2017 no fue un gran año en lo que respecta a la ciberseguridad: asistimos a un gran número de ciberataques de perfil alto incluyendo los casos de Uber, Deloitte, Equifax y el infame ataque ransomware denominado WannaCry. 2018 también comenzó con un caso sonado: el hackeo de las Olimpiadas de Invierno. La alarmante realidad acerca de los crecientes ciberataques es que la mayor parte de las empresas y el propio sector de la ciberseguridad no están preparados. A pesar del constante flujo de actualizaciones y parches de seguridad el número de ataques continúa aumentando.
Más allá de la falta de preparación a nivel comercial, la propia fuerza de trabajo relacionada con la ciberseguridad también se encuentra desbordada en su capacidad para responder a la demanda. En 2021, se estima que faltará cubrir 3,5 millones de puestos de trabajo dedicados a la ciberseguridad en todo el mundo y la plantilla actual está sobrecargada y trabaja una media de 52 horas, lo cual no constituye una situación ideal para hacer frente a las imparables amenazas.
Los nuevos algoritmos de IA utilizan aprendizaje automático (Machine Learning o ML por sus siglas en inglés) para adaptarse con el paso del tiempo y simplificar la respuesta a los riesgos en relación con la ciberseguridad. No obstante, las nuevas generaciones de malware y los nuevos ciberataques pueden ser difíciles de detectar con los protocolos de ciberseguridad convencionales. Evolucionan a lo largo del tiempo, así que resulta necesario emplear enfoques más dinámicos.
Otra gran ventaja de los sistemas de Inteligencia Artificial en ciberseguridad es que permitirán liberar una enorme cantidad de tiempo para los empleados dedicados a cuestiones tecnológicas. Otra forma de que los sistemas de IA puedan servir de ayuda es categorizando los ataques basándose en el nivel de amenaza. Si bien hay mucho trabajo que hacer en lo que respecta a esta cuestión, cuando los principios del aprendizaje automático se incorporen a los sistemas pueden adaptarse a lo largo del tiempo y esto aportaría al usuario un mayor dinamismo en relación con los cibercriminales.
Desafortunadamente, siempre existirán límites para la IA y los equipos humano-máquina constituirán la clave para resolver retos en ciberseguridad cada vez más complejos. Pero a medida que nuestros modelos resulten más efectivos para detectar las amenazas, los “malos” buscarán la forma de lograr que los modelos se confundan. Se trata de un campo denominado aprendizaje de máquina con adversarios o IA con adversarios.
Cuatro prácticas de seguridad fundamentales
Con toda la propaganda que rodea a la IA tendemos a pasar por alto un hecho muy importante. La mejor defensa contra un potencial ciberataque se basa en mantener una posición de seguridad fundamental que incorpore monitorización continua, educación del usuario, gestión diligente de parches y controles básicos de configuración para abordar las vulnerabilidades. Todo esto se explica a continuación:
1. Identificación de los patrones
La IA se centra en los patrones. Por ejemplo, los hackers buscan patrones en las configuraciones del servidor y del cortafuegos, en el uso de sistemas operativos antiguos, en las acciones del usuario, en las tácticas de respuesta, etc. Dichos patrones les proporcionan información acerca de las vulnerabilidades de la red que pueden explotar.
Asimismo, los administradores de la red también buscan patrones. Además de realizar un escaneo buscando patrones los intentos de los hackers de realizar intromisiones, tratan de identificar potenciales anomalías tales como picos en el tráfico de la red, tipos irregulares de tráfico en la red, inicios de sesión de usuario no autorizados y otras señales de alarma.
Recopilando datos y monitorizando el estado de la red en condiciones operativas normales, los administradores pueden configurar sus sistemas para detectar automáticamente los momentos en que se produce algo inusual: un inicio de red sospechoso, por ejemplo, o un acceso a través de una IP fraudulenta conocida. Este enfoque de seguridad fundamental ha funcionado extraordinariamente bien a la hora de prevenir ataques de carácter más tradicional, como es el caso del malware o del phishing. Asimismo, puede utilizarse como elemento disuasorio efectivo en lo que respecta a las amenazas que utilizan IA.
2. La educación de los usuarios
Una empresa puede tener los mejores sistemas de monitorización del mundo pero su eficacia puede quedar anulada si un solo empleado abre el correo electrónico equivocado. La ingeniería social continúa siendo un gran reto en lo que respecta a la seguridad de las empresas ya que los trabajadores pueden ser engañados fácilmente para que abran documentos adjuntos, correos electrónicos y vínculos sospechosos.
La educación de los usuarios acerca de lo que no deben hacer es tan importante como poner en marcha sistemas para salvaguardar la seguridad. Los expertos coinciden en que el testeo rutinario del usuario refuerza la formación. Asimismo, las agencias deben desarrollar planes que requieran que todos los empleados comprendan el significado de sus roles individuales en la batalla para mejorar la seguridad. Y no hay que olvidarse de disponer de un plan de respuesta y de recuperación, de forma que todo el mundo sepa qué es lo que debe hacer y qué es lo que cabe esperar cuando se produce una vulneración de la seguridad. Es preciso testear la eficacia de los planes. No hay que esperar a que se produzca una explosión para localizar un agujero en el proceso.
3. Parchear los agujeros
Los hackers saben cuándo se publica un parche y, además de intentar encontrar una forma de saltárselo, no dudarán en testear si una agencia ha implementado o no el parche en cuestión. El hecho de no aplicar los parches abre la puerta a potenciales ataques y si el hacker está utilizando Inteligencia Artificial, dichos ataques pueden resultar mucho más rápidos e incluso más perniciosos.
4. La verificación de los controles
El Centro para la Seguridad en Internet (CIS) ha publicado un conjunto de controles diseñados para aportar a las agencias un listado de verificación para lograr implementaciones optimizadas en relación con la seguridad. Si bien hay 20 acciones en total, la implementación de por lo menos las 5 acciones principales (inventarios de dispositivos, rastreo de software, configuraciones de seguridad, evaluaciones de vulnerabilidad y control de privilegios administrativos) puede eliminar aproximadamente el 85 % de las vulnerabilidades de una organización. Todas estas prácticas (monitorización, educación de los usuarios, gestión de parches y cumplimiento de lo establecido en los controles del CIS), pueden ayudar a las agencias a fortalecerse contra los ataques de IA más sofisticados.
Ahmed Banafa
Referencias:
- https://www.csoonline.com/article/3250086/data-protection/7-cybersecurity-trends-to-watch-out-for-in-2018.html
- https://gcn.com/articles/2018/01/05/ai-cybersecurity.aspx
- https://www.darkreading.com/threat-intelligence/ai-in-cybersecurity-where-we-stand-and-where-we-need-to-go/a/d-id/1330787?
- https://www.itproportal.com/features/cyber-security-ai-is-almost-here-but-where-does-that-leave-us-humans/
- https://www.linkedin.com/pulse/wake-up-call-iot-ahmed-banafa/
Comentarios sobre esta publicación