Ciberseguridad inteligente: los usos de la inteligencia artificial en la seguridad de la información

Las soluciones de Ciberseguridad deben valerse de los avances tecnológicos para combatir la creciente amenaza de los ciberataques. Es por eso que siguiendo la complejidad y el volumen de los ataques cibernéticos, el trabajo conjunto con la inteligencia artificial (IA, o AI, por sus siglas en inglés) tiene la capacidad de cambiar el juego y aumentar la capacidad de defensa de las organizaciones ante las vulnerabilidades de la red. Es en este panorama que surgen herramientas robustas de detección y prevención, conocidas como Threat Intelligence, inteligencia de amenazas.

La inteligencia de amenazas, según Gartner, la compañía de investigación y asesoría de TI, “es conocimiento basado en evidencias, que incluye contextos, mecanismos, indicadores, implicaciones y consejos prácticos sobre una amenaza o peligro existente o emergente para los activos, y que se puede utilizar para tomar decisiones informadas sobre la respuesta del sujeto a esa amenaza o peligro". En pocas palabras, significa que Threat Intelligence es un compuesto de información que una organización puede utilizar para entender las amenazas que tiene o que puede tener y, por lo tanto, son datos que sirven para preparar, prevenir e identificar posibles cibernéticos que buscan aprovecharse de las vulenrabilidades de un sistema. Es fácil imaginar que para un equipo de Ciberseguridad, la compilación de información para la búsqueda y detección de amenazas puede ser una labor ardua y compleja que requiere la observación de una gran cantidad de información y, por lo tanto, representa una labor que consume mucho tiempo. Por ejemplo, según Norton de Symantec, se necesitan aproximadamente 190 días para reponerse completamente de un ataque, y el costo promedio ronda los 3.86 millones de dólares. Esta cantidad puede aumentar considerablemente entre más tiempo se tarde en detectar, erradicar y sanar la vulnerabilidad y los estragos ocasionados.

¿Cómo puede la inteligencia artificial ayudar a la inteligencia de amenazas?

El trabajo humano implícito en el análisis y el procesamiento de información para generar bases de datos de inteligencia de amenazas implica muchos recursos, tanto económicos como temporales. En este caso, la inteligencia artificial puede ayudar a gestionar los riesgos cibernéticos, por ejemplo, puede ayudar a las organizaciones a hacer más eficiente el tiempo que lleva recuperarse de una brecha de seguridad y ayudar a prevenir mayores pérdidas. La inteligencia artificial tiene la capacidad implícita de procesar mucha información, estructurada o no, con eficiencia; también puede monitorear y aprender comportamientos rápidamente, lo que garantiza un tiempo de respuesta veloz.

Los sistemas inteligentes pueden aprovechar las fuentes existentes de inteligencia de amenazas, la información disponible sobre vulnerabilidades, los registros de eventos de dispositivos y los datos contextuales los cuales permiten obtener información de seguridad proactiva y sistemática, basada en una multiplicidad de fuentes, lo que facilita la detección de patrones que pueden significar, o dar paso, a un ciberataque.

En pocas palabras, al alimentarse de contextos múltiples y fuentes variadas, la capacidad que las IA tienen para detectar patrones se ve potenciada y así, tanto la información que puede proveer como los mecanismos de acción que puede recomendar, son mucho más fiables y eficientes.

El futuro de la IA en Ciberseguridad

La inteligencia artificial tiene repercusión en casi todas las industrias a nivel mundial, en específico en campos relativos al aprendizaje profundo (Deep learning) y la ciencia de datos. También es importante tener en cuenta que muchas organizaciones están gastando miles de millones de dólares para implementar servicios basados en IA, entre ellas están todas aquellas corporaciones que invierten en Ciberseguridad, pues son conscientes de los riesgos propios de un ataque.

En su forma actual, todos los esfuerzos de investigación de inteligencia artificial se centran en construir un sistema especializado que pueda ayudar a identificar amenazas más rápido que antes. Actualmente, las empresas de seguridad informática deben gestionar y responder a los ciberataques mediante un programa avanzado de inteligencia de amenazas, el cual puede estar compuesto por un conjunto de máquinas entrenadas y analistas humanos. Si bien este modelo logra generar mecanismos de trabajo sumamente precisos y eficientes como, por ejemplo, Talos, de Cisco, se proyecta que en un futuro esta clase de labores de análisis y detección esté complemente constituido por redes neurales, las cuales logren reducir el factor temporal para la prevención y detección.

Por otro lado, formas de protección básicas como la gestión de firewalls o de copias de seguridad, actualmente son llevadas a cabo por expertos en ciberseguridad con una pequeña porción de acciones automatizadas; esta clase de mecanismos en terminales también se proyecta como un punto de desarrollo para la inteligencia artificial donde, por ejemplo, no sólo se impida el acceso a una conexión mediante un firewall, sino que se observen los patrones de solicitudes para detectar posibles ataques a partir del reconocimiento de comportamientos e indicadores.

Riesgos de la inteligencia artificial para la Ciberseguridad

Las empresas de seguridad deben ser conscientes de los riesgos con los que probablemente tendrán que lidiar. Tomemos por ejemplo el hecho que los piratas informáticos utilizan herramientas de IA para violar los datos de los usuarios. Debido a que la inteligencia artificial aprende a partir de la información que le es dada para conseguir determinado objetivo, los criminales pueden manipular el aprendizaje de estas redes, explotando sus capacidades. Un caso usual de esta clase de emparejamientos entre ataques e IA se da con el llamado malware polimórfico: una clase de software malicioso que es capaz de cambiar la estructura de su código pero manteniendo su algoritmo —es decir, su mecanismo de acción— intacto, capacidad que le permite pasar inadvertido y acoplarse a diversos programas para infectarlos.

En un nivel más básico pero igual de efectivo, muchos piratas alimentas redes de aprendizaje de máquina con lenguaje de click-bait, para generar ataques de phishing mucho más exitosos, pues el sistema permite generar correos estructurados de tal forma que los usuarios harán click en ellos, pues son en apariencia cada vez más legítimos.

Es una batalla con dos frentes, por un lado, las compañías y soluciones de Ciberseguridad que se valen de herramientas de IA para poder identificar nuevas amenazas y, por el otro, los criminales que explotan las mismas capacidades de la inteligencia artificial para atacar de forma más eficiente, efectiva e impredecible. La inteligencia aquí funciona como un arma de doble filo, pues cada una aprende de los actos cometidos y del contexto al que se le somete y por lo tanto, el desarrollo o impulso de un lado implica forzosamente un crecimiento en el frente opuesto.