🤖 Análisis Retrospectivo CTU-13

Neris Botnet: 6 Horas Sin Detectar vs 2 Segundos con LogPulse

Caso histórico Universidad Técnica Checa • 12 min de lectura • Julio 2025

Artículo por Marcelo Cerda

Fundador de PulseTech, Investigador en Ciberseguridad e IA. LinkedIn

🎯 Resumen Ejecutivo

10 agosto 2011: Universidad Técnica Checa registra infección de botnet Neris que pasa 6 horas desapercibida. 2025: Aplicamos LogPulse retrospectivamente a los mismos logs del dataset CTU-13: detección completa en 2 segundos.

25,000X

Mejora en tiempo de detección

El Incidente Original: CTU-13

Cuando Falló Todo

📊 Datos del Ataque Real

Víctima: Windows XP (IP: 147.32.84.165)
Malware: Neris botnet
Duración sin detectar: 6.15 horas
Actividades maliciosas: Click fraud, comunicación C&C, exfiltración de datos
Costo estimado: $50,000-100,000 en daños

Por Qué No Se Detectó en 2011

Las herramientas tradicionales de 2011 fallaron por múltiples factores:

Tráfico mezclado: Actividad maliciosa camuflada entre tráfico legítimo
User-agents falsos: Simulando IE 6.0 y Firefox legítimos
Comunicación C&C encriptada: Difícil de identificar con firmas
Limitaciones tecnológicas: Detección basada en signatures y rules
Análisis manual: Revisión humana lenta y propensa a errores

2011 - Detección Tradicional

6+ horas sin detectar: El botnet operó libremente realizando click fraud, comunicándose con servidores C&C y descargando malware adicional mientras los sistemas de seguridad permanecían ciegos.

2025 - LogPulse Retrospectivo

2 segundos de detección: Aplicando LogPulse a los mismos logs, identificación automática e instantánea de todas las anomalías críticas.

LogPulse 2025: Game Changer

Mismo Dataset, Resultados Revolucionarios

Aplicamos LogPulse retrospectivamente a los logs originales del dataset CTU-13 de la Universidad Técnica Checa:

1,377

Registros HTTP procesados

2.1 seg

Tiempo total proceso

Anomalías detectadas

100%

Precisión detección

Lo Que Detectó LogPulse Automáticamente

🚨 ANOMALÍA CRÍTICA DETECTADA

IP: 147.32.84.165 (la misma infectada en 2011)
Score: 0.1202

Indicators detectados automáticamente:
├── Click fraud: 1.95622.com/p6.asp
├── C&C servers: w.nucleardiscover.com:888
├── Malware downloads: shabi.coolnuff.com:2012/kp.exe
├── Fake browsers: 6 user-agents diferentes
└── MAC tracking: 08-00-27-B5-B7-19

Badge earned: "Near-Zero Noise Analysis" - 95.79% reducción de ruido

Los Números Que Importan

Métrica	2011 (SOC Tradicional)	2025 (LogPulse)
Tiempo de detección	❌ 6+ horas	✅ 2 segundos
Falsos positivos	❌ 85% (promedio industria)	✅ 0.22%
Reducción de ruido	❌ Mínima	✅ 95.79%
Trabajo manual	❌ Días de análisis	✅ Cero intervención
Daño económico	❌ $50K-100K	✅ Evitado completamente

Por Qué Esto Cambia Todo

El Problema de los SOCs Actuales

📈 Estadísticas Alarmantes

71% de analistas sufren burnout por alert fatigue
85% de alerts son falsos positivos
280 días promedio para detectar amenazas avanzadas
$4.88 millones costo promedio de un data breach (IBM 2024)