IBM cambian las reglas de la seguridad con la IA

La estrategia de IBM en el capítulo de la ciberseguridad viene de lejos, con constantes logros en un estadio científico y teórico de altos vuelos (más de 8.000 patentes), y que ocupa a 8.000 empleados dedicados full time más 2.000 expertos adicionales externos. Ello le reporta 3.400 millones de dólares de facturación en esta área, un 66% más que el año anterior, y el otro día tuvimos ocasión en petit comité de que nos adelantaran algunos desafíos dentro del programa marco H2020 de la UE. Uno de los más prometedores, por lo novedoso de su planteamiento, es el empleo por primera vez de la inteligencia cognitiva aumentada en Watson for Cybersecurity, con la integración de la plataforma analítica QRadar Advisor. El empleo de la IA está democratizándose, lo cual quiere decir que tarde o temprano, si no ya, estará en manos de los ciberhackers, aumentando el alcance de sus fechorías y la sofisticación de sus ataques.

Ponerse en la mente del enemigo es parte de la estrategia de defensa. Por eso se ha creado recientemente cuatro centros de mando X-Force Red Labs, conformados por equipos de hackers éticos, dedicados a comprobar la robustez de los sistemas de los clientes que quieran probar y encontrar posibles vulnerabilidades, especialmente en entornos de IoT tanto industriales como en entornos domésticos. “También hemos abierto en Cambridge, cerca de Boston (Massachuttes) el primer Cyber Range de la industria donde los participantes pueden experimentar ataques cibernéticos en vivo como ejercicios de entrenamiento simulados”, señala Isabel Tristán, directora de Ventas de Seguridad en IBM España. “Vamos a hacer una réplica y la vamos a poner en un trailer para traerla a Europa que recorra diversas ciudades para enseñársela de cerca a nuestros clientes y realizar pruebas de concepto, como esconder un ransomware en una aplicación de videovigilancia”.

Otro punto fundamental es el de las alianzas (catalogada de “histórica” es la desarrollada con Cisco y VMware para proteger desde los endpoints al cloud, pasando por las redes). En febrero de 2018 se firmaron los diez principios clave de la “Carta de Confianza” que promueve la colaboración entre desarrolladores de seguridad, proveedores de servicios, empresas y organismos públicos, basados en los IoC, los indicadores de compromiso que permite compartir información sensible de ataques de manera anonimizada para establecer estrategias conjuntas.

“Al igual que las organizaciones de salud de todo el mundo pueden detener las pandemias al compartir información en plan emergencia humanitaria, también deberían hacerlo los profesionales de la seguridad. Es imposible que de manera individual se pueda luchar con éxito y de manera efectiva con un enemigo invisible. Al compartir información sobre amenazas y nuevas herramientas, las organizaciones pueden buscar y detener proactivamente los ataques, crear respuestas automatizadas a incidentes, y organizar procesos desde alertar a las partes clave interesadas hasta desactivar los dispositivos contagiados”, asegura Tristán. “Lo primero que hay que hacer en un caso de infiltración, es un gabinete de crisis con diversos perfiles (ingenieros, abogados, analistas forenses, portavoces) para tener una visión conjunta más efectiva”. 

Carrera armamentística

La escalada en la inteligencia de los ciberataques agudiza el ingenio y complica su detección. Lejos quedan aquellos primeros bugs polimórficos y mutantes de los años 80 basados en la ofuscación que se hicieron inmunes a los análisis estáticos de ficheros en busca de patrones. O aquellos troyanos de los 90 encriptados, que había que poner en cuarentena en los sandbox virtualizados. Claro que una vez aprendido el truco, los hackers desarrollaron técnicas que verificaban si sus gusanos transitan por un entorno virtual para no malgastar su carga y ser detectados antes de tiempo, por ejemplo con sistemas baremetal para evitar precisamente la virtualización. Según IBM Research, el 98% del malware analizado hoy día es evasivo en diversos grados, aunque aprendiendo cada día técnicas más sofisticadas, como los ataques dirigidos basados en reconocimiento facial, de voz o de posicionamiento GPS.

“Estos seccionan sus rutinas de infección adelantando rastreadores que inspecciona cuidadosamente el entorno en el que se ejecutan en busca de características predefinidas sospechosas, como los nombres de usuario y los procesos de ayuda. Solo si el punto final de destino se encuentra despejado, se busca y ejecuta el malware. Un ejemplo conocido de ocultamiento es el gusano Stuxnet, que fue programado para apuntar y atacar sólo a sistemas de control de un fabricante en particular, y únicamente con ciertas configuraciones de hardware y software”, explica Michael Osborne, investigador en el Zurich Reseach Laboratory en IBM Switzerland.

En esta escalada bélica, los ingenieros del IBM Research tienen mucho que decir, con herramientas ya en fase de producción basadas en IA. Una de ellas es DeepLocker, una especie de misil de cabeza rastreadora que en cuanto localiza un blanco lo persigue implacable, en especial desde que el malware se ha vuelto evasivo y es capaz de evitar de forma activa ser analizado e identificado enmascarándose o camuflándose en los sistemas huéspedes.

¿Cómo funciona? Lo mejor de DeepLocker es que funciona como un malware. No en balde, usa los principios evolucionados del malware evasivo, que aguarda agazapado su oportunidad hasta que reconoce sus activadores predefinidos, que suelen ser desencadenantes de engaño. “Está diseñado para ser sigiloso, vuela bajo el radar y permanece oculto en una aplicación hasta que, gracias a su entrenamiento con IA, se activa solo cuando identifica al sospechoso, ejecutando un disparo certero en contraste con el enfoque de ráfaga tradicional”, añade Osborne.

Además, “armado el misil” es prácticamente imposible de detener ya que los ciberdelincuentes sólo podrían desbloquear su carga una vez les hubiese alcanzado. “Esto es posible mediante el uso de un modelo de IA de red neuronal profunda (DNN) que evita que los ciberdelincuentes puedan desbloquearlo mediante el uso de ingeniería inversa”, cuenta Osborne. La buena noticia es que todavía no se ha identificado ningún malware de este tipo entre la ciberdelincuencia, aunque la comunidad necesita irse preparando ya para este nuevo nivel de ataques con IA.  

Y llega la computación cuántica

En cualquier caso, estas tácticas defensivas y ofensivas se pueden encuadrar dentro de lo razonable y previsible en un roadmap, eso sí, cada vez más potentes y mortíferas. Pero si hoy apareciera un ordenador cuántico con suficientes cúbits, prácticamente todas las comunicaciones en Internet se volverían transparentes, pues sería imposible sustraerse a la desencriptación RSA (asimétrica de clave pública); con la ECC (simétrica) se reduciría su efectividad a la mitad, aunque se puede doblar el tamaño de clave para seguir manteniéndolos seguros incluso si se emplean ordenadores cuánticos.

“Por eso los científicos del IBM Research están desarrollando soluciones de cifrado resistentes ante las posibles amenazas de seguridad que pueda plantear la computación cuántica. Todo algoritmo de encriptación tiene un punto de rotura, y a pesar de que actualmente se necesiten enormes capacidades de cómputo (limitadas por un crecimiento lineal basado en duplicar la potencia de los procesadores), en el momento que sea accesible la computación cuántica, esta escalará su potencia de cálculo de manera exponencial cada vez que se añada un cúbit”, explica Dave Braines, CTO Emerging Technology en IBM UK.

Por eso hay que empezar ya hoy a preparar los sistemas para resistir el embate no ya del machine learning o el deep learning, sino de los ataques cuánticos. “Tenemos que hacer algo ahora, porque los datos de hoy los necesitaremos también en el futuro. Pero algunos datos críticos no los podremos actualizar si no tomamos ya las medidas oportunas. Actualmente hay muchos datos que legalmente deben de ser conservados: comunicaciones, compras y adquisiciones, sustancias tóxicas, secretos gubernamentales…”, dice Braines. “Lo ideal sería aprender a introducir los algoritmos que corran hoy en ordenadores no cuánticos pero que valgan para cuando haya ordenadores cuánticos. Entre las opciones más idóneas, se encuentran la encriptación homomórfica y la encriptación basada en celosías”.

El viaje cuántico ya se ha iniciado. En los últimos tres años cientos de millones de dólares se han invertido en I+D para la computación cuántica (200 millones anuales en EEUU según alguna fuente). Solo China ha liberado 10.000 millones de dólares en 2018 para la construcción del Laboratorio Nacional de Información Cuántica en Hefei que debe estar listo en 2020. La fase fundacional teórica y científica está muy avanzada. La hoja de ruta determina que para 2023 debería de estar concluida la fase de aprobación de estándares, para poder migrar los datos sensibles a una encriptación segura cuántica, mientras se debería cerrar la ventana a nuevos esquemas de encriptación que no resistan un ataque cuántico (incluidos blockchain y bitcoins -se estima que sus claves ECDSA de 256 bits podrán ser rotas cuando existan sistemas cuánticos de unos 1.500 cúbits, si bien los sistemas experimentales actuales conocidos apenas si llegan a 50 cúbits-).

“Durante milenios, hemos utilizado la criptografía para mantener la información en secreto o en privado mientras se transfería o almacenaba. Sin embargo, nunca hemos podido mantener la información en secreto mientras se procesa o utiliza. IBM inventó hace una década una tecnología llamada encriptación homomórfica llamada a revolucionar la seguridad y el intercambio de información con entornos externos, a veces poco fiables”, explica Braines. “Sin embargo, hasta ahora su empleo no había cuajado porque se consideraba demasiado lento para el uso diario debido a la enorme potencia de computación que requería. Actualmente, los investigadores del Research Lab de IBM en Zúrich ya estamos superando esta barrera gracias a avances en el diseño de los algorítmicos y del hardware HPC (computación de alto rendimiento)”.

Esto quiere decir que se puede usar información para su procesamiento y uso mientras sigue encriptada, lo que permite que siga oculta a ojos a los que no está habilitada ni destinada. Esto lo hace ideal para entornos donde la información crítica o privada debe ser celosamente tratada por personal autorizado, pero cuyo valor aumenta si es compartida por terceros: segundas opiniones médicas, composición de un fármaco, prospecciones mineras, información bancaria relevante, pólizas de vida, autos bajo secreto de sumario, ciberataques… En realidad, cualquier entidad que precise de inteligencia artificial, aprendizaje automático y analítica, podrán cifrar sus datos y externalizar su análisis sin exponer ni los datos ni los resultados del análisis.

“El encriptado homomórfico evita que los datos nunca estén desencriptados a la vez que permite su manipulación por las partes autorizadas. Es algo así como un carrete fotográfico: en sí no se pueden ver las fotos, salvo las que se revelan en papel en el cuarto oscuro; de manera similar, con este tipo de cifrado los datos se pueden manipular pero siguen ocultos dentro de un texto cifrado”, explica Braines. En un entorno más sofisticado, se pueden restringir selectivamente el descifrado, de modo que las personas sólo puedan ver las partes estrictamente necesarias de un archivo para poder realizar su trabajo en concreto o durante un tiempo determinado. El cifrado homomórfico permitiría la colaboración en la nube y los benchmarks, facilitando la colaboración multisectorial, incluso entre competidores que buscan realizar analítica avanzada en datos cifrados de interés común.

“Otros ejemplos: compañías del ámbito sanitario podrían agrupar y analizar datos encriptados de investigación médica para acelerar el descubrimiento de medicamentos, sin revelar información confidencial ni de la compañía ni del paciente; centros comerciales o cadenas de tiendas, se podría enviar ofertas concretas a teléfonos determinados mientras que la localización GPS y el número se mantienen encriptados para una de las partes; oficinas bancarias, tienen un cliente de toda la vida con un score negativo y alto riesgo y va a pedir un crédito, y el comercial no quiere quedar mal con una negativa pero tampoco que se vaya a otro banco”, añade el investigador de IBM.

Respecto a la encriptación basada en celosías, es otro as que se guardan en la manga los criptógrafos de IBM. Esta funciona como huevos de pascua, en donde el programador oculta datos dentro de problemas matemáticos complejos sobre estructuras algebraicas llamadas celosías. Se cree que esta complejidad adicional para proteger la información será suficientemente efectiva incluso cuando las computadoras cuánticas sean lo suficientemente fuertes como para descifrar las técnicas de cifrado vigentes. Bastará con añadir un problema más a cada celosía.