AI in cybersecurity

Definición de la IA, el aprendizaje automático y el aprendizaje profundo en la ciberseguridad

La ciberseguridad con IA, con el apoyo del aprendizaje automático, está destinada a ser una herramienta potente en el futuro que se vislumbra. Al igual que en otros sectores, la interacción humana ha sido durante mucho tiempo esencial e irremplazable en materia de seguridad. Si bien hoy en día la ciberseguridad depende en gran medida de los aportes humanos, vemos que la tecnología empieza a superar a los humanos en determinadas tareas.

Cada mejora tecnológica nos acerca un poco más a complementar las funciones humanas de manera más eficaz. Entre estos avances, algunas áreas de investigación son la base de todo:

  • La inteligencia artificial (IA) está diseñada para proporcionar a las computadoras la plena capacidad de respuesta de la mente humana. Esta es la disciplina integral, que abarca muchas otras, como el aprendizaje automático y el aprendizaje profundo.
  • El aprendizaje automático (ML, por sus siglas en inglés) utiliza patrones de comportamiento existentes, lo que permite la toma de decisiones basadas en datos y conclusiones anteriores. La intervención humana sigue siendo necesaria para realizar algunos cambios. Es probable que el aprendizaje automático sea la disciplina de ciberseguridad de la IA más importante hasta la fecha.
  • El aprendizaje profundo (DL, por sus siglas en inglés) funciona de manera similar al aprendizaje automático mediante la toma de decisiones a partir de patrones anteriores, pero realiza ajustes por sí solo. Actualmente, el aprendizaje profundo en materia de ciberseguridad se encuentra dentro del ámbito del aprendizaje automático, por lo que nos centraremos principalmente en este último.

Qué pueden hacer la IA y el aprendizaje automático por la ciberseguridad

La IA y la ciberseguridad se han proclamado como revolucionarias y están mucho más cercanas de lo que podríamos pensar. Sin embargo, esta es solo una verdad a medias que se debe abordar con ciertas reservas en lo referente a las expectativas. La realidad es que podemos encontrarnos con mejoras relativamente graduales para el futuro. En perspectiva, lo que puede parecer gradual cuando se compara con un futuro totalmente autónomo, en realidad sigue superando lo que hemos sido capaces de hacer en el pasado.

Cuando exploramos que consecuencias para seguridad pueden tener el aprendizaje automático y la IA, es importante destacar los puntos débiles actuales de la ciberseguridad. Existen muchos procesos y aspectos que hemos aceptado como normales durante mucho tiempo y que las tecnologías de IA pueden ayudar a mejorar.

El error humano en la configuración

El error humano es una parte importante de las debilidades de la ciberseguridad. Por ejemplo, la configuración adecuada del sistema puede ser muy difícil de administrar, incluso con grandes equipos de TI involucrados en la configuración. En el curso de su constante innovación, la seguridad informática se ha estratificado más que nunca. Las herramientas con capacidad de respuesta podrían ayudar a los equipos a encontrar y mitigar los problemas que aparecen a medida que se sustituyen, se modifican y se actualizan los sistemas de red.

Piensa en cómo una infraestructura de Internet más novedosa, como la computación en la nube, puede sumarse a los marcos locales existentes. En los sistemas empresariales, los equipos de TI deben garantizar la compatibilidad para proteger estos sistemas. Evaluar la fiabilidad de una configuración manual puede ser un proceso muy largo, ya que el personal de TI tendrá que combinar esta labor con un sinfín de actualizaciones y tareas diarias. Gracias a la automatización inteligente y adaptativa, los equipos podrían recibir asesoramiento oportuno sobre los problemas recién descubiertos. Podrían también obtener asesoramiento sobre qué opciones adoptar o incluso tener sistemas implementados para ajustar la configuración automáticamente según sea necesario.

La eficiencia humana con las actividades repetidas

La eficiencia humana es otro aspecto problemático en el sector de la ciberseguridad. Ningún proceso manual se puede repetir a la perfección cada vez, especialmente en un entorno dinámico como el nuestro. La configuración individual de los numerosos endpoints de una organización es una de las tareas que más tiempo consumen. Incluso después de la configuración inicial, los equipos de TI vuelven a visitar los mismos equipos más tarde para ajustar configuraciones incorrectas u obsoletas que no se pueden corregir en las actualizaciones remotas.

Además, cuando los empleados se encargan de responder a las amenazas, el alcance de estas puede cambiar rápidamente. En situaciones cuando la atención humana puede retardarse debido a dificultades inesperadas, un sistema basado en la IA y el aprendizaje automático puede actuar con un retraso mínimo.

La fatiga por exceso de alarmas sobre amenazas

La fatiga por exceso de alarma sobre amenazas supone otra debilidad para las organizaciones si no se maneja con cuidado. Las superficies de ataque aumentan a medida que las capas de seguridad antes mencionadas se vuelven más elaboradas y extensas. Muchos sistemas de seguridad están configurados para reaccionar a muchos problemas conocidos con un aluvión de alertas que no proponen soluciones. En consecuencia, estas advertencias individuales dejan que los equipos humanos sean los que analicen las posibles decisiones y tomen las medidas necesarias.

Una gran afluencia de alertas hace que este nivel de toma de decisiones sea un proceso especialmente agotador. Finalmente, la fatiga a la hora de tomar decisiones se convierte en una experiencia diaria para el personal de ciberseguridad. La acción proactiva para estas amenazas y vulnerabilidades identificadas es ideal, pero muchos equipos carecen del tiempo y el personal necesarios para abarcarlo todo.

A veces los equipos tienen que decidir enfrentarse primero a los problemas más acuciantes y dejar a un lado los objetivos secundarios. El uso de la IA en el marco de la ciberseguridad puede ayudar a los equipos de TI a administrar un mayor número de estas amenazas de una forma efectiva y práctica. Hacer frente a cada una de estas amenazas puede ser mucho más fácil si se las agrupa mediante el etiquetado automatizado. Es más, el algoritmo de aprendizaje automático puede encargarse de resolver algunos de los problemas.

Tiempo de respuesta ante las amenazas

El tiempo de respuesta ante las amenazas es una de las métricas más importantes de la eficacia de los equipos de ciberseguridad. Desde la explotación hasta la implementación, se sabe que los ataques maliciosos avanzan muy rápidamente. Los agentes de las amenazas del pasado solían filtrarse aprovechándose de los permisos de red y desarmar la seguridad lateralmente algunas semanas antes de iniciar su ataque.

Desafortunadamente, los expertos en el espacio de la defensa cibernética no son los únicos que se benefician de las innovaciones tecnológicas. La automatización se ha vuelto también más común en los ataques cibernéticos. Las amenazas como los recientes ataques del ransomware LockBit han acelerado considerablemente los tiempos de ataque. Media hora puede ser suficiente para llevar a cabo algunos ataques.

La respuesta humana puede ir a la zaga del ataque inicial, incluso con los tipos de ataque conocidos. Por este motivo, lo más frecuente es que muchos equipos se dediquen más a reaccionar ante ataques exitosos que a prevenir los intentos de ataque. En el otro extremo del espectro, los ataques no descubiertos son un peligro en sí mismos.

La seguridad asistida por ML puede extraer los datos de un ataque, para luego agruparlos y dejarlos listos para su análisis. Puede proporcionar a los equipos de ciberseguridad informes simplificados para que el procesamiento y la toma de decisiones sean más sencillos. Además de informar, este tipo de seguridad también puede recomendar qué medidas tomar para evitar más daños y prevenir futuros ataques.

Identificación y predicción de nuevas amenazas

La identificación y predicción de nuevas amenazas es otro factor que influye en los plazos de respuesta a los ataques cibernéticos. Como se ha señalado anteriormente, las amenazas existentes se detectan con cierto retraso. Los tipos de ataque, comportamientos y herramientas desconocidas pueden hacer que un equipo que reaccione con aún más lentitud. Peor aún, las amenazas más silenciosas, como el robo de datos, a veces pueden pasar desapercibidas. En una encuesta de abril de 2020 realizada por Fugue se reveló que aproximadamente al 84 % de los equipos de TI les preocupaba que los sistemas basados en la nube fueran hackeados sin que se dieran cuenta.

La evolución constante de los ataques que producen exploits de día cero es siempre una problema subyacente en los esfuerzos de defensa de la red. No obstante, el aspecto positivo es que los ataques cibernéticos no suelen crearse desde cero, ya que a menudo se construyen sobre los comportamientos, los marcos de trabajo y los códigos fuente de los ataques anteriores, el aprendizaje automático puede aprender de ellos.

La programación basada en ML puede ser útil para destacar los elementos comunes entre la nueva amenaza y las identificadas anteriormente a la hora de detectar un ataque. Esto es algo que los seres humanos no pueden hacer a tiempo de manera efectiva y pone de manifiesto la necesidad de contar con modelos de seguridad adaptativa. En ese sentido, el aprendizaje automático puede facilitar a los equipos la predicción de nuevas amenazas y la reducción del tiempo de reacción, debido a la mayor concienciación en materia de amenazas.

Capacidad de dotación de personal

La capacidad de dotación de personal corresponde a los problemas actuales que afectan a muchos equipos de TI y ciberseguridad en todo el mundo. Dependiendo de las necesidades de una organización, la cantidad de profesionales cualificados puede ser limitada.

Sin embargo, la situación más común es que la contratación de ayuda humana también puede costar a las organizaciones una cantidad considerable de su presupuesto. El apoyo al personal humano no solo requiere compensar el trabajo diario, sino también proporcionar asistencia en su necesidad continua de formación y certificación. Mantenerse al día como profesional de la ciberseguridad es una tarea exigente, sobre todo en lo que respecta a la innovación constante a la que nos hemos venido refiriendo hasta ahora.

La disponibilidad de herramientas basadas en la IA puede contribuir a reducir el número de especialistas. Si bien este personal tendrá que mantenerse al día en las áreas de vanguardia de la IA y el aprendizaje automático, el ahorro en costes y tiempo vendrá acompañado de una menor necesidad de dotación de personal.

Adaptabilidad

A diferencia de otros aspectos, el problema de la adaptabilidad no es tan obvio, pero puede tener un impacto drástico en las capacidades del servicio de seguridad. Es posible que a los equipos humanos les falte capacidad para adaptar su conjunto de habilidades a tus requisitos específicos.

Si el personal no cuenta con la formación necesaria en materia de métodos, herramientas y sistemas específicos, una consecuencia directa podría ser la reducción de la eficacia del equipo. Incluso necesidades que parecen sencillas, como la adopción de nuevas políticas de seguridad, pueden ir despacio con los equipos basados en humanos. Esta es la naturaleza del ser humano, ya que no podemos aprender nuevas maneras de hacer las cosas al instante y nos lleva tiempo hacerlo. Con los conjuntos de datos adecuados, los algoritmos altamente capacitados pueden convertirse en una solución que se ajuse a tus necesidades.

Etiqueta alternativa = aprendizaje automático en la ciberseguridad

El papel de la IA en la ciberseguridad

Se considera que la inteligencia artificial en la ciberseguridad abarca un gran conjunto de disciplinas como la ciberseguridad del aprendizaje automático y el aprendizaje profundo, pero esta llamada a jugar su propio papel.

En esencia, la IA se centra en el «éxito», mientras que la «precisión» tiene menos peso. Su objetivo final es dar una respuesta natural a tareas complejas. En una verdadera ejecución de la IA, se toman decisiones reales e independientes. Su programación está diseñada para encontrar la solución ideal en una situación, en lugar de solo la difícil conclusión lógica del conjunto de datos.

Por eso, lo mejor es comprender el verdadero modo de funcionamiento de la IA moderna y sus disciplinas subyacentes. Los sistemas autónomos no están muy extendidos, sobre todo en la esfera de la ciberseguridad. Su trabajo no requiere interferencia externa, y mucha gente suele asociarlos con la IA. Sin embargo, los sistemas de IA que ayudan o incrementan nuestros servicios de protección son prácticos y están disponibles.

El papel ideal de la IA en la ciberseguridad es la interpretación de los patrones descubiertos por los algoritmos de aprendizaje automático. Sin embargo, la IA moderna todavía no es capaz de interpretar los resultados como lo haría un ser humano. Esta área está en una fase de activo desarrollo, buscando adquirir algoritmos similares al pensamiento humano. Pero aún queda mucho camino por recorrer antes de que se cree una verdadera IA. Las máquinas aún tienen que aprender a replantearse situaciones usando conceptos abstractos. En otras palabras, este nivel de creatividad y pensamiento crítico no está tan cercano como los rumores sobre la IA quieren hacerte creer.

Cómo se utiliza el aprendizaje automático en la ciberseguridad

Las soluciones de seguridad para el aprendizaje automático son diferentes de lo que las personas imaginan que es la familia de inteligencia artificial. Dicho esto, son las herramientas de ciberseguridad más sólidas que tenemos hasta ahora. Dentro del alcance de esta tecnología, se utilizan patrones de datos para revelar la probabilidad de que ocurra o no un evento.

En cierta forma, el ML es lo opuesto de la verdadera inteligencia artificial. El aprendizaje automático está particularmente orientado a la «precisión», pero no está tan centrado en el «éxito». Esto significa que el ML intenta aprender de un conjunto de datos centrado en tareas. Y encuentra la mejor forma de realizar una tarea determinada. Busca la única solución posible según los datos proporcionados, aunque no sea la ideal. Con el ML, no hay una verdadera interpretación de los datos, lo que significa que esta responsabilidad aún recae en los grupos de trabajo humanos.

El aprendizaje automático sobresale en tareas tediosas como la identificación y adaptación de patrones de datos. Los seres humanos no son la mejor opción para este tipo de tareas, debido a la fatiga que provocan y a su baja tolerancia a la monotonía. Por lo tanto, aunque la interpretación del análisis de datos sigue estando en manos de los humanos, el aprendizaje automático puede ayudar a enmarcar los datos en una presentación legible y lista para su análisis. La ciberseguridad del aprendizaje automático se presenta de distintas formas, cada una con sus propias ventajas:

La clasificación de datos

La clasificación de datos funciona mediante reglas predefinidas para asignar categorías a los puntos de datos. El etiquetado de estos elementos es una parte importante de la creación de un perfil de los ataques, las vulnerabilidades y otros aspectos de la seguridad proactiva. Esto es fundamental para la intersección del aprendizaje automático y la ciberseguridad.

Clústeres de datos

En los clústeres de datos  los valores seleccionados durante la clasificación se combinan en grupos con características comunes o atípicas Por ejemplo, este método puede utilizarse al analizar datos de ataques para los que un sistema todavía no esté capacitado. Estos clústeres pueden ayudar a determinar cómo ocurrió un ataque, qué debilidades explotó y que datos quedaron expuestos. 

Cursos de acción recomendados

Los cursos de acción recomendados mejoran la eficacia de las medidas de seguridad proactivas basadas en el aprendizaje automático. Se basan en patrones de comportamiento y decisiones previas y sugieren el curso de acción más racional. Cabe reiterar que no se trata de una toma de decisiones inteligente a través de una verdadera IA autónoma. Es más bien un sistema adaptativo capaz de construir relaciones lógicas basadas en los puntos de datos disponibles. Este tipo de instrumento puede ser de gran ayuda para responder a las amenazas y gestionar los riesgos.

Síntesis de posibilidades

La síntesis de posibilidades permite sintetizar nuevas posibilidades a partir de datos anteriores y nuevos conjuntos de datos desconocidos. Esto es un poco diferente de las recomendaciones, ya que se centra más en las posibilidades de que una acción o el estado de un sistema se correspondan con situaciones similares del pasado. Por ejemplo, esta síntesis puede utilizarse para el sondeo preventivo de los puntos débiles de los sistemas de una organización.

Pronóstico predictivo

El pronóstico predictivo es el más avanzado de los procesos de componentes de ML. Este beneficio se logra mediante la predicción de los posibles resultados, al evaluar los conjuntos de datos existentes. Se lo puede utilizar ante todo para crear modelos de amenazas, describir la prevención de fraudes, la protección contra la filtración de datos y es un elemento básico de muchas soluciones de endpoints predictivas.

Ejemplos de aprendizaje automático en materia de ciberseguridad

Para mayor claridad, a continuación se presentan algunos ejemplos que subrayan el valor del aprendizaje automático en lo que respecta a la ciberseguridad:

Clasificación y cumplimiento de la privacidad de los datos

Es probable que proteger tu organización de las infracciones de las leyes de privacidad se haya convertido en una gran prioridad en los últimos años. Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), han aparecido otras medidas legales como la Ley de Protección al Consumidor de California (CCPA).

La administración de los datos recopilados de tus clientes y usuarios debe realizarse con arreglo a estas leyes, lo que suele significar que estos datos deben ser accesibles para su eliminación previa solicitud. Las consecuencias de no seguir estas normativas conllevan multas elevadas, además de daños a la reputación de tu organización.

La clasificación de los datos puede ayudar a separar los datos que permiten identificar al usuario de aquellos que son anónimos o no permiten identificarlo. Esto te ahorra el trabajo manual al intentar analizar grandes colecciones de datos anteriores y nuevos, especialmente en organizaciones grandes o más antiguas.

Perfiles de seguridad del comportamiento de los usuarios

Al formar perfiles personalizados del personal de la red basados en los comportamientos de los usuarios, es posible personalizar la seguridad para adaptarla a tu organización. Este modelo puede detectar a un usuario no autorizado analizando las desviaciones de su comportamiento. Rasgos sutiles, como las pulsaciones de teclado, pueden formar un modelo predictivo de amenazas. Al identificar los posibles resultados de una posible manipulación, un sistema de seguridad basado en el ML puede ofrecer formas de reducir la superficie potencial de ataque.

Perfiles de seguridad del rendimiento del sistema

De manera similar al concepto de perfil de comportamiento del usuario, se puede compilar un perfil de diagnóstico personalizado del rendimiento de toda la computadora cuando está en buen estado. Supervisar el uso del procesador y de la memoria junto con rasgos como el uso elevado de datos de Internet puede ayudar a identificar la actividad maliciosa. No obstante, algunos usuarios pueden hacer uso frecuente de grandes volúmenes de datos a través de videoconferencias o descargas de archivos multimedia grandes. Al conocer la carga normal del sistema, el algoritmo puede determinar desviaciones, como en el caso del comportamiento del usuario que mencionamos en un ejemplo de ML anterior.

Bloqueo de bots basado en el comportamiento

La actividad de los bots puede drenar el ancho de banda entrante de los sitios web. Esto se aplica sobre todo a aquellos que dependen del tráfico comercial basado en Internet, como los propietarios de tiendas dedicadas al comercio electrónico sin establecimientos físicos. Los visitantes habituales pueden toparse con el lento funcionamiento del sitio web, lo que resulta en una pérdida de tráfico y de clientes potenciales.

Las tecnologías de aprendizaje automático pueden identificar y bloquear la actividad de los bots incluso cuando utilizan herramientas de anonimización como las redes privadas virtuales. Basándose en los datos sobre el comportamiento cibercriminal, el algoritmo genera modelos predictivos y realiza el bloquo proactivo de nuevas direcciones web que muestren la misma actividad.

El futuro de la ciberseguridad

A pesar de todo el intenso diálogo en torno al futuro de esta forma de seguridad, todavía hay limitaciones que deben tenerse en cuenta.

El ML necesita conjuntos de datos, pero usarlos puede entrar en conflicto con las leyes de privacidad de datos. Los sistemas de software que entrenan algoritmos requieren muchos puntos de datos para crear modelos precisos, lo que no encaja del todo con «el derecho a ser olvidado». Los identificadores humanos de algunos datos pueden causar infracciones, por lo que será necesario estudiar posibles soluciones. Entre las posibles soluciones está conseguir que los sistemas hagan que sea virtualmente imposible acceder a los datos originales una vez que el software haya sido entrenado. También se considera anonimizar los puntos de datos, pero esto se deberá examinar más a fondo para evitar sesgos en la lógica del programa.

El sector necesita más expertos en IA y ciberseguridad mediante el ML que sean capaces de trabajar con la programación de este ámbito. La seguridad de la red de aprendizaje automático se beneficiaría enormemente del personal que pueda mantenerla y ajustarla según sea necesario. Sin embargo, el conjunto global de personas cualificadas y capacitadas es más pequeño que la inmensa demanda mundial de personal que pueda proporcionar estas soluciones.

Los equipos humanos seguirán siendo esenciales. Por último, el pensamiento crítico y la creatividad serán fundamentales para la toma de decisiones. Como se ha mencionado antes, el ML no está preparado ni es capaz de hacerlo, ni tampoco la IA. Para seguir avanzando en esta línea, deberás utilizar estas soluciones para aumentar la eficacia de tus equipos actuales.

Tres consejos para abordar el futuro de la ciberseguridad

En el camino hacia la seguridad de la inteligencia artificial, hay algunas medidas que puedes tomar para acercarte más al futuro:

  1. Invierte en que tu tecnología esté siempre orientada al futuro. Los costos de las vulnerabilidades explotadas debido a una tecnología obsoleta o al uso redundante de tareas manuales serán mucho mayores a medida que las amenazas se hagan más complicadas. Mantenerse a la vanguardia puede ayudar a mitigar algunos riesgos. Al utilizar soluciones avanzadas como Kaspersky Integrated Endpoint Security, estarás más preparado para adaptarte.
  2. Complementa a tus equipos con IA y ML, en lugar de sustituirlos. Las vulnerabilidades seguirán existiendo, ya que en la actualidad no hay ningún sistema en el mercado que sea infalible. Dado que incluso estos sistemas adaptables pueden resultar engañados por métodos de ataque inteligentes, asegúrate de que tu equipo de TI aprenda a trabajar con esta infraestructura ya mantenerla.
  3. Actualiza periódicamente tus políticas de datos para cumplir con los cambios en la legislación. La privacidad de los datos se ha convertido en un punto central para las entidades gubernamentales de todo el mundo. Por lo tanto, seguirá siendo una de las principales preocupaciones para la mayoría de las empresas y organizaciones en el futuro previsible. Asegúrate de que se están cumpliendo las políticas más recientes.

Artículos relacionados:

La IA y el aprendizaje automático en la ciberseguridad: cómo determinarán el futuro

La inteligencia artificial y el aprendizaje automático en la ciberseguridad pueden aligerar la carga de la TI humana. Aprende todo lo que necesitas saber con esta guía.
Kaspersky Logo