Artículos

¿Por
_
qué
_
debería
_
añadir
_
inteligencia
_
artificial
_
en
_
mi
_
ciberseguridad?

Ciberseguridad  ·  Transformación digital

La IA permite anticipar y neutralizar amenazas o gestionar incidentes de ciberseguridad con mayor rapidez y efectividad. Capaz de analizar gran cantidad de información de contexto, la inteligencia artificial reduce la intervención humana altamente especializada.

Debo reconocer que cuando el 23 de marzo de 2018 se hizo obligatorio el botón de e-Call o de llamada de emergencia en los coches respiré aliviado. En caso de accidente el coche llama automáticamente (se puede activar manualmente) al 112 y envía localización, número de ocupantes del vehículo, etc. Por entonces algunos coches ya sabían más de nosotros que nosotros mismos. Que el vehículo esté conectado vía telefónica no entraña un riesgo extra de ciberseguridad como pudiéramos pensar en un principio; vamos, que hay más riesgo cuando lo dejamos en el taller y el mecánico se conecta a la centralita con un ordenador que quizás tenga un sistema operativo obsoleto, fácilmente vulnerable por un tercero, aunque no hayamos reparado en ello.

La imaginación nos lleva a adelantar todo lo que puede venir después… ¿Hemos hecho el mismo ejercicio imaginativo respecto de toda la información que tenemos en nuestra empresa y sin proteger? Al fin y al cabo todas las empresas se encuentran desde hace tiempo conectadas, ¿cuál es el resultado de que alguien acceda a nuestro sistema informático y tenga a su alcance la formulación de nuestros productos, diseños, datos personales de empleados, clientes, proveedores, nuestra información financiera o la configuración de todos nuestros robots de la planta de producción? Y, sobre todo, ¿sabemos la probabilidad de que eso ocurra?

Fuente imagenes www.smartpanel.com

La inteligencia artificial (IA) -en sentido amplio y sin distinción entre machine learning, deep learning o redes neuronales y, en algunos casos, simplemente el manejo de big data- posibilita sin duda hacer realidad lo mejor de la sociedad imaginada: vehículos autónomos, reconocimiento facial que nos ayuda a identificarnos, comprensión del lenguaje para generar asistentes de voz (que empiezan a tener importancia a la hora de hacer compras) o el reconocimiento de imágenes usado para identificar objetos, personas, textos, escenas, actividades e incluso ¡emociones!; también el análisis automático de datos que ayuda en diagnósticos médicos, por ejemplo, al tener una capacidad muy superior a la humana a la hora de realizar acciones repetitivas y de manera continuada en el tiempo. De hecho, todas las plataformas online ya hacen uso de la IA: pensemos en cómo organiza y ofrece resultados Google, en las redes sociales más conocidas, en las plataformas de venta para personalizar la experiencia de compra, que no es otra cosa que segmentar el público objetivo para diseñar campañas y mensajes exclusivos para cada cliente en función de sus hábitos y preferencias.

El contexto

Para que todo lo anterior pueda continuar creciendo al ritmo de la demanda, se han popularizado los entornos nube. Así, la mayoría de aplicaciones han dejado de estar en local y el DevOps (desarrollo de operaciones) se une al despliegue del Internet de las Cosas (IoT) o en su versión para la industria (IIoT), a la proliferación de dispositivos conectados, desde juguetes a electrodomésticos pasando por toda clase de sensores industriales, y de tecnologías habilitadoras como el 5G (que aumenta la velocidad de comunicación y disminuye la latencia), lo que incrementa la exposición a ciberriesgos, por una parte, y expone a las organizaciones a riesgos de terceros por otra. Es decir, ya no basta con que estemos protegidos nosotros, sino que tenemos que exigir la protección de nuestros socios estratégicos.

En este sentido, se está implantando un nuevo concepto en el desarrollo de software, el llamado DevSecOs, que busca incrementar la seguridad desde el inicio de la programación, evitando costes posteriores al identificar fallos de seguridad una vez el programa se acerca a las fases finales o incluso estando ya en funcionamiento. Si tenemos dudas sobre un software que ya nos hayan entregado, o si hemos detectado alguna vulnerabilidad, una buena opción es contratar un servicio de auditoría de código fuente o un pentest; un test de intrusión que se realiza tanto en su versión web como en apps para móviles, que detectará los errores que pudiera tener.

Fuente imagen www.plutora.com

Los entornos nube, el IoT y la proliferación de dispositivos conectados hacen que aumente la exposición de las organizaciones a ciberataques.

La necesidad de ciberseguridad

Así, no es de extrañar que los incidentes cibernéticos hayan pasado en el Barómetro de riesgos de Allianz de la 15ª posición en 2013 a la 1ª posición como el riesgo empresarial más importante en 2020, en países tan variados como Austria, Bélgica, Francia, India, Malasia, Sudáfrica, Corea del Sur, Suecia, Suiza, Reino Unido, USA o España y por sectores aviación, servicios financieros, gobierno y servicios públicos, servicios profesionales, tecnología y telecomunicaciones. El caso de la aviación es paradigmático dada su complejidad, que cubre prácticamente todos los escenarios, y perfectamente extrapolable a otros sectores menos punteros en tecnología. El coronel D. Fernando Acero Martín, director de ciberdefensa en el ejército del aire, nos permite hacernos una idea muy clara de las causas y los riesgos a los que estamos sometidos en esta charla en el marco de las XIII Jornadas del CCN-CERT.

Fuente imagen www.agcs.allianz.com

También el 15 Global Risk Report (2020) del World Economic Forum avanza en la línea de situar los ciberataques en uno de los escenarios más preocupantes como podemos ver en la imagen:

Este mapa de nivel de impacto en España del INCIBE corrobora lo anterior:

Una nueva forma de entender la (ciber)seguridad

La inversión en inteligencia artificial como servicio, es decir, las aplicaciones que usan IA para mejorar y facilitar su propia actividad, se incrementará desde los 1.520 millones de dólares de 2018 a 10.880 millones en 2023, (una tasa de crecimiento interanual de un 48.2% durante este periodo) según MarketsandMarkets. Lo que nos da una idea de lo apetitoso que será ese mercado para los ciberdelincuentes. Sin embargo, no podemos pasar por alto que el 95% de las incidencias en ciberseguridad se debe a errores humanos, según el informe IBM X-Force Threat Intelligence Index 2018, lo que indica que somos un peligro potencial para nuestras empresas, pues un simple cable de carga de USB puede generar un desastre en nuestra compañía, y que, por tanto en la formación y concienciación es el primer eslabón con el que debemos trabajar en nuestra empresa para mejorar la ciberseguridad. El segundo es la puesta al día de nuestras tecnologías de protección.

Incidencias en ciberseguridad causadas por errores humanos

El aporte de la inteligencia artificial a la ciberseguridad

Aunque las tecnologías de seguridad de punto final (ordenadores, móviles, impresoras, sensores, etc.) donde normalmente se acumulan o comienzan los problemas de seguridad convergen, podemos encontrar dos categorías diferenciadas. Por una parte tenemos plataformas de protección de punto final (EPP) y por otras soluciones de detección y respuesta de punto final (EDR). Las primeras, EPP, nos aportan soluciones integrales que típicamente unifican diversas funciones de seguridad preventiva, entre ellas las de antivirus, antimalware, firewall personal y protección de datos, con el fin de evitar que los dispositivos sean afectados por códigos maliciosos, sin embargo a medida que las amenazas se vuelven más ágiles, este tipo de defensa, que depende de una biblioteca estática de amenazas conocidas y una defensa perimetral firme, se vuelve menos efectiva. Así las soluciones EDR dan visibilidad a lo que pasa en los equipos y ofrecen la capacidad de detectar, investigar y responder a actividades maliciosas.

El cuadrante mágico de Gartner, uno de los informes más respetados del sector de la consultoría en ciberseguridad, selecciona las mejores herramientas para la protección de puntos finales, entre las que se encuentra CrowdStrike, de la que Sofistic, la división de Cuatroochenta para ciberseguridad, es implementadora. Gartner ha destacado entre las bondades de Crowdstrike que su servicio Falcon Complete, compatible con todos los entornos (físicos, virtuales y en la nube) proporciona detección y respuesta totalmente administradas y consultoría de compromiso para respuesta a incidentes, ofrece también una garantía de prevención de incumplimiento de 1 millón de dólares.

Si queremos una herramienta complementaria a un EDR nos tenemos que fijar en los llamados sistemas de detección y prevención de intrusiones (IDPS) o de análisis del tráfico de la red (NTA) especialmente en un momento en el que la actividad de muchas empresas se ha trasladado o se gestiona total o parcialmente desde la nube, sin que ello equivalga a una externalización o cesión completa de la responsabilidad sobre la seguridad propia al proveedor, que deberá encargarse de la seguridad de la infraestructura (IaaS), incluyendo servidores, redes, máquinas virtuales y contenedores, mientras que se espera que el cliente gestione el sistema operativo invitado, cualquier software de aplicación y la configuración de los controles nativos de seguridad, máxime cuando el proveedor en la nube puede no ser único, pudiendo hablar de implementaciones multinube.

En este contexto herramientas como Darktrace, de la que Sofistic es partner Platinum (la más alta consideración) y que está desarrollada sobre la base del aprendizaje automático no supervisado y la inteligencia artificial, son vitales, ya que analiza los flujos de datos en y a través de las aplicaciones de SaaS (Software as a Service) y cargas de trabajo de la nube, aprendiendo el patrón de vida normal de cada usuario, dispositivo y contenedor. Además, cuenta con un módulo de respuesta antígena (emulando al sistema inmunológico humano), utilizando la IA para adoptar acciones específicas y dirigidas en respuesta a ciberamenazas de alta confianza, deteniendo su propagación en tiempo real, incluyendo la posibilidad de visualizar en tiempo real las actividades anómalas en cargas de trabajo y, por la categoría Platinum de Sofistic, puede enlazarse con su Atlantis SOC, lo que da una garantía plena de protección.

La inteligencia artificial se ha convertido en la principal aliada de la ciberdefensa. Ya no podemos fiar el futuro de nuestra empresa a soluciones que no sean capaces de reaccionar automáticamente antes las amenazas cambiantes y crecientes a las que nos enfrentamos en un escenario de operaciones, la red, que se expande exponencialmente y con ello sus riesgos.