En el mundo de la seguridad informática, se escucha mucho sobre la inteligencia artificial (IA) y el aprendizaje automático (AA) en los productos de seguridad. Sin embargo, gran parte de lo que se dice está envuelto en marketing, lo que dificulta saber qué hacen realmente estas herramientas. En este artículo, vamos a analizar de manera objetiva el estado actual de la IA y el AA en la seguridad.

Para empezar, debemos desmentir el concepto más comúnmente malinterpretado: hay muy poca, o ninguna, inteligencia artificial real incorporada en los software de seguridad empresarial. El hecho de que el término se mencione con frecuencia se debe principalmente al marketing y muy poco a la tecnología en sí. La IA pura se trata de reproducir habilidades cognitivas, algo que aún no se ha logrado en su totalidad.

Por otro lado, el aprendizaje automático, que es una de las muchas ramas de la inteligencia artificial, sí se está utilizando en algunos software de seguridad. Sin embargo, incluso el término “aprendizaje automático” puede ser utilizado de manera optimista. Su uso en los software de seguridad de hoy en día se asemeja más a los “sistemas expertos” basados en reglas de los años 80 y 90 que a la verdadera IA.

Si alguna vez has utilizado un filtro de spam bayesiano y lo has entrenado con miles de correos electrónicos de spam conocidos y miles de correos electrónicos buenos conocidos, tienes una idea de cómo funciona el aprendizaje automático, aunque a menor escala. En la mayoría de los casos, no es capaz de autoentrenarse y requiere intervención humana, incluyendo programación, para actualizar su entrenamiento. Dado que la seguridad informática tiene tantas variables y puntos de datos, mantener su entrenamiento actualizado y, por lo tanto, efectivo, puede ser un desafío.

Sin embargo, el aprendizaje automático puede ser muy efectivo cuando se entrena con una gran cantidad de datos del entorno en el que será utilizado por personas que saben lo que están haciendo. Aunque los sistemas complejos son posibles, el aprendizaje automático funciona mejor en tareas o conjuntos de tareas más específicos que en una misión amplia.

Una de las mayores fortalezas del aprendizaje automático es la detección de valores atípicos, que es la base del análisis del comportamiento de usuarios y entidades (UEBA, por sus siglas en inglés), según Chris Kissel, director de investigación de productos de seguridad global de IDC. “La definición breve de lo que hace UEBA”, agrega, “es determinar si una actividad que emana o se recibe desde un dispositivo dado es anómala”. UEBA encaja naturalmente en muchas actividades defensivas de ciberseguridad.

Cuando un sistema de aprendizaje automático se entrena de manera exhaustiva y adecuada, en la mayoría de los casos se han definido los eventos buenos conocidos. Esto permite que tu inteligencia de amenazas o sistema de monitoreo de seguridad se enfoque en identificar anomalías. Sin embargo, ¿qué sucede cuando el sistema se entrena únicamente con datos genéricos del proveedor? ¿O cuando se entrena con un volumen insuficiente de eventos? ¿O cuando hay demasiados valores atípicos que no se identifican y se convierten en parte de un ruido de fondo creciente? Puedes terminar con la pesadilla del software de detección de amenazas empresariales: una sucesión interminable de falsos positivos.

Si no estás entrenando tu sistema de aprendizaje automático de manera continua, no obtendrás la verdadera ventaja que el AA tiene para ofrecer. Y con el tiempo, tu sistema se volverá menos efectivo.

En resumen, aunque la inteligencia artificial real aún no se ha logrado en el ámbito de la seguridad informática, el aprendizaje automático puede ser una herramienta efectiva cuando se utiliza correctamente. Es importante entender sus limitaciones y asegurarse de entrenar el sistema de manera adecuada y continua para obtener los mejores resultados.

Fuente del artículo: CSO