La nueva era de la ciberseguridad con IA: predicciones para 2024
La inteligencia artificial (IA) lleva varios años siendo un requisito mínimo en el campo de la ciberseguridad, pero la adopción generalizada de los modelos de lenguaje de gran tamaño (LLM) ha hecho que 2023 sea un año especialmente interesante. De hecho, el panorama de la ciberseguridad no ha vuelto a ser el mismo desde que aparecieron estos LLM, los cuales ya empiezan a plantear sus propios retos.
Por un lado, los LLM permiten procesar grandes cantidades de información con mayor facilidad y allanan el camino para todo aquel que desee aprovechar las ventajas la IA. Pueden proporcionar altos niveles de eficiencia, inteligencia y escalabilidad para resolver las vulnerabilidades, prevenir los ataques, gestionar las alertas y responder a los incidentes.
Por otro lado, esos mismos LLM están también al alcance de los adversarios, quienes pueden utilizarlos para optimizar sus ataques y explotar las vulnerabilidades adicionales que introducen. A esto se suma que el uso indebido de los LLM puede generar más problemas de ciberseguridad, como fugas de datos no intencionadas, debido a la omnipresencia de la IA en todos los entornos.
Implementar la tecnología de LLM exige una nueva mirada a la ciberseguridad, mucho más dinámica, interactiva y personalizada. Antaño, cuando los productos eran de hardware, estos solo se cambiaban para sustituirlos por un modelo más moderno. En la era de la nube, el software solo podía actualizarse cuando se publicaba una actualización de seguridad o una nueva versión mejorada, para lo cual se recopilaban y analizaban los datos de los clientes.
Ahora, en la nueva era de la IA, el modelo que se utiliza cuenta con su propia inteligencia, puede seguir aprendiendo y, para bien o para mal, evoluciona en función del uso que le den los clientes. Por eso, no solo es necesario proteger los sistemas de LLM desde su diseño —asegurándonos de que los modelos que creamos sean seguros y evitando que los datos que utilizamos para entrenarlos sean de mala calidad—, sino que también debemos evaluarlos y supervisarlos continuamente tras su implementación para garantizar que se utilizan de manera innocua, segura y ética.
Lo que es más importante, debemos integrar la inteligencia en nuestros sistemas de seguridad para que puedan adaptarse y tomar decisiones sólidas y acertadas sin que la entrada de datos nocivos los desvirtúe. Para que nos hagamos una idea, sería como educar a nuestros hijos con los valores adecuados en vez de limitarnos a controlar su comportamiento.
Pero ¿qué efectos, tanto positivos como negativos, tienen los LLM en la ciberseguridad? Siga leyendo para enterarse de todo lo que hemos aprendido durante el año pasado y conocer mis predicciones para 2024.
Una mirada a 2023
Cuando escribí el artículo El futuro del aprendizaje automático en la ciberseguridad hace un año (antes de la era de los LLM), señalé tres retos específicos de la IA en el campo de la ciberseguridad —la precisión, el déficit de datos y la falta de verdad fundamental— y tres retos comunes de la IA pero que, en el campo de la ciberseguridad, resultan más graves —la explicabilidad, la escasez de profesionales y la seguridad de la IA—.
Ahora, tras un año de análisis y estudio, alcanzamos a calibrar la gran ayuda que suponen los LLM en cuatro de estas seis áreas, en concreto: el déficit de datos, la falta de verdad fundamental, la explicabilidad y la escasez de profesionales. Las otras dos áreas, la precisión y la seguridad de la IA, tan cruciales como son, siguen siendo un quebradero de cabeza.
Las principales ventajas de usar los LLM se resumen en dos elementos de la ciberseguridad:
1. Datos
Datos etiquetados
El uso de LLM nos ha ayudado a resolver el problema de la falta de «datos etiquetados».
Para que los modelos y predicciones de la IA sean más precisos y adecuados para los casos de uso de la ciberseguridad, es necesario disponer de datos etiquetados de calidad, pero conseguirlos no es tan fácil. Por ejemplo, es muy difícil identificar muestras de malware que nos permitan aprender de los datos de los ataques, entre otras cosas porque las organizaciones que han sufrido una brecha no están muy por la labor de compartir esa información.
Los LLM resultan de gran ayuda para recopilar los datos iniciales, sintetizarlos con base en datos reales y, a partir de ahí, generar nuevos datos sobre fuentes, vectores, métodos e intenciones de ataque. Esta información se utiliza después para diseñar nuevos mecanismos de detección sin que debamos limitarnos a los datos de campo.
La verdad fundamental
Como ya mencioné en mi artículo hace un año, en ciberseguridad no siempre contamos con la verdad fundamental. Los LLM pueden ayudarnos a mejorar la verdad fundamental drásticamente, ya que nos permiten encontrar lagunas en nuestros mecanismos de detección y nuestras bases de datos de malware, reducir los falsos negativos y reentrenar los modelos cada poco tiempo.
2. Herramientas
Los LLM facilitan enormemente las operaciones de ciberseguridad y no solo son más intuitivos, sino también más prácticos y útiles. Por ahora, el principal beneficiario de las ventajas en ciberseguridad que ofrecen los LLM es el centro de operaciones de seguridad (SOC).
Por ejemplo, la función por excelencia de automatización del SOC con LLM es la llamada de funciones, que ayuda a traducir instrucciones en lenguaje natural a llamadas de API que puedan operar el SOC directamente. Los LLM también pueden ayudar a los analistas de seguridad a gestionar las alertas y las respuestas a incidentes de manera mucho más rápida e inteligente. Asimismo, nos permiten integrar herramientas de ciberseguridad sofisticadas gracias a que pueden procesar las órdenes en lenguaje natural que les envían los usuarios directamente.
Explicabilidad
Los modelos de aprendizaje automático de antes funcionaban bien, pero no podían responder a la pregunta de «¿por qué?». Los LLM tienen el potencial de cambiar las reglas del juego explicando el motivo con precisión y confianza, lo que cambiará por completo la detección de amenazas y la evaluación de riesgos.
La capacidad de los LLM de analizar grandes cantidades de información con rapidez ayuda a correlacionar los datos de distintas herramientas, ya sean eventos, logs, nombres de familias de malware, información de vulnerabilidades y exposiciones comunes (CVE) o bases de datos internas y externas. Esto no solo ayudará a encontrar la causa original de una alerta o incidente, sino que también servirá para reducir, y mucho, el tiempo medio de resolución (MTTR) en la gestión de incidentes.
Escasez de profesionales
Las tasas de desempleo del sector de la ciberseguridad registran cifras negativas. No hay suficientes expertos y el número de alertas es humanamente imposible de gestionar. Los LLM reducen enormemente la carga de trabajo de los analistas de seguridad gracias a que ensamblan y procesan con rapidez grandes cantidades de información, a que entienden las órdenes en lenguaje natural y las desglosan en instrucciones paso a paso, y a que encuentran las herramientas adecuadas para ejecutar cada tarea.
Los LLM son capaces de adquirir datos y conocimientos sobre distintos dominios, así como de diseccionar nuevas muestras y malware, por lo que pueden contribuir a acelerar la creación de nuevas herramientas de detección que nos permitan automatizar tareas, como el reconocimiento y análisis de malware nuevo o la identificación de adversarios.
Además, tenemos que crear herramientas aptas para la infraestructura de IA para que no todo el mundo tenga que ser un experto en ciberseguridad o en IA para disfrutar de las ventajas que esta tecnología ofrece en el campo de la ciberseguridad.
Tres predicciones para 2024
El auge del uso de la IA en la ciberseguridad revela algo evidente: estamos asistiendo al nacimiento de una nueva era, una etapa inicial que muestra una pronunciada curva de crecimiento parecida a la forma de un palo de hockey. Cuanto más aprendamos sobre los LLM y cómo pueden mejorar nuestra estrategia de seguridad, mayores serán nuestras posibilidades de adelantarnos a la competencia (y a nuestros adversarios) a la hora de aprovechar al máximo la IA.
Aunque considero que en el campo de la ciberseguridad todavía tenemos pendientes varias conversaciones sobre el uso cada vez mayor de la IA para reducir la complejidad y poner coto a la proliferación de vectores de ataque, hay tres aspectos que me parecen especialmente importantes:
1. Modelos
Los modelos de IA supondrán un avance enorme en la creación de conocimiento especializado profundo basado en las necesidades de ciberseguridad.
El año pasado, se consagraron muchos recursos a la mejora de los modelos generales de LLM. Los investigadores se esforzaron en crear modelos más inteligentes, rápidos y baratos. Sin embargo, existe un enorme vacío entre lo que estos modelos de uso general pueden ofrecer y las necesidades reales de la ciberseguridad.
En concreto, nuestro sector no necesita, ni mucho menos, un modelo enorme que responda a preguntas tan variopintas como «¿quién descubrió América?» o «¿cómo se hace una tortilla de patata?». En su lugar, necesita modelos hiperprecisos que conozcan a fondo las amenazas de ciberseguridad a las que se enfrentan y sus procesos, entre otras características del sector.
En el sector de la ciberseguridad, pocas cosas hay tan importantes como la precisión. Por ejemplo, en Palo Alto Networks procesamos más de 75 TB de datos al año procedentes de los SOC de todo el mundo. Incluso un 0,01 % de veredictos de detección erróneos podría resultar catastrófico. Necesitamos una IA de alta precisión con contexto y conocimientos especializados de seguridad para brindar servicios personalizados que respondan a los requisitos de protección de los clientes. En otras palabras, estos modelos deben realizar menos tareas específicas, pero con mucha más precisión.
Los ingenieros están haciendo grandes avances en la creación de modelos con un mayor conocimiento de los sectores y los aspectos específicos de cada campo, por lo que es posible que en 2024 salga a la luz un LLM creado específicamente para la ciberseguridad.
2. Casos de uso
Irán apareciendo nuevos casos de uso de los LLM que transformarán la ciberseguridad y los harán indispensables.
En 2023, todo el mundo estaba muy emocionado con las maravillosas posibilidades que ofrecían los LLM y la gente empezó a utilizarlos sin ningún tipo de criterio.
En 2024, entenderemos que no todos los casos de uso son aptos para los LLM. Tendremos acceso a auténticos productos de ciberseguridad con LLM que servirán para realizar las tareas que mejor se adaptan a las características los LLM y esto sí que aumentará la eficiencia, mejorará la productividad, facilitará el uso, resolverá problemas reales y reducirá los costes para los clientes.
Imagínese ser capaz de leer miles de libros de estrategias para abordar problemas de seguridad, como la configuración de los dispositivos de seguridad del endpoint, la solución de los problemas de rendimiento, la incorporación de los nuevos usuarios con las credenciales y privilegios de seguridad adecuados, y el desglose de la arquitectura de seguridad en función del proveedor.
La capacidad de los LLM de procesar, resumir, analizar y producir la información correcta de una forma rápida y escalable transformará los centros de operaciones de seguridad y revolucionará cómo, dónde y cuándo recurrir a los profesionales de la seguridad.
3. Seguridad y protección de la IA
Además de usar la IA en el campo de la ciberseguridad, cabe preguntarnos cómo crear y utilizar la IA de manera segura y sin poner en peligro la inteligencia de los modelos de IA. Este tema ha suscitado largos debates y ya se ha avanzado bastante en esta dirección. En 2024, se implementarán soluciones reales y, aunque es posible que sean preliminares, no dejarán de ser pasos en la dirección correcta. Además, es preciso establecer un marco de evaluación inteligente que analice la seguridad y la protección del sistema de IA de manera dinámica.
Tampoco debemos olvidar que los adversarios también tienen acceso a los LLM. Por ejemplo, los hackers pueden utilizar los LLM para generar fácilmente cantidades ingentes de correos electrónicos de phishing de mucha mejor calidad o para crear malware nuevo. No obstante, el sector está trabajando de manera más colaborativa y estratégica en el uso de los LLM, lo que nos ayuda a anticiparnos a los atacantes.
El 30 de octubre de 2023, el presidente de Estados Unidos Joseph Biden firmó un decreto ley para regular el uso responsable y adecuado de las tecnologías, los productos y las herramientas de IA. El objetivo de este decreto tenía que ver con la necesidad de que los proveedores de IA tomen las medidas precisas para garantizar que sus soluciones se utilicen de buena fe y no con fines maliciosos.
La seguridad y la protección de la IA representan una amenaza real que debemos tomarnos muy en serio, ya que debemos asumir que los hackers ya están desarrollando nuevas formas de atacar nuestras defensas. La consecuencia inmediata de que el uso de modelos de IA ya esté generalizado ha sido el gran crecimiento que han experimentado tanto las superficies de ataque como los vectores de amenazas.
La IA es un campo muy dinámico en el que los modelos cambian cada día. Incluso después de implementar las soluciones de IA, los modelos siguen evolucionando y no son estáticos, por lo que no podemos dejar de evaluarlos, supervisarlos, protegerlos y mejorarlos ni por un momento.
El número de ataques que utilicen la IA irá en aumento. Como sector, debemos priorizar el desarrollo de marcos de IA seguros. Esto requerirá un esfuerzo colosal en el que toda ayuda será poca e implicará la colaboración de proveedores, organizaciones, instituciones académicas, organismos de normalización y legisladores; en definitiva, de todo el ecosistema tecnológico. No será fácil, de eso no cabe la menor duda, pero parece que todos somos conscientes de su vital importancia.
Conclusión: lo mejor está por llegar
En cierto modo, el éxito de los modelos de IA genéricos como ChatGPT y otros ha sido un chasco para quienes trabajamos en el campo de la ciberseguridad. Todos teníamos la esperanza de poder crear, probar, implementar y mejorar continuamente nuestros LLM para que se adaptaran mejor a las necesidades de la ciberseguridad, pero enseguida nos dimos cuenta de que la ciberseguridad es un área muy particular, especializada y compleja para aplicar la IA. Los cuatro aspectos clave —datos, herramientas, modelos y casos de uso— deben funcionar a la perfección.
La buena noticia es que trabajamos con gente inteligente y decidida que entiende perfectamente por qué debemos seguir buscando sistemas más precisos que combinen potencia, inteligencia, facilidad de uso y, por encima de todo, quizá, pertinencia para la ciberseguridad.
Tengo la suerte de llevar un tiempo trabajando en este ámbito y nunca ha dejado de parecerme apasionante. Resulta gratificante ver lo mucho que han avanzado y lo que logran cada día mis compañeros de Palo Alto Networks y del sector en general.
En cuanto a mis pronósticos para 2024, es francamente difícil predecir el futuro con absoluta certeza, pero sí que me atrevo a augurar dos cosas:
- El 2024 será un año extraordinario en cuanto al uso de la IA en el campo de la ciberseguridad.
- Cualquier avance que hagamos en 2024 resultará insignificante en comparación con lo que está por venir.
La Dra. May Wang es directora tecnológica de Seguridad de IoT en Palo Alto Networks.