Hasta la actualidad, los modelos de seguridad frente a incidentes y amenazas en red se basan en añadir diferentes capas de seguridad a la infraestructura. El símil lo encontramos con las defensas de un castillo; donde las murallas, cuanto más altas mejor, permiten la defensa de las reliquias. Sin embargo, las fortificaciones monolíticas en entornos digitales han sido una forma efectiva de defensa contra fraude y amenazas digitales; El actual entorno, complejo, hiperconectado y con crecimiento exponencial hace que las tareas de protección, detección y respuesta extremadamente difíciles: el experto en ciberseguridad debe monitorizar un elevado número de entidades que generan grandes cantidades de datos por minuto.
Si analizamos el mundo de los ciberataques, nos encontramos con un escenario de organizaciones profesionalizadas y también con crecimiento exponencial. De hecho, los ciberataques son ya una noticia recurrente en todo el mundo, según fuentes del centro de inteligencia de Estados Unidos, el número de ataques durante el año 2021 aumentó hasta un 150% respecto al año pasado siendo pequeñas y medianas empresas el objetivo principal de los ciberdelincuentes. Entre los ataques que más afectan a empresas e instituciones encontramos ataques de pesca electrónica (Phishing), donde los grupos criminales suplantan la identidad para conseguir información confidencial del usuario. Ataques de Ransomware basados en cifrar datos y secuestrar dispositivos con el fin de pedir recompensas. Por último, ataques de denegación de servicio (Denial of Service) basados en colapsar los recursos de servidores inhabilitando los servicios que éste pueda ofrecer.
En los últimos años, la Inteligencia Artificial (IA) se ha convertido en un gran aliado en la lucha del fraude y las ciberamenazas en el mundo digital dado las capacidades para optimizar y automatizar las tareas de los servicios de respuesta a incidentes. Hasta la actualidad, las técnicas de IA se han basado en la detección reactiva de amenazas, se determinan los patrones de ataque para detectar ataques futuros, como por ejemplo en los sistemas IPS donde se entrenan sistemas expertos para filtrar tráfico potencialmente peligroso. A pesar de la efectividad de los sistemas reactivos, éstos dejan fuera el principal factor de las ciberamenazas: El factor humano. En esta línea, la investigación en técnicas centradas en el usuario han tomado relevancia en los últimos años; Las técnicas de User and Entity Behavior Analytics (UEBA), donde a través de la IA se analiza el comportamiento del usuario para ofrecer capacidades tanto reactivas como predictivas hacia ataques latentes.
Estas técnicas se basan en estudiar el comportamiento pasado, presente y futuro de las interacciones de los usuarios y entidades de una red, permiten determinar el comportamiento normal y/o esperado de las entidades de una corporación y toda desviación en este comportamiento se analiza a través de algoritmos de IA para buscar y determinar patrones o comportamiento anómalos, fruto de ciberataques. La principal ventaja de este tipo de técnicas, en comparación con aquellas puramente reactivas es la flexibilidad en la identificación agnóstica de amenazas, capaz de detectar distinto tipo de ataques incluyendo cero-days y la detección temprana de amenazas: la detección en los cambios de comportamiento permite detectar las primeras etapas del vector de ataque.
En detalle, las técnicas de UEBA, permiten modelizar el comportamiento del usuario a partir del análisis en dos dimensiones: componente histórica y de grupo. En la primera componente mediante técnicas de inteligencia artificial se permite perfilar al usuario y conocer qué patrones determinan su comportamiento; utilizando por ejemplo técnicas de IA como descomposición en factores singulares, clustering o técnicas estado del arte basadas en el aprendizaje profundo (Deep Learning). Por otra parte, la segunda dimensión recae en comparar de forma sistemática las entidades de la red permiten determinar cambios de comportamiento o anomalías, en esta dimensión al igual que en el caso anterior existe un amplio abanico de técnicas, siendo las técnicas de clustering las preferidas. En esta línea, el proyecto líder en técnicas UEBA, llamado openueba desarrollado por i2cat, busca determinar el comportamiento de los usuarios con el objetivo de calcular la exposición ante amenazas específicas, ayudando al analista a centrar sus esfuerzos en aquellos usuarios con patrones de riesgo que le hacen más propensos a ser afectados por una amenaza específica.
La tendencia a futuro es que las ciberamenazas seguirán con crecimiento exponencial. Viviremos más de ataques, más diversos y afectando a instituciones y entidad hasta ahora inimaginables. Para hacer frente al escenario previsto las técnicas de UEBA, anteriormente descritas, se convertirán en un punto clave para la prevención agnóstica de amenazas ayudando a construir entornos digitales ciberseguros.
Referencias
- https://media.kaspersky.com/es/business-security/enterprise/Human%20factor_main%20threats_final_ES.pdf
- https://ciberseguridad.blog/ueba-user-and-entity-behavior-analytics-deteccion-por-comportamiento/
- https://blog.conzultek.com/ciberseguridad/inteligencia-artificial-en-la-ciberseguridad
- https://tdacyber.cat/