No está claro si la inteligencia artificial va a ser un amigo o un enemigo de la ciberseguridad. Por una parte, y a pesar de que el desarrollo práctico de soluciones basadas en IA aún está comenzando, es patente su enorme potencial a la hora de prevenir e identificar ataques. Por otra, supone también una gran oportunidad para los hackers, que ganan rapidez e inteligencia. No en vano, se estima que el malware automatizado pronto adquirirá la categoría de plaga generalizada.
El crecimiento de las amenazas automatizadas
Ya hemos empezado a ver cómo se está utilizando malware basado en la IA para escalar los ataques. El malware polimórfico, por ejemplo, puede adaptarse constantemente, por lo que es imposible identificar su código. El troyano TrickBot es una muestra de este tipo de amenazas sigilosas que han ido evolucionando con el fin de ampliar su radio de acción a sectores de actividad diferentes para el que fueron originalmente diseñadas. Cuando TrickBot infecta los sistemas de una red, tiene la capacidad de cambiar su código continuamente, lo que dificulta su detección y mitigación. Además, su infraestructura se basa en servidores de comando y control configurados sobre routers pirateados, lo que supone aprovecharse de multitud de direcciones IP diferentes, algo que, unido a sus constantes actualizaciones, obstaculiza enormemente las tareas de eliminación.
Por otra parte, es también muy probable que pronto tengamos que enfrentarnos a campañas de phishing y spam de alta calidad y basadas en IA. Aquí, nuestro viejo amigo TrickBot puede volver a servirnos como ejemplo, ya que utiliza sistemáticamente estas técnicas como patrón de ataque inicial.
Además, la inteligencia artificial también va servir para que el malware sea más inteligente y pueda llegar a poder decidir entre diferentes técnicas de ataque y optar por la que tenga más probabilidades de éxito y de lograr un daño mayor. Asimismo, los hackers van a ser también capaces de utilizar la IA para eludir los algoritmos de seguridad.
Ante esta realidad, no cabe más opción que comenzar a defenderse utilizando también las capacidades que ofrece la inteligencia artificial. Eso, sin olvidar actualizar las herramientas de defensa de las que ya disponemos, como los firewalls de aplicaciones web, para lograr mantener su efectividad en el nuevo panorama de amenazas y, por supuesto, trabajar en la concienciación y formación del personal de la compañía que, por el momento, sigue siendo el eslabón más débil.
Una nueva aproximación a la seguridad corporativa
La adopción generalizada de IA en diferentes áreas de una empresa puede suponer una dificultad a la hora de elegir dónde conviene implementar los sistemas de seguridad y dónde enfocar los esfuerzos de los equipos encargados de la misma.
En esta situación, las organizaciones necesitan hacerse una serie de preguntas, como ¿cuáles son las fortalezas y debilidades de la infraestructura de TI?, ¿quién es el encargado de luchar contra los ataques dentro del equipo de ciberseguridad?, ¿dónde hay que implementar más recursos para poder afrontar convenientemente las amenazas basadas en la IA?, ¿qué comportamientos de los empleados influyen en las defensas de seguridad de la compañía? Las respuestas a estas preguntas facilitarán el uso de herramientas de IA en el ámbito de la seguridad.
La clave estará también en la adopción de una estrategia global que incluya labores de prevención, detección y respuesta. Si se implementa correctamente, la inteligencia artificial podrá servir para recopilar información sobre nuevas amenazas, intentos de ataque y violaciones. Podrá también detectar anomalías dentro de la red de una organización de forma más rápida y precisa de lo que puede hacerlo un humano.
Otro método que también puede hacer más difícil la vida de los hackers es aislar las aplicaciones vulnerables. Al lograr que el malware se ejecute en un entorno aislado, el riesgo de la amenaza se reduce. Esta técnica ayuda a protegerse frente a los vectores de ataque más comunes, como descargas maliciosas, plugins y archivos adjuntos de correo electrónico. Las aplicaciones se han convertido en el objetivo principal de los ataques basados en IA, por ello, la protección de las aplicaciones es fundamental en el aseguramiento general de la infraestructura de TI.
IA versus IA
Los casos de uso que incorporan inteligencia artificial y automatización al ámbito de la ciberseguridad son cada día más claros y sólidos. Aún así, la seguridad de una organización aún no debe basarse íntegramente en ellas. De momento, la experiencia, los conocimientos y la interacción humana con los servicios de aplicación siguen siendo necesarios. Aunque la ciberseguridad es un área muy apropiada para el desarrollo de la inteligencia artificial, es necesario recordar que, de momento, puede ser tanto un arma de destrucción masiva como una parte vital de la solución.
Daniel Varela
Ingeniero especialista de Seguridad para el sur de Europa en F5 Networks
