La IA en ciberseguridad: Juego de Tronos

Los ciberataques nunca han tenido tanto éxito como en el último año. En 2020 se ha producido un alarmante aumento del cibercrimen, que aprovecha la situación de urgencia causada por la COVID-19. Si hablamos de amenazas de seguridad, no podemos dejar de lado las enormes y siempre crecientes capacidades de la inteligencia artificial (IA) y el machine learning (ML) y el potencial que tienen para los atacantes.

De acuerdo a informe anual Cyberthreat Defense Report (CDR) de CyberEdge, en 2019 cuatro de cada cinco organizaciones fueron víctimas de al menos un ataque con éxito a la seguridad de su IT. Y, teniendo las empresas un número cada vez mayor de puntos de entrada vulnerables debido al trabajo en remoto, la estrategia tradicional de ciberseguridad basada en la detección de malware a partir de puntos de entrada externos a la empresa ya no es realista. Por esta razón los profesionales de la IT están más preocupados con la seguridad de nuevos elementos de la IT, tales como los contenedores, o aquellos que se conectan de forma infrecuente a la red de la empresa, y que por tanto, son más difíciles de monitorizar, como tabletas, teléfonos móviles o los dispositivos de la IoT. La seguridad de estos puntos vulnerables es crucial para la seguridad global de la IT de la empresa.

El informe CDR identifica también razones como «Hay demasiados datos que analizar» o «Una automatización deficiente de detección y respuesta» como barreras para poder poner en marcha defensas efectivas en las redes de la empresa. Y, precisamente, estos son los tipos de problemas de seguridad que puede resolver la inteligencia artificial. Mediante la integración y el análisis de datos desagregados es posible extraer conocimiento basado en pruebas sobre el panorama de amenazas a las que se enfrenta una organización, y poner así a los defensores en situación de entender cuáles son sus adversarios, cuáles pueden ser las consecuencias de un ataque, qué activos pueden verse comprometidos si se produce un acceso no autorizado y cómo detectar y responder a una amenaza. De esta forma, los defensores disponen de más conocimiento para proteger su red.

Se puede entender que la IA y el ML son centinelas que pueden proteger los activos y los dispositivos 7×24, y sin distraerse. El machine learning es una disciplina de la IA que tiene como objetivo hacer que un sistema aprenda automáticamente a partir de experiencias, reduciendo así la carga de trabajo y la posibilidad de errores y despistes que son consustanciales a los operadores humanos. Las técnicas de ML se pueden personalizar para los requisitos específicos de una empresa y pueden ayudar a reducir el trabajo del equipo de ciberseguridad. Sin embargo, incorporar la IA y el ML a tu estrategia de seguridad no es tan sencillo como podría pensarse.

En el lado positivo, los sistemas de IA permiten analizar y procesar los datos automáticamente, y el ML contribuye a definir las correlaciones entre eventos y permite su monitorización para identificar los indicadores de compromiso. Así pues, los algoritmos de la IA, como el procesado de lenguaje natural (NLP) y el reconocimiento de imágenes, pueden permitirnos detectar amenazas y fraudes en idiomas que no conocemos, y también en imágenes y vídeos que normalmente no tendríamos tiempo de ver e interpretar. Principalmente, la IA puede entenderse como una forma de aumentar de forma positiva las capacidades humanas, al ser capaz de procesar datos en muy poco tiempo, y poder aprender patrones asociados con rupturas de seguridad y otras consecuencias negativas, incluidas correlaciones y anomalías en las que ningún humano pensaría.

Por otro lado, los cibercriminales están también utilizando la IA. Están modificando el código de su malware para que el software de seguridad deje de ser capaz de detectarlo como código malicioso. De acuerdo con el informe Nokia Threat Intelligence Report 2019, los cibercriminales, utilizando botnets dotadas de inteligencia artificial, están encontrando vulnerabilidades específicas en dispositivos Android y explotando esas vulnerabilidades cargando ransomware que roba datos y que no se detecta hasta que el daño está hecho. Utilizando una técnica denominada DeepFake, replican la voz y el aspecto de personas en ficheros de audio y de vídeo, con consecuencias devastadoras.

Hablando de forma realista, el ML, y por extensión la IA, nunca van a ser, en el área de la ciberseguridad, la bala de plata que sí son en el campo del reconocimiento de imágenes. Siempre habrá alguien intentando encontrar debilidades en sistemas de seguridad o en algoritmos de ML para saltarse los mecanismos de seguridad. La lucha va a ser encarnizada, porque la IA sirve de forma imparcial tanto a atacantes como a defensores.

Como si se tratara de un gigantesco y continuo Juego de Tronos, los cibercriminales desarrollarán técnicas automáticas aun más sofisticadas, capaces de analizar software y organizaciones para identificar los puntos de entrada más vulnerables y explotarlos, incluso prediciendo cuáles son sus capacidades defensivas. Los ciberanalistas y expertos en IT pueden derrotar a los delincuentes entendiendo cómo la IA puede convertirse en un arma, combatir a los cibercriminales cara a cara y desarrollar medidas de defensa.

Ésta es una guerra que se prolongará en el tiempo, y en ella el Machine Learning puede ayudar sin duda a mejorar la ciberseguridad. Incluimos aquí una serie de principios que toda empresa debería considerar para hacer que su IT sea más segura:

  1. A causa del variado panorama de organizaciones que necesitan disponer de altos estándares de seguridad, no es posible identificar una única solución para todos los casos de amenazas. Si uno se plantea la utilización de ML en un proyecto de ciberseguridad, lo mejor es preguntarse si la herramienta es la más adecuada para el objetivo que se persigue. Ésta es la primera cuestión identificada por la Universidad Carnegie Mellon en su Guía para aplicar el ML a la ciberseguridad. Toda persona responsable debería leer esta guía antes de utilizar una solución de IA o ML en el campo de la ciberseguridad.
  2. Al igual que no hay un sistema IT que pueda considerarse nunca completamente seguro, no hay tampoco una forma de asegurar al 100% un sistema de IA o ML. El propio ML introduce nuevos riesgos y vulnerabilidades al ser desplegado en proyectos reales, y por tanto está sometido a la posibilidad de una acción hostil. Los científicos de datos tienen que ser conscientes de que el ML tiene limitaciones en ambientes reales en los que se mueve el sector de la ciberseguridad. Es necesario llevar a cabo un análisis de riesgos con objeto de reducir el impacto de los ataques a un nivel aceptable. Éste es uno de los grandes retos de la la inteligencia de ciberamenazas.
  3. Los modelos creadon mediante ML serán tan buenos como la calidad y la cantidad de las series de datos con los que hayan sido entrenados. El inmenso tamaño de datos implica una serie de dificultades para los analistas de datos:
  • Los datos deben ser limpios, para evitar falsas alarmas
  • Se requiere automatización para descartar los datos irrelevantes
  • Los datos de ciberseguridad provienen de muchos orígenes diversos y su tratamiento supone un elevado coste en computación

Estas dificultades están relacionadas con un proceso de ingeniería que a su vez está guiado por el conocimiento en este campo. En un contexto tan complejo, las técnicas de Deep Learning (DL), en las que las redes neuronales se utilizan para entrenar el modelo y que aprendan los patrones comunes, son más eficientes que métodos de aprendizaje tradicionales, y proporcionan una mayor flexibilidad porque no se requiere que los expertos y los analistas de datos estén continuamente afinando el sistema. No obstante, y puesto que las herramientas de DL son consideradas «cajas negras» en las que los procesos y las conclusiones no son entendibles por humanos, hay también que tomar en consideración otros métodos de ML al desarrollar una estrategia de ciberseguridad.

En un nivel personal, puede observarse que las personas están empezando a darse cuenta de que la seguridad es también, y principalmente, un asunto suyo, y que ellos mismos forman parte de un sistema y de un proceso. Es reconocible un cambio de perspectiva y una evolución importante hacia un comportamiento más seguro en el entorno digital. Desde el punto de vista de un negocio, si las personas que toman las decisiones son conscientes de los aspectos críticos, y si estas herramientas de IA se aplican correctamente en conjunción con equipos de seguridad humanos, la IA seguirá complementando la inteligencia humana y conjuntamente harán que las organizaciones sigan estando seguras frente a unos ciberataques cada vez más potentes e inteligentes.

En resumen, las herramientas de ciberseguridad que utilizan IA seguirán desarrollándose y mejorando, y seguirá adelante la investigación de herramientas de ML para la defensa.