Análisis de amenazas

Cómo la IA le gana la partida a los ciberdelincuentes

Threat Intelligence Team, 29 junio 2017

Lejos de las historias de ciencia ficción, la inteligencia artificial –mediante algoritmos de aprendizaje automático y macrodatos– es crucial para hacer frente a las nuevas ciberamenazas.

La inteligencia artificial (IA) es, desde hace años, la última tendencia. Puede parecer un oxímoron, pero existen buenos motivos por los que el revuelo en torno a la IA y una de sus ramas, el aprendizaje automático, no solo no ha cesado, sino que probablemente durará mucho más tiempo: es absolutamente crucial en nuestra lucha contra las ciberamenazas, cada vez más comunes y variadas.

La IA tiene más de 60 años

El campo de investigación de la IA se remonta a 1956, año en que un grupo de científicos celebró la Conferencia de Dartmouth sobre Inteligencia Artificial . Desde entonces, la IA ha sido el tema central en muchas películas, habitualmente en forma de robots con emociones y pensamientos parecidos a los humanos. En la vida real, sin embargo, la IA es muy distinta y más amplia de lo que vemos en las películas.

La IA es la ciencia encargada de que los ordenadores realicen tareas imitando a la inteligencia humana y se utiliza en sectores como la sanidad, los servicios de atención al cliente y las finanzas. Una de las ramas de la IA que reviste mayor interés es el proceso por el cual los ordenadores crean algoritmos de aprendizaje automático para tomar decisiones basándose en patrones de datos; de ahí que aprendan a partir de los análisis de macrodatos que realizan. En Avast, hace años que utilizamos IA y aprendizaje automático para proteger a nuestros usuarios de las amenazas. Uno de nuestros motores, MDE, utiliza aprendizaje automático diseñado internamente por nuestros especialistas en seguridad en 2012.

Por qué ni el analista humano más inteligente puede sustituir a la IA

Durante el comienzo de la informática e Internet, utilizábamos firmas basadas en cadenas para generalizar variantes de una amenaza. Las firmas requieren un analista y tiempo, y no son lo suficientemente flexibles para detectar la enorme variedad de ciberamenazas modernas, que han proliferado debido a la elevada rentabilidad que suponen para los delincuentes. No hay suficientes personas ni tiempo para cubrir la gran cantidad de nuevas amenazas que surgen a diario, y es aquí donde interviene la IA y el aprendizaje automático.

El aprendizaje automático y la IA son esenciales para la seguridad, porque los ciberdelincuentes de todo el mundo trabajan contra reloj para crear nuevas variantes de software malicioso, a menudo con el aspecto de archivos inofensivos. Además, el software malicioso actual es capaz de mutar, lo cual dificulta todavía más la tarea de los antivirus para detectarlo. Para empeorar las cosas, el software malicioso también se vende en la red oscura, lo que permite que incluso personas con poco conocimiento técnico puedan modificar y distribuir nuevas cepas del software malicioso.

Por supuesto, los analistas humanos pueden analizar los archivos para determinar si son maliciosos o no, pero para ello tienen que analizar el código de los archivos y comprobar si hay características maliciosas. Analizar cada archivo de esta forma es físicamente imposible, teniendo en cuenta que vemos más de un millón de archivos nuevos cada día. No es buena idea que un escáner o una herramienta para eliminar software malicioso dependan únicamente de los humanos.

Los ordenadores, sin embargo, son muy eficientes procesando datos. Para que se ocupen del trabajo que antes hacían los analistas manualmente, hemos creados algoritmos que convierten los archivos en representaciones numéricas adecuadas. Estos algoritmos de aprendizaje automático extraen ciertas características, o «huellas digitales», de los archivos que reciben. Lo que se extrae es mucho más pequeño que los archivos originales; por lo tanto, se puede procesar de forma masiva y permite, sobre todo, tomar decisiones rápidamente.

Nunca dejamos de aprender

Dado que las amenazas cambian continuamente, actualizamos constantemente el conocimiento de nuestras máquinas tanto de archivos no infectados como maliciosos, para que puedan diferenciarlos mejor. Para ello, nuestros analistas convierten las nuevas técnicas que descubren del software malicioso en nuevos algoritmos, que después nuestras máquinas utilizan para aprender a tomar decisiones cuando reciben nuevos datos.

Por supuesto, para que todo esto funcione, dependemos de los datos que podemos proporcionar a los ordenadores para que estos los procesen. Cuantos más datos introducimos, más precisas son las decisiones que toman nuestros sistemas. Gracias a los más de 400 millones de usuarios en todo el mundo, que actúan como sensores, disponemos de una enorme cantidad de información sobre la que realizamos amplios análisis de datos para determinar si un archivo es malicioso o no. En resumen, la combinación de macrodatos, aprendizaje automático e IA es lo que nos permite proporcionar a nuestros usuarios la protección más rápida y eficiente contra el software malicioso.