Se buscan virus actuales para prevenir los del futuro
Las compañías de ciberseguridad alimentan sistemas de inteligencia artificial con ‘malware’ para que aprendan a detectar amenazas de forma precisa y eficiente
Michael Corleone sabía muy bien de lo que hablaba cuando, durante el transcurso de la segunda parte de El padrino, recordaba a uno de sus caporegimes una máxima que le convertiría en referente moderno de la estrategia política más maquiavélica: “Mantén cerca a tus amigos, pero más cerca a sus enemigos”. Desde mucho antes de que la novela de Mario Puzo fuera llevada al cine, esta frase ha formado parte de la filosofía de toda clase de organizaciones y seguirá influyendo determinantemente en sectores como el de la ciberseguridad, donde conocer la amenaza es imprescindible para poder prevenirla.
El incremento en la capacidad de procesamiento de datos y la evolución de la inteligencia artificial, una tecnología que tiene más años de los que aparenta, nos han dado la capacidad de afrontar los ataques informáticos desde un nuevo prisma. Las compañías que nos protegen en internet desarrollan sistemas a los que alimentan con programas dañinos para que aprendan a identificarlos. Y no estamos hablando de un caso aislado: el 87% de los profesionales de ciberseguridad en EE UU ya utilizan inteligencia artificial en sus empresas, según un informe de Webroot.
La gran ventaja de utilizar esta tecnología en ciberseguridad es su capacidad de actualización. Los motores antivirus habituales basan su capacidad de acierto en los ataques que se han visto en el pasado. Los modelos de aprendizaje automático, por su parte, pueden beneficiarse de las actualizaciones con los datos más recientes, pueden generalizarse a partir de patrones pasados y clasificar correctamente archivos con los que nunca han trabajado para anticiparse a las nuevas amenazas.
¿Cómo se entrena un sistema para que aprenda a detectar malware? Normalmente se utilizan dos tipos de conjuntos de datos: uno para el entrenamiento de la máquina, donde se encuentra la respuesta correcta; otro de pruebas, donde, una vez finalizada la parte de aprendizaje, se evalúa la precisión que ha alcanzado el sistema. Este modelo se denomina aprendizaje supervisado.
Los conjuntos de datos están formados por archivos maliciosos y benignos que le permiten establecer diferencias y puntos coincidentes y determinar características que le ayudan a clasificarlos. “Es importante tener un conjunto de muestras lo más completo posible; no es solo una cuestión de cantidad, sino también de calidad de las muestras”, expone Priscila Rodríguez, del área de desarrollo de Techco Security. “De este modo, es más sencillo que el sistema encuentre patrones en los datos que no se ajusten al comportamiento esperado, es decir, anomalías que tengan como objetivo actividades maliciosas”.
Los modelos de aprendizaje automático pueden clasificar archivos con los que nunca han trabajado para anticiparse a nuevas amenazas
La fuente de obtención de los datos con los que alimentar la inteligencia artificial depende de cada empresa, pero las más grandes coinciden en utilizar sus propios recursos. Udo Schneider, security evangelist de Trend Micro, reconoce que su empresa recoge cerca del 95% del malware para entrenar la tecnología de forma interna. Para ello, recurren a su red global de inteligencia y a rastreadores y sistemas automáticos que verifican nuevos dominios.
Muchas compañías utilizan archivos maliciosos y benignos a los que sus clientes están expuestos para entrenar sus algoritmos, pero no los publican, porque les preocupa la información de identificación personal y porque existen ciertas restricciones relacionadas con la propiedad intelectual. Sin embargo, la compartición de datos con otras empresas de ciberseguridad no es un fenómeno aislado. “El mejor ejemplo sería VirusTotal, donde cada proveedor participante debe proporcionar su propia información a cambio de muestras de otros”, explica.
El uso colaborativo de virus informáticos tuvo uno de sus máximos exponentes el pasado mes, cuando la compañía de ciberseguridad Endgame publicó EMBER, el mayor catálogo de malware de código abierto para entrenar inteligencia artificial y capacitarla para responder a todo tipo de amenazas. Phil Roth, científico de datos de la empresa, reconoce que el uso de aprendizaje automático para repeler ataques informáticos se encuentra en pañales. “Hay muchas más técnicas rentables y menos complicadas con la misma finalidad”, reconoce, “pero la inteligencia artificial se utilizará mayoritariamente en algún momento en el futuro, y es importante que las empresas estén listas cuando llegue ese momento”.
Hay quien podría pensar que publicar esta información para que todo el mundo pueda verla podría suponer una amenaza si llega a manos equivocadas. Roth rechaza esta precaución. “La mejor herramienta para un hacker es la que le posibilita verificar si un programa puede eludir una amplia variedad de motores antivirus y EMBER no proporciona esta capacidad”, advierte, dejando claro que la cooperación en el camino a la automatización marca las pautas de la ciberseguridad del futuro.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.
