Eduardo Berrueta Irigoyen, ingeniero en Tecnologías de Telecomunicación por la Universidad Pública de Navarra, ha centrado su tesis doctoral en los llamados “crypto-ransomware”, ataques informáticos mediante los que u programa malicioso “secuestra” la información que los usuarios tienen almacenada en sus ordenadores o en la nube y se pide un rescate económico para su recuperación. En concreto, este investigador ha desarrollado modelos para detectar ese tipo de ataques. “Hemos logrado unos resultados de detección del 100 % de las variantes de virus estudiadas, con una tasa de falsos positivos muy baja, del 0,02 %”, señala.
Su tesis, “Desarrollo y análisis de modelos de detección de “crypto-ransomware” en base a tráfico de compartición de ficheros”, fue dirigida por el profesor de Ingeniería Telemática, e investigador del ISC, Daniel Morato Osés y ha obtenido la calificación de sobresaliente “cum laude”.
En su tesis analizó más de 90 variantes distintas de “ransomware” o programas de secuestro con el fin de establecer patrones de comportamiento comunes y poder detectar la infección de un usuario. El objetivo principal fue ser capaz de distinguir entre aquellos usuarios infectados por algún “crypto-ransomware” de los que no lo estaban.
“Aunque este tipo de ataques afectan por igual a usuarios particulares y a empresas —explica Eduardo Berrueta—, estas últimas son las más perjudicadas por la infección, ya que la paralización de su actividad tiene un coste económico elevado. Además, sus archivos de datos están alojados en servidores centrales a los que tienen acceso todos los trabajadores (similares a servicios como Dropbox o Google Drive, donde varios usuarios pueden editar archivos simultáneamente). Esto hace que un único usuario pueda provocar enormes pérdidas de información muy valiosa para la empresa. En esta tesis nos centramos precisamente en este tipo de escenarios en los que la información está alojada en servidores centrales a los que los usuarios acceden desde sus ordenadores”.
Ficheros compartidos
Cuando un usuario tiene que comunicarse con el servidor de ficheros para distintas peticiones (leer un archivo, escribir, abrirlo, cerrarlo, etc.), se utilizan protocolos de compartición de ficheros. El tráfico de esos protocolos puede capturarse en un punto intermedio de la red (por ejemplo, en un router) y se pueden analizar las operaciones que está realizando cada usuario.
En su investigación, Eduardo Berrueta analizó ese tráfico y desarrolló una herramienta para buscar patrones conocidos de tráfico de “ransomware”, logrando los resultados de detección ya señalados. La tasa de falsos positivos fue muy baja. Haciendo una analogía, explica que “si estuviéramos en una empresa con 300 usuarios trabajando simultáneamente sobre un conjunto de ficheros, tan solo tendríamos una falsa alarma cada 15 días de trabajo”.
Posteriormente, desarrolló otros modelos más generales que sirvieran para cualquier tipo de tráfico de compartición de ficheros, y no solo para una versión concreta. En ese caso alcanzó el 100 % de detección de las variantes del programa malicioso y un 1,2 % de falsos positivos.
Finalmente, ha publicado en un repositorio de acceso abierto las trazas de tráfico (los paquetes que intercambian los usuarios con el servidor de ficheros), así como la secuencia de operaciones realizadas por los “ransomware” sobre los ficheros alojados en el servidor. “La utilidad de este repositorio es que cualquier persona que esté investigando ataques de este tipo de virus pueda evaluar su herramienta y comparar los resultados con la nuestra. Al dejar disponibles estos archivos les ahorramos el trabajo de recopilar de nuevo las variantes del virus, ejecutarlas, etc. y, además, pueden comparar sus herramientas con las nuestras utilizando los mismos datos de entrada”, explica el autor del trabajo.
Breve “curriculum vitae”
Eduardo Berrueta estudió Ingeniería en Tecnologías de Telecomunicación en la Universidad Pública de Navarra. Especializado en Telemática, en el último semestre del grado fue beneficiario de una beca Erasmus+ para realizar su trabajo fin de grado en el Politécnico di Torino (Italia). En 2016 inició el Máster Universitario en Ingeniería de Telecomunicaciones en la UPNA y durante esos dos años trabajó como ayudante y colaborador de proyecto en el Departamento de Ingeniería Eléctrica, Electrónica y de Comunicación. Realizó el trabajo fin de máster sobre detección de “ransomware” en el año 2018 y en 2019 recibió el premio IN-NOVA en Aplicaciones y Servicios para la Ciberdefensa y la Ciberinteligencia, concedido por el Colegio Oficial de Ingenieros de Telecomunicación. En la actualidad se encuentra trabajando como analista en la empresa Naudit High Performance Computing and Networking, spin-off de la Universidad Pública de Navarra y de la Universidad Autónoma de Madrid.