El progreso tecnológico conlleva una serie de ventajas y oportunidades. Al referirnos específicamente a la inteligencia artificial (IA), estamos descubriendo gradualmente una amplia gama de nuevas aplicaciones y su capacidad para mejorar la eficiencia de los procesos. Sin embargo, lamentablemente, algunos individuos están utilizando de manera inapropiada la extraordinaria capacidad de aprendizaje y adaptación de la IA, lo que plantea desafíos que deben ser abordados con especial atención.
A continuación, resaltamos cinco obstáculos críticos que la IA enfrenta en el ámbito de la ciberseguridad:
1. La ausencia de datos debidamente etiquetados representa un desafío significativo para la implementación efectiva de la inteligencia artificial en el ámbito de la ciberseguridad. En este contexto, los conjuntos de datos etiquetados, que contienen información precisa sobre comportamientos y características específicas, son esenciales para el entrenamiento de los modelos de IA. Sin embargo, obtener estos conjuntos de datos en el campo de la ciberseguridad es un verdadero desafío debido a su escasez y a menudo a la falta de estructuración adecuada. Además, la generación de etiquetas precisas requiere experiencia y conocimientos detallados sobre diversas amenazas cibernéticas y sus características.
Debido a la falta de datos etiquetados, muchos procedimientos de detección de amenazas en ciberseguridad se ven obligados a recurrir a métodos no supervisados, donde los modelos de IA intentan identificar patrones en los datos sin la guía de etiquetas previas. Aunque estos enfoques pueden ser útiles, tienden a ser menos precisos y efectivos en comparación con los métodos supervisados, que se basan en conjuntos de datos etiquetados de alta calidad.
2. La detección de actividades irregulares en el tráfico de red es esencial para identificar posibles amenazas en el ámbito de la ciberseguridad. Sin embargo, es importante tener en cuenta que no todas las actividades anómalas son necesariamente maliciosas, lo que plantea un desafío en la distinción entre comportamientos inofensivos y malintencionados.
Al examinar un entorno de red consolidado, es común encontrar numerosos activos y actividades que son considerados anómalos por su diseño, como exploradores de vulnerabilidades, controladores de dominio, cuentas de servicio, entre otros. Estos elementos pueden generar un considerable «ruido» para los sistemas de detección de anomalías y pueden resultar en fatiga para los analistas del Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) encargados de revisar las alertas generadas por dichos sistemas.
Por otro lado, los atacantes suelen mantener un perfil bajo y por debajo del umbral de detección, aprovechando que el nivel de actividad anómala requerido para alcanzar sus objetivos suele ser mucho menor que el generado por los activos mencionados anteriormente. Esta discrepancia en los niveles de actividad anómala dificulta aún más la identificación de amenazas, ya que no todas las anomalías son indicativas de un comportamiento malicioso.
3. La naturaleza dinámica del entorno cibernético implica una constante evolución de los ataques y patrones. En respuesta a estos cambios, los sistemas de inteligencia artificial (IA) deben ser capaces de adaptarse y ajustarse a nuevos escenarios para mantener su eficacia.
La Desviación de Conceptos ocurre cuando un modelo de IA entrenado con ciertos datos pierde precisión al aplicarse a datos del mundo real, ya que estos últimos pueden diferir significativamente de los datos de entrenamiento. Por ejemplo, un modelo diseñado para detectar ciertos tipos de ataques puede volverse menos efectivo a medida que surgen nuevas tácticas de ataque.
Por otro lado, la Adaptación de Dominio se produce cuando un modelo de IA no proporciona resultados coherentes en diferentes entornos o situaciones, debido a diferencias en las características de los datos o condiciones de operación. Por ejemplo, un modelo desarrollado en un entorno de laboratorio puede no funcionar igual de bien cuando se aplica en un entorno del mundo real debido a estas diferencias.
Esto presenta un desafío para los modelos de IA, ya que deben ser actualizados y reentrenados constantemente para mantener su efectividad frente a los cambios rápidos en los conceptos y estrategias de ataque. De lo contrario, corren el riesgo de volverse obsoletos y menos eficaces en la detección de amenazas.
4. La experiencia especializada en los entornos y amenazas específicas de un sector resulta fundamental para diseñar soluciones eficaces de ciberseguridad. Sin embargo, identificar profesionales con la combinación adecuada de habilidades técnicas y conocimientos específicos puede resultar complicado.
En contraste con otros campos, la validación de modelos en ciberseguridad requiere un conocimiento profundo y especializado en este ámbito. Por ejemplo, mientras que determinar el estado de un semáforo puede realizarse sin la necesidad de un experto, identificar si un archivo es malicioso requiere la experiencia de un analista de malware. El desarrollo de modelos de IA para la ciberseguridad demanda la participación de expertos calificados que puedan validar los resultados y etiquetar casos para evaluar los indicadores clave de rendimiento (KPIs). Sin embargo, la escasez de estos expertos y la dependencia el aprendizaje supervisado representa desafíos significativos en la implementación efectiva de la IA en este sector.
5. La capacidad de explicar y comprender el razonamiento detrás de las decisiones tomadas por los sistemas de inteligencia artificial es esencial en situaciones de incidentes de seguridad. La transparencia y la explicabilidad juegan un papel fundamental en la capacidad de responder de manera efectiva y mitigar rápidamente las amenazas.
Es importante tener en cuenta que los modelos de IA son herramientas que ayudan en la detección de ataques, pero sin una explicación clara de su funcionamiento, no proporcionan un valor real en términos de seguridad para los analistas. Esto plantea desafíos particularmente en el aprendizaje no supervisado, donde es más difícil explicar el comportamiento del modelo.
Asimismo, se establece un estándar elevado para los modelos supervisados, que deben ser capaces de ofrecer una explicación adecuada sobre sus decisiones, por qué son relevantes y cómo están identificando la actividad maliciosa. Abordar estos desafíos requerirá un enfoque integral que combine la experiencia humana con el potencial de la inteligencia artificial.
Acceda a información basada en datos, combata amenazas, proteja su negocio y mitigue el riesgo a cualquier escala, con un análisis preciso para acciones especificas.
