La inteligencia artificial (IA) es el concepto referido a la inteligencia que las máquinas son capaces de desarrollar. En 2018, aún nos encontramos lejos de ver robots alzándose en armas contra los humanos o planteándose preguntas metafísicas sobre su propia existencia, tal y como llegaron a hacernos imaginar un sinfín de películas. Sin embargo, en la actualidad sí que podemos hablar de una IA aplicada a un propósito: proporcionar a un sistema la capacidad de resolver problemas concretos.
Desde luego, la realidad actual que hay detrás del concepto de inteligencia artificial (IA) parece algo menos atractivo que la versión que todos hemos podido imaginar a partir de películas o libros de ciencia ficción, aunque bien es cierto que cuenta con implicaciones realmente interesantes e importantes para empresas y usuarios. Para hacernos a la idea contamos con ejemplos tan cercanos como cotidianos: desde el robot mecánico de una cadena de montaje hasta los asistentes integrados en los smartphones, como Siri.
Pero, además, la irrupción de la IA ha supuesto un impulso a las tecnologías aplicadas a la ciberseguridad. La complejidad que entrañan actualmente los ataques de este tipo a empresas y organismos requiere una serie de desarrollos e innovaciones que permitan ya no solo estar a la altura, sino también ir un paso por delante de los ciberdelincuentes.
El malware y el ransomware son algunas de las categorías con mayor tasa de incidencia en la actualidad. Por tanto, la diferencia entre el éxito y el fracaso del negocio puede encontrarse en saber cómo abordarlos para conseguir proteger adecuadamente los activos de las empresas.
IA ha supuesto un impulso importante a las tecnologías aplicadas a la ciberseguridad
Más allá del machine learning
Las soluciones de ciberseguridad con detección de malware impulsadas por deep learning, basado en redes neuronales, se erigen actualmente como las más eficaces frente a las actuales amenazas avanzadas. Este tipo de sistemas de seguridad combinan la mitigación mediante técnicas antihacking con el bloqueo avanzado de aplicaciones y mejoran la protección contra el ransomware. De esta manera, es posible contar con niveles de detección y defensa nunca vistos.
El deep learning es la última evolución del machine learning y ofrece un modelo de detección escalable de forma masiva, que es capaz de aprender del panorama de amenazas actual. Con capacidad para procesar cientos de millones de muestras, el deep learning puede hacer predicciones más precisas a un ritmo más rápido y con muchos menos falsos positivos en comparación con el maching learning tradicional.
De hecho, en el machine learning la clasificación de un elemento tiene que seguir linealmente todo el árbol de decisión. A causa de esto, cuanto mayor sea el número de variantes que contiene este árbol, mayor será el volumen ocupado por el modelo y mayor será el tiempo de análisis. En cambio, en un modelo de deep learning, dado que el análisis se realiza de manera simultánea por las diferentes “neuronas”, y que el resultado de este se comparte entre las diferentes capas, el hecho de añadir una nueva condición apenas afectará al tamaño del modelo.
Pero la diferencia no se queda ahí: ante un volumen de decenas de millones de datos, como ocurre en el mundo real —en Internet o en el llamado big data—, un modelo de deep learning perfeccionará su tasa de detección tanto con cada uno de los aciertos como también con cada fallo. Cada vez será más preciso y liviano. Mientras tanto, en el caso del machine learning, el hecho de tener un gran volumen de datos con los que entrenar al sistema no solamente no es una ventaja, sino que supondrá una carga superior de trabajo y un beneficio muy costoso de aprovechar.
Predicciones más precisas, a un ritmo más rápido y con muchos menos falsos positivos
Rapidez y eficacia
Comparando modelos de detección con ambas tecnologías, se registraron unos tiempos de decisión de entre 20 y 100 milisegundos con un agente basado en deep learning, frente a tiempos cinco veces más lentos con el sistema de machine learning tradicional. Asimismo, frente a los 20 MB que llegó a ocupar este nuevo modelo en la memoria, un sistema con similar nivel de acierto (que no de fallo) basado en machine learning elevó esta cifra entre los 500 MB y 10 GB de espacio.
Además, si hablamos de falsos positivos —de detecciones erróneas—, el resultado fue igualmente apabullante, pues se registraron mil veces más fallos de identificación en el sistema tradicional. Es decir, para una misma tasa de acierto, un modelo de deep learning será más ligero, cometerá menos errores y será más rápido que un modelo basado en machine learning.
Por otra parte, los modelos tradicionales de machine learning dependen de expertos en análisis de amenazas para seleccionar los atributos con los que preparar el modelo, lo cual agrega un elemento humano subjetivo. También se vuelven más complejos a medida que se agregan más datos y estos modelos, que llegan a ocupar varios gigabytes, son engorrosos y lentos. Además, también pueden tener altas tasas de falsos positivos, que reducen la productividad de TI a medida que los administradores intentan determinar qué es un malware y qué un software legítimo.
La última tecnología desarrollada por Sophos en este sentido se materializa en la solución Intercept X y su modelo deep learning de redes neuronales, que está diseñado para aprender de la experiencia, creando correlaciones entre el comportamiento observado y el malware. Esta vinculación tiene como resultado una alta tasa de precisión, tanto para el malware existente como para el de día cero, así como una menor tasa de falsos positivos.
El próximo ataque
Al mismo tiempo, es importante que estas tecnologías incluyan una serie de mejoras en la protección contra el ransomware, prevención de exploits y mitigación de técnicas antihacking, así como un adecuado blindaje contra el robo de credenciales. De hecho, a medida que han ido mejorando los sistemas antimalware, los ataques se han centrado cada vez más en sustraer identidades para poder acceder a los sistemas y redes como un usuario legítimo. Cada vez más resulta especialmente importante contar con la capacidad para detectar y evitar este tipo de comportamientos.
La protección predictiva es el futuro de la seguridad TI. Se trata de estar protegidos contra el próximo ataque desconocido, en lugar de quedarse esperando a que llegue, de cambiar la forma en que las empresas protegen a sus usuarios y sus activos.
Los falsos positivos consumen tanto tiempo de los encargados de las infraestructuras de TI como las propias amenazas. En este contexto, cuando los recursos de las empresas son limitados, es necesario centrarse en que la empresa esté operando de manera eficiente y lograr que el personal de TI ofrezca apoyo sin tener que perder tiempo en estos errores de detección.