Es un día normal en su empresa. Hasta las 2 p.m., cuando un funcionario abre un archivo adjunto a un correo, e inicia un ataque Ransomware que se prepara para cifrar archivos en ese y otros ordenadores o servidores en la red interna.

Si el programa atacante logra su cometido, usted encontrará que el nombre de los archivos ha cambiado, que no puede abrirlos, y que están acompañados por un manual de instrucciones para recuperarlos.

El manual explica: los archivos no fueron robados o copiados a la nube, pero su contenido original ha sido alterado, y la única forma de recuperarlo es con una clave; una larga secuencia de números y letras.

Esto no siempre es cierto; a veces el cifrado hecho por el programa atacante es débil, y software especial puede ayudarlo a recuperar sus archivos.

Las instrucciones continúan: debe hacer una transferencia en Bitcoin u otra moneda digital para recibir a cambio la clave que descifra los archivos, a través de un correo. No hay garantía de que la clave será enviada después de hacer la transferencia. Muchos pierden su dinero sin recuperar la información.

Un defensor que no duerme

Afortunadamente su empresa usa una solución de defensa que detecta la siguiente actividad.

2:20:22, un ordenador hace una petición HTTP a un destino inusual; el correo personal de un funcionario.

2:20:55, el ordenador hace una petición a un dominio externo, que por el momento no está marcado como peligroso en bases de datos de virus mundiales, e inicia la descarga de un archivo ejecutable; el Ransomware.

2:26:01, la descarga termina. El Ransomware ha violado varias barreras de defensa perimetral.

2:26:10, el Ransomware cifra archivos en directorios o discos compartidos en la red. La acción es marcada como actividad inusual con seguridad del 36%.

2:26:23 un nuevo cifrado es marcado como actividad inusual con seguridad del 53%.

2:26:34, un nuevo cifrado es marcado como actividad inusual con seguridad del 71%.

Entonces, 33 segundos después de que empezó la actividad maliciosa, la solución de defensa Enterprise Immune System de Darktrace determina que una amenaza requiere una respuesta inmediata, y detiene todas las escrituras de archivos cifrados en carpetas o discos compartidos en la red.

No por tratarse de una acción que debería ser bloqueada siempre; quizá el funcionario usa cifrado de archivos para proteger documentos importantes de vez en cuando. Pero el patrón de comportamiento era inusual: el funcionario no cifra archivos, uno tras otro, en cuestión de segundos.

Su empresa acaba de ahorrarse pérdidas de información irreparables, o pagar un rescate a criminales, gracias a un sistema de defensa que utiliza Inteligencia Artificial, IA.

Patrones ocultos en millones de datos

La mejor razón para sumar soluciones de Inteligencia Artificial al sistema de defensa de su empresa, es que cada vez habrá más ataques que usarán IA para ser más efectivos.

Piense en lo que ha sucedido en otros campos, como salud o finanzas, donde la IA se usó primero para reducir el tiempo que tomaba adelantar algunos procesos, pero luego demostró ser capaz de encontrar información relevante en bancos de datos tan grandes que serían sencillamente imposibles de analizar para una persona, en cualquier lapso razonable.

Hoy, las soluciones de seguridad digital que usan Inteligencia Artificial dejan a los funcionarios trabajar sin restricciones rígidas, pero detectan patrones peligrosos y reaccionan ante ellos mucho más rápido que un defensor humano.

En poco tiempo un operador humano será incapaz de detectar los patrones creados por ataques apoyados en IA, si no se apoya en la misma tecnología.

Mark James, especialista en seguridad de la información de la firma íider en seguridad ESET, explica: “tenemos ya muchas familias de Malware que usan IA para medir a su víctima antes de intentar infectar. Incluyendo revisar si es una máquina en un entorno virtualizado o si se trata del ordenador de un analista de seguridad. En cualquier caso el Malware está volviéndose más inteligente conforme la tecnología y las rutinas de detección mejoran. El Malware tiene que adaptarse si quiere sobrevivir. Y conforme esto sudece, las técnicas anti-Malware necesitan cambiar para detectar y detener las nuevas formas de ataque que vemos a diario”.

Obligación por evolución

Actualmente su empresa se enfrenta a la toma de decisiones importantes en el ámbito tecnológico; usar soluciones desarrolladas in-house o por terceros, tener el hardware propio o servidores en la nube, si es o no útil abrazar la tecnología del Internet de las Cosas o IoT.

En algunos casos, las decisiones pueden protegerlo; si su empresa recientemente empezó a usar un servicio de correo como el de Google o Microsoft, estas empresas ya usan Inteligencia Artificial para defenderlo del Spam y otros ataques.

En otros, como si decide utilizar cada vez más dispositivos conectados al IoT, su lista de vulnerabilidades puede aumentar.

Y en cualquiera de los escenarios, por sencilla evolución del ecosistema tecnológico, adoptar soluciones de seguridad digital apoyada en IA debería entrar dentro de sus consideraciones principales.