Los desarrollos en Inteligencia Artificial suponen un salto de gigante en la manera de aproximarnos a problemas complejos, que requieren de capacidades más allá de la habilidad humana. Al fin y al cabo, ya en la época de la revolución industrial, las máquinas fueron desarrolladas para expandir el esfuerzo humano, para amplificar las cualidades, en aquel momento físicas, de la fuerza laboral.
En nuestra época digital, tecnológica, hiperconectada, las máquinas (léase algoritmos) están orientados a elevar nuestra velocidad de análisis y multiplicar las posibilidades de inferir información y tomar decisiones más ágiles.
Créanme, no conozco a ningún analista de ciberseguridad que pueda lidiar con cantidades ingentes de información, cientos de miles de fuentes de información por segundo… pero conozco unos cuantos algoritmos que lo pueden hacer (y lo hacen) como fruto de su «trabajo diario» (volveré a ese concepto y a las consecuencias éticas de ello más tarde).
Es importante destacar que Inteligencia Artificial es la «supra-disciplina», el paraguas que contiene cinco sub-disciplinas siendo una de ellas, la más conocida, Machine Learning (aprendizaje de máquina). Esta dimensión, claramente la más aplicada en el ámbito de ciberseguridad tiene, a su vez, cuatro modalidades que merecen explicación: Supervisado (Supervised), No Supervisado (Unsupervised), Aprendizaje Reforzado (Reinforcement Learning) y Aprendizaje Profundo (Deep Learning). Si bien es cierto que cada uno tiene sus particularidades y podría desarrollar (casi) un libro acerca de ellas, para el objetivo de este artículo -la aplicación de todo ello en ciberseguridad- me centraré en dos: No supervisado y Aprendizaje Reforzado.
Machine Learning No Supervisado:
El primero, Machine Learning No Supervisado, no requiere -ya- de un científico de datos (data scientist en su acepción inglesa) para «etiquetar» el set de datos y el algoritmo es capaz de decidir «automágicamente» (sic) las variables que necesita para probar la hipótesis planteada como correcta o incorrecta. Esta modalidad es ideal para encontrar anomalías, patrones de comportamiento y, así, poder incluso inferir próximos movimientos del atacante y/o de cualquier individuo de la comunidad. El Machine Learning No Supervisado es el más utilizado en estos momentos por su capacidad de predicción utilizando volúmenes de información de distintos orígenes, con cargas de datos masivas, en (casi) tiempo real y haciendo un uso muy profundo de la estadística.
Machine Learning de Aprendizaje Reforzado:
Con Machine Learning de Aprendizaje Reforzado, como su nombre indica, el algoritmo es capaz de aprender de sus errores (!) y aprender de manera intensiva, corrigiendo su estado y estando siempre en la mejor versión de sí mismo (lo cual, como concepto, ya es tremendamente interesante porque implica que está en modo de mejora continua… siempre). En el mundo de la ciberseguridad, aplicar este concepto a estrategias de defensa donde la máquina puede aprender de sus errores y (re)aprender de, por ejemplo, falsos positivos, nos parece un salto cualitativo y cuantitativo. ¿Se imaginan una solución que pueda predecir el siguiente paso de un ataque… porque ha sido entrenado y/o visto diferentes métodos para exfiltrar información (lo que en inglés se conoce como TTP, Tactics, Techniques and Procedures, o Tácticas, Técnicas y Procedimientos) y actuar en consecuencia antes de que ocurra? Dejen de imaginar porque eso ya existe y cambia sustancialmente los esfuerzos humanos en protección y defensa en ciberseguridad.
Existe ya en el mercado diferente tecnología de Machine Learning que completan y complementan los desarrollos ya disponibles para obtener pleno control y visibilidad del entorno. Ingenieros de todo el mundo han desarrollado controles detectivos, preventivos y correctivos que capitaliza sobre los conceptos mencionados en este artículo. Y aportan nuevos ángulos para el despliegue de un SOC (Security Operation Center) de nueva generación. Un SOC automatizado, orquestado, que es capaz de utilizar inteligencia de amenazas de diversas fuentes (incluidos varios data lakes, inferir el proximo paso de un cibercriminal y, en consecuencia, aportar mayor robustez y solidez en la protección y defensa de un entorno.
Todo ello, antes de llegar a Deep Learning, cuya conceptualización pretende emular cómo trabaja el cerebro humano, la manera en la que los cien mil millones de neuronas que se estima que tiene el cerebro de un adulto trabajan en diferentes capas para pasarse información y toma de decisiones como impulsos electromagnéticos o corrientes eléctricas. Por eso, vivimos una época fascinante en ciberseguridad donde las herramientas agrandan la capacidad humana. Vivimos una época magnífica donde la inteligencia artificial es cada vez menos artificial y más inteligencia. Cada vez menos máquina y más humana. O casi.