“AI inside”. Hoy en día, no hay un solo proveedor (editor de software, fabricante de equipos, integrador) que no pretenda integrar tecnologías de inteligencia artificial en su software o servicios digitales.

El mundo de la ciberseguridad no es una excepción. Cada vez son más los especialistas que hablan de las ventajas de utilizar el aprendizaje automático (machine learning) o el aprendizaje profundo (deep learning). Muchos editores, sobre todo en el mundo anglosajón, han hecho de esto su principal rasgo diferenciador.

Los argumentos esgrimidos por los defensores de la IA son convincentes:

El enfoque estadístico de la IA pone fin a la visión tradicional de la ciberseguridad, que consiste en crear una firma para bloquear un virus, malware o ransomware una vez que se sabe de su existencia.

Gracias a la IA ya no es necesario conocer la amenaza para contrarrestarla, ni multiplicar los parches y actualizaciones. Analizará un archivo desde todos los ángulos y le asignará una puntuación de confianza. Por debajo de esta puntuación, se pone en cuarentena. Este enfoque estadístico permitiría anticipar más fácilmente las nuevas formas de amenaza, las diferentes evoluciones de los códigos maliciosos, e incluso bloquear los “zero day“.

Además, el uso de la IA compensaría el déficit estructural de cibercapacidades al liberar a los expertos de tareas repetitivas, lentas y sin valor añadido, para que puedan concentrarse en las cosas que realmente merecen su atención.

Actualmente, las empresas también tienen que equiparse con las mismas armas que los ciberdelincuentes que, como sabemos, siempre van un paso por delante. Los piratas informáticos ya hacen un amplio uso de las tecnologías de IA para identificar fallos del sistema, descifrar contraseñas, rellenar Captcha, personalizar campañas de phishing o crear falsificaciones profundas.

El tan de moda agente conversacional ChatGPT ha sido incluso secuestrado para escribir código malicioso.

Pero cuidado con las buzzwords y la distancia que hay entre la retórica del marketing y la realidad.

Hasta la fecha, la IA ha demostrado su pertinencia para detectar comportamientos sospechosos y señales débiles en el océano de datos que hay que analizar.

Autodidacta, el sistema protege contra las ciberamenazas basándose en un historial de patrones de comportamiento. Cualquier cambio en estos patrones habituales se analiza y aísla.

Por ejemplo, un empleado se ha conectado desde el extranjero a una hora inusual utilizando un terminal no registrado. El sistema transmite la alerta a un experto, que decide si la pasa por alto o investiga más a fondo y toma medidas correctoras.

Aunque la IA puede ayudar al analista contextualizando el evento sospechoso cruzando diferentes fuentes de información, su papel se detiene ahí por el momento.

Si el auge de la IA en los sistemas de protección va en el sentido de la historia, será gradual. De momento, su uso generalizado se ve obstaculizado por la confianza depositada en ella.

Un sistema de autoaprendizaje implica falsos positivos. Según el experto Dane Sherret, arquitecto de soluciones en HackerOne, “los informes de vulnerabilidades generados por la IA revelan muchos falsos positivos, lo que añade fricción adicional y representa una sobrecarga para los equipos de seguridad”

En otras palabras, lo contrario del objetivo buscado. Un hecho que invalida, una vez más, la posibilidad de una IA autónoma. Una organización no puede permitirse que un falso positivo paralice su actividad.

La IA plantea además la cuestión de la transparencia de los algoritmos denominados de “caja negra” de tipo aprendizaje profundo (deep learning). ¿Cómo utiliza un modelo los datos de entrada para obtener los resultados de salida? El modelo no sólo debe ser explicable, sino también sólido. Los piratas informáticos también pueden pervertirlo deliberadamente inyectando datos tóxicos (data poisoning), convirtiendo el sistema de autoaprendizaje en un auténtico coladero.

Para Dane Sherret, “la evolución del panorama tecnológico siempre requerirá un elemento humano”, y “la IA no puede igualar o superar la pericia de una comunidad mundial de hackers”.

También señala que, para que la IA funcione correctamente, necesita supervisión humana y configuración manual. A continuación, debe entrenarse con los datos más recientes, habida cuenta de la constante evolución de las amenazas y la explotación de nuevos vectores de ataque.

“Los datos de hace sólo un año pueden hacer que las soluciones autónomas sean mucho menos eficaces, y la dependencia excesiva de las herramientas de análisis ya deja a muchas empresas en una situación vulnerable”, afirma Dane Sherret.

Aunque la IA no sustituirá a los expertos en ciberseguridad, puede mejorar sus capacidades. “Hoy en día, vemos hackers éticos que utilizan IA para ayudarles a escribir informes de vulnerabilidad o generar muestras de código, así como para identificar tendencias en grandes conjuntos de datos”. En resumen, una IA al servicio de las personas.