Inteligencia Artificial y Ciberseguridad
Sin duda, una vez despojada de los fuegos de artificio que la acompañan en muchas ocasiones, la aplicación de la Inteligencia Artificial (IA) y, más concretamente, del Aprendizaje Automático o Machine Learning (ML) y del Aprendizaje Profundo o Deep Learning (DL), supone una gran ayuda en la lucha de los departamentos de ciberseguridad contra los diferentes tipos de ataques de los ciberdelincuentes.
Podemos definir Machine Learning como un tipo de Inteligencia Artificial que permite a los ordenadores la capacidad de aprender sin ser explícitamente programados. Muchas de las tecnologías utilizadas en ML no dejan de ser un conjunto de metodologías relacionadas con la probabilidad y la estadística que llevan utilizándose desde hace muchos años, como la regresión lineal, la regresión logística. los árboles de decisión, la detección de anomalías basándose en la distribución gaussiana, etc. ¿Qué es lo que ha cambiado? Básicamente, lo que ha cambiado es el exponencial aumento de la capacidad de proceso y de almacenamiento de los ordenadores, así como la existencia de Internet.
Todas las aplicaciones que ya utilizamos en ciberseguridad, desde el más simple antispam hasta el más sofisticado sistema de prevención de fuga de información, ya utilizan Inteligencia Artificial. Pero en este artículo nos vamos a centrar en la utilización de IA para ayudar al departamento de ciberseguridad en su labor de monitorización y respuesta ante amenazas, detectando intrusiones y deteniéndolas o, incluso, tomando acciones preventivas para evitarlas antes de que ocurran.
Los profesionales de la ciberseguridad usan el análisis para detectar anomalías en las actividades de los usuarios, en el tráfico de la red, etc.; pero esta forma de actuar, la monitorización en tiempo real, supone que cuando se detecta, en muchas ocasiones, el daño ya está hecho. Por ello, los equipos de ciberseguridad están avanzando hacia el análisis predictivo.
El trabajo que supone la vigilancia de lo que podemos considerar o no un comportamiento normal en el tráfico de red, con sus millones de eventos diarios, es inabarcable para el ser humano; especialmente si tenemos en cuenta que los humanos nos cansamos, nos distraemos, cometemos errores, pasamos cosas por alto, etc. Además, en este campo nada permanece estable, la investigación en ciberseguridad se renueva cada día, y lo que ayer era útil hoy ya no lo es. Por ello, el uso de IA ayuda a eliminar la mayor parte de las tareas rutinarias, pudiendo dedicar más tiempo al análisis y la respuesta a las alertas de más alto riesgo que el sistema va detectando e incluso respondiendo con acciones de defensa de forma automatizada.
Además, otra razón para implantar IA en nuestra estrategia de ciberseguridad es que los ciberdelincuentes profesionales están utilizando IA para intentar acceder a nuestros sistemas; por lo tanto, debemos defendernos con las mismas armas.
¿Podemos confiar totalmente en la IA?
Sin embargo, la implantación de IA en ciberseguridad no es fácil. Aparecerán abundantes falsos positivos que el equipo humano tendrá que revisar, para después enseñar al sistema e ir ajustándolo progresivamente. Pero mucho peor que los falsos positivos son los falsos negativos; es decir, las intrusiones no detectadas por el sistema; de ahí la importancia del equipo humano en su tarea de ajustarlo correctamente.
Un ejemplo claro se ha producido con la pandemia de Covid-19. Desde el punto de vista del uso de la red y los sistemas de información, todo cambió a consecuencia del aumento del teletrabajo y las medidas que se tomaron para permitirlo; por lo que los sistemas de IA implantados en algunos departamentos de ciberseguridad empezaron a volverse locos y generar muchos falsos positivos.
Además, como hemos comentado, la mayoría de los resultados de la IA están basados en la probabilidad y en la estadística; pero ninguno de estos métodos matemáticos es aplicable a los individuos; únicamente funcionan con grupos. Todos sabemos que el usuario es el eslabón más débil en la cadena de la seguridad de la información y, también, el más impredecible; tanto actuando voluntariamente (ciberdelincuentes) como involuntariamente (usuarios legítimos).
Todo lo anterior presupone que el sistema esté bien construido y parametrizado; no como el sistema MSV, adquirido por la policía británica, que basándose en algoritmos de IA aseguraba poder predecir con alta precisión qué personas cometerían su primer delito violento con arma blanca o de fuego en los dos años siguientes a la implantación del programa, con un acierto estimado del 75%. Después de varios ajustes, el acierto real no llegó al 20%; es decir, tirar una moneda al aire hubiera acertado mucho más (50%) y habría salido gratis.
Por todo ello, está claro que no podemos dejar en manos de la IA el control total de nuestra ciberseguridad.
El factor humano.
Un equipo de expertos, en todos los niveles, es imprescindible para que la ciberseguridad se lleve de forma efectiva.
Como hemos visto, es fundamental apoyarse en tecnologías como la IA para poder desarrollar el trabajo de manera eficiente, a un menor coste y con más seguridad. Pero las máquinas no poseen una característica fundamental del ser humano, la intuición. La intuición es, según la RAE, “la facultad de comprender las cosas instantáneamente, sin necesidad de razonamiento”. Esto, que suena a mágico y poco científico, no es otra cosa que el reconocimiento instantáneo de patrones basados en el conocimiento acumulado y las experiencias previas. Es esa intuición la que hace que un gran maestro de ajedrez, que solo es capaz de calcular tres o cuatro movimientos por segundo, logre batir a supercomputadores que calculan varios millones de movimientos por segundo. ¿Cómo es posible? Porque un ajedrecista experto desecha la mayoría de los movimientos posibles y únicamente calcula aquellos que tienen sentido en una posición dada; todo ello basándose en la intuición, es decir, en su conocimiento y experiencia, que le permite reconocer patrones de forma instantánea.
Es cierto que las máquinas ya han superado a los grandes maestros de ajedrez, pero este escenario se da en un terreno de juego limitado a 64 casillas y 32 piezas con movimientos perfectamente delimitados. Pero el terreno de juego de la vida real, con todas sus variables y millones de piezas, con decisiones y movimientos que no obedecen a reglas fijas, no tiene nada que ver con el tablero de ajedrez. Cuantas más variables y posibilidades existan, mayor importancia adquiere la intuición.
Además, el equipo humano tiene información adicional, de la que carecen los sistemas. Por ejemplo, la multitud de alertas provocadas por el cambio de comportamiento en las redes debido al confinamiento domiciliario, serán fácilmente identificadas como falsos positivos por el equipo humano, basándose en el conocimiento de la situación motivada por la pandemia.
Por lo tanto, es imprescindible que el equipo humano supervise y dirija continuamente a las máquinas, apoyándose en estas para hacer un mejor trabajo.
Miembro del Comité de Asturias de itSMF España
Comments
[…] leyendo este artículo «Inteligencia Artificial y Ciberseguridad» elaborado en ITSM4U por Francisco Menéndez, Miembro del Comité de Asturias de itSMF […]