El Machine Learning, o aprendizaje automático, ya no es una ficción sino una realidad y cada día se utiliza en muchas áreas de este mundo interconectado, teniendo mayor alcance y relevancia. Enfocándonos en la ciberseguridad, el Machine Learning se considera como un arma de doble filo, ya que por un lado se utiliza como una solución para defenderse de ciberamenazas ayudando a tener sistemas más seguros, pero por otro lado es como un arma (problema) que cada vez se hace más poderosa al emplearse con distintos propósitos.

Como problema
La precisión con la que se producen los ataques y la dificultad para mitigarlos, complican a aquellas entidades o individuos que no cuentan con una estrategia de ciberseguridad para hacer frente a los ciberdelincuentes, que han incrementado sus capacidades y hacen uso del aprendizaje automático como medio para lograr sus objetivos.  Cada vez se crean más herramientas para realizar pruebas de seguridad (pentesting), pero a la vez hay ciberdelincuentes que las modifican para realizar ataques sofisticados.

Actualmente existen proyectos donde se unen modelos matemáticos creados bajo el Machine Learning con herramientas de pentesting que vuelven más sofisticados las pruebas o los ataques; como muestra son los proyectos “Deep Exploit” y “GyoiThon”.

   •  Deep Exploit es un proyecto que consta del modelo A3C y de la herramienta de metasploit, el cual realiza un escaneo de puertos, y verificando una vulnerabilidad sabe qué paquete de explotación (exploit) utilizar y ejecutar.
•  GyoiThon es un proyecto basado en un modelo que usa el algoritmo de Naive Bayes y la herramienta de metasploit. Está enfocado en servidores web y CMS, y es capaz de identificar la versión de software en el servidor, etag, cookies, etiquetas html, etc., y después saber qué exploit ejecutar verificando distintas vulnerabilidades.

Haciendo una analogía con el particular principio usado por Samuel Hahnemann en 1796, “lo similar cura lo similar”, el aprendizaje automático también puede utilizarse como una manera de protección, y adaptarse es quizás la mejor defensa para detener las amenazas.
Los sistemas de detección de intrusos (IDS) y los de prevención de intrusos (IPS) son la clave en este sentido, ya que gracias al Machine Learning aumenta la fiabilidad de los sistemas de defensa, y robustece los entornos en donde son empleados.
Los sistemas de detección de intrusos pueden basarse en dos categorías: la heurística y la de reglas. La primera se basa en el comportamiento del tráfico, y la segunda en una serie de normas preestablecidas. En ambos casos, cualquier anomalía se detecta como una amenaza y activa las alarmas basadas en el aprendizaje.

En un mundo cada vez más hiperconectado, las estrategias de seguridad basadas en el Machine Learning pueden conseguir mayor fiabilidad, mejor protección y menor vulnerabilidad ante nuevos ataques. Como hemos referido anteriormente, las incursiones son cada vez más complejas, pero también las respuestas son más certeras y permiten acrecentar la capacidad de autoaprendizaje de estas máquinas en beneficio de los esquemas y estrategias de seguridad actuales.

Referencias:
https://www.seguritecnia.es/tecnologias-y-servicios/ciberseguridad/machine-learning-y-ciberseguridad-como-interactuan_20200123.html