José de la Cruz Director técnico de Trend Micro Iberia

Todo el mundo habla de Inteligencia Artificial (IA) y Machine Learning (ML). Es difícil encontrar un proveedor que no promocione sus propias capacidades como las más recientes y mejores para llegar al mercado. En estos términos, es difícil no mirar a la tecnología como una larga lista de palabras de moda de la industria: UTM, IDS, EDR, sandboxing... Sin embargo, es mucho más que eso. IA y ML no solo están transformando la industria de la ciberseguridad, sino también el panorama de amenazas. Se acerca un momento de turbulencias y necesitamos lo mejor que la Inteligencia Artificial pueda ofrecer para defendernos de ataques cada vez más sofisticados y efectivos.

Velocidad y habilidad

La Inteligencia Artificial es un arma de doble filo: es una tecnología que puede usar tanto el atacante como el defensor. Un informe elaborado el año pasado revela que el 87% de los profesionales de ciberseguridad de EE.UU. utilizan algún tipo de IA, pero el 91% está preocupado de que los hackers utilicen la tecnología en su contra. Algunos fabricantes llevamos aplicando el machine learning en nuestros productos durante más de una década con el objetivo de mejorar la detección de spam o calcular la reputación web.

Entonces, ¿qué puede ofrecer la IA a los white hats? Fundamentalmente, la capacidad de aprender un comportamiento normal y detectar patrones en los datos de red y de inteligencia de amenazas que pueden pasar desapercibidos al ojo humano, permitiendo a los analistas tomar medidas o automatizar la detección y la respuesta a estas amenazas. Esto es especialmente importante, dada la escasez de habilidades de seguridad a la que se enfrentan las empresas. Europa se dirige hacia el borde del precipicio a medida que los profesionales se retiran sin que lleguen nuevos talentos para reemplazarlos. Se prevé que el déficit de profesionales a nivel mundial llegue a 1,8 millones en el año 2021.

Los analistas de seguridad son caros y difíciles de conseguir. Sin embargo, automatizar el descubrimiento de amenazas a través de la Inteligencia Artificial ayuda a liberar tiempo, a concentrarse en tareas más estratégicas y mejorar la efectividad de las herramientas de ciberseguridad. La velocidad también es esencial cuando se trata de detección de amenazas. Cuanto más tiempo actúa un ciberdelicuente dentro de la red, más datos puede filtrar y más caro resulta el ataque. En este sentido, Europa cifra los costes de estos ataques en 3 millones de euros y el tiempo medio para identificarlos, en 163 días. La IA puede acortar este tiempo de forma significativa.

La velocidad también es importante a la hora de detectar el ransomware, que funciona aún más rápido para cifrar los archivos de misión crítica de una organización. El machine learning puede detectar inconsistencias y cambios sutiles en la forma en que el malware funciona para cifrar sus archivos, que de lo contrario se perderían.

El machine learning previo a la ejecución ayuda a las empresas a bloquear archivos maliciosos antes de que hayan tenido la oportunidad de infectar a la organización. Los falsos positivos a veces son un desafío, por lo que estas herramientas a menudo se ejecutan en combinación con análisis de tiempo de ejecución para garantizar que lo que se está bloqueando sea definitivamente no deseado.

El objetivo es tener un sistema de ciberseguridad con herramientas de IA que puedan aprender a lo largo del tiempo, al igual que lo hace un niño a medida que crece y madura. Construyen patrones e incorporan la retroalimentación del análisis de amenazas en un ciclo virtuoso de retroalimentación que asegura una mejora continua a medida que avanza.

El lado oscuro

Al mismo tiempo, la IA esconde un gran potencial para ser utilizado de forma maliciosa. De hecho, podría haber conseguido que los ciberataques y las brechas de seguridad hubieran sido mucho más impactantes de lo que fueron. Si cogemos como ejemplo a WannaCry, vemos que generó titulares en todo el mundo y afectó a un tercio del NHS, pero falló como una pieza de malware. Atrajo en exceso la atención de los investigadores de seguridad poco después del su lanzamiento y no pudo proporcionar a sus creadores un ROI decente.

La IA podría corregir esto. Al instalar herramientas de aprendizaje en la red, los atacantes pueden conocer el comportamiento de los usuarios, entender el tráfico de red y los protocolos de comunicación y mapear la empresa. Esto ayuda a que los ciberdelincuentes se puedan mover dentro de la organización hacia los datos o usuarios sin levantar sospecha.

La ingeniería social también es mucho más fácil si utiliza herramientas de IA para comprender el estilo de escritura de los usuarios y el contexto de sus comunicaciones. Si tomamos como ejemplo un proceso de revisión de documentos, un hacker puede controlar la comunicación entre empleados remotos y después insertar un documento cargado de malware en el momento adecuado, utilizando un correo electrónico con el tono y el idioma perfecto para convencer al usuario de que lo abra. Esto es phishing como nunca antes se había visto, ataques que incluso a los expertos les costaría detectar.

Y lo que es más importante, podría hacerse a escala, de manera altamente automatizada, al igual que el uso de la IA, para ayudar a los ciberdelincuentes a diseñar malware que burle las herramientas actuales.

¿Deberíamos preocuparnos?

La tecnología ya está disponible y podría usarse con fines maliciosos. Pensemos en las herramientas de IA de voz a texto de Google utilizadas en un ataque de cibervigilancia en una sala de juntas: La IA secundaria podría usarse para revisar el texto y seleccionar secciones clave de interés para los atacantes. Todavía no se ha detectado ninguna herramienta a medida para hackear la IA, aunque esto puede cambiar en cualquier momento. Solo hay que esperar que el modelo ‘as-a-service’ democratice tales herramientas en la dark web para que finalmente aparezcan.

La IA es, en muchos sentidos, una carrera de armas cibernéticas a una escala pequeña. La única forma en que se puede manejar la inevitable oleada de herramientas de los black hats diseñadas para eludir los filtros de seguridad y aumentar la sofisticación del phishing es luchar de la misma manera. Va a ser un viaje lleno de baches.