Todo el mundo habla de la IA y con razón. Esta floreciente tecnología ya está alterando sectores tan diversos como la sanidad, los servicios financieros y la industria. Podría decirse que los proveedores de seguridad informática han sido de los primeros en adoptar la IA. Pero no sólo los buenos están invirtiendo mucho en nuevas formas de utilizar los modelos emergentes. Los actores de amenazas también buscan oportunidades para promover sus objetivos empresariales o geopolíticos.
En esta serie de dos partes, analizamos los avances en ambos lados, centrándonos específicamente en dos tipos de modelos: la categorización y la IA generativa.
Cómo utilizar eficazmente la categorización de la IA
También conocida como «clasificación», «segmentación» o modelos «descriptivos», la IA categorizadora hace lo que dice: toma una entrada y la categoriza. Una aplicación obvia para los defensores de la red sería categorizar entradas como conexiones de red, comportamientos o archivos en «buenos» y «malos». Se trata de una continuación lógica de la clásica lista de bloqueo y permiso, con la única diferencia de que la decisión «bueno/malo» se aprende automáticamente en lugar de crearse manualmente.
Sin embargo, hay que tener cuidado en un par de aspectos. En primer lugar, los desarrolladores de este tipo de soluciones deben evitar las decisiones demasiado binarias sobre si una entrada es «buena» o «mala». Hay una gran diferencia entre un archivo considerado malicioso en un 1% y otro en el que el cálculo es del 49%. Podría ser útil ofrecer categorizaciones definibles por el usuario, como «potencialmente dañino» y «no deseado», para añadir más granularidad a las decisiones de confianza.
En segundo lugar, los usuarios necesitan saber no sólo la respuesta, sino también cómo ha llegado a ella un modelo de IA. Por desgracia, la mayoría de las IA actuales no son autorreflexivas, es decir, no son conscientes de sí mismas ni de sus decisiones y, por tanto, no pueden decir por qué han llegado a una determinada decisión. La IA categorizadora actual es, por tanto, como un experto bien entrenado que evalúa los hechos que se le presentan basándose en su instinto, para llegar a una conclusión. Para mitigar el riesgo potencial en este caso, puede ser una buena idea almacenar las decisiones de la IA para futuros análisis forenses, y quizás también los datos brutos en los que se basaron esas decisiones. Esto, a su vez, permite a un experto humano reconstruir o revalidar la decisión de la IA.
Impulsar el éxito de la IA generativa
La razón por la que todas las juntas directivas hablan hoy de IA son los modelos generativos como ChatGPT, que han irrumpido en escena con una asombrosa capacidad para interactuar con los usuarios en lenguaje natural. El modelo calcula o «genera» un resultado a partir de un enorme conjunto de datos de entrenamiento, combinados con el contexto actual (preguntas o historial de chat). Sin embargo, es importante recordar que, a pesar de su fluidez en el lenguaje del usuario y su aparente capacidad para componer chistes, poemas y otras obras de arte, estos modelos no «entienden» realmente el contenido que aprenden. Por lo tanto, todo lo que producen no es más que una «remezcla» muy buena del contenido con el que se ha entrenado el modelo, aunque con una riqueza de conocimientos y contenidos que ningún ser humano podría aprovechar en toda su vida.
A diferencia de la IA categorizadora, la fuerza de los modelos generativos no reside en la toma de decisiones, sino en resumir y presentar información y hechos en un diálogo. Si se entrenan con los datos adecuados -por ejemplo, entradas que cubran conexiones de red, interacciones y requisitos de cumplimiento y empresariales- podrían convertirse en asistentes informáticos de gran utilidad. Un modelo generativo de IA podría recomendar, por ejemplo, una configuración optimizada del sistema o sugerir prioridades para una estrategia de cumplimiento. Con la información oportuna adecuada, podría incluso ofrecer un análisis de la causa raíz de los ataques.
Sin embargo, es importante recordar que la calidad lingüística de sus resultados no es un indicador de la calidad del contenido real. Los falsos positivos son un problema común para algunos modelos generativos, especialmente cuando sólo se han entrenado con un pequeño conjunto de datos. Algunos ataques de día cero pueden pasar desapercibidos por este motivo.
Companion, el nuevo asistente generativo de Trend Micro impulsado por IA, es diferente. Se ha entrenado a partir de datos de Trend Micro estrictamente controlados y patentados, y se ha diseñado para que lo utilicen los analistas de operaciones de seguridad abrumados por las alertas de amenazas y que luchan por gestionar la carga de trabajo con escasez de habilidades. Ayudará a los usuarios de todos los niveles a ser más productivos a la hora de:
- Explicar y contextualizar las alertas
- Evaluar y recomendar acciones
- Descifrar secuencias de comandos complejas
- Desarrollar y probar consultas de búsqueda sofisticadas
Esté atento a la segunda parte de esta serie, en la que exploraremos cómo los actores de amenazas utilizan la IA para obtener ventaja.
Udo Scheneider
Cybersecurity Evangelist Europe de Trend Micro
