El antiguo investigador del Instituto IMDEA Software), Platon Kotzias, defendió en 2019 su tesis: “A Systematic Empirical Analysis of Unwanted Software Abuse, Prevalence, Distribution, and Economics”, dirigida por el profesor asociado, Juan Caballero. En la actualidad, trabaja en NortonLifeLock en una amplia gama de temas de seguridad de sistemas, incluyendo la detección de malware en Android y Windows, la aplicación de la IA en temas de seguridad y la seguridad de la red.
Este mes la Universidad Politécnica de Madrid (UPM) ha resuelto los dos ganadores del Premio Extraordinario de tesis doctorales y la de Platon es una de ellas. En ella investiga cómo los programas potencialmente no deseados (PUP) pueden suponer importantes riesgos para la seguridad y la privacidad de los usuarios. En particular, analizó con amplitud y profundidad el abuso, la prevalencia, la distribución y la economía de los PUP.
Su doctorado arrojó luz sobre varias facetas desconocidas de los PUP que afectan a millones de usuarios de Internet. Su trabajo ha sido publicado en conferencias de seguridad de primer nivel como Usenix Security, ACM CCS, IEEE Security & Privacy y NDSS Symposium.
Las cuatro aportaciones de la tesis
Platon Kotzias realiza un estudio sistemático sobre el abuso de la firma de código de Windows Authenticode por parte de PUP y malware. Construye una infraestructura que clasifica las muestras potencialmente maliciosas como PUP o malware y utiliza esta infraestructura para evaluar 356K muestras. También evalúa la eficacia de las defensas de las Autoridades de Certificación (CA), como las comprobaciones de identidad y la revocación. Las revocaciones de CA fueron igualmente bajas tanto para el malware como para los PUP, por lo que concluye que las defensas actuales de las CA son en gran medida ineficaces para los PUP.
Midió la prevalencia del software no deseado en hosts de consumidores reales utilizando la telemetría de 3,9 millones de hosts. Encontró PUP instalados en el 54% de los hosts de su conjunto de datos. También analizó el ecosistema de servicios comerciales de pago por instalación (PPI), demostrando que los servicios comerciales de PPI desempeñan un papel importante en la distribución de PUP.
En su tesis, Platon realizó un análisis de la seguridad de las empresas y midió la prevalencia del malware y los PUP en hosts empresariales reales. Utilizó la telemetría de AV recopilada de 28.000 empresas y 67 sectores industriales con más de 82 millones de hosts de clientes. Casi todas las empresas, a pesar de sus diferentes posturas de seguridad, encuentran algún tipo de malware o PUP en un periodo de tres años.
Por último, realizó un análisis de la economía de los PUP. Propuso una técnica novedosa para realizar la atribución de PUP. A continuación, la utilizó para identificar las entidades que están detrás de tres grandes operaciones de PUP con sede en España y medir la rentabilidad de las empresas que operan. El análisis mostró que en cada operación un pequeño número de personas gestiona un gran número de empresas, y que la mayoría de ellas son empresas ficticias. En el periodo 2013-2015, las tres operaciones tienen unos ingresos totales de 202,5M€ y unos ingresos netos de 23M€. Por último, observa un fuerte descenso tanto en los ingresos como en los beneficios de las tres operaciones a partir de mediados de 2014. Por lo tanto, concluye que la mejora de las defensas de los PUP desplegada por varios proveedores de software y seguridad tuvo un impacto significativo en el mercado de los PUP.
