La Inteligencia Artificial (IA) entró en el debate público con el lanzamiento de ChatGPT a finales de 2022, a pesar de que el aprendizaje automático y la investigación sobre IA llevan décadas en marcha. La IA es un tema extraordinariamente amplio que abre un abanico de opciones sobre su uso, siendo uno de ellos cómo los profesionales de la seguridad pueden aprovecharlo como una herramienta práctica para asumir tareas específicas, ahorrando tiempo para que los equipos de TI investiguen temas más urgentes o interesantes.
Un ejemplo muy ilustrativo son los grandes modelos lingüísticos (LLM) que se han generalizado recientemente (por ejemplo, ChatGPT, Google Bard, Microsoft Bing AI). Por supuesto, la IA va más allá de los chatbots.
Una de las tareas clave de un experto en inteligencia de amenazas es identificar, realizar ingeniería inversa y publicar sus hallazgos de malware. Cada función requiere múltiples pasos, a veces únicos, dependiendo del tema. Y a veces, muchos de estos pasos pueden llevar mucho tiempo. Aquí es donde entra en juego la automatización.
La automatización es uno de los santos griales del sector de la seguridad. Permite recopilar y correlacionar datos, identificar amenazas o vulnerabilidades y dar una respuesta totalmente coordinada antes de que un malintencionado pueda completar su objetivo. Y en muchos casos, existen herramientas que permiten esta actividad, como las soluciones de Automatización y Orquestación de la Seguridad (SOAR). Sin embargo, hay lugares y escenarios en los que este tipo de tecnología no está disponible o no es práctica, especialmente a pequeña escala. La IA puede ayudar en alguna de estas circunstancias.
Analicemos tres ejemplos en los que utilizando activamente la IA (en concreto, ChatGPT), un responsable de seguridad puede ahorrar tiempo en su trabajo diario.
Una de las tareas más habituales de los ingenieros de seguridad es crear reglas YARA, una herramienta multiplataforma de código abierto que utiliza cadenas y patrones binarios para ayudar a identificar y clasificar el malware. Para escribir estas reglas hay que pensar detenidamente en lo que se debe buscar. En muchos casos, esto implica utilizar términos de actualidad, especialmente noticias que puedan adaptarse fácilmente a nombres de archivos y señuelos de correo electrónico que atraigan a la gente a hacer clic en ellos.
Para ilustrarlo, utilicemos como ejemplo la página principal de noticias tecnológicas de Reuters. Una búsqueda suele implicar escanear el sitio en busca de noticias, destilar palabras clave o frases a partir de ellas y luego añadirlas a una regla YARA. Con acceso a Internet y capacidad de navegación, la IA puede acortar este proceso. En lugar de buscar manualmente, podemos pedirle a la IA que resuma toda una página de noticias.
Sólo lleva unos instantes generar lo que nos habría llevado mucho tiempo escanear y recopilar manualmente. El producto, sin embargo, dista todavía de ser el final. En un mundo multilingüe, el malware y los señuelos de phishing también se encuentran en varios idiomas. Por lo tanto, la regla YARA debería incorporar búsquedas multilingües para lanzar la red más amplia posible.
Realizar este paso manualmente, donde habría que traducir una frase a un idioma cada vez, requiere mucho tiempo y trabajo. Sin embargo, con una pregunta bien formulada, la IA puede proporcionarlos todos simultáneamente en cuestión de segundos.
Al guardar el contexto de esta conversión, podemos solicitar esta misma acción repetidamente, utilizando una nueva URL y haciendo que emita reglas nuevas tantas veces como lo requieran las circunstancias.
Por otro lado, cuando se investigan muestras de malware, a menudo es necesario escribir scripts o aplicaciones independientes para situaciones que requieren demasiado tiempo o trabajo utilizando otro método.
Antes de introducir la IA en el flujo de trabajo, esto implicaba encontrar un script antiguo en la máquina de desarrollo/análisis y reutilizarlo para resolver cualquier problema en el que estuviéramos trabajando. Pero ahora, aunque el estado final siga requiriendo algo de codificación manual, la IA reduce al mínimo la configuración inicial y la creación de prototipos.
En ocasiones, las secciones de malware se crean y despliegan utilizando un lenguaje menos propicio para el análisis, y resulta más fácil analizarlas traduciendo esas secciones a un lenguaje más familiar. Un excelente ejemplo es Go, un lenguaje de desarrollo creado por Google. Go está ganando adeptos porque cuenta con varias mejoras de seguridad de memoria que le confieren ventajas de seguridad frente a los tradicionales C y C++.
Dicho esto, el factor humano sigue siendo importante. Aceptar simplemente los resultados tal cual de una IA puede tener consecuencias no deseadas. Es posible obtener código que no funcione como se desea, o las respuestas a las consultas pueden dar lugar a lo que se conoce como una alucinación, donde una respuesta segura no está justificada por los datos de entrenamiento. Por ejemplo, la IA puede compartir con confianza información que es incorrecta o, peor aún, que parece haber sido inventada por completo.
Por lo tanto, comprobar los resultados antes de utilizarlos es una tarea de garantía de calidad fundamental para asegurar que se alcanzan los supuestos y conclusiones correctos.
Nos guste o no, la era de la IA ya está aquí y es vital reconocer sus limitaciones e incorporarla como una herramienta más en nuestro cinturón. Aunque es evidente que la IA puede agilizar y automatizar tareas específicas, todavía no puede sustituir a un profesional de carne y hueso. En última instancia, es la forma en que la utilicen las personas y las organizaciones lo que determinará su beneficio o perjuicio para la sociedad.
Gorka Sainz, Director Systems Engineering en Fortinet Iberia
