Superando el miedo a la adopción: ¿has confiado en la tecnología?

La intersección entre ciberseguridad y aprendizaje automático (ML) se originó con una idea ambiciosa y sencilla: aprovechar todo lo que los algoritmos pueden ofrecer para identificar patrones en grandes volúmenes de datos. Anteriormente, la detección de amenazas se basaba en técnicas tradicionales fundamentadas en firmas digitales, las cuales actúan como huellas digitales de amenazas conocidas. Aunque estos métodos son útiles para contrarrestar malware familiar, han tenido dificultades para enfrentar las tácticas cada vez más sofisticadas de los cibercriminales y los ataques de día cero.

Esta realidad ha dejado un vacío que impulsó el interés por el uso de ML para detectar anomalías, reconocer comportamientos maliciosos y predecir ataques antes de que causen estragos. Las primeras aplicaciones exitosas de ML incluyeron sistemas de detección de intrusos basados en anomalías y la detección de spam. Estas primeras versiones utilizaban aprendizaje supervisado, donde se alimentaba a los algoritmos con datos históricos, tanto maliciosos como benignos, para que pudieran distinguir entre ambos. Con el tiempo, las aplicaciones impulsadas por ML comenzaron a incorporar aprendizaje no supervisado e incluso aprendizaje por refuerzo, adaptándose así a la naturaleza cambiante de las amenazas presentes.

Recientemente, el debate ha girado en torno a los grandes modelos de lenguaje (LLM) como GPT-4, que presentan capacidades destacadas para resumir informes, sintetizar grandes volúmenes de información y generar contenido en lenguaje natural. En el ámbito de la ciberseguridad, han sido utilizados para crear resúmenes ejecutivos y analizar fuentes de inteligencia sobre amenazas, ambos procesos que requieren una gestión efectiva de grandes conjuntos de datos y su presentación de manera comprensible.

Dentro de este contexto, ha surgido el concepto de un "copilot para la seguridad", una herramienta diseñada para asistir a los analistas de seguridad de manera similar a como un copiloto de código ayuda a un desarrollador. El copiloto impulsado por inteligencia artificial actuaría como un analista virtual del Centro de Operaciones de Seguridad (SOC), manejando grandes cantidades de datos, contextualizando incidentes y sugiriendo acciones a seguir. Sin embargo, este desarrollo no ha cumplido con las expectativas. Aunque tienen potencial en flujos de trabajo específicos, los LLM aún no han proporcionado un caso de uso transformador y esencial para los equipos de SOC.

La ciberseguridad es inherentemente contextual y compleja. Los analistas deben combinar información fragmentada, entender las implicaciones más amplias de una amenaza y tomar decisiones que demandan un entendimiento profundo de su organización, todo bajo una gran presión. Estas herramientas no pueden sustituir la experiencia de un analista con experiencia ni abordar de manera efectiva los puntos críticos que enfrentan, ya que carecen de la conciencia situacional y el entendimiento necesario para tomar decisiones críticas. Por lo tanto, en lugar de servir como un analista virtual confiable, estas soluciones han resultado ser "soluciones buscando un problema", añadiendo una capa adicional de tecnología que los analistas deben aprender a gestionar sin ofrecer un valor proporcional.

A pesar de este escenario, los actuales usos de la inteligencia artificial están en proceso de encontrar su lugar. Para brindar apoyo adecuado a los analistas de SOC, se plantea la necesidad de desarrollar inteligencia artificial agentiva, sistemas capaces de actuar de manera proactiva e independiente, combinando automatización y autonomía. La introducción de esta tecnología podría transformar la inteligencia artificial de un asistente pasivo a un miembro crucial del equipo de SOC. Con la capacidad de defender sistemas activamente, buscar amenazas y adaptarse a desafíos novedosos sin la constante guía humana, la inteligencia artificial agentiva ofrece un avance prometedor para la ciberseguridad defensiva. Por ejemplo, en lugar de esperar órdenes de un analista, la inteligencia artificial agentiva podría actuar de manera autónoma, aislando un punto final comprometido o desviando tráfico de red.

A pesar de su potencial, muchas organizaciones han sido lentas en adoptar nuevas tecnologías de seguridad autónoma que puedan actuar por su cuenta, y esta reticencia puede ser comprensible. Nadie quiere que se impida el uso de un portátil por un alto ejecutivo debido a una alerta falsa o que se cause una interrupción en producción. Sin embargo, ante un panorama de amenazas cada vez más sombrío, impulsado por el uso malicioso de la inteligencia artificial, las empresas no pueden permitirse la inacción. La forma en que los atacantes utilizan la inteligencia artificial para perturbar, robar y extorsionar objetivos seleccionados no tiene barreras como las que enfrentan las organizaciones.

Por lo tanto, la única manera de que las empresas enfrenten esta realidad será unirse a la carrera armamentista de la inteligencia artificial, utilizando inteligencia artificial agentiva para respaldar a los equipos de SOC sobrecargados. Esto se puede lograr a través de acciones proactivas autónomas, permitiendo a las organizaciones defender activamente sus sistemas, participar en la búsqueda de amenazas y adaptarse a amenazas únicas sin requerir intervención humana.