IA y ciberseguridad: Jaque al correo electrónico malicioso

El email sigue siendo el vector de ataque favorito por parte de los ciberdelincuentes, cuyos resultados provocan pérdidas billonarias. La identificación y defensa frente a correos maliciosos es por tanto uno de los mayores retos de la ciberseguridad empresarial hoy día.

CCN-CERT, en su informe “Ciberamanezas y tendencias” nos arroja una serie de conclusiones importantes que marcarán la pauta en las estrategias de cibervigilancia de las empresas:

1. Los ciberatacantes ya no solo actúan por amor al arte o por cuestiones reputacionales. Ha entrado en juego el móvil económico y esto complica las cosas, ya que ahora las motivaciones del cibercriminal son más poderosas. Muestra de ello es la tendencia al alza de ataques como el Fraude del CEO o el Business Email Compromise (BEC).
2. Unido a la motivación económica, la situación actual provocada por la crisis pandémica ha amplificado las amenazas tradicionales. Es algo más preocupante que la aparición de nuevas amenazas más o menos efectivas.
3. Los cibercriminales utilizan técnicas de Inteligencia Artificial para perpetrar sus ataques, lo que incrementa el riesgo exponencialmente.

Es por ello que las empresas necesitan la implementación de técnicas de Inteligencia Artificial para defenderse ante este tipo de ataques que ya van un paso por delante en el uso de esta tecnología.

La IA es un problema, pero también es la solución

En el mundo de la ciberseguridad, la IA tiene una doble vertiente: es a la vez problema y solución, ya que se emplea tanto para el ataque como para la defensa.

Los ciberdelincuentes, en efecto, utilizan el aprendizaje automático. Es algo que ya está ocurriendo y debemos ser conscientes de que las aplicaciones web no fueron concebidas para amortiguar este tipo de amenazas adaptativas con tanto margen de ventaja.

Gracias a Machine Learning, el ataque es capaz de comprobar si ha cumplido su cometido, valorar la situación general y prepararse para el daño

Ya no hay una persona detrás orquestando todas estas variables, ahora es la IA la que piensa por sí misma y actúa en consecuencia. Un buen ejemplo de ello son los ataques DoS (Denegación de servicio) y DDoS (Denegación de Servicio Distribuido), cuya finalidad es inhabilitar determinados servicios y hacerlos inaccesibles de cara a los usuarios.

Pero no todo está perdido. La IA también se utiliza como escudo frente al cibercrimen. La ciberinteligencia se sirve de esta tecnología para detectar amenazas y fortalecer sus sistemas de defensa. Algunos ejemplos destacados de cómo se aplica IA en este ámbito son:

• Sistemas de detección y prevención de intrusiones (IDS/IPS)
• Detección de malware
• Detección de ingeniería social
• Análisis del tráfico de red
• Análisis del comportamiento de los usuarios 

En un mundo cada vez más conectado, las estrategias de seguridad que integran IA consiguen más protección y fiabilidad en sus mecanismos de defensa, pues todo lo que esta tecnología beneficia a los atacantes, repercute igualmente de forma positiva para los defensores.

Machine Learning y Deep Learning: jaque al correo electrónico malicioso

La IA también es utilizada con objeto de detectar de forma temprana correos electrónicos maliciosos. Dentro de su ámbito, existen dos técnicas que funcionan con paradigmas y modelos distintos: Machine Learning y Deep Learning. Machine Learning es aquella tecnología capaz de detectar patrones y hacer predicciones en base a un entrenamiento previo. Por su parte, Deep Learning actúa bajo un paradigma distinto y es aquella tecnología capaz de aprender por sí misma bajo una red neuronal artificial (RNA) que le permite razonar, sacar sus propias conclusiones, hacer predicciones y resolver problemas.

Con estas definiciones en mente, el objetivo de usar IA para capacitar los Centros de Operaciones de Seguridad o similar, es el análisis basado en el comportamiento de grandes cantidades de correo electrónico en el menor tiempo posible de cara a la predicción y la anticipación. No hablamos de un escaneo al estilo tradicional, para eso ya existen tanto herramientas comerciales como propias que se encargan de hacerlo y nos protegen razonablemente bien. Hablamos de complementar este tipo de defensa con el análisis basado en el comportamiento para poder defendernos frente a lo desconocido.

Hablar de IA es hablar de algoritmos complejos, matemáticas, estadísticas… de una disciplina que tiene que ver mucho con prueba, ensayo y error. Los modelos deben recalibrarse continuamente para su eficiencia, por lo que es vital entrenar mucho y disponer de grandes cantidades de datos (correos electrónicos) para afinar lo mejor posible en las predicciones.

Cabe destacar que no hay modelos mejores que otros. Lo que da mejores resultados a menudo es una combinación de modelos tanto de Machine Learning como de Deep Learning según la naturaleza de nuestra propia defensa y basado en factores clave como qué es lo que quiero resolver y cuáles son los resultados que quiero obtener.

El modelo Babel

Babel ha desarrollado su propia herramienta basada en IA para la detección temprana de ataques que utilizan el correo electrónico para materializar su cometido. Tras infinidad de ensayos e implementaciones, y una recalibración constante de los modelos para su perfeccionamiento, son los modelos supervisados de Machine Learning basados en la clasificación como Random Forest y Support Vector Machine (SVM) los que han aportado mejores resultados de eficacia para constituir la herramienta. En el ámbito de Deep Learning, el modelo de Perceptrón Multicapa es el más eficiente en este contexto.

El protocolo consiste en extraer los metadatos de un correo electrónico y clasificarlos en tres grandes bloques para su análisis: cabecera, cuerpo y adjuntos.

Tras esta tarea, reproducimos una serie de modelos matemáticos comparativos para obtener como resultado un vector que meter en el modelo de IA. Finalmente, nuestra herramienta es capaz de devolver cinco resultados posibles: correo limpio (no malicioso), phising (o ingeniería social), malware (software malicioso), scan (técnicas de extorsión al usuario) y spam (simple publicidad molesta).

Las predicciones finales se basan en el análisis conjunto de los datos y metadatos que constituyen el correo electrónico y que son procesados por nuestro modelo de Inteligencia Artificial para realizar su veredicto.

Amplía tu conocimiento

Para saber más sobre el modelo de Babel basado en la detección temprana de correos electrónicos maliciosos, puedes ver la ponencia de nuestros expertos Carlos Cortés y Adrián Rodríguez sobre este tema en las XIV Jornadas de CNN-CERT, donde se enseña además una demo en vivo de la herramienta en funcionamiento.