José Ángel Gómez, Responsable de Seguridad de la Información Semantic Systems
    José Ángel Gómez, Responsable de Seguridad de la Información Semantic Systems

Inteligencia artificial contra la ciberdelincuencia

15 dic 2020 / 18:58 H.

La inteligencia artificial ha demostrado ser una de las tecnologías más eficaces para solventar los problemas más complejos. La ciberseguridad entra, sin duda, dentro de esta categoría. Con los ciberataques en constante evolución, y la proliferación de dispositivos conectados a los entornos de empresa, la inteligencia artificial es una herramienta clave para detectar amenazas, y responder de manera más eficiente que los enfoques tradicionales.

La inteligencia artificial tiene la capacidad para solventar muchos de los problemas más comunes, pero también puede afrontar algunos desafíos únicos, como son la enorme superficie de ataque, las decenas o cientos de miles de dispositivos por organización, la multitud de vectores de ataque. Además, hay pocos profesionales de seguridad capacitados para resolver los problemas y las masas de datos exceden la escala humana.

Sin embargo, un sistema basado en el autoaprendizaje podría resolver muchos de estos desafíos donde los enfoques tradicionales están fallando. En la actualidad, existen tecnologías que recopilan datos de forma continua e independiente de todos los sistemas de información de su empresa. Las compañías pueden contar con las herramientas tecnológicas más punteras que cada día generan cientos de miles de avisos, sin que sea posible procesar tanta información.

Según datos del Cisco Annual Cybersecurity Report de 2018, el 44% de las amenazas detectadas no llegan nunca a ser analizadas. En algunos casos la tecnología va más rápido que la capacitación del personal responsable, en otros la existencia de equipos de soporte externo dificulta la realización de una monitorización adecuada y coordinada de las amenazas. El reto es solucionar esta situación y aumentar el control y las respuestas a los problemas que se detecten.

Como hemos podido comprobar a lo largo de nuestra experiencia en la monitorización y detección de ciberamenazas, la casuística es extensa y compleja. No solo debemos contar con ataques externos, que cada día son más sofisticados y numerosos. Además, existen muchos comportamientos internos que entrañan graves riesgos para la seguridad de la información de las empresas.

Entre estos comportamientos internos que, en muchas ocasiones se pueden minimizar con formación, nos encontramos casos como la contratación de servicios sin que la dirección o el departamento de sistemas esté al tanto -como un servicio de copias de seguridad en la nube-, descargas desde sitios potencialmente peligrosos, almacenamiento de información confidencial en servicios o soportes externos sin la adecuada protección o eliminación de archivos rutinarios, que no siempre están debidamente monitorizados y autorizados.

En este panorama, la inteligencia artificial aplicada a las ciberamenazas representa un activo capital para las empresas. ¿Qué aporta la inteligencia artificial? 1- Detecta anomalías basadas en el comportamiento. Frente a un modelo de seguridad estático y basado en firmas y patrones fijos, la inteligencia artificial permite comparar un incidente puntual con casos pasados. Es decir, consigue una suerte de aprendizaje que mejora y refina la detección, dando por bueno un comportamiento que para un usuario puede ser normal, pero que es anómalo cuando se da en otro usuario o bajo circunstancias distintas. 2- Ciberanalista IA. Un comportamiento normal y aislado se relaciona con otros para conseguir un diagnóstico más preciso. Esta correlación de eventos automática e inteligente permite crear patrones y relaciones de las que extraer conclusiones más completas con las que poder tomar decisiones reactivas de forma más ágil.

3-Alertas reales que atender. Hay un alto porcentaje de alertas generadas por los programas y soluciones de ciberseguridad que son desechables o falsos positivos. Gracias a la inteligencia artificial, este porcentaje se reduce prácticamente a cero, es decir, todas las alertas son siempre reales a partir de un umbral elevado, no solo porque se hayan dado con anterioridad sino también porque permiten detectar comportamientos inesperados y con ello nuevas formas de ataques. 4-Detección de ataques internos. El enfoque tradicional de ciberseguridad protege de ataques externos, dando por supuesto que los internos, accidentales o intencionados son poco probables. Las cifras demuestran que este tipo de ataques existen y tienen un riesgo incluso mayor que los externos. Su detección es posible gracias a las soluciones que aplican la inteligencia artificial basada en el comportamiento.

Hasta hace relativamente poco se consideraba que aplicar la inteligencia artificial a la ciberseguridad era un enfoque radical, pero las cosas han cambiado en la última década especialmente en dos frentes. Primero, es necesaria para defender una empresa porque ya se está empleando para atacar, ataques cada día más sofisticados y complejos, lo que complica la posibilidad de monitorizarlos, detectarlos y prevenirlos. Segundo, muchas empresas desconocen los equipos que pueden estar en riesgo. La multiplicación de los equipos conectados, los diferentes entornos, la movilidad de los empleados, el teletrabajo y, por supuesto, la presión con la que se trabaja hace que la seguridad informática sea un tema secundario y de difícil cuantificación.

Así las cosas, resulta evidente que el enfoque tradicional no consigue abarcar la complejidad de la realidad de la ciberseguridad. Este enfoque tradicional está basado en reglas, firmas y datos de entrenamiento que limitan enormemente la capacidad de los sistemas para interpretar excepciones, así como para acertar con la clasificación de las amenazas. Cada día se producen nuevas amenazas, con nuevos sistemas y tecnología cada vez más sofisticada, por lo que no tiene sentido utilizar patrones o reglas de ataques pasados para prever los futuros.

La inteligencia artificial es algo complejo de conseguir técnicamente hablando, ya que no debe trabajar solo bajo configuraciones o parámetros determinados. Por otra parte, debe trabajar en tiempo real sin supervisión, detectando nuevas vulnerabilidades y patrones a medida que estos se presentan, para así “aprender” qué supone una amenaza y qué no, por eso es tan precisa y necesaria en el escenario actual.