La IA y el machine learning en la ciberseguridad: cómo determinarán el futuro

La IA, el machine learning y la definición del aprendizaje profundo en la ciberseguridad

La ciberseguridad de la IA, con el apoyo del aprendizaje automático, está destinada a ser una herramienta potente en el futuro que se vislumbra. Al igual que en otros sectores, la interacción humana ha sido durante mucho tiempo esencial e irremplazable en materia de seguridad. Si bien, hoy en día, la ciberseguridad depende en gran medida de los aportes humanos, gradualmente vemos que la tecnología se vuelve mejor en tareas específicas que nosotros.

Cada mejora tecnológica nos acerca un poco más a complementar las funciones humanas de manera más eficaz. Entre estos avances, algunas áreas de investigación son la base de todo ello:

• La inteligencia artificial (IA) está diseñada para proporcionar a los ordenadores la plena capacidad de respuesta de la mente humana. Esta es la disciplina integral en la que encajan muchas otras, como el machine learning y el aprendizaje profundo.
• El aprendizaje automático o machine learning (ML, por sus siglas en inglés) utiliza patrones de comportamiento existentes, lo que permite la toma de decisiones basándose en datos y conclusiones anteriores. La intervención humana sigue siendo necesaria para realizar algunos cambios. Es probable que el machine learning sea la disciplina de ciberseguridad de la IA más importante hasta la fecha.
• El aprendizaje profundo (DL, por sus siglas en inglés) funciona de manera similar al machine learning mediante la toma de decisiones a partir de patrones anteriores, pero realiza ajustes por sí solo. Actualmente, el aprendizaje profundo en materia de ciberseguridad se encuentra dentro del ámbito del aprendizaje automático, por lo que nos centraremos principalmente en este último.

Qué pueden hacer la IA y el machine learning por la ciberseguridad

La IA y la ciberseguridad se han proclamado como revolucionarias y mucho más cercanas de lo que podríamos pensar. Sin embargo, esta es solo una verdad a medias que se debe abordar con ciertas reservas en lo referente a las expectativas. La realidad es que podemos encontrarnos con mejoras relativamente graduales para el futuro. En perspectiva, lo que puede parecer gradual cuando se compara con un futuro totalmente autónomo, en realidad sigue superando lo que hemos sido capaces de hacer en el pasado.

Cuando exploramos las posibles consecuencias de la seguridad en el machine learning y la IA, es importante enmarcar los puntos débiles actuales de la ciberseguridad. Existen muchos procesos y aspectos que hemos aceptado como normales durante mucho tiempo y que pueden tratarse bajo el amparo de las tecnologías de IA.

El error humano en la configuración

Un error humano es una parte importante de las debilidades de la ciberseguridad. Por ejemplo, la configuración adecuada del sistema puede ser muy difícil de administrar, incluso con grandes equipos de TI involucrados en la configuración. En el curso de la innovación constante, la seguridad informática se ha vuelto más estratificada que nunca. Las herramientas con capacidad de respuesta podrían ayudar a los equipos a encontrar y mitigar los problemas que aparecen a medida que se sustituyen, se modifican y se actualizan los sistemas de red.

Piensa en cómo la infraestructura de Internet más novedosa, como la computación en la nube, puede apilarse sobre marcos locales más antiguos. En los sistemas empresariales, un equipo de TI deberá garantizar la compatibilidad para proteger estos sistemas. Los procesos manuales para evaluar la seguridad de la configuración hacen que los equipos se sientan fatigados a la hora de equilibrar actualizaciones interminables con tareas de soporte diarias normales. Gracias a la automatización inteligente y adaptativa, los equipos podrían recibir asesoramiento oportuno sobre los problemas recién descubiertos. Pueden obtener asesoramiento sobre las opciones para proceder o incluso tener sistemas implementados para ajustar la configuración automáticamente según sea necesario.

La eficiencia humana con las actividades repetidas

La eficiencia humana es otro aspecto problemático en el sector de la ciberseguridad. Ningún proceso manual se puede repetir a la perfección cada vez, especialmente en un entorno dinámico como el nuestro. La configuración individual de los muchos endpoints de una organización es una de las tareas que más tiempo consumen. Incluso después de la configuración inicial, los equipos de TI vuelven a visitar los mismos equipos más tarde para ajustar configuraciones incorrectas u obsoletas que no se pueden corregir en las actualizaciones remotas.

Además, cuando los empleados se encargan de responder a las amenazas, el alcance de estas puede cambiar rápidamente. Cuando el enfoque humano puede demorarse a causa de las dificultades inesperadas, un sistema basado en la IA y el machine learning puede actuar con un retraso mínimo.

La fatiga de alertas sobre amenazas

La fatiga de alertas sobre amenazas supone otra debilidad para las organizaciones si no se maneja con cuidado. Las superficies de ataque aumentan a medida que las capas de seguridad antes mencionadas se vuelven más elaboradas y extensas. Muchos sistemas de seguridad están configurados para reaccionar a muchos problemas conocidos con un aluvión de alertas puramente reflexivas. En consecuencia, estos estímulos individuales dejan a los equipos humanos analizar las posibles decisiones y tomar medidas.

Una gran afluencia de alertas hace que este nivel de toma de decisiones sea un proceso especialmente agotador. Finalmente, la fatiga a la hora de tomar decisiones se convierte en una experiencia diaria para el personal de ciberseguridad. La acción proactiva para estas amenazas y vulnerabilidades identificadas es ideal, pero muchos equipos carecen del tiempo y el personal necesarios para cubrir todas sus bases.

A veces los equipos tienen que decidir enfrentarse primero a las mayores preocupaciones y dejar a un lado los objetivos secundarios. El uso de la IA en el marco de la ciberseguridad puede ayudar a los equipos de TI a administrar un mayor número de estas amenazas de una forma efectiva y práctica. Hacer frente a cada una de estas amenazas puede ser mucho más fácil si se las agrupa mediante el etiquetado automatizado. Además, algunas preocupaciones pueden ser tratadas por el propio algoritmo de aprendizaje automático.

Tiempo de respuesta ante las amenazas

El tiempo de respuesta ante las amenazas es una de las métricas más importantes para la eficacia de los equipos de ciberseguridad. Desde la explotación hasta la implementación, se sabe que los ataques maliciosos avanzan muy rápidamente. Los agentes de las amenazas del pasado solían filtrarse con los permisos de red y desarmar la seguridad lateralmente algunas semanas antes de iniciar su ataque.

Desafortunadamente, los expertos en el espacio de la defensa cibernética no son los únicos que se benefician de las innovaciones tecnológicas. Desde entonces, la automatización se ha vuelto más común en los ataques cibernéticos. Las amenazas como los recientes ataques de ransomware LockBit han acelerado considerablemente los tiempos de ataque. En la actualidad, algunos ataques incluso pueden avanzar a una velocidad de hasta media hora.

La respuesta humana puede ir a la zaga del ataque inicial, incluso con los tipos de ataque conocidos. Por este motivo, muchos equipos se han dedicado con mayor frecuencia a reaccionar ante ataques exitosos que a prevenir los intentos de ataque. En el otro extremo del espectro, los ataques no descubiertos son un peligro en sí mismos.

La seguridad asistida por ML puede extraer datos de un ataque para agruparlos y prepararlos inmediatamente para su análisis. Puede proporcionar a los equipos de ciberseguridad informes simplificados para que el procesamiento y la toma de decisiones sean más sencillos. Además de informar, este tipo de seguridad también puede ofrecer medidas recomendadas para limitar más daños y prevenir futuros ataques.

La nueva identificación y predicción de amenazas

La nueva identificación y predicción de amenazas es otro factor que influye en los plazos de respuesta a los ataques cibernéticos. Como se ha señalado anteriormente, el tiempo de latencia ya se produce con las amenazas existentes. Los tipos de ataque, comportamientos y herramientas desconocidas pueden engañar aún más a un equipo para que reaccione con lentitud. Peor aún, las amenazas más silenciosas, como el robo de datos, a veces pueden pasar desapercibidas. En una encuesta de abril de 2020 realizada por Fugue se reveló que aproximadamente al 84 % de los equipos de TI les preocupaba que los sistemas basados en la nube fueran hackeados sin su conocimiento.

La evolución constante de los ataques que producen exploits de día cero es siempre una preocupación subyacente en los esfuerzos de defensa de la red. No obstante, el aspecto positivo es que los ataques cibernéticos no suelen crearse desde cero, ya que a menudo se construyen sobre los comportamientos, los marcos de trabajo y los códigos fuente de los ataques anteriores, lo que significa que el machine learning tiene una ruta preexistente de la que partir.

La programación basada en ML puede ser útil para destacar los elementos comunes entre la nueva amenaza y las identificadas anteriormente a la hora de detectar un ataque. Esto es algo que los seres humanos no pueden hacer a tiempo de manera efectiva y pone de manifiesto aún más la necesidad de contar con modelos de seguridad adaptativa. En ese sentido, el machine learning puede facilitar a los equipos la predicción de nuevas amenazas y la reducción del tiempo de demora debido a la mayor concienciación en materia de amenazas.

Capacidad de dotación de personal

La capacidad de dotación de personal corresponde a los problemas actuales que afectan a muchos equipos de TI y ciberseguridad en todo el mundo. Dependiendo de las necesidades de una organización, la cantidad de profesionales cualificados puede ser limitada.

Sin embargo, la situación más común es que la contratación de ayuda humana también puede costar a las organizaciones una cantidad considerable de su presupuesto. El apoyo al personal humano no solo requiere compensar el trabajo diario, sino también proporcionar asistencia en su necesidad continua de formación y certificación. Mantenerse al día como profesional de la ciberseguridad es una tarea exigente, especialmente en lo que respecta a la innovación constante que hemos seguido mencionando durante el debate hasta ahora.

Las herramientas de seguridad basadas en IA pueden llevar el liderazgo con un equipo menos denso de personal y apoyarlo. Si bien este personal tendrá que mantenerse al día en las áreas de vanguardia de la IA y el aprendizaje automático, el ahorro en costes y tiempo vendrá acompañado de una menor necesidad de dotación de personal.

Adaptabilidad

La adaptabilidad no es una preocupación tan evidente como los otros puntos mencionados, pero puede cambiar drásticamente las capacidades de seguridad de una organización. Es posible que a los equipos humanos les falte capacidad para adaptar su conjunto de habilidades a tus requisitos especializados.

Si el personal no cuenta con la formación necesaria en materia de métodos, herramientas y sistemas específicos, una consecuencia directa podría ser la reducción de la eficacia por parte del equipo. Incluso necesidades aparentemente sencillas como la adopción de nuevas políticas de seguridad pueden ir despacio con los equipos basados en humanos. Esta es la naturaleza del ser humano, ya que no podemos aprender nuevas maneras de hacer las cosas al instante y debemos tener tiempo para hacerlo. Con los conjuntos de datos adecuados, los algoritmos altamente capacitados pueden transformarse para que sean una solución personalizada específicamente para ti.

Cómo se utiliza la IA en la ciberseguridad

La inteligencia artificial en la ciberseguridad se considera un gran conjunto de disciplinas como la ciberseguridad del machine learning y el aprendizaje profundo, pero tiene su propia función.

En esencia, la IA se centra en el «éxito», mientras que la «precisión» tiene menos peso. Las respuestas naturales en la resolución elaborada de los problemas son el objetivo principal. En una verdadera ejecución de la IA, se toman decisiones reales e independientes. Su programación está diseñada para encontrar la solución ideal en una situación, en lugar de solo la difícil conclusión lógica del conjunto de datos.

Por eso, lo mejor es comprender cómo funcionan actualmente la IA moderna y sus disciplinas subyacentes. Los sistemas autónomos no entran en el ámbito de los sistemas ampliamente movilizados, especialmente en el campo de la ciberseguridad. Estos sistemas autodirigidos son los que muchas personas suelen asociar con la IA. Sin embargo, los sistemas de IA que ayudan o incrementan nuestros servicios de protección son prácticos y están disponibles.

El papel ideal de la IA en la ciberseguridad es la interpretación de los patrones establecidos por los algoritmos de aprendizaje automático. Sin embargo, la IA moderna todavía no puede interpretar los resultados con las mismas capacidades que un ser humano. Se está trabajando para ayudar a desarrollar este campo en la búsqueda de marcos de trabajo similares a los humanos, pero la verdadera IA es un objetivo a largo plazo que requiere que las máquinas adopten conceptos abstractos en distintas situaciones para reenmarcarlas. En otras palabras, este nivel de creatividad y pensamiento crítico no es tan cercano como los rumores sobre la IA quieren hacerte creer.

mo se utiliza el machine learning en la ciberseguridad

Las soluciones de seguridad para el machine learning son diferentes de lo que las personas imaginan que es la familia de inteligencia artificial. Dicho esto, son las herramientas de ciberseguridad más sólidas que tenemos hasta ahora. Dentro del alcance de esta tecnología, se utilizan patrones de datos para revelar la probabilidad de que ocurra o no un evento.

El ML se opone en cierta medida a la verdadera inteligencia artificial en algunos aspectos. El machine learning está particularmente orientado a la «precisión», pero no está tan centrado en el «éxito». Esto significa que el ML tiene la intención de aprender de un conjunto de datos centrado en las tareas. Concluye con la búsqueda del rendimiento más óptimo de una tarea determinada. Busca la única solución posible según los datos proporcionados, aunque no sea la ideal. Con el ML, no hay una verdadera interpretación de los datos, lo que significa que esta responsabilidad aún recae en los grupos de trabajo humanos.

El machine learning sobresale en tareas tediosas como la identificación y adaptación de los patrones de datos. Los seres humanos no se adaptan bien a este tipo de tareas debido a la fatiga que estas provocan y a una tolerancia generalmente baja a la monotonía. Por lo tanto, aunque la interpretación del análisis de datos sigue estando en manos de los humanos, el machine learning puede ayudar a enmarcar los datos en una presentación legible y lista para disección. La ciberseguridad del machine learning se presenta de distintas formas, cada una con sus propias ventajas:

La clasificación de datos

La clasificación de datos funciona mediante reglas predefinidas para asignar categorías a los puntos de datos. El etiquetado de estos puntos es una parte importante de la creación de un perfil sobre los ataques, las vulnerabilidades y otros aspectos de la seguridad proactiva. Esto es fundamental para la intersección del amachine learning y la ciberseguridad.

Clústeres de datos

Los clústeres de datos toman los valores atípicos de la clasificación de las reglas predefinidas y los colocan en colecciones «agrupadas» de datos con rasgos compartidos o características extrañas. Por ejemplo, esto puede utilizarse al analizar datos de ataques para los que un sistema no está ya capacitado. Estos clústeres pueden ayudar a determinar cómo ocurrió un ataque, además de lo que explotó y fue expuesto. 

Cursos de acción recomendados

Los cursos de acción recomendados elevan las medidas proactivas de un sistema de seguridad basado en el ML. Se trata de avisos basados en patrones de comportamiento y decisiones anteriores, que proporcionan cursos de acción sugeridos de forma natural. Cabe reiterar que no se trata de una toma de decisiones inteligente a través de una verdadera IA autónoma. Más bien, es un marco de conclusiones adaptables que puede llegar a través de puntos de datos preexistentes para concluir relaciones lógicas. Las respuestas a las amenazas y la mitigación de los riesgos pueden beneficiarse considerablemente de este tipo de herramienta.

Síntesis de posibilidades

La síntesis de posibilidades permite sintetizar nuevas posibilidades basadas en lecciones de datos anteriores y nuevos conjuntos de datos desconocidos. Esto es un poco diferente de las recomendaciones, ya que se centra más en las posibilidades de que una acción o el estado de un sistema se correspondan con situaciones similares del pasado. Por ejemplo, esta síntesis puede utilizarse para un sondeo preventivo de los puntos débiles de los sistemas de una organización.

Pronóstico predictivo

El pronóstico predictivo es el más avanzado de los procesos de componentes de ML. Este beneficio se logra mediante la predicción de los posibles resultados al evaluar los conjuntos de datos existentes. Esto se puede utilizar principalmente para crear modelos de amenazas, describir la prevención de fraudes, la protección contra la filtración de datos y es un elemento básico de muchas soluciones de endpoints predictivas.

Ejemplos de machine learning en materia de ciberseguridad

Para mayor claridad, a continuación se presentan algunos ejemplos que subrayan el valor del machine learning en lo que respecta a la ciberseguridad:

Clasificación y cumplimiento de la privacidad de los datos

Es probable que proteger tu organización de las infracciones de las leyes de privacidad se haya convertido en una gran prioridad en los últimos años. Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), han aparecido otras medidas legales como la Ley de Protección al Consumidor de California (CCPA).

La administración de los datos recopilados de tus clientes y usuarios debe realizarse con arreglo a estas leyes, lo que suele significar que estos datos deben ser accesibles para su eliminación previa solicitud. Las consecuencias de no seguir estas normativas conllevan multas elevadas, además de daños a la reputación de tu organización.

La clasificación de los datos puede ayudar a separar los datos de identificación del usuario que se hacen anónimos o que no se identifican. Esto te ahorra el trabajo manual al intentar analizar grandes colecciones de datos anteriores y nuevos, especialmente en organizaciones grandes o más antiguas.

Perfiles de seguridad del comportamiento de los usuarios

Al formar perfiles personalizados del personal de la red basados en los comportamientos de los usuarios, es posible personalizar la seguridad para adaptarla a tu organización. Este modelo puede establecer cómo podría ser un usuario no autorizado basándose en los valores atípicos del comportamiento de los usuarios. Rasgos sutiles, como las pulsaciones de teclado, pueden formar un modelo predictivo de amenazas. Con la descripción de los posibles resultados de los comportamientos potenciales de los usuarios no autorizados, la seguridad del ML puede sugerir un recurso recomendado para reducir las superficies de ataque expuestas.

Perfiles de seguridad del rendimiento del sistema

De manera similar al concepto de perfil de comportamiento del usuario, se puede compilar un perfil de diagnóstico personalizado del rendimiento de todo el ordenador cuando está en buen estado. Supervisar el uso del procesador y de la memoria junto con rasgos como el uso elevado de datos de Internet puede ser indicativo de actividad maliciosa. No obstante, algunos usuarios pueden usar regularmente grandes volúmenes de datos a través de videoconferencias o descargas frecuentes de archivos multimedia grandes. Al saber cómo suele ser el rendimiento básico de un sistema, es posible establecer cómo no debería ser, de forma similar a las reglas de comportamiento del usuario que mencionamos en un ejemplo de ML anterior.

Bloqueo de bots basado en el comportamiento

La actividad de los bots puede ser un drenaje del ancho de banda entrante para los sitios web. Esto se aplica sobre todo a aquellos que dependen del tráfico comercial basado en Internet, como los que tienen tiendas dedicadas al comercio electrónico sin establecimientos físicos. Los usuarios auténticos pueden experimentar una lentitud que provoque una pérdida de tráfico y de oportunidades de negocio.

Al clasificar esta actividad, las herramientas de seguridad del ML pueden bloquear la web de los bots, independientemente de las herramientas que se utilicen como redes privadas virtuales que puedan anonimizarlos. Los puntos de datos basados en el comportamiento de las partes maliciosas pueden ayudar a una herramienta de seguridad de machine learning a crear modelos predictivos en torno a este comportamiento y bloquear de manera preventiva las nuevas direcciones web para mostrar esta misma actividad.

El futuro de la ciberseguridad

A pesar de todo el intenso diálogo en torno al futuro de esta forma de seguridad, todavía hay limitaciones que deben tenerse en cuenta.

El ML necesita conjuntos de datos, pero puede entrar en conflicto con las leyes de privacidad de datos. Los sistemas de software de capacitación requieren muchos puntos de datos para crear modelos precisos, lo que no encaja del todo con «el derecho a ser olvidado». Los identificadores humanos de algunos datos pueden causar infracciones, por lo que será necesario estudiar posibles soluciones. Algunas de las posibles soluciones son obtener sistemas para que sea prácticamente imposible acceder a los datos originales una vez que se haya capacitado el software. También se tiene en cuenta el anonimato de los puntos de datos, pero esto se deberá examinar más a fondo para evitar sesgos en la lógica del programa.

El sector necesita más expertos en IA y ciberseguridad mediante el ML que sean capaces de trabajar con la programación de este ámbito. La seguridad de la red de machine learning se beneficiaría enormemente del personal que pueda mantenerla y ajustarla según sea necesario. Sin embargo, el conjunto global de personas cualificadas y capacitadas es más pequeño que la inmensa demanda mundial de personal que pueda proporcionar estas soluciones.

Los equipos humanos seguirán siendo esenciales. Por último, el pensamiento crítico y la creatividad serán fundamentales para la toma de decisiones. Como se ha mencionado antes, el ML no está preparado ni es capaz de hacerlo, ni tampoco la IA. Para seguir avanzando en esta línea, deberás utilizar estas soluciones para aumentar tus equipos actuales.

Tres consejos para abordar el futuro de la ciberseguridad

En el camino hacia la seguridad de la inteligencia artificial, hay algunas medidas que puedes tomar para acercarte más al futuro:

1. Invierte en mantenerte orientado hacia el futuro con la tecnología. Los costes de ser explotados debido a una tecnología obsoleta o al uso de mano de obra redundante serán mucho mayores a medida que las amenazas sean más elaboradas. Mantenerse a la vanguardia puede ayudar a mitigar algunos riesgos. Al utilizar soluciones avanzadas como Kaspersky Integrated Endpoint Security, estarás más preparado para adaptarte.
2. Complementa a tus equipos con IA y ML, en lugar de sustituirlos. Las vulnerabilidades seguirán existiendo, ya que en la actualidad no hay ningún sistema en el mercado que sea infalible. Dado que incluso estos sistemas adaptables pueden resultar engañados por métodos de ataque inteligentes, asegúrate de que tu equipo de TI aprenda a trabajar con esta infraestructura y la apoye.
3. Actualiza periódicamente tus políticas de datos para cumplir con la legislación en desarrollo. La privacidad de los datos se ha convertido en un punto central para las entidades gubernamentales de todo el mundo. Por lo tanto, seguirá siendo una de las principales preocupaciones para la mayoría de las empresas y organizaciones en el futuro previsible. Asegúrate de que se están cumpliendo las políticas más recientes.

Artículos relacionados:

• Vídeos falsos y deepfake: ¿cómo pueden protegerse los usuarios?
• ¿Qué es un señuelo? ¿Cómo puede atraer ciberataques?
• ¿Qué es una brecha de seguridad?
• ¿Qué es la seguridad en la nube?
• ¿Es peligrosa la tecnología 5G?: ventajas y desventajas de las redes 5G