En el ámbito de la ciberseguridad, hace muchos años que se maneja el denominado Dilema del Defensor. Básicamente consiste en aceptar que los atacantes siempre van un paso por delante de sus víctimas y que las ciberdefensas juegan un papel reactivo. Por si esto no fuera poco, el blindaje informático ha de estar siempre al pie del cañón mientras que a los delincuentes les puede bastar con atacar una sola vez. La aplicación de la Inteligencia Artificial (IA) al ámbito de la ciberseguridad podría acabar de una vez por todas con este dilema.

Durante muchos años, la inversión en tecnología de seguridad era el patito feo de las organizaciones por dos motivos: en primer lugar, porque tendía a penalizar el rendimiento de las aplicaciones y, en segundo, porque justificar su elevado coste en el Consejo de Dirección llegaba a convertirse en un auténtico desafío. En cierto modo, es como pagar un seguro de coche: si nunca se tiene un accidente, se termina teniendo la sensación de que se malgasta el dinero.

Sin embargo, de unos años para acá, el número de ciberataques ha crecido exponencialmente, extendiendo el chascarrillo en el sector de que tan sólo existen dos tipos de organizaciones, las que ya han sido atacadas y las que lo serán. El repunte significativo de ciberataques de ransomware que han puesto en jaque a grandes compañías y Administraciones Públicas ha hecho, incluso, que los responsables de seguridad de la información (CISO, por sus siglas en inglés) participen activamente en los Consejos de Administración.

¿Qué hay de la otra parte del Dilema del Defensor? También ha dado giro copernicano, gracias en gran parte a la aportación de la IA y las tecnologías de automatización. Vayamos por partes: aunque no ha sido hasta la irrupción de ChatGPT cuando se ha popularizado la información y la conversación en torno a la IA generativa, lo cierto es que en el ámbito de la Tecnologías de la Información (TI) hace años que se utiliza. Tanto es así, que hace al menos cinco años que ya comenzó a detectarse el uso de la IA por parte de los delincuentes para llevar a cabo ataques de phishing e ingeniería social, así como campañas de desinformación

Hoy en día, estos grupos cibercriminales emplean los modelos de IA (en inglés, LLMs) para escribir código malicioso (malware) y, además mejorar su efectividad. Esto ha permitido que quienes no poseen unos conocimientos profundos de desarrollo sean capaces de construir malware peligroso. Eso, definitivamente, es un problema, pero más aún lo es que quienes sí poseen una elevada especialización, además, tengan a su alcance una herramienta como la IA que permite afinar cómo, cuándo y dónde atacar para conseguir el objetivo perseguido. Simplificando la situación –aunque no mucho-, un malware puede quedar hibernado, latente, en espera de ese momento de oro en el que actuar y, entonces, dar el zarpazo.

Hasta ahí, el panorama se antoja todavía más desolador, especialmente si consideramos que en la actualidad los responsables de seguridad de las organizaciones tienen una superficie mucho más grande que proteger, con la expansión de la informática en la nube (cloud computing), el boom del teletrabajo –accediendo, además, desde dispositivos de uso personal- y el Internet de las Cosas (IoT), entre otras variables.

Sin embargo, ¿qué mejor que una ciberdefensa basada en IA para un ataque concebido con IA? Uno de los grandes avances en materia de ciberseguridad que ha traído consigo la IA es la proactividad. Su capacidad de aprendizaje automático (machine learning) permite detectar comportamientos anómalos, no sólo de los usuarios, sino de las mismas aplicaciones o del tráfico de red. Cualquier proceder  que se salga de la tónica habitual hace saltar las alarmas del sistema y, automáticamente, emprender acciones que pueden ir de la desconexión del sujeto o aplicación sospechosa a su puesta en cuarentena. Sí, como antaño, el blindaje ha de estar funcionando las 24 horas, los 7 días a la semana, los 365 días del año (24x7x365), pero ahora hay un nuevo sheriff en la ciudad que lo hace por nosotros: la IA.

Este es solo un ejemplo de cómo la IA ha cambiado el paradigma de la ciberseguridad, encontrando movimientos por parte del sector que buscan asentar estas buenas prácticas. Sin ir más lejos, el pasado mes de febrero, Google abrió el código de Magika, su sistema de identificación de tipos de archivos basado en IA con el que protege servicios como Gmail o Drive. La base de Magika es un modelo de aprendizaje profundo personalizado de alto rendimiento que puede realizar identificaciones precisas de archivos en cuestión de milisegundos, incluso, cuando se ejecuta en una CPU normal sin recurrir a alta computación. No es algo que resulte sencillo, pues cada formato de archivo tiene una estructura diferente o, en ocasiones, hasta carecen de estructura alguna.

Magika sirve a la perfección para explicar el potencial de la IA en materia de seguridad a todas las personas que no están familiarizadas con la tecnología. Cuando hablamos de IA y aprendizaje automático, una de las claves de su efectividad es la escala, esto es, el volumen de datos con que se entrena al sistema. Una solución como Magika analiza a la semana cientos de miles de millones de archivos y, según afirman los expertos de la propia Google, su precisión ha mejorado en un 50% al sistema anterior que se basaba en reglas definidas manualmente. Según las estadísticas de la multinacional este aumento en la precisión permite escanear un 11% más de archivos con sus escáneres de documentos AI maliciosos, reduciendo a un 3% la cantidad de archivos no identificados.

Con la apertura de código de Magika y otras iniciativas similares en el sector, los programas desarrollados por terceros pueden mejorar sus funcionalidades de identificación de archivos, reforzando la seguridad de manera significativa. De este modo, habrá más nuevos sheriffs en cada ciudad tratando de anticiparse a la acción de los cuatreros digitales.