(no olvide ingresar su email para conocer los resultados)

Please enter your email:


Penetración de Internet (fuente Internet World Stats)

En un día común 4.208.571.287 de personas acceden a Internet al menos 100 veces a través de dispositivos móviles y computadoras (55% de la población).

En instalaciones por defecto ¿cada cuánto tiempo se conecta un dispositivo móvil para actualizar estados de correos electrónicos,
redes sociales, carpetas de fotografías, ubicaciones GPS?

 

 
 
 
 

Escenario actual de Investigación Forense Digital

En el siglo pasado en Investigación Forense Digital se hablaba de: clonar discos, bucear en registros de logs de servidores, cache de los buscadores ¡si la computadora estaba encendida o apagada!

¿cuáles son componentes del Escenario actual de Investigación Forense Digital? 

 
 
 
 
 
 

Terminología, etimología y definiciones –> Investigación Forense Digital

Complete la definición con los términos correctos:

También llamada Informática Forense, la INVESTIGACIÓN FORENSE DIGITAL es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten _______________, ______________, _______________ y _____________ DATOS para que sean válidos dentro de un proceso legal o una negociación extrajudicial.

 
 
 

Terminología, etimología y definiciones→Evidencia temporal

La evidencia temporal es aquella que no se encuentra preservada en un medio permanente y  debe ser “congelada” mediante herramientas adecuadas, en la escena del crimen.

Responda Verdadero o Falso

 
 

Roles de informática forense

¿Cual de los siguientes NO es un rol de informática forense?

 
 
 
 
 

Legislación internacional y local

¿Cómo se llama el primer tratado internacional que busca hacer frente a los delitos informáticos y los delitos en internet mediante la armonización de leyes entre naciones, la mejora de las técnicas de investigación y el aumento de la cooperación entre las naciones firmantes?

 
 
 
 
 

Legislación internacional y local→Normas y Estándares

Diga si la siguiente afirmación es verdadera o falsa:

Para realizar un procedimiento de informática forense en una jurisdicción que NO cuenta con protocolos establecidos para ese procedimiento debo utilizar el mejor criterio

 
 

Estándares y metodología práctica→Estándar ISO/IEC 27037:2012 (¿qué hacer?)

Según este estándar -que entrega guías para identificación, recolección adquisición y preservación de la evidencia digital- cualquier procedimiento realizado NO tiene que poder ser repetido por peritos ajenos a los que lo ejecutaron por primera vez, partiendo de las mismas premisas y obteniendo los mismos resultados.

 
 

Estándares y metodología práctica→objetivos

Se implementa un Peritaje Informático o un procedimiento de informática forense para definir:

 
 
 
 

Estándares y metodología práctica→etapas esenciales de una pericia informática

¿Cual de las siguientes respuestas representa la totalidad y el orden completo de las etapas esenciales de una pericia informática?

 
 
 
 

Estándares y metodología práctica→etapas esenciales de una pericia informática

¿en qué etapa de una pericia informática se tipifica el delito y se identifica el marco legal?

(por ejemplo definimos que estamos frente a un caso de extorsión -CÓDIGO PENAL DE LA NACIÓN ARGENTINA, Artículo 168-  porque la computadora de la víctima tiene ransonware)

 
 
 
 
 

Recopilación de evidencias temporales

El resguardo de archivos temporales debe cumplir con el mismo protocolo que el resguardo de archivos permanentes

 
 

Preservación de la evidencia, Cadena de Custodia

Se debe preservar la evidencia digital aplicando el menor cambio posible, para la investigación se trabaja con copias de esa evidencia adquirida en la escena del crimen y con cadena de custodia ya iniciada.

Si hubiere algún cambio por ejemplo el dispositivo móvil está encendido y es necesario apagarlo o ponerlo en modo avión ¿qué se debería hacer?

 
 
 

Preservación de la evidencia, Cadena de Custodia

La evidencia digital necesita ser admisible, relevante, completa, autentica, confiable, creíble, entendible y la lista continúa…

¿Qué características debe tener todo el proceso pericial para cuidar que la evidencia digital cumpla con todas esas necesidades?

(seleccione todas las correctas)

 
 
 
 
 
 

Documentación y presentación de los resultados

Diga si esta afirmación es correcta

la credibilidad* disminuye si todos los procesos pueden ser duplicados en una contraprueba. (*credibilidad
implica que sea indubitable)

 
 

Procedimiento de adquisición de memorias temporales:

  • se realiza una copia de las memorias temporales del dispositivo en un medio seguro
  • se registra hash para integridad
  • se inicia cadena de custodia y se trabaja con las copias de esa evidencia para la investigación

¿qué es lo que se busca en esas memorias? seleccione TODOS los elementos que se pueden encontrar en las memorias temporales

 
 
 
 
 
 
 

Adquisición de memorias permanentes

¿cuáles son las 3 (tres) formas de adquirir archivos permanentes o persistentes?

 
 
 
 
 

Cadena de Custodia

Requisitos mínimos de cadena de custodia:

  • número de expediente (id de la causa)
  • identificador de la evidencia (unívoco)
  • carátula de la causa
  • quién, cuándo y dónde se accede a la evidencia
  • todo cambio potencial en la evidencia digital debe registrarse con el nombre del responsable y la justificación
    de las acciones realizadas

¿Cuál está faltando?

 
 
 
 

Respuesta ante incidentes→¿qué es un incidente de infosec?

Se denomina un incidente de seguridad informática al evento -no deseado o inesperado- que tiene una ________________ probabilidad significativa de comprometer las operaciones de negocio y amenazar la seguridad de la información (ISO/IEC 27001)

 
 
 
 

Respuesta ante incidentes

Una vez que se produce el incidente de seguridad informática y se detecta su presencia, tres cosas tienen que suceder rápidamente (elija las tres correctas)

 
 
 
 
 

Respuesta ante incidentes, objetivos

Los objetivos de respuesta a incidentes son:

  • Minimizar el efecto del ataque
  • Restaurar las operaciones de la compañía
  • Recomendar mejoras a futuro
  • Concientizar a toda la compañía

¿Cual es el objetivo que falta?

 
 
 
 

Respuesta ante Incidentes

¿Quien es la primera persona en responder/llegar ante un incidente de ciberseguridad?

Como la primera persona en llegar a la escena también desempeña un papel importante en la investigación forense informática.

 
 
 
 
 

Respuesta ante incidentes

Según las buenas practicas de un CERT /CSIRT (FIRST, is the global Forum of Incident Response and Security Teams → https://www.first.org/)

¿Se debería iniciar una cadena de custodia si es un incidente NO judiciable?

 
 

Computer Forensic´s Toolbox

A pesar de que son términos relacionados y solemos usarlos indistintamente, Software Libre y Open Source no son exactamente lo mismo

  • free software: es aquel que respeta la libertad de todos los usuarios que adquirieron el producto para ser usado, copiado, estudiado, modificado, y
    redistribuido libremente de varias formas.
  • open source: software cuyo código fuente y otros derechos son publicados bajo una licencia de código abierto o forman parte del dominio público.

¿De qué tipo ser las herramientas -según las mejores prácticas- cuando no es software licenciado y homologado?

 
 
¿De qué color de la nieve?

Examen #01 Informática Forense y Respuesta ante Incidentes