La inteligencia artificial se está incorporando como fuente de mejora de los procesos empresariales con la promesa de facilitar su optimización, la innovación y el aumento de productividad y de calidad de servicio.

Esta mejora no está exenta de riegos o dificultades. Los casos de uso sin controles adecuados de seguridad, privacidad o éticos ya han generado resultados sorprendentes:  IAs que generan su propio idioma o IAs que mienten para desbloquear un captcha que le impedía conseguir su objetivo. Algunas tecnologías de IA en principio inocuas (como la edición avanzada de imágenes) que podrían usarse con fines recreativos se están utilizando para fines menos aceptables.

La evidencia de existencia de casos de uso inadecuado, que se contraponen con otros donde la IA soluciona problemas inicialmente inviables, apunta a la necesidad de disponer de regulaciones que permitan el uso de la tecnología adecuado a las necesidades de las personas y de la sociedad, como receptores últimos de los beneficios o perjuicios causados por el uso de la IA. Es necesario promover el USO HUMANO de la IA.

Es el caso de los CERT o Computer Emergency Response Team. Su función de monitorización y vigilancia de ciberseguridad de las organizaciones ofrece un campo de actuación muy adecuado para que las IAs demuestren sus capacidades. Tanto para las actividades de detección, como en el análisis de los eventos detectados o en la respuesta a incidentes. Los CERT más avanzados ya utilizan IAs para el análisis avanzado y la detección de situaciones que pueden pasar desapercibidas a los humanos. Cabe pues prever un incremento en el uso de la IA en alcances más amplios que en la actualidad.

Además, la IA incrementa considerablemente la velocidad de detección y esta capacidad es necesaria para los CERT sectoriales especializados, que utilizarán la IA para detectar, analizar y responder a las amenazas y tipologías de atacantes concretos de cada sector, proporcionando servicios totalmente a su medida.

Por su parte, los atacantes también van a hacer uso de la IA, como usan cualquier tecnología a su alcance para conseguir sus fines. Y cuentan con dos ventajas:

  • Un atacante puede hacer usos ilegales de la IA. Ciertamente, eso es un delito. Pero el atacante ya está cometiendo ciberdelitos, así que lo valora sólo como un delito más del que eventualmente ser acusado. Le sale barato añadir este nuevo elemento si así aumenta el éxito de sus ataques y/o dificulta su identificación.
  • Puede hacer ataques experimentales con IAs. Sabe que no suele tener éxito en sus acciones así que no le preocupa realizar un ataque fallido más. Pero si el ataque con IA triunfa y logra sorprender al CERT con un nuevo modus operandi, le habrá merecido la pena.

Por ello, existirán usos no legales de IAs, aunque solo sea porque los atacantes tienen todo el incentivo para usar IA en sus actividades, sea o no legal.

Por ello, los CERT deben usar IAs de defensa frente a las IAs de ataque. Al menos en la detección e identificación de eventos. Sólo una IA puede trabajar a la misma velocidad que trabaja otra IA de ataque, tanto en capacidad de generación de tráfico como el uso de vectores (¿nuevos?) de ataque. Máquinas contra Máquinas.

Los operadores humanos derrotan a las IAs en la respuesta, tanto detectando falsos positivos como dando una respuesta proporcionada a los ataques. Sólo la inteligencia humana puede calibrar correctamente el impacto del ataque sobre personas, servicios, organizaciones o negocios, y tiene la flexibilidad para activar las respuestas precisas al caso. También puede detener escenarios de escalada del incidente generados por IAs que activan mecanismos de respuesta excesivas y sin posibilidad de marcha atrás.

En definitiva, los CERT del futuro deben ser humanos, controlados por humanos y ayudando a humanos, apoyados en IAs supervisadas.

Mariano J. Benito, Cibersecurity & Privacy Ambassador, GMV Secure eSolutions y miembro Grupo Seguridad AUTELSI.