La hiperconectividad entre dispositivos, las nuevas tecnologías como el recopilado de datos masivos o las nuevas formas de comunicación entre dispositivos inteligentes generan no solo beneficios, sino también amenazas cibernéticas. Podría decirse que existe una relación directa entre el desarrollo de nuevas tecnologías y la aplicación de las mismas y el numero de amenazas a las que se exponen.
Desde hace algún tiempo se ha propuesto utilizar la Inteligencia Artificial y el Machine Learning como medios para luchas contra las amenazas electrónicas, sean del tipo que sean, y aunque la inversión (como veremos) en este tipo de soluciones no hace más que crecer aún persisten dudas sobre la eficacia del IA y el Machine Learning en la lucha contra los riesgos informáticos.
¿Son las IA y el Machine Learning efectivos en la lucha contra las ciberamenazas?
Las ciberamenazas no son siempre estables. Con el tiempo cambian, evolucionan e incluso surgen formas nuevas. Es por ello que se ve en el Machine Learning la herramienta ideal para combatirlas, dadas sus capacidades de adaptación y de aprendizaje.
Sin embargo, las soluciones basadas en el Machine Learning y, por ende, en Inteligencia Artificial, no son infalibles. Es cierto que su capacidad para detectar, contener y frustrar ataques de malwares, formas de ataques o actividades sospechosas ya conocidos supera a las soluciones de ciberseguridad existentes, pero aún existen tipos de ciberataques contra los que la IA y el Machine Learning no tienen respuestas.
El Machine Learning como disciplina se puede desglosar en otras dos subdisciplinas: el Shallow Learning y el Deep Learning. Ambas subdisciplinas cuentan a su vez con sistemas de aprendizaje supervisados y no supervisados.
Es importante destacar que hay estudios que señalan que el Deep Learning es menos efectivo que el Shallow Learning en la detección de amenazas cibernéticas, gracias a que los patrones de detección ya están definidos con antelación.
En general, los algoritmos de Machine Learning, sean Deep o Shallow, supervisados o no supervisados, son más capaces de reconocer ciberataques si se centran en una sola amenaza, en lugar de varias a la vez. Esto quiere decir que una herramienta de detección de virus funcionará mucho mejor que una herramienta que promete acabar con cualquier tipo de amenaza cibernética.
Es más, en muchos casos, los algoritmos no supervisados son responsables de la detección de grandes cantidades de falsos positivos.
En conclusión, se puede decir que aunque los avances en el Machine Learning aplicado a la ciberseguridad son importantes, estas herramientas no son perfectas. Aún requieren un alto grado de supervisión humana, los algoritmos se han de reentrenar constantemente y el establecimiento de parámetros de reconocimiento no se puede automatizar.
¿Contra qué amenazas no pueden luchar los algoritmos de Machine Learning?
La primera de las amenazas que un algoritmo no puede detectar (de hecho no existe ningún medio para hacerlo) son los zero-day attacks o ataques desconocidos hasta el momento en que son ejecutados.
Después de todo, un algoritmo no puede detectar algo que no se le ha enseñado a detectar, simplemente porque no existía hasta el momento del ataque.
Por otro lado, la detección de pautas de comportamiento y las anomalías en los mismos, pueden llevar a la detección de falsos positivos si la política de restricción de comportamientos es muy amplia o a vulnerabilidades si es una política más ajustada.
Al mismo tiempo, la elección de data sets es especialmente importante a la hora de entrenar un algoritmo de Machine Learning dedicado a tareas de ciberseguridad. Si el set de datos no representa al completo el entorno que deberá de vigilar es de esperar que se produzcan ataques.
En este sentido es necesario que los data sets no sean únicamente un registro de amenazas frecuentes, sino que también registren las amenazas anómalas y menos frecuentes. De no ser así, un algoritmo de Machine Learning jamás identificará una amenaza poco frecuente.
La explotación de vulnerabilidades es una de las habilidades de los ciberdelincuentes. Si identifican que un sistema de seguridad tiene un único algoritmo de defensa pueden encontrar modos de burlarlo. Es por ello que un buen sistema de ciberseguridad basado en Machine Learning tiene que contar con varios algoritmos complementarios.
Además, no se puede ignorar el hecho de que los hackers utilizan las mismas herramientas que quienes intentan prevenir sus ataques, esto es el Machine Learning. Ya existen herramientas como el spear phishing, que mediante la aplicación del procesamiento del lenguaje natural generan mensajes falsos imitando a alguno de los contactos de la víctima para robar sus datos.
Los hackers han comenzado a utilizar malwares polimórficos, que gracias al Machine Learning pueden aprender a burlar las medidas de ciberseguridad de una red aprendiendo de las tácticas que fueron un éxito en anteriores ataques.
Con todo, el mercado apuesta por la Inteligencia Artificial y el Machine Learning
El mercado de las aplicaciones de ciberseguridad potenciadas con Inteligencia Artificial es ajeno a las vulnerabilidades antes detalladas y se espera que para 2026 alcance un valor de 38 mil millones de dólares desde los 9 mil millones actuales, lo que supone un incremento anual del 23.3%.
Se dice que la adopción del IoT, el aumento en el número de dispositivos conectados, la evolución de las ciberamenazas, la mayor preocupación por la protección de datos y la privacidad y la vulnerabilidad de las redes Wifi impulsarán al mercado hasta esa cifra.
La adopción de la IA y, por extensión, del Machine Learning como herramientas contra las ciberamenazas se dará con mayor profusión en el mercado automovilístico y en el sector del transporte de mercancías.
Sin embargo, no parece que el entusiasmo por la adopción de la Inteligencia Artificial y del Machine Learning como principal medida de seguridad en entornos digitales sea unánime.
Solo un cuarto (26%) de los consumidores de la región EMEA preferiría confiar su ciberseguridad a una Inteligencia Artificial antes que a un humano. Por supuesto, este porcentaje es mayor en la población Millennial (31%) y menor en los Baby Boomers (23%).
Al comparar países, Italia es el país que más confía en la IA, con un 38%, mientras que sólo el 21% de los británicos se sentirían cómodos si confiaran sus datos a la IA.
Sea como sea, las principales compañías del sector de la ciberseguridad siguen apostando por la IA y el Machine Learning. La última en anunciar la implementación de estas tecnologías en sus productos ha sido Avast. Según la compañía checa, la flexibilidad de la IA unida a su carácter flexible y autónomo mejorará notablemente las defensas cibernéticas.
Aparte de compañías con larga experiencia en el campo de la ciberseguridad, la IA está siendo utilizada por una gran cantidad de startups. Parece que uno de los modelos de negocio imperantes entre estas startups es la creación de aplicaciones que permitan visualizar y monitorizar el estado de una red en tiempo real.
Una de ellas es la británica Darktrace, cuyo valor de mercado supera los 1,65 mil millones de dólares y cuyos clientes más destacados son el National Health Service, el aeropuerto de Gatwick y Drax.
Darktrace monitoriza el comportamiento de los ordenadores de una red y crea una visualización mediante la cual se puede identificar fácilmente que equipos no funcionan correctamente.
Otra compañía que hace hincapié en el desarrollo de interfaces de visualización que permitan identificar amenazas es Cynet con su herramienta Cynet 360.
Conclusiones
Existen dudas sobre la infalibilidad de la Inteligencia Artificial y el Machine Learning como herramientas para luchar contra las ciberamenazas. Ni siquiera el Deep Learning puede hacer frente a algunas de las amenazas informáticas de hoy en día.
No obstante, la tendencia de mercado indica que los inversores y las empresas confían en la efectividad de estas tecnologías para luchar contra las ciberamenazas. Empresas de ciberseguridad consolidadas y startups apuestan por el uso de las Inteligenciaa Artificiales y el Machine Learning y una de las tendencias que se está imponiendo es la creación de herramientas de visualización que permitan ver en tiempo real el estado de una red de ordenadores o dispositivos.
