Skip to content

Un portátil comprometido está en tu escritorio, aún encendido, con un proceso sospechoso en ejecución. Para preservar la evidencia, ¿qué haces?

Respuesta breve

Sigue el orden de volatilidad. La RAM, las conexiones de red activas y la tabla de procesos desaparecen al apagar; captúralas primero, luego toma una imagen forense del disco documentando los hashes y una cadena de custodia ininterrumpida. Un apagado limpio destruye la evidencia residente en memoria — incluido el malware sin archivos y las claves que solo viven en la RAM. Copiar-y-luego-borrar altera la escena y rompe la integridad. Ejecutar el antivirus de la empresa muta el sistema y puede poner en cuarentena o borrar el mismo artefacto que necesitas analizar.

Un host comprometido y encendido es una escena del crimen que se degrada. La evidencia más valiosa es la más frágil, y el reflejo equivocado — apagarlo para «congelarlo» — borra precisamente esa evidencia. Esta pregunta evalúa si conoces el orden de volatilidad (codificado en la RFC 3227) y sabes aplicarlo bajo presión.

Por qué «lo volátil primero» es la respuesta

Los datos que desaparecen más rápido deben recogerse primero:

  • RAM — procesos en ejecución, malware sin archivos inyectado, claves de descifrado, portapapeles y credenciales que existen solo en memoria.
  • Conexiones de red activas — sockets C2 activos, puertos a la escucha, caché ARP.
  • Lista de procesos y módulos cargados — lo que realmente se ejecuta ahora mismo.

Capturas esto primero, luego tomas una imagen forense del disco. Durante todo el proceso, registras hashes criptográficos (para probar que la imagen no se alteró) y mantienes una cadena de custodia ininterrumpida — quién manejó la evidencia, cuándo y por qué — para que siga siendo admisible.

Por qué las otras opciones destruyen evidencia

  • Apagado limpio — parece seguro, pero vacía la RAM, corta las conexiones activas y puede disparar rutinas anti-forenses o de borrado en el siguiente arranque. La evidencia residente en memoria — a menudo el corazón de una intrusión moderna — se pierde para siempre.
  • Copiar el archivo a USB y borrarloalteras la escena, destruyes las marcas de tiempo y el slack del sistema de archivos, rompes la cadena de custodia, y quizá ni siquiera capturas el componente malicioso real (podría estar solo en memoria o tener otros archivos preparados).
  • Ejecutar el antivirus — el AV muta el sistema: escanea, escribe registros y pone en cuarentena o borra el proceso sospechoso — destruyendo el artefacto exacto que viniste a analizar y contaminando la evidencia.

Qué evalúa el entrevistador

Quiere un respondedor que trate el manejo de evidencia como metódico y defendible: recoger lo más volátil primero, trabajar sobre copias forenses, hashear todo y documentar la cadena de custodia. Nombrar los artefactos residentes en memoria que un apagado perdería — y negarte a dejar que el AV mute la máquina — señala que sabes preservar evidencia que se sostiene en una investigación o ante un tribunal.

Posibles preguntas de seguimiento

  • ¿Qué artefactos viven solo en memoria y se perderían para siempre al apagar?
  • ¿Cómo preservas y demuestras la integridad al imaginar un disco en un sistema en funcionamiento?
  • Explícame la documentación de la cadena de custodia para la captura de memoria y la imagen de disco.

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.