En un mundo que se mueve más rápido que nunca, todos los días aparecen nuevos términos grandilocuentes. La mayoría son nuevos collares para "los mismos perros de siempre", o peor aún, conceptos vacíos de contenido.
Algunos de ellos, sin embargo, mantienen su foco a lo largo del tiempo y terminan provocando una revolución.
Lo que es excepcional, es que coincidan dos de estas revoluciones y, además, se potencien entre sí. Los puntos en los que se influyen la una a la otra dan lugar a infinitas posibilidades. Este es el caso de la Ciberseguridad y la Inteligencia Artificial (IA).
El primer planteamiento conjunto ha sido el uso de IA como herramienta defensiva, especialmente analizando eventos para facilitar la detección temprana de ciberincidentes. Este enfoque se ha materializado en diferentes sabores, como, por ejemplo:
- Correlación y análisis de eventos de seguridad. En un SOC se reciben millones de eventos por segundo. Es absolutamente imposible que los analistas vean mucho más que una versión resumida de toda esa información. Por tanto, cuanto más inteligente sea el sistema que realiza dicho resumen, y más capacidad tenga de aprender (lo que llamamos Machine Learning), más oportunidades existen de detectar una anomalía con rapidez. En un incidente, el tiempo es oro, y detectar antes permite reducir o incluso eliminar el impacto.
- Endpoint Detection and Response (EDR). Se trata del hermano pequeño de los sistemas del SOC, aplicado a un dispositivo único. Podríamos decir que es la evolución inteligente de los clásicos antivirus.
- Análisis de comportamiento, tanto de las máquinas como de las personas, o UEBA (ninguna tecnología sin su acrónimo). La suplantación de identidad es una amenaza constante, y suele utilizarse para cometer delitos de mayor gravedad. Los sistemas IA más avanzados pueden identificar a cada persona a través su comportamiento habitual, casi con la precisión de una huella dactilar o el ADN. Cuando un delincuente intenta hacerse pasar por otra persona, utilizando su contraseña (por ejemplo), la IA puede detectar la suplantación y actuar en consecuencia.
Son funciones ya maduras, y aunque aún tienen mucho camino por delante para mejorar, lo cierto es que los sistemas de Inteligencia Artificial se han convertido en un importante aliado de los que nos dedicamos a la ciberseguridad.
Los sistemas de Inteligencia Artificial se han convertido en un importante aliado de los que nos dedicamos a la ciberseguridad.
¿Podemos decir entonces que la IA es intrínsecamente buena? Por supuesto que no. Una herramienta no es buena ni mala. Lo es quien la utiliza, quien decide para qué se utiliza. Es una herramienta potente, y los malos lo saben tan bien como cualquiera.
Si nosotros nos beneficiamos de la IA para detectar a los malos, ellos la utilizan para evitarlo. Una de las primeras aplicaciones “malignas” de estos sistemas es, precisamente, facilitar la suplantación de identidades.
No hace mucho tiempo el límite estaba en generar un audio con la voz de cualquier persona en el que se le escuche decir lo que queramos. Poco después resultó posible hacer lo mismo en vídeo de forma bastante creíble.
En estos momentos, podemos hacer todo ello incluso en directo. Es decir, el malo se pone ante la cámara, y al otro lado se ve a otra persona haciendo y diciendo lo mismo que él. Esta inmediatez, que puede parecer poca cosa, permite una total interactividad.
Esto hace que los ataques mediante ingeniería social (engañando a las personas) sean cada vez más fáciles. Tenemos que estar muchísimo más atentos, porque ya no podemos fiarnos de la voz que escuchamos ni de la cara que vemos en la pantalla. Identificar a nuestro interlocutor se ha convertido en un asunto de sutilezas y detalles.
Si estos sistemas pueden engañar a un humano, a una “inteligencia natural”, no hay dudas de que también pueden engañar a una máquina.
¿Quiere decir esto que nuestra seguridad ahora depende de que nuestra IA sea “mejor” que la de los malos? En parte es así. Pero por otra parte se trata simplemente de la misma batalla de siempre. Tan sólo ha escalado.
El detalle de calidad, la baza que inclinará la balanza hacia uno de los dos lados, sigue siendo el mismo de siempre, el factor humano.
¿Y qué nos espera ahora? El futuro cercano muestra muchas nubes grises, nubes con las que tendremos que lidiar.
Muchos flujos de trabajo de nuestras organizaciones, incluso sistemas críticos o sensibles, están incorporando mejoras basadas en la Inteligencia Artificial. Como dije al principio, está revolucionando el trabajo de mucha gente, y también algunos aspectos de nuestras vidas privadas.
Muchos flujos de trabajo de nuestras organizaciones, incluso sistemas críticos o sensibles, están incorporando mejoras basadas en la Inteligencia Artificial.
Se está hablando mucho de la importancia del entrenamiento en este tipo de sistemas. Aprenden de la alimentación que reciben, y finalmente serán tan buenos, útiles, eficientes y éticos como les enseñemos a ser.
Ahora mismo la principal preocupación es ese entrenamiento, hasta el punto de que ya se habla del “entrenador de IA” como una nueva profesión en crecimiento.
Pero esa preocupación, pública y notoria, también expone una importante vulnerabilidad de este tipo de sistemas. Una intrusión maliciosa en el proceso de aprendizaje puede desviar los resultados y corromper su toma de decisiones.
Esto dará lugar a nuevos delitos, o a nuevos sabores para los delitos de siempre. Desde ataques silenciosos para provocar resultados que favorezcan los objetivos del delincuente, hasta burdos secuestros del sistema al estilo de lo que hoy llamamos “ransomware”.
No tardaremos en ponernos en manos de la IA en muy diversos aspectos. Sólo espero que para entonces hayamos aprendido dos cosas:
Primera, que lo mismo que deberíamos hacer con cualquier tecnología, debemos incluir estrictos requisitos de seguridad en una tan potente como esta. Ya sabéis, la tan mencionada “seguridad desde el diseño”. Parece un mal slogan, pero este es de los buenos.
Y segunda. La tecnología es una herramienta, en ocasiones potente y asombrosa. Pero debe ser una herramienta al servicio de las personas, y supervisada por personas. Invirtamos en tecnología, pero invirtamos a la vez en las personas y su formación.
Nuestros dispositivos son cada vez más inteligentes, pero no debemos delegar totalmente nuestras decisiones en ellos. No debemos ser cada vez más tontos. Nosotros también debemos elevar nuestra inteligencia para ser capaces de mantener el control.
