El aumento en el volumen y la complejidad de los ciberataques arroja nuevos desafíos en la protección de la infraestructura TI, el negocio y la reputación. La IA se erige como un poderoso componente de la ciberseguridad, que hay que incorporar con acierto en los procesos para tener más capacidades en detección, anticipación y respuesta. Este aumento en la intensidad de las amenazas acelera dos tendencias: la influencia creciente del CISO y el uso de centros de operaciones de seguridad (SOC) de última generación.

El volumen y el impacto de los ciberataques es cada vez más relevante en el mundo empresarial. En 2024, según Juniper Research, estas ofensivas generarán un coste de cinco billones de dólares en todo el mundo, un crecimiento del 66% en cinco años. La intensidad de esta amenaza en nuestro país queda patente con un dato: el año 2018 se cerró con más de 38 000 ciberincidentes, lo que supone casi un 45% más con respecto al año anterior, según cifras del CCN-CERT.

Las técnicas para llevar a cabo los ataques son cada vez más sofisticadas y afectan a todos los sectores de actividad. Por ejemplo, muchos de los ciberataques en la cadena de suministro, que han crecido un 50% en tan solo un año, se centran en modificar un producto que más adelante será suministrado a la persona u organización objetivo del ataque, para entrar en su sistema. Un caso muy sonado fue el coordinado contra la red eléctrica estadounidense a lo largo de varios años, que llevó a que en 2018 el país acusara directamente al Gobierno ruso como agresor. En este caso, en vez de atacar directamente el sistema energético, arremetieron contra el entramado de proveedores, más vulnerables.

La IA promete impulsar la eficiencia en los sistemas de ciberseguridad, reduciendo costes y tiempos

Los hackers infectaron las webs de los medios más visitados por los ingenieros de electricidad y enviaron currículum falsos con adjuntos infectados para tomar el control de sus sistemas.

Entre los avances en las técnicas, figuran los relativos a exploits de día-cero; vectores de infección desconocidos; múltiples canales de exfiltración; uso de código dañino en la memoria de los equipos… En 2019, algunos métodos particularmente frecuentes están siendo el ransomware, los cryptominers —que siguen surgiendo pese al cierre del proyecto CoinHive, que ofrecía malware para efectuar ofensivas—, los ataques DNS, los que utilizan técnicas de ingeniería social, la instalación de código dañino en dispositivos móviles y los robos usando SSL/TLS41.

La IA como impulsor

Como en otras disciplinas y facetas, la inteligencia artificial (IA) está dotando de medios el ecosistema de la ciberseguridad, aunque sucede a ambos lados de la trinchera. De hecho, según nuestros informes, han aumentado un 15% los ataques que se suceden a las más altas velocidades.

El escenario de complejidades de ataque es tal que una cuarta parte de los analistas señala que no es capaz de investigar todos los incidentes por completo. En este sentido, las compañías están destinando importantes esfuerzos para incrementar el uso de la IA en sus sistemas seguridad y se espera que sus presupuestos aumenten de manera significativa. La IA promete impulsar la eficiencia en esta actividad, así como reducir los costes y los tiempos. Además, no solo mejora la eficacia en la detección, sino que también aporta la predicción de amenazas.

Para implementar esta tecnología de manera adecuada, se recomienda centrarse primero en los casos de uso de baja complejidad y alto impacto positivo, como la detección de fraude, de intrusos y de malware, los análisis de riesgo y vulnerabilidades del sistema, y el examen de comportamiento del usuario en dispositivos IoT para ver si realmente es una persona o una máquina la que está accediendo al sistema.

En este sentido, por ejemplo, ISFM (vinculada al desarrollo de vehículos autónomos) cuenta con un sistema que analiza las acciones de los usuarios para proteger los sistemas eléctricos de control del vehículo contra posibles hackeos. Por su parte, investigadores de Berkeley Labs están creando un sistema que, con un enfoque diferente, le da la vuelta a la detección de intrusos en las redes de distribución inteligente de energía. De esta forma, en vez de monitorizar los sistemas informáticos, utiliza sensores para realizar un seguimiento físico de las redes eléctricas e introduce los datos en algoritmos para detectar si los dispositivos están siendo manipulados a distancia.

En este momento, la aplicación más extendida de la IA en la defensa es la detección (Figura 1). La empresa de producción industrial Honeywell, por ejemplo, utiliza deep learning para analizar la información procedente de dispositivos conectados por USB —su principal entrada de software malicioso— y descubrir amenazas. Sin embargo, el uso de la IA que se espera que cobre protagonismo en los próximos años es la predicción de amenazas y la anticipación a los riegos; un tercio de las compañías ya lo hace. Otro uso incipiente (en algo menos 20% de las organizaciones) se encuentra en la respuesta, de manera que la IA actúe de manera automática, de forma similar al sistema inmunitario de los seres vivos, creando anticuerpos digitales.

Una nueva aproximación

En general, la IA, junto con el big data, va a permitir que las empresas se centren cada vez más en ampliar sus capacidades de vigilancia basadas en anomalías así como en mejorar el intercambio de patrones de detección en cualquier formato. Todo esto soportado por un nuevo perfil de expertos que ayuden a desarrollar de manera continua los mecanismos de detección y a descartar los falsos positivos, mezclando el conocimiento de seguridad con la investigación forense y el análisis avanzado de la información.

La combinación de estos factores —más volúmenes de ataques, más sofisticación de los mismos, las oportunidades que arroja la IA y la necesidad de más capacidades y nuevas competencias profesionales— está acelerando dos tendencias que marcan una nueva aproximación a la disciplina de la ciberseguridad.

Básicamente, se buscan comportamientos anómalos que indiquen la existencia de incidencias o de que el sistema esté comprometido.

Por un lado, el uso de centros de operaciones de seguridad (SOC) de nueva generación. Se tiende a externalizar la monitorización constante de todo lo concerniente a la ciberseguridad a través del análisis inteligente y científico de redes, servidores, endpoints, bases de datos, aplicaciones, webs y otros sistemas. Básicamente, se buscan comportamientos anómalos que indiquen la existencia de incidencias o de que el sistema esté comprometido. Este modelo es especialmente relevante en el sector industrial y en el de las infraestructuras críticas.

La segunda tendencia es convertir a la ciberseguridad en asignatura del máximo órgano de gobierno de la empresa, contexto en el que cobra cada vez más importancia la figura del CISO. En nueve de cada diez organizaciones (en compañías de más de mil empleados) el CISO está involucrado en la toma de decisiones de alto nivel, y en seis de cada diez participa en los comités ejecutivos.

En gran medida, todo esto tiene que ver también con que, desde la alta dirección, la ciberseguridad ya no se considera solo como una medida necesaria de protección, sino como un factor para lograr ventaja competitiva y diferenciación, y como un facilitador de la eficiencia de negocio. Esta será la visión necesaria para ganar la guerra de la ciberseguridad.