Cuatroochenta, a través de su departamento de Innovación Aplicada y su filial de ciberseguridad Sofistic, ha desarrollado un avanzado modelo de inteligencia artificial para la clasificación de alertas de ciberseguridad según su riesgo. El desarrollo se enmarca en un proyecto con el Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales. La solución, que combina las últimas tecnologías de aprendizaje profundo y análisis de lenguaje (LLM), ha demostrado un 95% de precisión en la designación de la criticidad de las alertas respecto a los análisis humanos manuales.
«Con esta iniciativa, nos posicionamos en la carrera tecnológica por la creciente necesidad en España y Europa de soluciones que minimicen la dependencia tecnológica con terceros.»
Este modelo forma parte de la Iniciativa Estratégica de Compra Pública Innovadora (IECPI), en el marco del Plan de Recuperación, Transformación y Resiliencia, con la financiación de los Fondos Next Generation-EU. La nueva herramienta ha sido alimentada y es entrenada diariamente con una consistente y anonimizada base de datos del Centro de Operaciones de Seguridad (SOC) de Sofistic, distribuido en dos continentes y con una experiencia de 18 años en España y Latinoamérica, especialmente en el sector bancario e infraestructuras críticas. El sistema evalúa las alertas recibidas, a partir de datos no estructurados, comprende las correlaciones de interés y automatiza la clasificación en función de su severidad.
La solución prioriza las alertas de riesgo alto o crítico para que los analistas puedan trabajar en ellas y, así, agilizar los tiempos de respuesta. Este era el objetivo que perseguían los profesionales de Cuatroochenta y Sofistic implicados en el proyecto: Jaume Barrios (Head of AI), Nicolás Betancourt (Data Scientist), Sergi Fuster (Data Scientist), Nicolás Manero (Head of Applied Innovation), Manuel Ginés (Head of R&D de Sofistic) y Abel Herrero (SOC Team Leader). Además, el equipo ha contado con la colaboración del grupo de investigación Temporal Knowledge Bases Group (TKGB) de la Universitat Jaume I de Castelló, liderado por el catedrático Rafael Berlanga.
Solución para agilizar la respuesta a incidentes de ciberseguridad
Hace años que los fabricantes de software líderes globales en ciberseguridad utilizan sistemas de IA de análisis de comportamiento para detectar y responder a amenazas en tiempo real. Son, además, soluciones utilizadas de forma sistemática por Sofistic como partner de referencia. De esta manera, las alertas ya pasan un primer filtro cuando llegan al SOC. El nuevo modelo de IA quiere ser un complemento que automatice y agilice la clasificación de alertas y optimice el trabajo de los analistas. El objetivo final es que el sistema pueda proponer acciones ante una alerta y también guiar en la respuesta a un ciberataque.
Este modelo forma parte del proyecto AI4CYBERSOC, que Cuatroochenta está desarrollando en colaboración con el Instituto Nacional de Ciberseguridad (INCIBE), para implementar un sistema de gestión de alertas inteligente. Gracias al machine learning y el procesamiento del lenguaje natural, AI4CYBERSOC será una herramienta innovadora que, integrando datos de diferentes fuentes, tratará de predecir posibles ciberataques y guiar a las organizaciones en la investigación y respuesta a incidentes.
El proyecto es un ejemplo del valor que aporta la IA a las soluciones de ciberseguridad, no solo en la prevención y detección de amenazas, sino también en la mejora de la respuesta y gestión de alertas e incidentes. Además, permite optimizar la operativa ante la escasez de perfiles técnicos especializados, especialmente en el sector público.
De izquierda a derecha: Nicolás Betancourt (Data Scientist), Sergi Fuster (Data Scientist), Jaume Barrios (Head of AI), Nicolás Manero (Head of Applied Innovation) y Manuel Ginés (Head of R&D de Sofistic).
«Nuestro modelo no quiere sustituir a las plataformas ya existentes, sino complementarlas. Después de pasar ese primer filtro cuando llegan al SOC, las alertas son clasificadas por nuestro sistema de manera que facilita y optimiza el trabajo de los analistas. El tiempo de respuesta es clave en la gestión de las alertas de ciberseguridad para minimizar su posible impacto»
Iniciativa Estratégica de Compra Pública Innovación (IECPI)
La Compra Pública de Innovación (CPI) se ha consolidado como un instrumento de suma utilidad para impulsar la innovación y la competitividad desde los poderes públicos, empleando la demanda pública de productos, servicios y suministros como instrumento mediante el que poner en marcha políticas públicas y ejecutar los mandatos de las entidades compradoras. La IECPI de INCIBE está dotada con un presupuesto global de 224 millones de euros, en el marco del Plan de Recuperación, Transformación y Resiliencia (PRTR) con la financiación de los Next Generation EU.
Esta iniciativa, que se ejecutará al amparo de Ciberinnova, está asociada al Componente 15. Inversión 7 Ciberseguridad: Fortalecimiento de las capacidades de ciudadanos, pymes y profesionales e impulso del sector.
La IECPI contribuye a la materialización del Programa Global de Innovación en Seguridad, contemplado en el Plan de Recuperación, Transformación y Resiliencia (PRTR) a través del Componente 15. Inversión 7 Ciberseguridad: Fortalecimiento de las capacidades de ciudadanos, pymes y profesionales e impulso del sector. Actúa especialmente en uno de los seis aspectos claves de la industria recogido en los hitos 245 y 453 del PRTR: Desarrollo de soluciones y servicios de alto valor añadido en el ámbito de la ciberseguridad.
El Instituto Nacional de Ciberseguridad (INCIBE), como entidad pública para el desarrollo de la ciberseguridad, motor de transformación social y oportunidad para la innovación, decidió en el año 2021 explorar las posibilidades que la contratación pública estratégica podría tener para desarrollar las políticas nacionales en materia de ciberseguridad, al mismo tiempo que la entidad conseguía ejecutar su mandato relacionado con la innovación y la industria. La IECPI es el resultado de la reflexión realizada al respecto y de su consenso con otros actores públicos del ecosistema de la ciberseguridad y pretende realizar un conjunto de actuaciones dirigidas a impulsar la I+D+i y la creación de productos y soluciones en el ámbito de la ciberseguridad.
