Follow us on:
Perspectives

IA: problema y solución de la ciberseguridad

Monday, 07 August 2017 Maria Jose de la Calle Posted in iTTi Views

Sobre la IA

La llamada inteligencia artificial (IA) en general, y la computación cognitiva (CC) en particular, están llamadas a producir otra revolución en cuanto a herramientas que sirvan para impulsar campos tan diversos como la ciencia, la medicina, la gestión de las ciudades, la fabricación[i]; o proporcionar autonomía a las máquinas. En resumen, la vida de todos. 

Pensemos, por ejemplo, en RobERt[ii] (Robotic Exoplanet Recognition), para el análisis de posibles planetas que puedan tener vida; en la predicción de enfermedades[iii], como un ataque al corazón o un derrame cerebral; las llamadas "ciudades inteligentes"[iv]; o los medios de transporte autónomos, como los coches o los trenes. 

Aunque la IA y la CC pudieran parecer sinónimos, en realidad son dos conceptos, que, aunque relacionados  son un poco diferentes. Así, la Harvard Business Review (HBR) en el artículo "La IA añade una nueva capa al ciber riesgo"[v] del pasado mes de abril, proporcionaba las siguientes definiciones: 

"Mientras las dos tecnologías se refieren al mismo proceso, [...] la CC utiliza un conjunto de tecnologías diseñadas para aumentar las capacidades cognitivas de la mente humana. Un sistema cognitivo puede percibir e inferir, razonar y aprender. Definimos la IA aquí en un sentido amplio aquello que se refiere a ordenadores que pueden realizar tareas para las que se requeriría inteligencia humana".

Es decir, la CC sería una disciplina contenida en la IA. 

A los sistemas IA en general, se los puede entrenar para analizar y entender el lenguaje natural, imitar el razonamiento humano o tomar decisiones. 

Los sistemas CC se construyen con el fin de proporcionar información para tomar decisiones, y aprender por sí mismo tanto de datos recogidos o que se le provean y de su interacción con las personas. 

Para conseguir que un sistema o máquina aprenda una tarea o asimile una serie de conocimientos, hay que proporcionarle, primero una serie de algoritmos -constituidos por modelos matemáticos estadísticos- que sirvan para, y este es el segundo paso, tratar los datos o información con los que se alimenta al sistema y con los que iniciar el proceso de aprendizaje, y en tercer lugar, sesiones de entrenamiento entre expertos, que realizan preguntas y evalúan las respuestas de la máquina, cambiando los resultados según la evaluación recibida. 

Los algoritmos se van adaptando dependiendo de los datos que se le suministren y de la interacción con los humanos o con el entorno. 

La CC en particular -y por tanto la IA que la engloba- como cualquier tecnología [de la Información], por una parte, introduce nuevos elementos de inseguridad, y, por otra, puede ser utilizada para hacer más seguros los sistemas. Si una tecnología es muy potente, tanto lo es para producir beneficios como para producir daños, con lo que su control debe ser comparable.  

Nuevos riesgos que comporta la CC 

La HBR en el artículo citado[vi] anteriormente, aborda este tema centrándose en lo que es intrínseco a la CC, que es que sus algoritmos se van ajustando a medida que procesa nuevos datos e interacciona con el entorno y los humanos tanto en la etapa de establecimiento y construcción del sistema propiamente dicho como posteriormente, cuando ya esté en explotación. 

Un sistema cognitivo en principio -dando por supuesto la bondad de los algoritmos que lo soportan- es tan bueno para conseguir el propósito para el cual se ha definido y construido, como lo sean los datos de los cuales se haya alimentado y los expertos que lo hayan entrenado y le hayan proporcionado un contexto, y, posteriormente, en la bondad del entorno en el cual funcione.

Sin embargo, no hay garantía al cien por cien de los resultados, ni de que el sistema vaya a seguir con el comportamiento deseado para el que se construyó. No es un sistema que siga en su funcionamiento unos pasos definidos y conocidos hasta su resultado final, así una y otra vez, de manera determinista. Los resultados que proporciona son estadísticos, y su comportamiento no puede ser explicado, y por tanto regulado, completamente. 

El aprendizaje continuo a medida que el sistema interacciona, que en principio parecería adecuado ya que para eso se construyó, tiene sus riesgos. Por ello, hay que seguir controlando muy de cerca en base a qué sigue aprendiendo y cuáles son sus resultados. 

En el primer estadio, el de su establecimiento y aprendizaje iniciales, las personas que lo han entrenado, de manera inconsciente o intencional, pueden aportar datos confusos o erróneos, no aportar información crítica para conseguir el comportamiento deseado, o entrenar al sistema de manera inapropiada. 

El sistema ya en explotación, está cambiando continuamente en su hacer cotidiano -por definición- y, si alguien quisiera manipularlo, no tendría más que interaccionar con él de manera que pueda cambiar sus objetivos o añadir otros. 

Un ejemplo de esto fue el bot de Twitter, "Tay", diseñado para aprender a comunicarse en lenguaje natural con gente joven, y que rápidamente hubo que retirarlo. Personas mal intencionadas (trolls) utilizando las vulnerabilidades de sus algoritmos de aprendizaje, suministraron contenido racista y sexista, con un resultado de que "Tay" comenzó a responder con comentarios inapropiados a millones de seguidores.  

Al igual que la CC se emplea para un uso adecuado, se puede emplear para todo lo contrario[vii]. 

Los "chatbots" son sistemas que interactúan con las personas en lenguaje natural y se pueden utilizar en centros automatizados de atención al cliente. La exactitud en sus respuestas tiene mucha importancia, especialmente en sectores como la salud y el financiero, los que, además, tienen un gran volumen de datos confidenciales, que son recabados y tratados para dicho objetivo.

Dichos "chatbots" también pueden ser utilizados por [ciber]delincuentes para ampliar sus transacciones fraudulentas, engañar a personas haciéndose pasar por otras personas o instituciones de confianza, robar datos personales, e introducirse en los sistemas. 

Hay que conseguir ser capaz de detectar cambios en la actividad normal de redes y ordenadores, y  detectar nuevas amenazas. 

CC como herramienta de ciber-seguridad 

Para enfrentarse a una amenaza no hay más remedio que utilizar herramientas al menos tan potentes como la amenaza a afrontar.  

Parece que algo se está haciendo en ese sentido si atendemos a los resultados de un estudio que presenta la HBR[viii], en el que se concluye que la IA en lo que más se está utilizando es en actividades entre ordenadores y análisis de información producida o intercambiada entre máquinas, siendo el departamento de informática el que más  la usa,  concretamente el 44% de dicho uso empleado en la detección de intrusiones no autorizadas a los sistemas, es decir, en ciber-seguridad. 

Las técnicas de aprendizaje de las máquinas pueden aportar un conocimiento mejor del funcionamiento normal de los sistemas, y de actuaciones y patrones de código malicioso no autorizados.  

Así, haciendo uso de dichas técnicas, tareas rutinarias como el análisis de grandes volúmenes de datos sobre la actividad de los sistemas o los incidentes de seguridad, aportan una gran precisión en la identificación de comportamientos anormales así como la detección de accesos no autorizados o la identificación de código malicioso. 

Además, los [ciber]delincuentes transforman constantemente sus ataques para conseguir sus objetivos. Mucha parte del malware que circula por la red está relacionado con otro ya conocido. Los sistemas cognitivos, analizando miles de objetos de código malicioso pueden encontrar patrones de comportamiento que ayuden a identificar futuros virus mutados, e incluso entender cómo los piratas informáticos explotan nuevos enfoques. 

Así se consigue un conocimiento ajustado a la organización, ya que el sistema cognitivo está aprendiendo con la información suministrada por todos los elementos que componen sus sistemas informáticos -en sentido amplio de la informática corporativa (TI) y la informática operacional (TO)-, que proporcionan no sólo datos, sino un contexto -sector, tecnologías empleadas, arquitectura de los sistemas, etc.-. 

Lo que para una empresa una cantidad de tráfico por un segmento de red, o una cantidad de peticiones a un servidor puede suponer una amenaza, para otra pueden ser datos normales. Depende del negocio y de cómo se utilice la tecnología. 

Con este conocimiento, las alarmas se reducirán considerablemente permitiendo un análisis y actuación humana más centrados en aquellos incidentes que lo requieran, se podrán detener las amenazas antes de que penetren y se propaguen en los sistemas, y, en algunos casos, se podrán actualizar o poner un parche de manera automática donde se requiera. 

Pero los sistemas cognitivos no se tienen que reducir a analizar los datos producidos por las máquinas, almacenados en los logs, es decir, datos estructurados. La CC tiene otras herramientas de las que pueden hacer uso los sistemas para interpretar los datos no estructurados. Al utilizar el reconocimiento del lenguaje natural tanto hablado como escrito, pueden examinar informes, alertas comunicadas en redes sociales o comentarios sobre amenazas, conversaciones o seminarios, análogamente a cómo lo hacen los expertos -humanos- en seguridad para mantenerse permanentemente informados.  

Finalmente, insistir en el papel esencial que juegan los humanos en la CC. Por una parte, el aprendizaje de la máquina no solo supone la ingesta automática de datos -seleccionados o proporcionados los criterios de selección de los datos adecuados por humanos-, sino que debe acompañarse de un entrenamiento realizado por expertos. Por otra, los sistemas cognitivos ofrecen informes, que serán estudiados por las personas adecuadas con el fin de tomar decisiones. 

Que es lo que viene a decir Bloomberg en el artículo "La Inteligencia Artificial no puede sustituir el toque humano en ciber-seguridad"[ix] del pasado mes de abril, en el que proporciona el ejemplo de Mastercard Inc., que utiliza sistemas de IA para detectar transacciones anormales, para, a continuación, ocuparse los profesionales de ciber-seguridad de evaluar la gravedad de la amenaza.  

Conclusión: Wanna Cry

¿Qué hubiera pasado si una vez publicado el código de la herramienta de la NSA "EternalBlue" las máquinas hubieran leído su código y aprendido cómo funcionaba? 

Quizás se hubiera desactivado su carga, bien porque la máquina hubiera reconocido sus códigos como maliciosos, bien porque hubiera buscado un parche para la vulnerabilidad aprovechada para lanzar los ataques. 

Según The Hacker News[x], desde que "The Shadow Brokers" a principios de abril filtró la vulnerabilidad y el código, este se aprovechó en varios ataques durante ese mismo mes, y, ya en el mes de mayo, se utilizó para "Wanna Cry". 

A mitad de abril, Microsoft liberó los parches que arreglaban la vulnerabilidad de sus sistema de intercambio de ficheros (SMB - Server Message Block) para todas las versiones de los distintos sistemas operativos que la tenían, incluyendo los que ya no da soporte, como el Windows-XP. 

¿Se podría haber evitado Wanna Cry? 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", julio-agosto 2017, nº 324, pg.95, Ciberseguridad – "IA: problema y solución de la ciber-seguridad" – María José de la Calle. 

--------------------------------------------

[i] "These factories are crunching production time with artificial intelligence" (20160709) Business Insider url [a 20170529] http://www.businessinsider.com/sc/artificial-intelligence-change-manufacturing  

[ii] Clay Dillow (20161121) "How scientists will use artificial intelligence to find aliens" Popular Science url [a 20170529] http://www.popsci.com/how-scientists-will-use-artificial-intelligence-to-find-aliens  

[iii] "Artificial intelligence can accurately predict future heart disease and strokes, study finds" (20170424) University of Nottingham url [a 20170529] https://www.nottingham.ac.uk/news/pressreleases/2017/april/artificial-intelligence-can-accurately-predict-future-heart-disease-and-strokes-study-finds.aspx  

[iv] Kevin Ebi (20170518) "How will AI transform cities? 3 experts weigh in" SmartCitiesCouncil url [20170529] http://smartcitiescouncil.com/article/how-will-ai-transform-cities-3-experts-weigh  

[v] "While both technologies refer to the same process, [...] cognitive uses a suite of many technologies that are designed to augment the cognitive capabilities of a human mind. A cognitive system can perceive and infer, reason and learn. We’re defining AI here as a broad term that loosely refers to computers that can perform tasks that once required human intelligence."  

Greg Bell, Cliff Justice, Tony Buffomante, Ken Dunbar (20170413) "AI Adds a New Layer to Cyber Risk". Harvard Business Review. url [a 20170529] https://hbr.org/2017/04/ai-adds-a-new-layer-to-cyber-risk.  

[vi] Ver nota v. 

[vii] Como nos ilustra el artículo "Artificial intelligence-powered malware is coming, and it's going to be terrifying". Rob Price (20161008) Business Insider UK url [a 20170529]  http://uk.businessinsider.com/darktrace-dave-palmer-artificial-intelligence-powered-malware-hacks-interview-2016-10  

[viii] Satya Ramaswamy (20170417) "How Companies are already using AI". Harvard Business Review. url [a 20170529] https://hbr.org/2017/04/how-companies-are-already-using-ai  

[ix] Jimmy H. Koo (20170404) "Artificial Intelligence Can’t Replace Human Touch in Cybersecurity" Bloomberg url [a 20170529] https://www.bna.com/artificial-intelligence-cant-n57982086179/  

[x] Mohit Kumar (20170519) "More Hacking Groups Found Exploiting SMB Flaw Weeks Before WannaCry". The Hacker News url [a 20170529]  http://thehackernews.com/2017/05/eternalblue-smb-exploit.html   

 

Comments (0)

Leave a comment

You are commenting as guest.

Publícitis