El eterno juego del ratón y el gato entre atacantes y defensores en el mundo de la ciberseguridad ha implicado históricamente una mejora constante de las metodologías llevadas a cabo por ambas partes. El rápido y novedoso desarrollo de la Inteligencia Artificial (IA) resulta muy atractivo para el desarrollo de nuevas metodologías tanto para los atacantes como para los defensores.
A grandes rasgos, la IA hace referencia al aprendizaje que pueden realizar las máquinas u ordenadores en este caso, para llevar a cabo acciones consideradas como “inteligentes”. Uno de los grandes retos de esta disciplina consiste en dotar de capacidades “humanas” a éstas para que puedan llegar a tener comportamientos semejantes a los nuestros. Una de las ramas con mayor potencial hoy en día en la inteligencia artificial es la denominada ‘Machine Learning’. El objetivo básico de esta rama consiste en “entrenar” a la máquina para que sea capaz de dar una respuesta adecuada en base a unos parámetros de entrada.
MACHINE LEARNING
Dentro de esta rama se encuentran dos tipos de técnicas: aprendizaje supervisado y no supervisado. El aprendizaje supervisado se encarga de entrenar un tipo de modelo basado en inputs y outputs conocidos, con la finalidad de poder predecir futuros outputs. Por su parte, el aprendizaje no supervisado se encarga de estimar patrones a partir de unos determinados inputs.
Otro concepto a tener en cuenta es el de redes neuronales. Este modelo de datos, empleado tanto en las técnicas de entrenamiento supervisado como en no supervisado, trata de emular el funcionamiento del cerebro humano. Normalmente se organizan en tres partes: la primera es la capa de entrada o inputs, la segunda se constituye de varias capas intermedias, y la tercera es la capa de salida, con una o varias unidades de destino. La peculiaridad de esta técnica reside en que cada ‘neurona’ dispone de una ponderación variable que va entrenándose y mejorándose hasta que consigue una precisión elevada.
Cabe también mencionar en este informe una de las técnicas más recientes en la IA. Esta técnica denominada ‘GAN’ (Redes Generativas Adversarias o Generative Adversarial Networks por sus siglas en inglés), consiste en emplear dos redes neuronales, una para que trate de crear lo que se supone que debe crear (por ejemplo: imágenes de caras humanas), y la otra red neuronal para discriminar (por ejemplo: determinar si una imagen corresponde a un rostro humano o no). Con el paso del tiempo, ambas redes neuronales van probándose la una a la otra y mejorando hasta que a la red discriminadora le resulta imposible determinar si la imagen que está visualizando es real o no. Gracias a esta técnica, se han conseguido crear, entre otras cosas, imágenes y sonidos hiperrealistas.
CIBERSEGURIDAD
Cada vez más son las empresas en el sector de la ciberseguridad que están empleando ‘Machine Learning’ para detectar posibles amenazas, basando su entrenamiento en el histórico de amenazas resueltas por parte de los analistas. De esta forma y dada la cantidad tan elevada de amenazas resueltas que pueden estar registradas en una empresa del sector, el entrenamiento llevado a cabo por parte de la IA puede ser muy efectivo y muy útil.
Por poner un ejemplo que refuerce el potencial que tiene el uso de ‘Machine Learning’, supongamos que en el sector de ciberseguridad se disponen de servidores llenos de Terabytes de información que podrían contener, por ejemplo, todos los historiales de todos los eventos maliciosos que han sido detectados. Dada la tendencia creciente de ataques, es lógico pensar que un analista puede llegar a verse desbordado. Es aquí donde la IA basada en ‘Machine Learning’ hace su aparición.
Esta rama de la IA, mediante alguno de sus campos de aplicación, podría ser capaz de aprender de los historiales de eventos maliciosos mediante un entrenamiento previo, escogiendo como parámetros de entrada los factores más importantes que le han llevado al analista a catalogar ese evento como malicioso (p.e tamaño del archivo, contenido del archivo, dirección IP origen, comportamiento, tipo de conexión…). Gracias a este entrenamiento, nuestra IA entrenada mediante ‘Machine Learning’ podría ser capaz de determinar con una alta precisión, la probabilidad de que un evento sea malicioso o no.
Además, desde el punto de vista de la ciberseguridad, sería interesante adentrarse por una parte en el mundo de las redes neuronales para que nuestra IA pueda aprender de nuevos patrones no conocidos, y por otra parte, se debería profundizar en la técnica ‘GAN’ mencionada anteriormente para entrenar a nuestra red neuronal con casos reales de eventos maliciosos y así conseguir determinar de una forma mucho más eficaz las posibles amenazas.
AMENAZAS
Al igual que la IA está suponiendo una ventaja para los defensores de la ciberseguridad, parece ser que también empiezan a surgir distintas propuestas de ataque llevadas a cabo mediante la combinación esta disciplina junto con las metodologías clásicas existentes.
Hoy en día no existen registros definidos de su uso ya que este es muy incipiente y muy limitado. No obstante, si que disponemos de investigaciones hechas por empresas y universidades que alertan de su probable uso inmediato por parte de los cibercriminales.
- Malware evasivo: Investigadores de IBM han creado un tipo de malware evasivo denominado ‘DeepLocker’, que emplea inteligencia artificial para mantener su payload malicioso oculto (por ejemplo en un software de videoconferencias), a la espera de encontrar una víctima concreta mediante reconocimiento facial. El empleo de esta técnica hace que su desbloqueo mediante ingeniería inversa sea prácticamente imposible hoy en día. El caso de aplicación que emplea esta IA es el modelo de ‘Redes Neuronales Profundas’ o DNN (Deep Neural Network).
- En contra de la propia IA: Los cibercriminales podrían hacer uso de los conocimientos que pueda tener un sistema de IA entrenado en un entorno concreto para tratar de engañarlo. Por poner un ejemplo, en el caso de que se emplee la IA en el sector de la ciberseguridad para detectar nuevas amenazas, si el cibercriminal llega a ser capaz de conocer el modus operandi acerca de cómo ésta determina una potencial amenaza, podría camuflar su ataque mediante técnicas que la IA no considera como amenazas para así poder pasar desapercibido. Una buena contramedida a esta técnica es evitar que personal no autorizado acceda al modelo de entrenamiento de la IA entrenada y por supuesto, nunca confiarle de forma absoluta a la IA la tarea de determinar si los distintos eventos suponen una amenaza o no. La IA tiene que establecerse como una base de apoyo al analista y en ningún caso debería suplir a este.
- Suplantación de identidad e ingeniería social: Uno de los ámbitos en los que más está avanzando la IA mediante el uso de ‘Redes Neuronales Profundas’ es en la recreación de características humanas. Por ejemplo nos encontramos que la IA es ya casi capaz de recrear el habla con voz humana. Imaginemos que podría ocurrir si el acceso a un lugar se realiza mediante control de voz o incluso si realizamos una llamada a la empresa con la voz de algún responsable de área o incluso del jefe, en el cual confiamos plenamente.Las ‘Redes Neuronales Profundas’ pueden también emplearse para saltarse los controles biométricos mediante huella dactilar, tal y como han desarrollado expertos de la Escuela de Ingeniería de la Universidad de Nueva York en lo que ellos han denominado ‘DeepMasterPrints’. Esta herramienta aprovecha que existen zonas de las huellas que tienen muchas características comunes (https://arxiv.org/pdf/1705.07386.pdf) y que la mayoría de escáneres no leen la huella dactilar completa, lo que permite facilitar la labor de los cibercriminales. Además, para lograr un mayor porcentaje de éxito, los investigadores han creado huellas realistas entrenando la IA con huellas dactilares reales mediante una ‘GAN’.
En definitiva, podemos concluir que el rápido desarrollo de la IA, sumado a su alto potencial, puede cambiar la forma en la que entendemos la ciberseguridad. Además, debido a que gran parte de esta tecnología se encuentra de forma pública en Internet y su integración con las diferentes técnicas de ataque son viables tal y como hemos estudiado anteriormente, se puede estimar que va a existir una inevitable tendencia al alza de su uso por parte de los ciberdelincuentes. Por su parte, el sector de la ciberseguridad deberá adaptarse empleando IA a corto/ medio plazo para no encontrarse indefenso ante los ciberdelincuentes que empleen esta tecnología.
Para acabar, hay una cosa que parece clara, y es que el bando que antes consiga adaptarse a la disciplina de la IA tomará ventaja en la ya histórica carrera.