La revista profesional sobre tecnología y transformación digital
ciberseguridad
Martiniano Mallavibarrena

Martiniano Mallavibarrena

Gerente responsable del área de Respuesta a Incidentes y Threat Hunting en Ciberseguridad y Cloud de Telefónica Tech.

La Inteligencia Artificial al servicio de la ciberseguridad

La Inteligencia Artificial es aliada imprescindible de la ciberseguridad. Su potencial la convierte en recurso imprescindible tanto para quienes defienden los sistemas informáticos como para quienes pretenden atacarlos. Como en una película de ciencia ficción, las máquinas se enfrentan entre sí, y solo las mejor adaptadas lograrán salir victoriosas.

Cuando hoy vemos sorprendidos las novedades en coches autónomos, los asistentes personales que responden a nuestras conversaciones utilizando la voz y los vídeos increíbles tipo deepfakes, parecen realmente lejanos aquellos trabajos del Dartmouth Workshop en la década de los 50 que se suelen asociar con el nacimiento de los actuales enfoques en Inteligencia Artificial (IA). Ahora, la realidad supera la ficción cada pocos días y este hecho no ha pasado inadvertido para el mundo de la ciberseguridad, donde ‘unos y otros’ (ciberdelincuentes y los que nos dedicamos a proteger la seguridad de las empresas) se esfuerzan por exprimir al máximo estas tecnologías tan asequibles: los enfoques OpenSource y la aproximación desde la nube han democratizado este amplio mundo de soluciones, haciéndolas asequibles a todo tipo de colectivos.

En la actualidad es sumamente sencillo y barato generar modelos IA que nos ayuden a detectar patrones y, en muchos casos, a clasificar datos de forma masiva y automática (el ejemplo de Google Images se explica por sí mismo si le cargamos una imagen y nos busca imágenes similares).

La combinación de técnicas clásicas de desinformación con modelos avanzados de IA puede producir un gran impacto en las opiniones y actitudes de nuestra sociedad

Tres enfoques distintos
Este proceso de entrenamiento de modelos IA para casos de uso de ciberseguridad suele tener tres enfoques distintos basándose siempre en un juego de datos de partida (dataset): entrenamiento supervisado (los datos ya están etiquetados y se supervisa el proceso para que el modelo entienda qué entradas tendrá en el futuro y qué salidas debe producir), entrenamiento no supervisado (los datos no están etiquetados y el sistema detecta patrones y clasifica autónomamente con sus propios criterios) y un enfoque mixto llamado entrenamiento reforzado, donde el sistema obtiene feedback en cada iteración y con ello corrige su comportamiento optimizando su entrenamiento.

Con una gran familia de técnicas y métodos de IA, conocidos en general como Machine Learning, la subfamilia del Deep Learning es utilizada de forma intensa en el sector de la ciberseguridad tanto en aquellos actores maliciosos como en aquellas plataformas que tratan de ayudar con la defensa de las organizaciones.

Nuevas funcionalidades
La práctica totalidad de fabricantes de plataformas de seguridad comenzaron hace algunos años a introducir nuevas funcionalidades basadas en modelos de IA, sobre todo para poder realizar labores de detección de forma mucha más eficaz. Quizás el caso más paradigmático es el del malware, donde la cantidad de variantes, su nivel de complejidad y el número de mutaciones es abrumadora y un enfoque ‘tradicional’ basado en firmas o en tipología de ficheros queda rápidamente superado. De igual forma, el comportamiento de los usuarios que ya están presentes en nuestro sistema puede adquirir matices extraños, pero muy diversos, y si pensamos en colectivos de miles de personas la monitorización manual (humana) no tiene ningún sentido. En estos últimos años estamos encontrando sistemas diversos en el sector de la seguridad que hacen uso de una o varias de estas técnicas de detección de patrones, clasificación de comportamiento, etc., y son quizás los casos más representativos los de las plataformas EDR (Endpoint Detection and Response), NDR (Network Detection and Response), UEBA (User and Entity Behavior Analytics) o aquellas orientadas a detectar ataques DDOS (Distributed Denial-of-Service), por citar los más populares. Todas estas plataformas aportan un valor esencial a todo tipo de organizaciones ofreciendo servicios ‘automáticos’ (el modelo hará el trabajo inicial detectando un patrón o clasificando una amenaza), que a su vez puedan lanzar acciones programadas o alertas específicas. Con ello, los equipos humanos de las operaciones de ciberseguridad pueden optimizarse, hacer foco en la información realmente relevante y conseguir superar el reto del volumen (imaginemos el volumen de alertas en los firewalls perimetrales o el SIEM de una gran multinacional con decenas de miles de usuarios a nivel global) en modo 24×7.

Solo utilizando ‘ayuda inteligente’ podremos afrontar esta batalla épica con garantías de éxito

El lado oscuro
Por otro lado, en el lado oscuro de la ciberseguridad, una familia de tecnologías tan potente y accesible permite que cualquier persona interesada con un nivel formativo básico reutilice ejemplos y código fuente abundante para crear, por ejemplo, sistemas que generen malware que evite las detecciones por plataformas EDR (como MalGAN en 2017 o DeepLocker en el Blackhat USA 2018) o que genere diccionarios específicos para realizar ataques a colectivos específicos (caso de PassGAN en 2019).

La mayoría de estas herramientas utilizan una tipología de modelos de Deep Learning conocidos como GAN (Generative Adversarial Networks), que se han hecho muy populares debido a las fake news y en especial a los vídeos de tipo Deepfake. Este tipo de aproximaciones (el caso de un modelo IA escribiendo en 2020 por sí mismo un artículo utilizando la plataforma GPT-3 es realmente histórico) pueden generar un auténtico impacto en las sociedades, como hemos podido ver podido constatar en los últimos años con varios procesos electorales y con importantes revueltas sociales. La combinación de técnicas clásicas de desinformación con modelos avanzados IA de este tipo y bots en redes sociales puede producir un gran impacto en las opiniones y actitudes de nuestra sociedad, dirigiendo esos sentimientos masivos con fines muy diversos.

La batalla entre el bien y el mal
Una vez más, la batalla entre el bien y el mal en internet mantiene una constante, aunque ahora hablemos de IA. En el equipo ‘azul’ (blue team), encargado de defender los sistemas informáticos de las empresas, habrá un montón de reglas que seguir: decálogos de ética y buenas prácticas, supervisión por terceros, control estricto de los datasets (para evitar además ataques por ‘envenenamiento’ del modelo), modelos que protejan el dato personal (la GDPR también aplicaría en estos casos, por ejemplo) y disponibilidad de datasets confiables y neutrales. A todo ello, habrá que añadir, cuando aplique, las restricciones presupuestarias de plataformas y servicios en la nube necesarios para mover toda esta inteligencia y hacerla efectiva en el caso de uso concreto.

Por otro lado, el equipo ‘rojo’ (red team), encargado de realizar tests y ataques controlados para detectar agujeros de seguridad, contará con toda la libertad de movimiento y esquivará tanto los controles de calidad como los presupuestos ajustados. El fin justificará los medios y una legión de organizaciones delictivas, actores con presuntos patrocinios, voluntarios de la causa y aprendices de hackers ‘peliculeros’ se lanzarán a practicar con modelos de IA escritos en Python y descargables de Github o similar. La receta de un éxito asegurado. La creatividad es el límite y todo tipo de laboratorios son lugares válidos para inocentes experimentos de posibles herramientas de red team.

Desde hace años modelos de AI detectan y responden de forma automática a ataques orquestados o basados en otros modelos AI

La eficacia de los modelos IA
Hace años que a ningún profesional del sector de la ciberseguridad se le plantea la duda de la necesidad de utilizar IA en todas las plataformas de defensa y detección disponibles. La batalla sigue siendo desafiante en cuanto a variantes de actores y métodos y solo utilizando ‘ayuda inteligente’ podremos afrontar esta batalla épica con garantías de éxito.

El punto clave es el trabajo duro y constante en la eficacia de los modelos IA que utilizamos en las plataformas (mañana mismo habrá un nuevo malware recién compilado y una técnica de intrusión nueva) combinado con una óptima orquestación de personas, procesos y tecnología con la automatización como columna vertebral de todo nuestro ciclo de operación. Entrenando una y otra vez esos modelos y afinando su nivel de precisión, tendremos una oportunidad real de proteger a nuestra organización. Las mejores prácticas de nuestra operativa harán el resto.

Las amenazas son demasiado variadas y numerosas para trabajar de otra forma. La máquina que se enfrenta a la máquina como en una película de ciencia ficción.

Ventaja competitiva
En definitiva, la familia de tecnologías alrededor de la IA ofrece una ventaja competitiva enorme a todos los actores en el campo de la ciberseguridad. Ni ‘ellos’ ni ‘nosotros’ estamos dejando pasar la oportunidad de utilizarla para nuestros fines. Los grandes proveedores de servicios de ciberseguridad hemos optimizado nuestra operativa para ser mucho más ágiles y precisos en nuestro trabajo diario, aunque el volumen de datos sea muy elevado. Desde hace años modelos de AI detectan y responden de forma automática a ataques orquestados o basados en otros modelos AI. Es el escenario totalmente automatizado que ha venido para quedarse. Por ello, debemos elegir a nuestros proveedores de servicios y a los fabricantes de tecnología asociados con sumo cuidado. Los mejores modelos IA podrán marcar la diferencia entre una detección temprana eficaz y un ataque ransomware exitoso.

Como hemos visto con la Inteligencia Artificial en las últimas décadas, es probable que en los próximos años veamos una evolución similar en la tecnología cuántica y en sus derivadas tecnológicas. Ahora es el momento de afrontar la batalla en el ciberespacio: los riesgos y las consecuencias son visibles en organizaciones de todo el mundo.

Es el momento de estar preparados, elegir a tus aliados, tus armas y elaborar una estrategia para la batalla.

Comparte