DATOS PERSONALES FIRMA

Nombre: DNI:
Apellidos:
ESTUDIO ASIGNATURA CONVOCATORIA

MÁSTER UNIVERSITARIO 14132.- INFORMÁTICA

Ordinaria
EN CIBERSEGURIDAD FORENSE Y RESPUESTA
Número periodo 5732
(PLAN 2022) ANTE INCIDENTES

CIUDAD DEL
FECHA MODELO
EXAMEN

03-05/03/2023 Modelo - A

Etiqueta identificativa

INSTRUCCIONES GENERALES
1. Lee atentamente todas las preguntas antes de empezar.
2. La duración del examen es de 2 horas.
3. Escribe únicamente con bolígrafo azul o negro.
4. No está permitido utilizar más hojas de las que te facilita la UNIR (puedes utilizar
folios para hacerte esquemas u organizarte pero no se adjuntarán al examen).
5. El examen PRESENCIAL supone el 60% de la calificación final de la asignatura. Es
necesario aprobar el examen, para tener en cuenta la evaluación continua, aunque
esta última sí se guardará para la siguiente convocatoria en caso de no aprobar.
6. No olvides rellenar EN TODAS LAS HOJAS los datos del cuadro que hay en la
parte superior con tus datos personales.
7. El DNI/NIE/PASAPORTE debe estar sobre la mesa y disponible para su posible
verificación.
8. Apaga el teléfono móvil.
9. Las preguntas se contestarán en CASTELLANO.
10. Si en alguna de las respuestas se detecta un caso de copia de los materiales de la
asignatura, de cualquier otra fuente (por ejemplo, Internet) o de otros compañeros, se
va a calificar el examen con 0 puntos.

Código de examen: 202810

 Puntuación
Preguntas tipo test

 Puntuación máxima 2.50 puntos

 Cada pregunta vale 0.25 puntos

Supuestos prácticos

 Puntuación máxima 7.50 puntos

 Cada pregunta vale 2.50 puntos

Preguntas tipo test

 Las respuestas erróneas NO restan

 Sólamente hay una opción válida en cada pregunta

1. De las siguientes afirmaciones, ¿Cuál no es un objetivo de un análisis forense?

1. Averiguar QUÉ se ha alterado

2. Descubrir CÓMO se ha realizado la alteración
3. Saber QUIÉN ha realizado dicha alteración
4. Indicar POR QUÉ se ha realizado la alteración

2. Las etapas de un análisis forense son:

1. Recolectar, reservar, analizar y presentar.

2. Recolectar, preservar y analizar.
3. Recolectar, preservar, analizar y presentar.
4. Recolectar, preservar y presentar.

3. ¿Qué información sería posible recuperar tras la eliminación de un archivo si además,

también se vacía la papelera de reciclaje (o carpeta similar)?

1. Si se elimina el enlace o su definición en la tabla índice, solo el archivo, sin los datos
asociados al mismo
2. No es posible recuperar información sobre el archivo, sólo sus metadatos
3. Es posible recuperar únicamente la definición del archivo en la tabla índice
4. Ninguna de las anteriores es correcta

Código de examen: 202810

4. Durante el análisis de los componentes de red

1. En un análisis forense, los componentes de red no son analizados

2. Obtenemos la lista de programas utilizados por el usuario
3. Obtenemos la lista de dispositivos usb conectados al equipo
4. Ninguna de las anteriores es correcta

5. ¿Cuál de las siguientes evidencias es de mayor volatilidad?

1. Los archivos temporales de Internet

2. La caché ARP
3. El espacio de intercambio
4. Los datos almacenados en el disco duro del equipo

6. En un informe pericial, ¿Qué debemos detallar?

1. Los resultados obtenidos, el procedimiento no se detalla.

2. El procedimiento realizado y sus resultados
3. El procedimiento realizado por los peritos únicamente
4. El equipo utilizado y los resultados, no el procedimiento realizado

7. El Sistema Operativo Android está basado en Linux

1. Verdadero
2. Falso

8. Las adquisiciones mediante ADB o Custom Recovery...

1. Sólo las podremos realizar sobre terminales iOS

2. Sólo las podremos realizar sobre terminales Android
3. Sólo las podremos realizar sobre terminales Windows
4. Las podremos realizar sobre terminales Android e iOS

9. ¿Podemos realizar la adquisición de un terminal sin conocer el patrón (PIN, contraseña, etc.)
de desbloqueo?

1. Si, siempre será posible acceder al terminal

2. No, salvo que aprovechemos vulnerabilidades conocidas o utilicemos herramientas
comerciales que exploten estas vulnerabilidades
3. Sí, si utilizamos algún método avanzado de adquisición, aunque nos podríamos
llevar la información cifrada
4. Las respuestas B (2) y C (3) son correctas

10. Cuál de los siguientes no es un apartado de los indicados por la normativa UNE 197010
que deben aparecer en todos los informes periciales:

Código de examen: 202810

 1. Identificación
2. Declaración de imparcialidad
3. Reverso
4. Conclusiones

Código de examen: 202810

 PLANTILLA DE RESPUESTAS
Preguntas / Opciones 1 2 3 4

1 X

2 X

3 X

4 X

5 X

6 X

7 X

8 X

9 X

10 X

Código de examen: 202810

Supuestos prácticos

1. En los apuntes se describen una serie de factores importantes a la hora de decantarnos por
una adquisición "en caliente" o "en frío". Atendiendo a los mismos, así como también a la
manera descrita para proceder durante una adquisición, responda a las siguientes cuestiones
para el escenario planteado: ¿Qué tipo de adquisición realizaría?, ¿Por qué? y ¿Qué pasos
seguiría para realizar dicha adquisición?

ESCENARIO:
Se encuentra usted en las oficinas de contabilidad de una fábrica de automóviles y es
necesaria la adquisición de toda la información relativa a la contabilidad del último año. El
administrador le comenta que hay diez equipos que actúan como terminales "tontos" que
acceden a la información contenida en un servidor remoto. Dicho servidor se encuentra
encendido siendo imposible apagar el mismo. (Responder en 1 caras)

 ¿Qué tipo de adquisición realizaría?

En este caso realizaría una adquisición en caliente.

 ¿Por qué?
Porque nos dicen que los terminales de los usuarios son terminales tontos que se
conectar a un servidor para acceder a la información, por lo tanto, la base de datos está
en el servidor y este no lo podemos apagar.

 ¿Qué pasos seguiría para realizar dicha adquisición?

LITERATURA…………………..

2. Describe el método avanzado de adquisición Direct eMMC (Responder en 1 caras)

Este método avanzado es una de las ultimas opciones que se han de valorar para realizar una
adquisición ya que se correría el riesgo de dejar inservible el terminal, además se requeriría
autorización judicial si fuera el caso.

Para proceder se han de localizar en la placa base los terminales que se utilizan en fabrica
para las pruebas del dispositivo, y accediendo a ellos, en caso de que existan y sea posible, se
realizaría la extracción de la memoria del dispositivo, soldando en los mismos y conectándolo
al software de extracción.
Este método siempre se realiza en laboratorio y por personal especializado. Reseñar que es un
método de extracción más rápido que otros.

Código de examen: 202810

3. En un entorno de informática forense¿Qué es un plan de contingencia? ¿En qué dos
grandes tareas se organiza? Defensa ante un inminente ataque y refuerzo de seguridad
desde un punto de vista estartègico (Responder en 1 caras)

Un plan de contingencia es un elemento fundamental de trabajo a la hora de comenzar las

actividades de respuesta ante un incidente, que se basa en una matriz de respuesta de estado
y acción.

Se organiza en dos grandes tareas:

 Defensa ante el inminente ataque con acciones técnicas como toma de posición,
contención y erradicación.
 Refuerzo de la seguridad desde el punto de vista estratégico.

Código de examen: 202810