
Detección proactiva de amenazas con IA
El uso de la IA para automatizar, analizar y mejorar los procesos actuales se aplica también en ciberseguridad para detectar y responder ante vulnerabilidades y ataques en tiempo real.
La inteligencia artificial (IA) se incorpora a casi todos los aspectos de nuestras vidas. La utilizamos para desarrollar códigos, comunicarnos con clientes, escribir en diversos medios y hasta en temas de ciberseguridad.
El uso de la IA se ha generalizado y no hay miras de que desaparezca en el corto plazo. Sus aplicaciones se entrelazan con una gama de sistemas para automatizar, analizar y mejorar los procesos actuales. En el mundo de la ciberseguridad, la IA ayuda a una serie de funciones y procesos. Por eso, los profesionales de la seguridad deben aprovecharla al máximo para mejorar sus sistemas y productos. Estamos viendo importantes usos para analizar registros, predecir amenazas, leer código fuente, identificar vulnerabilidades y hasta para sacar provecho de puntos débiles.

Los sistemas de IA son capaces de realizar varias tareas, como el reconocimiento de patrones, el aprendizaje y la resolución de problemas. La IA comprende diversas áreas: el aprendizaje automático (machine learning o ML) permite a los sistemas aprender y mejorar; el procesamiento de lenguaje natural (PLN) imita el habla humana; y la visión por computadora utiliza cámaras como fuentes de información para realizar diversas tareas.
La capacidad de la IA para reconocer patrones hace que la detección de anomalías sea un caso de uso lógico. Mediante el uso de ML, se identifican desvíos en el comportamiento de un sistema, se registran posibles ataques y aquellos sistemas que no funcionan como deberían.
Caso de uso 1: Detección de anomalías
La detección de anomalías y la identificación de patrones inusuales es un excelente caso de la capacidad de reconocimiento de patrones del ML. Este método parte de normas preestablecidas para un sistema, como el tráfico de red, las llamadas API o los registros, y utiliza el análisis estadístico para supervisar el comportamiento y las actividades del sistema en forma continua, así como para activar alertas al descubrir actividades extrañas.
La IA y el ML detectan patrones y los categorizan. Esto es fundamental para asignar niveles de prioridad y evitar la "fatiga de alertas". Estas capacidades de la IA y el ML proporcionan información inteligente para tomar decisiones más razonadas.
Caso de uso 2: Inteligencia de ciberamenazas impulsada por IA
La IA y el ML también pueden usarse para ayudar a reforzar la seguridad de los sistemas antes de que ocurra un evento. La Inteligencia de amenazas cibernéticas (CTI) recopila información de ataques y eventos de ciberseguridad. El objetivo de la CTI es informar sobre las amenazas actuales o nuevas con la intención de preparar a los equipos ante la posibilidad de un ataque antes de que este se produzca. La CTI también ayuda a comprender mejor con qué están lidiando.
El uso de IA para prevenir vulnerabilidades
Es valioso aprovechar la IA y el ML para detectar y prevenir las vulnerabilidades en el software. Al igual que la CTI, los sistemas de IA ayudan a aliviar las tareas cotidianas y para que el talento se dedique a proyectos e innovaciones. Si bien la revisión de código es importante, se puede optimizar si se aprovechan las pruebas estáticas de seguridad de aplicaciones (SAST).
Aunque las plataformas SAST existen desde hace tiempo, su mayor problema es la gran cantidad de falsos positivos que suelen generar. Aquí es donde entra en juego la capacidad de la IA y el ML de examinar el código fuente, la infraestructura y el código de configuración. La IA también se está empezando a utilizar para ejecutar pruebas dinámicas de seguridad de aplicaciones (DAST) con el fin de probar si los ataques comunes tendrían éxito en las aplicaciones en ejecución.
Caso de uso 3: Escaneo de códigos impulsado por IA
Desde hace tiempo, las SAST utilizan un enfoque de "fuentes y sumideros" para escanear código y rastrear el flujo de datos en busca de errores comunes. Las herramientas producidas para el escaneo de código estático suelen emplear este modelo. Si bien es una forma válida de examinar el código, puede dar lugar a muchos falsos positivos que requieran una validación manual posterior.
En este caso, la IA y el ML son de gran utilidad porque aprenden y comprenden el contexto o la intención que rodea a los posibles hallazgos en la base de código, lo cual reduce los falsos positivos y los falsos negativos. Además, como las herramientas SAST y los asistentes de IA, los desarrolladores pueden detectar esos errores antes de su envío.
Caso de uso 4: Automatizar la identificación de vulnerabilidades
La revisión de código puede ser un proceso extenso, pero las pruebas no suelen terminar tras el envío. Las DAST se utilizan para probar ataques comunes contra una aplicación que se está ejecutando. En el mercado existen herramientas que ayudan, pero, al igual que la codificación, requieren cierto tiempo de familiarización. El usuario necesita entender estos tipos de ataque, cómo replicarlos a través de la herramienta DAST y luego automatizarlos.
Últimamente, tanto las DAST como las herramientas para la prueba de aplicaciones han comenzado a implementar la IA y el ML directamente en sus plataformas o como plugins, lo que permite realizar escaneos automáticos optimizados. Esto no solo libera al personal, sino que también libera el tiempo y el dinero para realizar pruebas de penetración completas. Estas pruebas requieren bastante intervención humana, que piensen como atacantes y reconozcan posibles puntos débiles que pueden ser objeto de ataques.
Proteger la propia IA
Si bien la IA ayuda a eliminar errores humanos, no deja de ser vulnerable. En primer lugar, está la calamidad de muchos problemas informáticos: una configuración deficiente o inadecuada. De cerca le sigue la necesidad de entrenar y validar el modelo y sus procesos de forma segura. No hacerlo podría derivar en un sistema que los usuarios no entiendan, lo cual crearía una especie de caja negra y un proceso de gestión deficiente del ciclo de vida del modelo.
Uno de los problemas de seguridad relacionados con IA que más se debaten es el envenenamiento de datos. Los seres humanos recopilamos datos que luego utilizamos para entrenar algoritmos de IA y ML y, como seres humanos, podemos introducir sesgos. Así mismo, los atacantes pueden envenenar el conjunto de datos que se utiliza para entrenar y validar los sistemas de IA y ML.
Conforme el uso de la IA se generaliza, nuestra comprensión y capacitación van quedando rezagadas, en particular la capacitación en seguridad en torno a la IA y el ML. Muchas personas ajenas a la comunidad tecnológica no logran comprender gran parte del funcionamiento interno de los sistemas de IA y ML, lo que puede empeorar si los sistemas se descuidan y carecen de transparencia.
A medida que nos volvemos más dependientes de los sistemas de IA, y de la precisión del ML para proteger los sistemas, esto pasará a ser "imprescindible". No hay duda de que los atacantes utilizarán sistemas de IA y ML para pergeñar sus ataques, por lo que los defensores necesitarán implementar estos sistemas para ayudar a proteger y defender sus organizaciones y sistemas.
Lo ideal sería que los estudiantes se preparen con conocimientos sobre los sistemas de IA y ML, pero también los veteranos tendrán que adoptarlos. Lo mejor es que los talentos se aseguren de tener, al menos, conocimientos básicos de IA y, que las empresas empiecen a analizar cómo pueden aprovechar mejor la IA y el ML en sus productos, sistemas y seguridad.
Roberto Calva es líder de Automatización GTM & Tecnología para América Latina en Red Hat. Es evangelizador del código abierto, entusiasta de la ciberseguridad y asesor. Antes de llegar a Red Hat, ocupó puestos distintos en organizaciones como Grupo Salinas, Banco Azteca y Elektra. Es ingeniero eléctrico-electrónico (IEE) por la Universidad Nacional Autónoma de México, con estudios en Transformación digital por MIT Professional Education y Ciberseguridad por el Instituto Superior Tecnológico de Monterrey, México.