La
inteligencia artificial se puede emplear en la detección, predicción y
respuesta ante el cibercrimen. En concreto en la detección y prevención de
ataques DoS, en la detección de spam, en la detección de ordenadores zombis, en
la clasificación del “malware” y como
herramienta en las investigaciones de fraude.
Los agentes inteligentes
Los agentes
inteligentes son sistemas de ordenadores autosuficientes e interconectados
creados para comunicarse entre ellos y coordinarse para enfrentarse a las
amenazas que puedan surgir. Los agentes inteligentes, dada su alta
adaptabilidad y flexibilidad son utilizados normalmente como defensa para los
ataques DDoS.
Las redes neuronales artificiales
Las redes neuronales artificiales como “un mecanismo
computacional que simula la estructura y funcionalidad de las redes neuronales
existentes en sistemas biológicos. Su funcionamiento les hace ideal para
situaciones en los que se requiera predicción, clasificación o control en
entornos computacionales complejos y dinámicos” Las neuronas pueden ajustar sus
parámetros y estructura por
medio de algoritmos de aprendizaje. De esta forma, la red neuronal puede adaptarse,
minimizando los errores y proporcionando una solución que se adapte mejor al
problema .
Ya se han realizado estudios de
cómo aplicar las redes neuronales en la ciberseguridad.
Linda,
Manic y Volmer (2009) en su paper “Neural
Network Based Intrusion Detection System for Critical
Infrastructures” describen consiguieron crear un sistema
de detección de intrusiones
informáticas adaptado a infraestructuras críticas que empleaba dos algoritmos de aprendizaje de redes neuronales, y que tenía una ratio
de detección perfecto y sin falsos positivos.
Asimismo, Abdullah, Ahmad y Alghamdi (2009) en su “paper” “Application of Artificial
Neural Networks in Detection of DOS Attacks” describen cómo incluyeron en
su sistema de detección de ataques
informáticos redes neuronales y consiguieron un 96,1% de precisión en la detección de ataques, porcentaje sustancialmente mayor del que se obtuvo
utilizando otras aproximaciones al problema.
También destaca
la aportación de Barman y Khataniar (2012), los cuales consiguieron diseñar un
sistema de identificación de amenazas con redes neuronales con la misma
efectividad que otros sistemas, pero 20.5 veces más rápido a la hora de
detectar un tipo de ataque DoS.
Las redes
neuronales ya se han implementado en la ciberseguridad de la industria
financier. BBVA (2018)
comenta que esta tecnología se utiliza sobre todo en la detección del fraude, detección de
actividades de lavado de dinero y en la prevención de riesgos. Además, menciona
como ejemplo a Brighterion, una empresa del sector financiero especializada en
proporcionar este tipo de soluciones con redes neuronales artificiales y otras
tecnologías de inteligencia artificial.
Sistemas inmunes artificiales
Nunes
de Castro y Timmis, en su libro “An
Introduction to Artficial Inmune Systems: A New Computational Intelligence
Paradigm.” (citado en Cruz, 2004), define los
sistemas inmunes artificiales como: “sistemas adaptativos, inspirados por la
teoría inmunológica, funciones, principios y modelos inmunológicos observados,
los cuales son aplicados a la solución de problemas.”
No existe una
serie de características comunes a todos los sistemas inmunes artificiales.
Aunque como regla general, los sistemas inmunes artificiales intentan:
clasificar y/o detectar los elementos invasores; reaccionar ante el ataque
invasor; aprender y ajustarse al entorno y al resultado de sus actuaciones; y
tolerar aquellos elementos que son parte integrante del sistema que intenta
proteger (Madhok, Gupta y Grover, 2016).
Por sus
características, los sistemas inmunes en la ciberseguridad son utilizados
principalmente en sistemas de identificación del spam y de amenazas en redes, y
en sistemas de eliminación de dichas
amenazas. También es frecuente su empleo en defensas
contra los ataques DoS (Dasgupta y González, 2003).
Los sistemas inmunes artificiales suelen emplear 4 tipos
de algoritmos: algoritmos de selección negativa, algoritmos de selección
clonal, redes inmunitarias artificiales y la teoría del peligro (García,
Maestre y Sandoval, 2015).
Tipos de algoritmos que
emplean
Los algoritmos de selección negativa
se fundamentan en el principio
de la discriminación entre los elementos propios y los que no lo son. Su finalidad es intentar detectar
elementos que discrepen de lo que se ha definido como normal o aceptable
para el sistema que se analiza. Para realizar esta labor, se crean elementos
detectores, encargado de distinguir que es propio del sistema y que no lo es,
que luego serán cribados en función de su desempeño (Berry, Dasgupta,
KrishnaKumar, Wong, 2004). Las propiedades de estos algoritmos los hacen
idóneos para encontrar “malware” o
detectar actividades fraudulentas.
Los algoritmos de selección clonal se basan en la teoría de selección clonal de inmunidad adquirida y en la maduración de la afinidad.
Esta teoría explica
como los linfocitos B y T se adaptan para luchar contra
determinados antígenos. Los linfocitos B y T poseen una clase de receptor especializado en detectar un único antígeno.
Cuando el linfocito
detecta ese antígeno es entonces cuando se activan y producen el
anticuerpo para destruir la amenaza. De esta forma, los linfocitos que son
capaces de detectar el antígeno son seleccionados para pasar a la siguiente
generación. La maduración de la afinidad es un proceso mediante el cual la
respuesta de los anticuerpos producidos mejorara con la exposición a los
patógenos. Este proceso se realiza también por selección natural, seleccionando para la siguiente generación los linfocitos
con mejores resultados en la respuesta ante el elemento invasor (Bautista,
Diaz, Gómez y Luna, 2013).
Los algoritmos de redes inmunes se basan en la teoría de
redes inmunes de Jerne y Perelson. Esta teoría defiende que el sistema inmunitario
este compuesto por células y moléculas que son capaces de reconocerse unas a
otras incluso en los casos de ausencia de antígenos. Cuando exista la presencia
de antígenos y se detecten, determinados anticuerpos se activan. Estos anticuerpos que han sido activados a su vez activaran a otros
y estos a otros, lo que al final provoca que se cree una especie de red donde
todos los anticuerpos se detectan entre ellos (González, s.f.). Este
tipo de algoritmos intentan crear
este tipo de redes, eliminando aquellas partes poco útiles o mejoradas por
otras en el proceso de entrenamiento de la red. Las redes inmunes artificiales
se han utilizado en funciones como el análisis y clasificación de datos, el
reconocimiento de patrones y proceso de optimización (Argüello, Ariel y
Cuadrado, 2012).
Los algoritmos basados
en la teoría del peligro
se inspiran en la teoría
del peligro de Polly
Matzinger, la cual defiende que el sistema
inmune no es capaz de diferenciar entre lo que es propio y lo que no lo es. Sin
embargo, el sistema inmune si es capaz de diferenciar entre lo que es peligroso
y lo que no lo es. Esta diferenciación es posible gracias a los tejidos
lesionados, los cuales emitirían señales de alarma ante una amenaza que activaría al sistema inmune. Este tipo de algoritmos cuentan
con operador de peligro encargado
de detectar las amenazas y alertar al sistema (Pinilla, 2018).
Algoritmos genéticos
Los algoritmos genéticos
son un tipo de algoritmos que incorporan elementos
de la teoría evolutiva como la selección natural. Estos algoritmos
modifican su composición aleatoriamente con cada generación e incorporan los
avances que proporcionan los mejores resultados a la generación siguiente, donde el mismo proceso
es repetido. De una
forma más técnica, Goldberg (1989) (citado en Dorado et al, 2010: 11) los
define como:
“Algoritmos de búsqueda basados en la mecánica de selección natural y de
la genética natural. Combinan la supervivencia del más apto entre estructuras de
secuencias con un intercambio de información estructurado, aunque aleatorizado, para constituir así un algoritmo de búsqueda que tenga algo de las genialidades de las búsquedas humanas”
Los algoritmos
genéticos son muy utilizados en sistemas de detección de intrusos y son idóneos
para generar reglas de detección de anomalías. Llevan siendo aplicados en
ciberseguridad desde los años 90 y son utilizados incluso hoy (Aziz et al,
2012).
Sistemas expertos
Los sistemas
expertos son sistemas informáticos que emulan a un experto en un área concreta.
Estos sistemas normalmente son capaces de almacenar procesar información y
aprender (Castillo, Gutiérrez y Hadi, 1997).
Los sistemas
expertos son la herramienta de inteligencia artificial más utilizada. Debido a
su especialización estos sistemas pueden tener muy diversas funciones. Las más
habituales suelen ser funciones de diagnóstico y de resolución de problemas
complejos. En ciberseguridad los sistemas expertos son utilizados en la
detección de amenazas y en decidir como distribuir de manera eficiente
los recursos computacionales escasos (Anwar y
Hassan, 2017).
Ventajas
de las distintas técnicas de inteligencia artificial en la ciberseguridad
El uso de
técnicas de inteligencia artificial en la ciberseguridad aporta grandes
ventajas. La tabla resume estas ventajas en función de las técnicas de
inteligencia artificial.
|
Tecnología
|
Ventajas
|
|
Redes
neuronales artificiales
|
· Aprenden con el ejemplo
· Son
capaces de operar de manera eficaz con funciones complejas no lineales
· Manejan de manera
excepcional funciones diferenciales complejas
· Son resilientes a los
datos ruidosos y a los datos incompletos
|
|
Agentes
inteligentes
|
· Siempre
intentan completar la tarea, incluso cuando tienen objetivos contradictorios.
· Actúan de forma racional a
la hora de completar sus objetivos.
· Se adaptan con facilidad
al entorno y a las preferencias del usuario.
|
|
|
· Son
cocientes de los errores humanos, por lo que pueden ser programados para
revisar las instrucciones e inconsistencias que se le han impuesto.
|
|
Sistemas
inmunes artificiales
|
· Tienen una estructura dinámica.
· Cuentan con medios de
aprendizaje distribuido.
· Se
adaptan y organizan por si solos, sin necesidad de intervención humana.
· Son
capaces de seleccionar la mejor respuesta para eliminar la amenaza del sistema.
· Optimizan los recursos
· Cuentan con varias capas
de defensa
· Al no ser
dependientes de ningún elemento en particular, pueden desprenderse y
remplazar cualquiera de ellos por uno que tenga un desempeño más alto
|
|
Algoritmos
genéticos
|
· Se adaptan al entorno de
manera eficiente
· Son
capaces de optimizar incluso problemas computacionales complejos.
· Permiten evaluar varios
tipos de posibles soluciones de manera
simultánea.
|
|
Sistemas
expertos
|
· Pueden ser empleados para
una gran variedad de problemas
· Ofrecen soluciones a como distribuir los recursos de manera eficiente
|
Usos
de la inteligencia artificial en la ciberseguridad
La
inteligencia artificial tiene un gran potencial en el campo de la
ciberseguridad. La inteligencia artificial ya se utiliza
en la actualidad, aunque todavía
le queda desarrollo. La tabla 4 resume los campos donde más potencial tiene.
Usos de la inteligencia
artificial
en ciberseguridad
Descripción
Evaluación del riesgo de
las
redes
Realización de una
evaluación del riesgo basado en los datos y
el análisis cuantitativo sin depender de
los sesgos del analista.
Detección de amenazas
Algunas tecnologías de la inteligencia artificial pueden detectar y atacar cualquier actividad
que consideren sospechosa. Asimismo, podría detectar
patrones anómalos, como
transacciones fuere de lo normal, y alertar
al sistema.
Análisis del
comportamiento
Identificación de los comportamientos y clasificación de
estos dependiendo de si se traten de acciones humanas o no. Gracias a este
tipo de análisis se pueden detectar y eliminar de manera automática y con
gran precisión muchos de los ataques que se producen en la actualidad como
los DoS. Además, esta tecnología podría
facilitar mucho las
operaciones antilavado de
dinero.
Detección del fraude
Detección del fraude y
optimización de los procesos a través
del “machine
learning”.
Detección del malvare
Utilización de los datos recopilados sobre las
características de los distintos
tipos de malvare con los que el sistema se ha encontrado u obtenido
información acerca de ellos, para detectar futuras amenazas que
otros acercamientos al problema
puede que no consigan detectar
