La IA es una de las tecnologías con más impacto social y económico que vamos a ver en los próximos años (ya estamos viendo). Algunos estudios (PwC, Accenture) estiman este impacto a nivel global hasta 2030 en unos 16 billones de USD (16 T$), liderado por China y USA.
Como era de esperar, todo el mundo se está subiendo a este carro y el mundo de la ciberseguridad no es una excepción. Pero ¿cuánto hay de realidad en los usos de la IA para la ciberseguridad? Vamos a hacer un repaso a las posibilidades, visto desde ambos lados del campo de batalla, el del atacante y el del defensor.
Se pueden aplicar técnicas de Machine Learning (ML) para la detección de vulnerabilidades en el software, usando herramientas de fuzzing. Lo hacen los atacantes y lo pueden hacer los desarrolladores, evitando que las vulnerabilidades lleguen a los sistemas en producción.
Uno de los recientes avances más exitosos de la IA es la capacidad de generar automáticamente textos “creíbles” bastante difíciles de distinguir de los escritos por humanos. Ya se está usando esta técnica para generar textos de fake news para generar contenido en sitios de noticias o comentar en redes sociales.
Su utilización para generar textos adaptados al objetivo concreto de un spear phishing permitirá el escalado del spear al nivel de los phishings masivos, con el consiguiente incremento de la tasa de éxito de este tipo de ataques.
Uno de los usos más evidentes de ML es la detección de anomalías en tráfico de redes o en general, en registros de cualquier tipo. Para ello, se usan, fundamentalmente, redes neuronales, se establece una línea base de normalidad y se detectan desviaciones con respecto a esa línea. En este caso, se produce una escalada de armamento: los defensores detectando anomalías y los atacantes estudiando sus técnicas para explotar los fallos.
En el ámbito de la ciberseguridad industrial, es posible utilizar la IA para construir Digital Twins que sirvan como laboratorios de experimentación para preparar ataques a infraestructuras industriales.
Desde el punto de vista de un defensor el uso más interesante de la IA es la detección. Si se consigue, por ejemplo, reducir el tiempo que una APT permanece sin detectar en una infraestructura, que se puede estimar en meses o incluso años, ya sería un gran avance. En estos momentos, tenemos capacidad para monitorizar nuestras infraestructuras, obteniendo una enorme cantidad de información que muchas veces no pasa por un análisis adecuado, por falta de medios suficientes. La IA puede cambiar esa situación, automatizando el análisis.
Si se logra llegar a un nivel alto de fiabilidad en la aplicación de IA, nos podríamos plantear incluso la actuación automática (parcial) en caso de incidente, al menos en los primeros momentos del incidente, reduciendo drásticamente los daños causados.
También se introducen nuevos riesgos: los sistemas de IA son complejos y pueden producir incidentes por su mal uso o comprensión, llevando por ejemplo a casos de shutdown innecesarios de instalaciones, como ya ha ocurrido en un hospital alemán a causa de un ataque de ransomware. También puede haber una proliferación de ataques más sofisticados por parte de script kiddies usando herramientas avanzadas.
En cualquier caso, no podemos sustraernos al uso de IA en la defensa de las infraestructuras ya que es inevitable que los atacantes la utilicen y, al menos, debemos conocer las herramientas que utilicen.