso

114.- Son normativas recomendada para la integridad e identidad de las
evidencias: RFC 3227, ISO/IEC 27042:2015, Guía de la IOCE IOCE06
Verdadero Falso
115.- El ISO/IEC 27042:2015 es una norma para el análisis e interpretación de

evidencias digitales, proporciona directrices sobre cómo un perito informático
puede abordar el análisis e interpretación de una evidencia digital en un incidente
o en una intervención pericial, desde su identificación (evidencia digital potencial),
pasando por su análisis (evidencia digital), hasta que es aceptada como prueba
en un juicio (evidencia digital legal).
Verdadero Falso
116.- El RFC 3227 define un proceso para la recolección de evidencias que ayuda
al perito informático a adquirir y catalogar las evidencias digitales.
Verdadero Falso
117.- La Guía de la IOCE IOCE06 es el documento provee una serie de

estándares, principios de calidad y aproximaciones para la detección prevención,
recuperación, examinación y uso de la evidencia digital para fines forenses. Cubre
los sistemas, procedimientos, personal, equipo y requerimientos de comodidad que
se necesitan para todo el proceso forense de evidencia digital, desde examinar la
escena del crimen hasta la presentación en la corte
Verdadero Falso
118.- El proceso de preservación de la integridad e identidad de las evidencias es:

a) Recolección, Análisis Preliminar
b) Investigación, Análisis, Presentación
119.- La informática forense es un proceso de investigación y que las evidencias

que obtengamos deben de poder ser presentadas como medio de prueba en un
procedimiento judicial.
Verdadero Falso
120.- El objetivo de un análisis forense debe responder a: Que se ha alterado?,

Como se ha alterado?, Quien ha realizado dicha alteración?
Verdadero Falso
121.- En el análisis de las evidencias la última de las preguntas es Como se ha

alterado? Donde se plantea el reto de saber quién fue el autor material de los
hechos. Quién ha realizado las modificaciones que han sido detectadas.
Verdadero Falso
122.- Las Etapas de un análisis forense según NIST 2006 son:

a) Recolectar, Preservar

b) Analizar y Presentar las evidencias
123 .- Quien ha realizado dicha alteración? Es la última etapa de un análisis

forense consiste en la realización de un informe pericial en el que se detallen:
Verdadero Falso
124.- Las evidencias que obtengamos de un análisis forense deben de poder ser
presentadas como medio de prueba en un procedimiento judicial. Pero, para que
un elemento pueda servir como elemento probatorio en un procedimiento judicial
se tiene que poder asegurar que dicho elemento no ha sido alterado desde el
momento de su recolección hasta su análisis y presentación.
a) La cadena de custodia.
b) Evidencia Volátil
c) Evidencia No volátil
d) Evidencia lógica
125.- La cadena de custodia es el proceso mediante el cual la evidencia es

transmitida sin modificación alguna, desde quien la ocupa, hasta quien la analiza.
Verdadero Falso
126.- Los objetivos que se a conseguir mediante el uso de la cadena de custodia

son:
a) Garantizar la integridad de la evidencia, impidiendo que se realice cualquier
cambio sobre la misma.
b) Garantizar su autenticidad, permitiendo contrastar su origen.
c) Garantizar la posibilidad de localización, permitiendo saber en cualquier
momento dónde se encuentra una evidencia.
d) Garantizar la trazabilidad de los accesos a la evidencia.
e) Garantizar su preservación a largo plazo.
f) Todas las anteriores
127.- El mantenimiento de la cadena de custodia se suele llevar a cabo mediante

la documentación de:
a) Las personas custodiantes de la evidencia
b) El uso de funciones hash que garanticen la integridad de la misma.
128.- Cadena de custodia de las evidencias digitales se ha de llevar un registro

de las personas que realicen cualquier operación con la evidencia, indicando la
operación realizada, la fecha en que dicha operación ha sido realizada (inicio y
finalización) y la persona que la ha realizado.
Verdadero Falso
129.- Un __________puede ser cualquier persona, siempre y cuando sea un experto en la

materia sobre la cual pretenda realizar la pericia.
a) Perito
b) Custodio
c) Recolector de evidencia
d) Especialista en Seguridad Informática
131.- Describe los tipos de evidencia:

132- Describe el tipo de volatilidad de la evidencia:
133.- Como se acota la escena del crimen?
134.- Como se realiza la adquisición de evidencias?
135.- Describe cómo se lleva a cabo la preservación de la integridad de la
evidencia: 136.- Describe cómo se lleva a cabo la identidad de la evidencia:
137.- Como se lleva a cabo el Análisis de las evidencias?
138.- El esquema de análisis de las evidencias incluye:

a) El Pre-análisis
b) Análisis
139.- En el Pre-análisis de las evidencias se verifican:

a) Archivos y volúmenes cifrados
b) Máquinas virtuales, Archivos borrados
c) Hash, Firmas
140.- En el análisis de las evidencias se verifican:

a) Palabras clave
b) Sistema operativo
c) Componentes de red
141.- Es la fase pre-análisis en el análisis de las evidencias, donde identificamos

los archivos y volúmenes cifrados, las máquinas virtuales, recuperamos los
archivos borrados, obtenemos el hash de todos los archivos y realizamos una
verificación de firmas de los mismos. Verdadero Falso
142.- Es la fase en el análisis de las evidencias, donde realizamos búsquedas de

las palabras clave que nos interesan, analizamos el sistema operativo (con todo lo
que ello incluye) analizamos los componentes de red.
Verdadero Falso
143.- En la fase de Análisis de la evidencia se puede hacer de manera casi

automática, pues en prácticamente todos los casos que nos encontremos se van

a realizar dichos pasos
Verdadero Falso
144.- La fase de análisis de la evidencia es específica para cada caso concreto,

pudiendo alterar algunos de los pasos que la componen o incluso eliminarlos.
Verdadero Falso
145.- En el paso de Identificación de archivos y volúmenes cifrados del Pre-

análisis de la evidencia nuestra labor como analistas forenses consiste en
descubrir los archivos y volúmenes que pudieran encontrarse cifrados en el
equipo.
Verdadero Falso
146.- Hay que tener en cuenta que no se van a poder descifrar todos los tipos de
cifrado existentes, por lo que en caso de encontrar un archivo que no se pudiera
descifrar y, por lo tanto, no se pudiera leer su contenido, pasaríamos a anotar tal
información en nuestro informe pericial con el fin de que quede constancia de dicho
extremo.
Verdadero Falso
147.- En la Identificación de las máquinas virtuales, del Pre-análisis de la

evidencia para identificar las máquinas virtuales que pudieran existir en el equipo,
lo ideal es comenzar por las aplicaciones instaladas en el mismo. Si el equipo
tiene instalado el software VMware, es lógico pensar que puede tener máquinas
virtuales en dicho formato, aunque esto no excluye la búsqueda de otro tipo de
máquinas virtuales.
Verdadero Falso
148.- Los formatos más comunes de discos duros de máquinas virtuales son:
a) *.VMDK Formato abierto utilizado por VMWare (desarrollador) y VirtualBox
b) *.VHD Formato abierto (Bajo la especificación Microsoft Open
Specification Promise) utilizado por MS Virtual PC y MS Hyper-V
c) *.XVA Formato abierto utilizado por Citrix XEN
Verdadero
Falso
149.- En la Recuperación de archivos borrados del Pre-análisis de la evidencia

para la recuperación de los archivos borrados. Cuando se elimina un archivo
sigue siendo posible la recuperación del mismo. Verdadero Falso
150.- En la recuperación de archivos borrados durante el Pre-análisis de la

evidencia usamos programas como AccessData FTK, que muestran los archivos
marcados como borrados en el índice del sistema de ficheros y posteriormente
realizaremos una búsqueda en bruto de archivos borrados mediante programas
como Photorec o R- Studio, que realizan la búsqueda sobre el espacio libre del
dispositivo.
Verdadero Falso

151- El Hash de los archivos (Descartar/Señalar) del Pre-análisis de la evidencia
hacemos un tipo de filtrado que consiste en obtener el hash de todos los archivos
a estudiar y comparar sus valores con una base de datos de archivos «malos» o
«buenos», de manera que podamos descartar los archivos considerados como
«buenos» (archivos del sistema operativo o de programas fiables) y nos podamos
centrar en los «malos» o desconocidos.
Verdadero Falso
152.- Hay que tener muy en cuenta el algoritmo hash utilizado, puesto que si
estamos realizando una comparativa entre algoritmos hash diferentes nos será
imposible encontrar concordancia. Un ejemplo sería el tener en nuestra Base de
Datos de hashes, los hashes MD5 de archivo de interés e intentar compararlos con
hashes SHA1.
Verdadero Falso
153.- Verificación de firmas en el Pre-análisis de la evidencia indica de qué tipo es

un fichero es su cabecera o firma, puesto que la extensión puede ser fácilmente
cambiada. Para comprobar si en los archivos que vamos a analizar coincide lo que
la extensión indica con el contenido del archivo
Verdadero Falso
154.- Para la verificación de firmas podemos utilizar el ya mencionado AccessData

FTK, el cual, a partir de una base de datos de firmas de archivo, indica si en los
archivos analizados se corresponde o no la firma y la extensión.
Verdadero Falso
155.- La modificación de la extensión y/o la ruta con el objetivo de ocultar el

verdadero contenido de un archivo es una técnica muy rudimentaria de ocultación
de información, pero todavía bastante utilizada.
Verdadero Falso
156.- En la búsqueda de palabras clave dentro del Análisis de la evidencia es

necesario obtener documentos relacionados con determinadas palabras, por
ejemplo, que tengamos que obtener los documentos en los que se menciona a
una determinada persona.
Verdadero Falso
157.- Para realizar la búsqueda podemos utilizar el mismo AccessData FTK, que
permite realizar búsquedas mediante palabras clave o mediante expresiones
regulares las cuales nos permiten definir patrones de búsqueda mucho más
complejos que una simple búsqueda literal.
Verdadero Falso
158.- En Análisis del sistema operativo tenemos que seguir una serie de pasos,
durante los cuales tenemos que intentar responder a las siguientes preguntas:
(Nombre y versión del sistema operativo instalado, Usuarios del sistema y sus

privilegios, Programas instalados, Antivirus instalados y análisis de seguridad,
Análisis de los archivos de registro del sistema operativo, Hardware configurado
en el sistema) Verdadero Falso
159.- En el Análisis de los componentes de red tenemos que seguir una serie de
pasos, durante los cuales tenemos que intentar responder a las siguientes
preguntas: (Programas Peer to Peer (P2P), FTP u otros de compartición de
ficheros, Correos electrónicos y mensajería instantánea, Exploradores de Internet,
Otros programas con acceso a Internet)
Verdadero Falso
160.- Cuando analicemos los correos electrónicos, los programas de mensajería

instantánea o cualquier otro programa que pueda albergar comunicaciones
privadas entre personas, debemos de tener cuidado de no incurrir en un delito
contra el secreto de las comunicaciones.
Verdadero Falso
161.- El registro de Windows está compuesto por varios archivos, los cuales, en
Windows 7 y
8 son: «SAM», «SECURITY», «SOFTWARE» y «SYSTEM», ubicados en la ruta
«[WINDOWS INSTALL DIR]\System32\config\». Además del archivo
«NTUSER.DAT» ubicado en la carpeta personal de cada usuario. Estos archivos
pueden ser analizados fácilmente con la herramienta Windows Registry Recóvery
de MiTeC.
Verdadero Falso
162.- Los archivos de eventos almacenan los eventos ocurrido en el sistema

operativo. En ellos podemos encontrar eventos sobre los accesos de los usuarios
al equipo, las conexiones a la red, errores en la impresión de archivos, la creación
de usuarios, etc. Verdadero Falso
163.- Los Archivos de paginación e hibernación de Windows que contiene

información que se encontraba previamente en la memoria RAM, pero que por
falta de espacio (archivo de paginación) o por entrar el equipo en suspensión
(archivo de hibernación), se han copiado al disco duro.
Verdadero Falso
164.- En este paso, del Análisis de la evidencia donde Analizamos el sistema

operativo:
a) Podemos saber si hay algún usuario anormal?
b) Si hay cuentas anónimas activas?
c) Si alguno de los usuarios es el propietario de algún archivo
sospechoso?

operativo:
a) Podemos saber si tiene instalado algún antivirus?
b) Existe algún antivirus fake?
c) Está infectado con algún virus el equipo? En tal caso, ¿dicho virus se
encuentra activo?

operativo:
a) Podemos saber Qué hardware se encuentra configurado en el sistema?
b) Qué dispositivos han sido conectados al mismo?
c) Con el hardware configurado se ha podido realizar el incidente
investigado?
167.- En este paso, del Análisis de la evidencia donde Analizamos los

componentes de red podemos saber:
a) Qué programas de este tipo tenía instalados y configurados?
b) Alguno de ellos tenía una configuración «extraña»?
c) Qué archivos se han compartidos o descargado?
168.- El Sistema de ficheros es la forma en que se organiza, gestiona y mantiene

la jerarquía de los ficheros en los dispositivos de almacenamiento.
Verdadero Falso
El archivo de eventos permite que los programas acceder a los datos, siendo
necesario únicamente conocer la ruta de los archivos a los que se pretende
acceder, dejando al sistema de ficheros la labor de traducción.
Verdadero Falso
170.- Cuando se formatea un dispositivo, lo que se hace, entre otras cosas, es

implantar un nuevo sistema de ficheros en dicho dispositivo; siendo los más
comunes:
a) FAT32
b) NTFS
c) Ext3/4
d) HFS+
171.- Cuando eliminamos un archivo, lo que estamos haciendo no es eliminarlo

físicamente del dispositivo, si no marcar dicho archivo como eliminado, indicar que
el espacio ocupado por el mismo está libre, borrar el enlace a la primera parte del
mismo, eliminar la definición del archivo del índice o varias de estas opciones, todo
ello en función del sistema de ficheros utilizado.
Verdadero Falso
172.- Los Archivos de paginación e hibernación de Windows son datos que

describen otros datos. En el ámbito de la informática nos referimos a los datos
asociados a los archivos que aportan información sobre los mismos
Verdadero Falso
173.- Las Evidencias digitales se pueden englobar dentro de dos grandes grupos:
Evidencias volátiles y Evidencias no volátiles
Verdadero Falso
174.- Las Evidencias volátiles son aquellas que cambian con facilidad como
pueden ser las memorias cache, tablas de enrutamiento, los procesos que están
en ejecución o la memoria RAM, entre otros. Este tipo de evidencias son las que
primeramente tendremos que adquirir puesto que nuestras acciones pueden
modificar su valor original y desaparecen al apagar el equipo
Verdadero Falso
175.- Las evidencias no volátiles como su mismo nombre lo indicia, no cambian

con tanta facilidad, aunque por supuesto nuestras acciones pueden alterar su
valor si no actuamos con cuidado. Dentro de este tipo de evidencias se engloban
los discos duros, pendrives, CD´s, etc.
Verdadero Falso
176.- Para acotar la escena del crimen debemos tener en cuenta

a) ¿Qué equipos han sufrido de manera directa el incidente?
b) ¿Qué otros equipos que sin haber sufrido el incidente pueden estar relacionados
con el mismo?
Verdadero Falso
177.- Adquirir una evidencia es sencillamente crear un archivo que contenga toda
la información contenida en la evidencia original. Incluidos los espacios marcados
como vacíos o libres (si estamos hablando de dispositivos como un disco duro o un
pendrive). Verdadero
Falso
178 ¿Para que adquirimos una evidencia?
179.- A la hora de realizar una adquisición en frío debemos de proteger contra

escritura el dispositivo que se pretende adquirir con el fin de evitar la modificación

del mismo. Verdadero Falso
180.- Para verificar que lo analizado es una copia exacta de la evidencia original,
o que la integridad de dicha copia se mantiene a lo largo de todo el proceso de
análisis hacemos uso de
a) Las funciones hash
b) Sistema de ficheros
c) Archivo de eventos
d) Registro de Windows
181.- Una función hash es un tipo de función que debe reunir como mínimo las
siguientes características:
a) Para cada entrada «E», la función generará siempre una salida «S» única. Lo
que implica que cualquiera alteración en la entrada, por mínima que sea, alterará
la salida.
b) A partir de la salida «S» de la función, es imposible obtener la entrada
original «E».
182.- Windows tiene una serie de archivos que nos van a proporcionar una valiosa
información a la hora de realizar un análisis del mismo. Estos archivos son: El
registro de Windows, Los archivos de eventos, Los archivos de paginación e
hibernación Verdadero
Falso
183.- El Registro de Windows es una gran base de datos donde se almacena

información sobre el propio sistema operativo y los programas instalados. De él
podemos obtener información como: el histórico de los dispositivos USB
conectados, el hardware configurado en el equipo, las redes Wifi a las que el
equipo ha estado conectado, los programas instalados, contraseñas de los
usuarios, etc.
Verdadero Falso
184.- Dentro de un sistema operativo tipo Linux, los archivos y carpetas de los que
más información podremos extraer son:
a) La partición de intercambio «swap» y El archivo «/etc/sudoers»
b) El archivo «.bash_history» y La carpeta «/var/log/»
c)
d) La carpeta «/var/spool/cron/crontabs»
f) Ninguna de las anteriores

185.- La partición de intercambio «swap» son los archivos de intercambio añadidos
al sistema (archivos con extensión «.swap»). Similar al archivo de paginación en
sistemas Windows.
Verdadero Falso
186.- El archivo «/etc/sudoers» son los archivos que indican qué usuarios
pueden ejecutar comandos como administrador (mediante los comandos «su»
o «sudo»). Verdadero
Falso
187.- El archivo «.bash_history», es el archivo el cual se encuentra en la carpeta

del usuario y almacena el historial de comandos ejecutados en la consola del
equipo.
Verdadero Falso
188.- La carpeta «/var/log/»contiene toda la lista de archivos logs del sistema

operativo. Podemos ver que se escribe en cada uno de estos archivos leyendo el
fichero de configuración «/etc/rsyslog.conf».
Verdadero Falso
189.- La carpeta «/var/spool/cron/crontabs» es en la cual se almacenan las tareas

programadas de cada uno de los usuarios del sistema.
Verdadero Falso
190.- Cuando tengamos que analizar un sistema operativo Mac OS hay una serie
de archivos y carpetas con especial interés. Estos son:
a) Carpeta «/private/var/vm» y Carpeta «/private/var/log».
b) Carpetas «/Library/», «/Users/[username]/Library/» y «/System/Library/» y
Archivos con extension «*.plist».
c) Carpetas «/private/var/db/shadow», «/Library/Keychains/» y
«/Network/Library/Keychains/».
191.- La Carpeta «/private/var/vm» contiene los archivos «sleepimage» y

«swapfile», similares a los archivos de paginación e hibernación en sistemas
Windows.
Verdadero Falso
192.- La Carpeta «/private/var/log» contiene los logs del sistema operativo.

También es posible encontrar ficheros de log (archivos con extensión *.log) en otras
rutas, como la carpeta «/Users/[username]/Library/Logs» que contiene los logs
correspondientes al usuario.
Verdadero
Falso
193.- Los Archivos con extension «*.plist» son archivos en formato XML que
almacenan información similar a la contenida en el registro de un sistema

Windows. Verdadero
Falso
194.- Las Carpetas «/private/var/db/shadow», «/Library/Keychains/» y

«/Network/Library/Keychains contiene las contraseñas de acceso al equipo y las
guardadas por el usuario (redes Wifi, exploradores, etc.).
Verdadero Falso
Tema 1
1. ¿Cuáles de las siguientes definiciones se corresponden con la definición de informática

forense?
A. La informática forense es un proceso de investigación.

B. Las evidencias que obtengamos de un análisis forense deben de poder ser presentadas como medio de
prueba.
C. Algunos autores catalogan la informática forense como un arte.
D. Todas las anteriores son correctas.
2. Una evidencia digital

A. No almacena información en formato electrónico, ya que lo almacena de forma física.
B. Permite constatar un hecho investigado o ayuda a su esclarecimiento.
C. No almacenan información en ningún formato.
D. Almacena información en formato electrónico de forma física o lógica.
3. Cuál de estos NO es un objetivo de un análisis forense:

A. Averiguar qué se ha alterado.
B. Descubrir por qué se ha realizado la alteración.
C. Saber cómo se ha realizado la alteración.
D. Descubrir quién ha realizado la alteración.
4. Cuando intentamos responder a la pregunta «¿Quién ha realizado la alteración?»...
A. Tenemos que descubrir a la persona física responsable de la alteración.

B. Podemos llegar a descubrir el usuario que realizó la modificación.
C. Podemos obtener la dirección IP o MAC del equipo desde el que se realizó la alteración.
D. Las respuestas B y C son correctas.
5. Las etapas de un análisis forense son:

A. Recolectar, reservar, analizar y presentar.
B. Recolectar, preservar y analizar.
C. Recolectar, preservar, analizar y presentar.
D. Recolectar, preservar y presentar.
6. Durante la etapa de recolección, lo que se busca es:

A. Garantizar que lo que se analiza es lo que se ha recolectado.
B. Obtener las evidencias que son consideradas de interés.
C. Responder a la pregunta «¿Cómo se ha alterado?».
D. Ninguna de las anteriores es correcta.

7. La recolección de las evidencias
A. Tiene que hacerse con medios que aseguren, en la medida de lo posible, la no modificación de las mismas.
B. Es necesario documentar los cambios que se hayan tenido que realizar en el equipo si no ha sido posible
evitar su modificación.
C. Es el primer paso que se da a la hora de realizar un análisis forense.
8. Durante el análisis de las evidencias

A. Se intenta responder a la pregunta «¿Qué se ha alterado?», el resto de preguntas se responden durante la
recolección.
B. El análisis de las evidencias es el paso previo al estudio de las mismas.
C. Se estudian las evidencias que han sido recolectadas y preservadas previamente.
D. Ninguna de las anteriores.
9. En un informe pericial se tienen que detallar:

A. El equipo informático objeto del mismo. Si en lugar de un equipo, es cualquier otro dispositivo, no se
detalla.
B. Los procedimientos realizados por los peritos. Los resultados obtenidos se han de comentar en el acto del
juicio oral.
C. Los procedimientos realizados por los peritos y sus resultados.
D. Ninguna de las anteriores.
10. Los objetivos de la cadena de custodia son:

A. Garantizar la integridad de la evidencia.
B. Garantizar la posibilidad de localización de la evidencia.
C. Garantizar la trazabilidad de los accesos a la evidencia.
Tema 2
1. ¿Qué es un sistema de ficheros?
A. Es la forma en la que se distribuyen los ficheros de un dispositivo.
B. Es la forma en que se organiza, gestiona y mantiene la jerarquía de ficheros.
C. Es la forma en la que se organizan las jerarquías de ficheros.
2. Los sistemas de ficheros evitan que los programas tengan que conocer la ubicación física de
un fichero.
A. Verdadero.
B. Falso.
3. Cuando eliminamos un archivo

A. No lo borramos físicamente.
B. Según el sistema de ficheros utilizado, indicamos que el espacio que ocupaba se encuentra ahora libre.
C. Lo borramos físicamente.
D. Las respuestas A y B son correctas.
4. La sobrescritura del espacio que utilizaba un archivo eliminado

A. Hace que su recuperación total sea imposible.
B. Permite recuperar el archivo, pero no los datos asociados al mismo.
C. Permite recuperar completamente el archivo.

D. Ninguna de las respuestas es correcta.
5. Si eliminamos un archivo, vaciamos la papelera de reciclaje (o similares) y se sobrescribe el

enlace al archivo del índice, podemos recuperar:
A. Solo el archivo, sin los datos asociados al mismo.
B. Solo el archivo, pero parcialmente, pues se ha sobrescrito el enlace al archivo en el índice.
C. El archivo y los datos asociados al mismo.
D. No podemos recuperar nada.
6. La firma de un archivo se suele encontrar al principio del mismo y es independiente de la

extensión.
A. Verdadero.
B. Falso.
7. La recuperación en bruto
A. Consiste en buscar los archivos por la extensión de los mismos.
B. Consiste en leer los espacios del disco duro marcados como libres y buscar en los mismos, firmas de
archivos conocidas.
C. Consiste en leer del índice los archivos marcados como borrados.
8. Los metadatos son datos que describen otros datos.

A. Verdadero.
B. Falso.
9. Los metadatos se pueden encontrar en

A. Prácticamente todo tipo de archivos.
B. Solo en archivos ofimáticos.
C. Solo en archivos de imagen y ofimáticos.
D. No suelen existir metadatos en los archivos.
10. Todos los archivos tienen los mismos metadatos asociados.

A. Verdadero.
B. Falso.
Tema 3
1. ¿Qué dos grandes grupos de evidencias digitales existen?
A. Volátiles y cambiantes.
B. Cambiantes y no volátiles.
C. Volátiles y no volátiles.
D. Cambiantes y no cambiantes.
2. En cuanto a las evidencias

A. Las evidencias no volátiles son aquellas que cambian con facilidad.
B. La memoria RAM es una evidencia no volátil.
C. Las evidencias no volátiles son aquellas que no cambian con facilidad.
D. Un disco duro es un tipo de evidencia cambiante.
3. En cuanto al orden de volatilidad de las evidencias

A. Un disco duro es más volátil que la memoria RAM.
B. Los datos almacenados en dispositivos removibles son más volátiles que la caché de la CPU.
C. La memoria RAM es más volátil que los datos almacenados remotamente.

4. A la hora de acotar la escena del crimen debemos de tener en cuenta

A. Los equipos que no tienen que ver con el incidente.
B. Los equipos que han sufrido de manera directa el incidente.
C. Todos los equipos son importantes.
5. Cuando adquirimos la memoria RAM:

A. El programa que utilicemos para su adquisición modificará la propia memoria RAM.
B. La memoria RAM no se adquiere, pues es una evidencia volátil.
C. La memoria RAM no se adquiere, pues es una evidencia no volátil.
D. El programa que utilicemos para su adquisición no la modificará.
6. Del análisis de la memoria RAM podemos obtener:

A. Contraseñas de acceso (en claro o el hash de las mismas).
B. Documentos abiertos por el usuario, aunque no se hubieran guardado.
C. Imágenes que se estuvieran visualizando.
7. Durante la adquisición de evidencias volátiles

A. Podemos utilizar los propios programas instalados en el equipo.
B. Debemos de tener cuidado al utilizar programas instalados, pero podemos utilizarlos.
C. Utilizaremos programas independientes del equipo a examinar.
D. No hace falta utilizar ningún programa para adquirir las evidencias volátiles.
8. La adquisición de evidencias no volátiles

A. Se hace siempre en frío.
B. Se hace siempre en caliente.
C. Se hace en frío o en caliente en función de diversos factores.
D. No importa si se realiza en frío o en caliente, el resultado es el mismo.
9. Una función hash

A. Para cada entrada generará una salida única.
B. Cualquier mínima alteración en la entrada, hará que la salida cambie.
C. A partir de la salida, es imposible obtener la entrada.
10. El proceso de adquisición de una evidencia es:

A. Hash a la evidencia original, adquisición, hash a la evidencia original y a la copia.
B. Hash a la evidencia original, adquisición, hash a la evidencia original.
C. Hash a la evidencia original, adquisición, hash a la copia.
D. Adquisición, hash a la evidencia original y a la copia.
tema 4
1. La identificación de volúmenes cifrados, ¿a qué fase del análisis pertenece?

A. Durante el análisis no se identifican los volúmenes cifrados.

B. Al post-análisis.
C. A la fase de análisis.
D. A la fase de pre-análisis.
2. ¿Cuál es el objetivo de realizar un hash a los archivos contenidos en la evidencia?

A. Comprobar si en los archivos que vamos a analizar coincide lo que la extensión indica con el contenido del
archivo.
B. Filtrar los archivos a analizar, pudiendo categorizarlos en «malos» y «buenos».
C. Es contraproducente la realización de un hash a los archivos contenidos en la evidencia.
3. Respecto a la búsqueda de palabras clave:

A. En ocasiones nos podemos encontrar con análisis en los que es necesario obtener documentos relacionados
con determinadas palabras.
B. Es una tarea perteneciente a la fase de pre-análisis.
C. No se usa para buscar documentos en los que se mencione a personas.
D. Es una tarea perteneciente a la fase de post-análisis.
4. Respecto de la identificación de las máquinas virtuales:

¡Correcto!
A. Si nos encontramos con un disco duro virtual, procederemos a analizarlo como si de una máquina distinta
se tratara.
B. No es necesario identificar las máquinas virtuales.
C. Es una tarea perteneciente a la etapa de «análisis».
D. Ninguna de las anteriores son correctas.
5. Durante el análisis del sistema operativo:

A. Tenemos que responder a preguntas como: ¿es una versión no oficial o hay alguna actualización que no lo
sea?
B. Se realiza un análisis de seguridad para determinar si el equipo se encuentra infectado por algún virus.
C. Obtenemos los dispositivos que han sido conectados al equipo.
D. Todas las respuestas son correctas.
6. Durante el análisis de los componentes de red:

A. Obtenemos la lista de programas que permitan realizar el hecho que se está investigando.
B. Los componentes de red no se analizan.
C. Obtenemos la lista de páginas web visitadas por el usuario.
7. Referido a los archivos de interés en Windows:

A. Son los mismos que en Linux y MacOS.
B. Los más importantes son «el registro de Windows», «los archivos de eventos» y «los archivos de
paginación e hibernación».
C. No proporcionan apenas información de interés.
D. Son los mismos que en MacOS.
8. El registro de Windows:
A. Es uno de los archivos de interés del sitema operativo Windows.
B. Es una gran base de datos donde se almacena información.

C. Las respuestas A y B son correctas.
D. Windows no dispone de registro.
9. Los archivos de interés en Linux:

A. Son los mismos que los de Windows.
B. Son los mismos que los de Windows y MacOS.
C. La partición de intercambio «swap» no es uno de ellos.
10. Los archivos de interés en MacOS:

A. La carpeta «/private/var/vm» contiene los archivos «sleepimage» y «swapfile», similares a los archivos de
paginación e hibernación en sistemas Windows.
B. Son los mismos que los de Windows.
C. MacOS no almacena archivos de logs.
D. No contienen información sobre las contraseñas almacenadas por los usuarios.


Forense

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Forense

Hochgeladen von

Copyright:

Verfügbare Formate

Cuestionario de Examen Febrero de 2019

1.- Análisis Forense Informático es la ciencia de adquirir, preservar, obtener y

3.- Identificación / Evaluar, Preservación o adquisición, Análisis, Informar/

5.- El Computación forense es la disciplina de las ciencias forenses que

9.- El Principio de intercambio o transferencia menciona que es imposible que un

10.- El Método científico es una forma de observar, pensar y resolver problemas

11.- Es un tipo de evidencia física construida de campos magnéticos y pulsos

Cuestionario Guía de Examen © Universidad Internacional de La Rioja, S. A.

13.- La confiabilidad de la como prueba estará dada por

15.- Un Incidentes de seguridad es cualquier acción fuera de la ley o no

16.- Es la Metodología en un incidente de seguridad

17.- Se entiende como Incidentes de seguridad al conjunto de datos en formato

Cuestionario Guía de Examen © Universidad Internacional de La Rioja, S. A.

22.- Etapas de un Análisis Forense son:

24.- En la fase de Preservación del Análisis Forense se debe garantizar la

37.- Cuando se accede a la información podemos encontrar dos tipos de análisis:

28.- En la Fase final de Documentación del Análisis Forense, recomendamos ir

30.- En la Fase final de Presentación del Análisis Forense Presentación se

Cuestionario Guía de Examen © Universidad Internacional de La Rioja, S. A.

32.- El Informe _____consta de los siguientes puntos: (Introducción, Descripción,

35.- De acuerdo a los Niveles de Actuación del Informático Forense el

37.- De acuerdo a los Niveles de Actuación del Informático Forense El Especialista

39.- Algunos tipos de Análisis forense son:

40.- En el Análisis forense de sistemas se tratarán los incidentes de seguridad

42.- En el Análisis forense de sistemas embebidos se analizaran incidentes

Cuestionario Guía de Examen © Universidad Internacional de La Rioja, S. A.

43.- Que entiendes por sistema de ficheros? 44.-

47.- La Cadena de Custodia es la manipulación adecuada de los elementos,

48.- Es una secuencia o serie de recaudos destinados a asegurar el origen,

49.- Las etapas de la Cadena de custodia son:

50.- En la ________es necesario documentar:

51.- El proceso de ______se basa en los principios probatorios de

protección del indicio, buscando que el mismo no sufra alteraciones; legitimidad,

Cuestionario Guía de Examen © Universidad Internacional de La Rioja, S. A.

52.- La _______recoge los principios éticos que deben ser asumidos

53.- Los deberes del perito informático son:

54.- En un dispositivo de almacenamiento nos encontraremos con tres tipos de

57.- Unallocated es un Inodo y nombre de fichero no disponibles, con lo que no

58.- Es una estructura de datos propia de los sistemas de archivos

Cuestionario Guía de Examen © Universidad Internacional de La Rioja, S. A.

59.- las características de un ______son (permisos, fechas, ubicación, pero NO el nombre) de

60.-Es la forma en que se organiza, gestiona y mantiene la jerarquía de ficheros

61.- Los sistemas de ficheros más habituales son:

62.- FAT32 Y NTFS es el Sistema de ficheros para Sistemas Operativos Windows

64.- HFS+ es el Sistema de ficheros para Sistemas Operativos MAC OS

65.- Es un conjunto contiguo de sectores que componen la unidad más pequeña

Cuestionario Guía de Examen © Universidad Internacional de La Rioja, S. A.

68.- Los programas de recuperación de archivos trabajan de dos formas

Cuestionario Guía de Examen © Universidad Internacional de La Rioja, S. A.

76.- El Rol y función de los Metadatos son:

79.- Son escenarios de perdida de datos:

Cuestionario Guía de Examen © Universidad Internacional de La Rioja, S. A.

82.- La evidencia digital debe poseer las siguientes características esenciales:

83.- Las evidencias digitales engloban:

85.- Es un ejemplo de evidencias volátiles:

88.- Como se acota la escena del crimen?

89.- Al acotar la escena del crimen debemos de tener en cuenta:

Cuestionario Guía de Examen © Universidad Internacional de La Rioja, S. A.

93.- Acotando la escena del crimen en la etapa de Asegurar físicamente la escena

96.- Acotando la escena del crimen es Indispensable para los investigadores

97.- La ________permite al investigador forense comprender todos los hechos relacionados

Cuestionario Guía de Examen © Universidad Internacional de La Rioja, S. A.

99.- La reconstrucción relacional de la Escena del Delito se hace en base a indicios