REDSEGURIDAD 083

red seguridad cuarto trimestre 2018 57 do un motor de Machine Learning al que hemos entrenado para distinguir evidencias de malware . Al motor se le alimenta con los indicadores de compromiso (IOC) que se adquie- ren al analizar una muestra y éste es capaz de discernir el malware y posiblemente a qué familia per- tenezca del goodware . Cuando el motor detecta un positivo, se crea una detección por sus evidencias o la estructura del propio fichero, y se introduce en el fichero de fir- mas. Esto no es ninguna novedad, las casas de antivirus llevan años aplicando esta tecnología para crear sus detecciones de forma automáti- ca. Pero ahora supongamos que le pedimos que nos cree las eviden- cias que podrían encontrarse en un fichero que no hemos estudiado, que no existe aún. Es lógico pensar que si nuestro motor sabe lo que es el malware , puede crear grupos de IOC lógicos que podrían encontrarse al analizar un fichero; básicamente nos adelantaríamos al posible malware , sabríamos de antemano lo que hará dándonos una teórica ventaja. Conociendo las posibles evidencias se podrían crear detecciones con anterioridad o informar sobre qué acciones podría ejecutar el malware . Como he comentado antes, el ejemplo que he dado está centrado en el malware , pero se puede aplicar la idea a otros campos de la segu- ridad informática. Ataques, spam , phising , etc., son aptos para aplicar la misma técnica, si se aplicase a todos los campos. 'Machine Learning' inversa e IA Aunque en un principio pueda pare- cer que esta idea es más propia de la ciencia ficción que de la ciberseguri- dad, no es mayor locura que cuando se hablaba de Machine Learning hace años; solo estamos cambian- do de dirección: Machine Learning inversa, por denominarla de alguna manera. Naturalmente no estamos hablando de conseguir todas las evi- dencias exactas, ni de predecir con exactitud cómo será el panorama de la ciberseguridad dentro de un año. Lo que buscamos es obtener una cierta idea, tener indicios de las posi- bles evidencias e intentar estar por delante. Siendo realistas, un éxito de un 20 por ciento sería un magnífico dato. Pero seamos ambiciosos, inten- temos obtener mejores resultados. Además de conseguir que un motor nos ofrezca probables evidencias basándose en el conocimiento generado tras recopilar información, podríamos dar inteligencia a nues- tros sistemas. Si aplicásemos la tec- nología de Inteligencia Artificial (IA) a nuestro modelo, tendríamos la capacidad de obtener unos resul- tados que no se basen únicamente en información pasada o presente. Obtendríamos resultados fundamen- tados en el pensamiento abstrac- to, además de la lógica. Seríamos capaces de crear motores multiárea, a diferencia de los motores basados en Machine Learning , que son espe- cialistas en un área concreta. Un motor dotado de IA podría teorizar sobre un ataque completo a una organización usando varias téc- nicas. Utilizando las fuentes OSINT podría averiguar el nombre de los máximos directivos y tenerlos como objetivo. Por medio de la rama de ciberinteligencia IMIT puede recabar información de los servidores o de la red de la organización objetivo anali- zando las fotografías que encontrase en la red y extrayendo información relevante de ellas, como el SO y versión. De este modo, el motor iría creando un escenario multidisciplinar y con altas posibilidades de que se hiciese real. Básicamente se crearía un sistema capaz de generar una inteligencia comparable con equipos de ciberdelincuentes, pero con la diferencia de que nos podría mostrar una gran variedad de escenarios posibles, algunos ni imaginables por nosotros en un espacio corto de tiempo. Nos daría multitud de infor- mación con la que dar seguridad a nuestros clientes. De momento todo es teórico, hay mucho trabajo que hacer, pero no dudamos de que se lograrán muy buenos resultados con el tiempo aplicando estas técnicas. Se ha empezado a desarrollar una idea: teorizar acerca de los riesgos futuros en el ciberespacio basándose en los datos pasados y presentes para prever cuál será el próximo problema. inteligencia especial opinión