En el mundo actual, la ciberseguridad reactiva resulta insuficiente para afrontar la protección de nuestros activos digitales.
Frente a ella, la analítica predictiva, junto con los modelos avanzados de aprendizaje automático, están transformando la forma de afrontar aquellos ciberriesgos que en muchas ocasiones nos resultan desconocidos.
Estamos hablando de un enfoque novedoso y proactivo que permitirá identificar patrones de amenazas antes de que se materialicen y que supondrán un nuevo hito en la protección de los sistemas.
Anticipación frente a reacción: un cambio de paradigma
En muchos sistemas aún persisten mecanismos de ciberseguridad que operan sobre reglas predefinidas y reactivas — patrones de malware o las listas negras de IP son algunos ejemplos de uso cotidiano.
Pese a que estos modelos han resultado efectivos frente a amenazas conocidas, se trata de soluciones que no son capaces de enfrentarse a ciberataques zero-day o a estrategias cambiantes en el comportamiento de los ciberdelincuentes.
Frente a ellos, las herramientas basadas en LLM están sumando interés al uso de los modelos predictivos en ciberseguridad. Los ejemplos de su uso son ya numerosos:
Seguimiento de nuevas amenazas
Los LLM pueden procesar grandes cantidades de texto, incluyendo informes de inteligencia, publicaciones en foros del Dark Web o bases de datos de vulnerabilidades, e identificar patrones y términos asociados con nuevas amenazas.
Por ejemplo, una solución LLM podría ya detectar referencias repetidas a un nuevo malware en foros clandestinos y generar alertas automáticas para los equipos de seguridad.
Simulación de ataques
Las herramientas basadas en LLM pueden también simular el comportamiento de un atacante, generando correos electrónicos de phishing altamente realistas o anticipando los pasos de un ataque basado en datos históricos.
Esta aproximación puede ayudar a preparar defensas más efectivas frente a vectores de ataque específicos.
Respuesta automatizada
Combinados con modelos predictivos, los LLM pueden además contribuir a la redacción de respuestas en tiempo real frente a nuevos incidentes de seguridad, como, por ejemplo, bloqueando direcciones IP sospechosas o generando notificaciones para el personal técnico.
Análisis contextual del comportamiento del usuario
Asimismo las soluciones LLM pueden complementar los modelos predictivos analizando eventos complejos en tiempo real que incluyen patrones ocultos simplemente basados en la contextualización del comportamiento de los usuarios.
En definitiva, la integración de estos nuevos esquemas de soluciones basadas en LLM dentro de las propuestas de ciberseguridad predictiva están ampliando la capacidad del sector de anticipar amenazas al tiempo que refuerzan la automatización y respuesta frente a futuros incidentes.
Aplicación de los modelos predictivos
Para poner en contexto el uso de los modelos predictivos en ciberseguridad podemos señalar algunos de los casos en los que estos ya empiezan a ser utilizados.
Identificación de ataques de fuerza bruta y escalado de privilegios
Modelos supervisados entrenados con datos históricos de ciberataques permiten actualmente identificar patrones asociados a intentos de ataques fuerza bruta.
Un simple aumento en los intentos fallidos de autenticación puede dar lugar a una alarma que en ocasiones puede pasar desapercibida si no es bien interpretada.
Este modelo de análisis predictivo emplea registros históricos para, por ejemplo, proyectar e identificar comportamientos anómalos en los usuarios (UBA).
Prevención de ciertos ataques de día cero
Los modelos no supervisados son útiles para identificar patrones en sistemas en los que no se tiene conocimiento previo de determinadas amenazas.
Por ejemplo, la correlación en los comportamientos comunes de varios equipos accediendo a archivos comprimidos y ejecutables desde un servidor interno en horarios inusuales pueden ser indicadores de una actividad sospechosa y por tanto de una posible amenaza.
Análisis de patrones en el tráfico de red para mitigar ataques DDoS o suplantaciones de la identidad
Las redes neuronales son esenciales para analizar en tiempo real grandes volúmenes de tráfico de red.
Por ejemplo, la combinación de picos de paquetes SYN y direcciones IP provenientes de múltiples regiones geográficas a menudo son indicadores de un posible ataque de DDoS.
Por otra parte, la creación de dominios de Internet que tengan similitudes con ciertos dominios comerciales y que sean accesibles desde geografías poco habituales pueden también servir para anticipar un futuro ataque de suplantación de la identidad.
El futuro de la predicción en ciberseguridad
El futuro de la ciberseguridad predictiva —perdón por el juego de palabras— parece pues prometedor.
La combinación de IA generativa, herramientas de simulación de ataques o modelos estadísticos muy posiblemente permitirá no solo anticipar futuras amenazas, sino también diseñar defensas dinámicas adaptadas a las necesidades específicas de cada organización.
El problema de la protección de los sistemas, sin embargo, es muy posible que no quede del todo resuelto.
Probablemente, persistirán preguntas como, por ejemplo, si seremos capaces de entender las predicciones realizadas por estos sistemas, o si podremos confiar en ellas o, incluso, si dispondremos de equipos humanos especializados que analicen las predicciones con mentalidad crítica.
Se trata de cuestiones que solo anticipan una parte de nuestras futuras dudas, aunque seguro que surgirán más. ¿Alguien se atreve a hacer una predicción?
