La inteligencia artificial y su papel en la ciberseguridad

La inteligencia artificial (IA) es el tema del día, con lo último y lo mejor en tecnología de IA que atrae una cobertura de noticias sin aliento. Y probablemente pocos sectores van a salir tan beneficiados, o posiblemente tan perjudicados, como el de la ciberseguridad. En contra de la creencia popular, algunos profesionales del sector llevan más de dos décadas utilizando la tecnología de alguna forma. Pero el poder de la computación en nube y los algoritmos avanzados se están combinando para mejorar aún más las defensas digitales o ayudar a crear una nueva generación de aplicaciones basadas en IA, que podrían transformar la forma en que las organizaciones protegen, detectan y responden a los ataques.

Por otro lado, a medida que estas capacidades se vuelven más baratas y accesibles, los actores de amenazas también utilizarán la tecnología en ingeniería social, desinformación, estafas y más. Un nuevo libro blanco (white paper) de ESET se propone descubrir los riesgos y oportunidades para los ciberdefensores.

Breve historia de la IA en ciberseguridad

Los grandes modelos de lenguaje (LLM, por sus siglas en inglés) pueden ser la razón por la que las salas de juntas de todo el mundo bullen hablando de IA, pero la tecnología se ha estado utilizando de otras maneras durante años. ESET, por ejemplo, utilizó por primera vez la IA hace más de un cuarto de siglo a través de redes neuronales en un intento de mejorar la detección de macrovirus. Desde entonces, ha utilizado la IA de diversas formas para ofrecer:

Diferenciación entre muestras de código malicioso y limpio
Triaje, clasificación y etiquetado rápidos de muestras de malware en masa
Un sistema de reputación en la nube, que aprovecha un modelo de aprendizaje continuo a través de datos de formación
Protección de puntos finales con altos índices de detección y bajos índices de falsos positivos, gracias a una combinación de redes neuronales, árboles de decisión y otros algoritmos
Una potente herramienta de sandbox en la nube impulsada por el aprendizaje automático multicapa de detección, desempaquetado y escaneado, detección experimental y análisis profundo del comportamiento
Nueva protección de la nube y de los puntos finales impulsada por modelos de IA transformadora
XDR que ayuda a priorizar las amenazas mediante la correlación, clasificación y agrupación de grandes volúmenes de eventos

¿Por qué utilizan la IA los equipos de seguridad?

Hoy en día, los equipos de seguridad necesitan más que nunca herramientas eficaces basadas en IA, gracias a tres factores principales:

1. La escasez de personal cualificado sigue golpeando con fuerza

En el último recuento, había un déficit de unos cuatro millones de profesionales de la ciberseguridad en todo el mundo, incluidos 348.000 en Europa y 522.000 en Norteamérica. Las organizaciones necesitan herramientas para mejorar la productividad del personal con el que cuentan, y proporcionar orientación sobre el análisis de amenazas y la corrección en ausencia de colegas de alto nivel. A diferencia de los equipos humanos, la IA puede funcionar 24/7/365 y detectar patrones que los profesionales de la seguridad podrían pasar por alto.

2. Los actores de las amenazas son ágiles, decididos y cuentan con muchos recursos

Mientras los equipos de ciberseguridad luchan por reclutar personal, sus adversarios son cada vez más fuertes. Según una estimación, la economía de la ciberdelincuencia podría costar al mundo hasta 10,5 billones de dólares anuales en 2025. Los actores de amenazas en ciernes pueden encontrar todo lo que necesitan para lanzar ataques, agrupado en ofertas y kits de herramientas “as-a-service” listos para usar. Los intermediarios ofrecen acceso a organizaciones que ya han sido atacadas. E incluso los agentes estatales se están implicando en ataques con motivaciones financieras, sobre todo Corea del Norte, pero también China y otras naciones. En países como Rusia, se sospecha que el gobierno fomenta activamente el hacktivismo antioccidental.

3. Nunca ha habido tanto en juego

A medida que la inversión digital ha ido creciendo con los años, también lo ha hecho la dependencia de los sistemas informáticos para impulsar el crecimiento sostenible y la ventaja competitiva. Los defensores de la red saben que si no consiguen prevenir o detectar y contener rápidamente las ciberamenazas, su organización podría sufrir importantes daños financieros y de reputación. Hoy en día, una violación de datos cuesta una media de 4,45 millones de dólares. Pero una violación grave por ransomware que implique la interrupción del servicio y el robo de datos podría suponer una cifra varias veces superior. Una estimación afirma que solo las instituciones financieras han perdido 32.000 millones de dólares en tiempo de inactividad debido a la interrupción del servicio desde 2018.

Cómo utilizan la IA los equipos de seguridad?

Por lo tanto, no es de extrañar que las organizaciones estén buscando aprovechar el poder de la IA para ayudarles a prevenir, detectar y responder a las ciberamenazas de manera más efectiva. Pero, ¿cómo lo hacen exactamente? Correlacionando indicadores en grandes volúmenes de datos para identificar ataques. Identificando códigos maliciosos a través de actividades sospechosas que sobresalen de la norma. Y ayudando a los analistas de amenazas mediante la interpretación de información compleja y la priorización de alertas.

He aquí algunos ejemplos de usos actuales y futuros de la IA para el bien:

Inteligencia sobre amenazas: Los asistentes GenAI potenciados por LLM pueden simplificar lo complejo, analizando informes técnicos densos para resumir los puntos clave y los aspectos procesables en un inglés sencillo para los analistas.
Asistentes de IA: La incorporación de “copilotos” de IA en los sistemas informáticos puede ayudar a eliminar errores de configuración peligrosos que, de otro modo, expondrían a las organizaciones a ataques. Esto podría funcionar tanto para sistemas informáticos generales, como plataformas en la nube, como para herramientas de seguridad, como cortafuegos, que pueden requerir complejas configuraciones para su actualización.
Aumento de la productividad de los SOC: Hoy en día, los analistas de los Centros de Operaciones de Seguridad (SOC) están sometidos a una enorme presión para detectar, responder y contener rápidamente las amenazas entrantes. Pero el tamaño de la superficie de ataque y el número de herramientas que generan alertas pueden resultar abrumadores. Esto significa que las amenazas legítimas pasan desapercibidas mientras los analistas pierden el tiempo con falsos positivos. La IA puede aliviar la carga contextualizando y priorizando estas alertas, e incluso resolviendo las de menor importancia.
Nuevas detecciones: Los actores de las amenazas evolucionan constantemente sus tácticas, técnicas y procedimientos (TTP). Pero combinando los indicadores de compromiso (IoC) con la información pública disponible y los feeds de amenazas, las herramientas de IA podrían escanear en busca de las amenazas más recientes.

¿Cómo se utiliza la IA en los ciberataques?

Por desgracia, los malos también han puesto sus ojos en la IA. Según el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), esta tecnología “agravará la amenaza global del ransomware” y “casi con toda seguridad aumentará el volumen y el impacto de los ciberataques en los próximos dos años” ¿Cómo utilizan actualmente la IA los autores de amenazas? Considere lo siguiente:

Ingeniería social: Uno de los usos más obvios de GenAI es ayudar a los actores de amenazas a elaborar campañas de phishing altamente convincentes y casi gramaticalmente perfectas a escala.
BEC y otras estafas: Una vez más, la tecnología GenAI puede desplegarse para imitar el estilo de escritura de un individuo o personaje corporativo específico, con el fin de engañar a una víctima para que transfiera dinero o entregue datos confidenciales o de inicio de sesión. El audio y el vídeo deepfake también podrían utilizarse con el mismo fin. El FBI ha emitido varias advertencias al respecto en el pasado.
Desinformación: GenAI también puede encargarse de la creación de contenidos para operaciones de influencia. Un informe reciente advertía de que Rusia ya está utilizando este tipo de tácticas, que podrían reproducirse ampliamente si tienen éxito.

Los límites de la IA

Para bien o para mal, la IA tiene sus limitaciones en la actualidad. Puede arrojar altos índices de falsos positivos y, sin conjuntos de entrenamiento de alta calidad, su impacto será limitado. También suele ser necesaria la supervisión humana para comprobar que los resultados son correctos y para entrenar los propios modelos. Todo apunta a que la IA no es una bala de plata ni para los atacantes ni para los defensores.

Con el tiempo, sus herramientas podrían enfrentarse entre sí: unos buscando agujeros en las defensas y engañando a los empleados, mientras los otros buscan indicios de actividad maliciosa de la IA. Bienvenidos al comienzo de una nueva carrera armamentística en ciberseguridad.