Sofistic, la división de ciberseguridad de Cuatroochenta, desarrollará una nueva solución integral que pretende dar respuesta al ritmo vertiginoso y la creciente sofisticación de las amenazas, derivadas del impulso de la digitalización, la migración a la nube y el auge del Internet de las Cosas (IoT). Sofistic, la división de ciberseguridad de Cuatroochenta, desarrollará una nueva solución integral que pretende dar respuesta al ritmo vertiginoso y la creciente sofisticación de las amenazas, derivadas del impulso de la digitalización, la migración a la nube y el auge del Internet de las Cosas (IoT). El Instituto Nacional de Ciberseguridad (INCIBE) ha formalizado una compra pública de innovación a la empresa Soluciones Cuatroochenta S.A. un proyecto para implementar un “Sistema de Gestión de Alertas de Ciberseguridad basado en Sistemas de Inteligencia Artificial”, bautizado como AI4CYBERSOC.
El proyecto forma parte de la Iniciativa Estratégica de Compra Pública Innovadora (IECPI), en el marco del Plan de Recuperación, Transformación y Resiliencia, con la financiación de los Fondos Next Generation-EU. Cuenta con un presupuesto total de 3.848.085 euros, de los que 3.557.664 serán aportados por la institución pública. Además, dispone del apoyo de un grupo de investigación de la Universitat Jaume I de Castelló. La nueva herramienta ha sido presentada en el Encuentro Internacional de Seguridad de la Información (ENISE), celebrado del 21 al 23 de octubre en León.
A la falta de integración de los diferentes sistemas, se añade otra complejidad: el análisis de grandes cantidades de datos en tiempo real. Una situación que va en aumento viendo la proyección de generación de datos para los próximos años y haciendo insostenible el análisis manual de la información. Con este panorama, la inteligencia artificial se ha convertido en una herramienta esencial para fortalecer la protección y defensa de las organizaciones.
IA para ampliar la capacidad de protección
La nueva solución, que desarrollará Cuatroochenta, será capaz de analizar datos, monitorizarlos de forma continua, agilizar la búsqueda de amenazas, ganar precisión en su detección y análisis y automatizar la respuesta a incidentes.
La nueva herramienta busca unificar y gestionar alertas en tiempo real, mejorando la eficiencia de los Centros de Operaciones de Seguridad (SOC). Para ello incorporará algoritmos de aprendizaje automático y modelos de procesamiento del lenguaje natural (PNL), que son capaces de analizar grandes cantidades de datos y detectar patrones que podrían pasar desapercibidos a los sistemas convencionales.
Machine Learning
Una de las principales fortalezas de este software es el uso de técnicas de machine learning para detectar conductas anómalas y predecir incidentes antes de que sucedan. El sistema se entrenará con un amplio conjunto de datos para ganar precisión en la categorización de las alertas. Así, podrá identificar, con antelación, cadenas de eventos sospechosos que podrían derivar en un ataque o incidente de seguridad. Así mismo, prevé automatizar la asignación del riesgo de criticidad de los incidentes, en función del contexto y las preferencias de cada organización.
Modelos de lenguaje de gran tamaño (LLM)
Otro de los puntos diferenciales de la nueva herramienta es la implementación de un asistente, basado en lenguaje natural como ChatGPT, capaz de acompañar y guiar en la investigación de incidentes. Así, por ejemplo, un operador, no necesariamente especialista en ciberseguridad, podrá preguntar sobre una alerta antes de tomar una decisión. El asistente le podría indicar que esa alerta hace referencia a la misma IP que otra alerta y le sugeriría qué pasos seguir en la investigación como comprobar si esa IP se ha encontrado en otros casos. Además de sugerir acciones, este asistente podría automatizar tareas rutinarias o repetitivas, de manera que se aumentaría la eficiencia. La solución ofrecerá datos en tiempo real e integrará flujos de datos para proporcionar información relevante en las investigaciones, a partir de una amplia base de datos de vulnerabilidades y amenazas.
«La capa de inteligencia artificial con la que dotamos a esta solución tiene una doble ventaja. Permite anticipar y predecir ataques y acelerar la gestión de incidentes liberando operativa y eso es muy importante en el sector público, donde hay una escasez de perfiles especializados»
Agilidad en la toma de decisiones y seguridad integral
Este tipo de soluciones avanzadas son esenciales ante la complejidad de amenazas. El nuevo software permitirá fortalecer la defensa de las organizaciones con una respuesta rápida, precisa y coordinada gracias al sistema unificado de alertas. También contribuirá a la reducción del tiempo de detección de amenazas y la disminución del impacto potencial de los ataques, manteniendo la operativa.
El proyecto será desarrollado por el equipo de Sofistic, especializado y con una amplia experiencia en la segurización de infraestructuras críticas en Latinoamérica. INCIBE dispondrá de la nueva herramienta, que se prevé que esté lista durante 2026, lo que será de gran valor para mejorar sus capacidades y servicios de seguridad, tanto a la ciudadanía en general, como a las empresas y el sector público.
Funcionalidades de la nueva solución:
Integración de sistemas de alertas de seguridad de diferentes proveedores. Conectando y sincronizando las diferentes fuentes como SIEM, EDR, NDR o XDR, se puede tener una visión más completa y se garantiza una mayor cobertura. El objetivo es poder gestionar los casos a partir de potenciales amenazas.
Gestión de las potenciales amenazas, categorización y análisis. Este módulo facilitará la gestión eficiente de la telemetría recibida, para clasificar las amenazas en función de su gravedad y prioridad. Ofrecerá un análisis para evaluar su naturaleza e impacto, facilitando una respuesta.
Sistema de permisos y roles de usuarios robusto. Basado en la gestión de identidades y roles, se asegura un acceso controlado, de manera que se garantiza la confidencialidad y la integridad de la información.
Obtención de inteligencia de los elementos observables. Recopila y analiza información de direcciones IP, dominios y nombres de equipos proporcionando datos valiosos para identificación y mitigación de amenazas.
Creación de casos que requieren análisis o investigación. Permite hacer un filtrado para determinar los casos que requieren de una gestión o automatizar aquellos que no necesitan la intervención de una persona analista.
Gestión de casos filtrados por IA. Asigna automáticamente casos a analistas o equipos según la carga de trabajo y las habilidades especializadas necesarias.
Panel de acceso a clientes. Permite que un cliente pueda consultar sus incidentes y alertas en tiempo real y proporciona informes detallados y gráficas.
Notificación a clientes. Permite informar a los clientes del estado de sus incidentes, cambios en la categorización o acciones tomadas
Participación de la Universitat Jaume I de Castelló
Este proyecto contará además con la implicación de la Universitat Jaume I (UJI) de Castelló, con la que la compañía tiene una estrecha relación, ya que su sede central está ubicada en el parque tecnológico del campus, en Espaitec. La Universidad se ocupará de la consultoría, desarrollo y entrenamiento de modelos de machine learning, a través del grupo de investigación Temporal Knowledge Bases Group (TKGB) . Este equipo centra sus investigaciones en los grandes modelos de lenguaje y la inteligencia artificial explicable. Esto mejorará la capacidad del sistema para aprender y adaptarse a las nuevas amenazas, asegurando que permanezca efectivo frente a tácticas cibernéticas en evolución. También se contará con la colaboración de JTSec, primer laboratorio acreditado por la Entidad Nacional de Acreditación (ENAC), para disponer de las acreditaciones necesarias que garanticen que el sistema cumple con los estándares más altos de ciberseguridad.
El proyecto adjudicado a Sofistic por parte del INCIBE es una muestra del valor que aporta la inteligencia artificial a las soluciones de ciberseguridad tanto para prevenir y detectar amenazas como para dotar a las organizaciones de herramientas que les ayuden a agilizar la gestión de alertas e incidentes.
Iniciativa Estratégica de Compra Pública Innovación (IECPI)
La Compra Pública de Innovación (CPI) se ha consolidado como un instrumento de suma utilidad para impulsar la innovación y la competitividad desde los poderes públicos, empleando la demanda pública de productos, servicios y suministros como instrumento mediante el que poner en marcha políticas públicas y ejecutar los mandatos de las entidades compradoras. La IECPI de INCIBE está dotada con un presupuesto global de 224 millones de euros, en el marco del Plan de Recuperación, Transformación y Resiliencia (PRTR) con la financiación de los Next Generation EU.
Esta iniciativa, que se ejecutará al amparo de Ciberinnova, está asociada al Componente 15. Inversión 7 Ciberseguridad: Fortalecimiento de las capacidades de ciudadanos, pymes y profesionales e impulso del sector.
La IECPI contribuye a la materialización del Programa Global de Innovación en Seguridad, contemplado en el Plan de Recuperación, Transformación y Resiliencia (PRTR) a través del Componente 15. Inversión 7 Ciberseguridad: Fortalecimiento de las capacidades de ciudadanos, pymes y profesionales e impulso del sector. Actúa especialmente en uno de los seis aspectos claves de la industria recogido en los hitos 245 y 453 del PRTR: Desarrollo de soluciones y servicios de alto valor añadido en el ámbito de la ciberseguridad.
El Instituto Nacional de Ciberseguridad (INCIBE), como entidad pública para el desarrollo de la ciberseguridad, motor de transformación social y oportunidad para la innovación, decidió en el año 2021 explorar las posibilidades que la contratación pública estratégica podría tener para desarrollar las políticas nacionales en materia de ciberseguridad, al mismo tiempo que la entidad conseguía ejecutar su mandato relacionado con la innovación y la industria. La IECPI es el resultado de la reflexión realizada al respecto y de su consenso con otros actores públicos del ecosistema de la ciberseguridad y pretende realizar un conjunto de actuaciones dirigidas a impulsar la I+D+i y la creación de productos y soluciones en el ámbito de la ciberseguridad.
