La inteligencia artificial (IA) y el machine learning (ML) forman parte de uno de los temas más discutidos en la informática. En lo que respecta a la seguridad digital, algunos esperan que algún día proporcionen la protección definitiva contra el malware, mientras que otros temen que su promesa dé paso a ciberataques más sofisticados. Ambas perspectivas son correctas.
La inteligencia artificial no es solo machine learning
Hace tiempo que se habla de inteligencia artificial y machine learning. Sin embargo, aún no se conoce del todo el potencial de cambio que aportan estas tecnologías. Pero una cosa es segura: la inteligencia artificial que vemos en las pantallas de cine sigue siendo el futuro.
Los términos inteligencia artificial y machine learning suelen utilizarse incorrectamente como sinónimos. En el caso de la inteligencia artificial, se trata de que la máquina pueda aprender y actuar de forma autónoma e "inteligente", sin interacción humana y basándose únicamente en entradas externas. El machine learning, por su parte, utiliza algoritmos de procesamiento de datos para realizar determinadas tareas de forma independiente. El ordenador puede identificar rápidamente estructuras y anomalías en grandes cantidades de datos y descomponerlos en unidades más pequeñas esenciales para el problema (generación de modelos). Sin embargo, el ML se considera en la mayoría de los casos el núcleo de la IA.
¿Humanos y androides? El equipo perfecto que puede derrotar a los delincuentes informáticos
El machine learning es de gran importancia en la lucha contra la ciberdelincuencia, especialmente cuando se trata de la detección de malware. Utilizando enormes cantidades de datos, el ML está entrenado para filtrar correctamente archivos y muestras en categorías de "inofensivos" y "maliciosos". Gracias a ello, los elementos nuevos y desconocidos pueden asignarse automáticamente a una de las dos categorías. Esto requiere una gran cantidad de datos de entrada: cada pieza de información debe ser correctamente categorizada. A menudo se afirma erróneamente que un algoritmo puede etiquetar perfectamente los nuevos elementos solo porque se le han proporcionado grandes cantidades de datos. La verdad es que sigue siendo necesaria la verificación realizada por un humano mediante una comprobación final en caso de resultados dudosos.
Los humanos siguen siendo mejores que las máquinas a la hora de aprender de los contextos y actuar de forma creativa. Ese es un ámbito en el que los algoritmos tienen margen de mejora. Por ejemplo, los desarrolladores profesionales de malware pueden disfrazar hábilmente el verdadero propósito de su código. El código malicioso puede estar oculto en los píxeles de un archivo de imagen limpio, y fragmentos de código malicioso pueden esconderse en archivos concretos. El efecto malicioso puede presentarse solo cuando se combinan los elementos individuales. El algoritmo ML puede ser incapaz de identificar este proceso y tomar una decisión errónea. Por el contrario, un "detector de virus" humano podría reconocer el peligro con mayor precisión basándose en su formación, experiencia y sensaciones viscerales. Por lo tanto, es necesario que los humanos y las máquinas trabajen juntos para prevenir activamente las acciones dañinas.
El machine learning es solo una pequeña parte de la estrategia de seguridad informática
El machine learning ha sido una parte importante de las estrategias de seguridad informática desde los años 90. La última década digital nos ha enseñado que no hay soluciones sencillas para problemas complejos. Esto es especialmente cierto en el ciberespacio, donde las condiciones pueden cambiar en cuestión de segundos. En el mundo actual, no sería prudente confiar únicamente en una tecnología para construir una ciberdefensa resistente. Los responsables de la toma de decisiones en materia de IT tienen que darse cuenta de que, aunque el ML es una herramienta indudablemente valiosa en la lucha contra la ciberdelincuencia, solo debería ser una parte de la estrategia global de seguridad de una compañía, y la implementación de soluciones de IT sofisticadas sigue requiriendo la experiencia de personas reales: responsables de seguridad y administradores de IT.
Los ciberdelincuentes también están a la altura de la era "inteligente"
El machine learning también es popular en el sector de la ciberdelincuencia. Cada vez más atacantes utilizan el aprendizaje automático para localizar y explotar víctimas potenciales o robar datos valiosos a través de campañas de spam y phishing. Al mismo tiempo, el aprendizaje automático puede utilizarse para encontrar brechas y puntos débiles. Los delincuentes también emplean algoritmos de aprendizaje automático para proteger su propia infraestructura informática (por ejemplo, las redes de bots).
Las empresas que utilizan el aprendizaje automático a gran escala son a veces especialmente atractivas para los atacantes. Al infectar los conjuntos de datos de entrada, por ejemplo, los ciberdelincuentes hacen que los sistemas, por lo demás funcionales, produzcan resultados defectuosos y tomen malas decisiones estratégicas, provocando el caos, interrupciones operativas y, a veces, incluso daños irreparables.
Malware construido sobre ML: Emotet
Emotet, un malware basado en el machine learning, lleva años circulando por Internet. Los ciberdelincuentes lo han utilizado para descargar automáticamente aplicaciones no deseadas, por ejemplo, troyanos bancarios, en el ordenador de su víctima. Gracias al machine learning, Emotet es capaz de seleccionar a sus víctimas de forma muy específica. Al mismo tiempo, el malware es sorprendentemente bueno para escapar de los rastreadores de botnets o honeypots.
Como parte del ataque, Emotet recoge datos de telemetría de las víctimas potenciales y los envía al servidor de mando y control (C&C) del atacante para su análisis. A cambio, recibe comandos o módulos binarios del servidor. A partir de estos datos, el software solo selecciona los módulos que se corresponden con sus órdenes. También parece ser capaz de distinguir a los seres humanos reales de las máquinas virtuales y los entornos automatizados utilizados por los investigadores de ciberseguridad.
Resulta especialmente llamativa la capacidad de Emotet para aprender a diferenciar los procesos legítimos de los artificiales. Inicialmente, estos últimos son aceptados, pero luego son incluidos en la lista negra en pocas horas. Mientras el dispositivo de la víctima sigue transmitiendo datos, en las máquinas/robots de la lista negra, el código malicioso entra en una especie de modo latente y cesa cualquier actividad maliciosa.
Aprendizaje automático e IoT
Desde el principio, el Internet de las cosas (IoT) ha sido un objetivo popular para los atacantes. Hoy en día, el número de routers, cámaras de vigilancia y otros dispositivos inteligentes ha aumentado. Sin embargo, en muchos casos, estos dispositivos son muy poco fiables y a menudo pueden ser espiados o utilizados de forma indebida. Eso suele ocurrir debido a los ajustes de fábrica por defecto, a las contraseñas débiles o a otras vulnerabilidades bien conocidas.
Con la ayuda de los algoritmos de ML, los atacantes pueden aprovechar las vulnerabilidades de seguridad. Por ejemplo, pueden:
- Encontrar vulnerabilidades hasta ahora desconocidas en los dispositivos IoT y recopilar grandes cantidades de datos sobre el tráfico y el comportamiento de los usuarios, que luego pueden utilizarse para entrenar algoritmos que mejoren sus mecanismos ocultos.
- Aprender comportamientos y procesos estándar de determinados programas maliciosos de la competencia con el fin de eliminarlos si es necesario o utilizarlos para sus propios fines.
- Crear conjuntos de entrenamiento cada año con las contraseñas más utilizadas, basándose en millones de contraseñas y frases de contraseña filtradas. Esto podría facilitar aún más a los atacantes la penetración en dispositivos IoT comparables.
Cómo resistir a las amenazas online
Gracias a los grandes datos y a la mejora de la potencia de cálculo, el machine learning se ha utilizado ampliamente en diversos ámbitos en los últimos años, incluida la seguridad informática. Pero el mundo de la seguridad digital cambia constantemente. Por lo tanto, es imposible proteger siempre la infraestructura de tu empresa contra las amenazas que cambian con frecuencia únicamente con algoritmos de ML. Las soluciones multicapa, combinadas con personas con talento y cualificadas, son la única manera de ir un paso por delante de los delincuentes informáticos.