¿Big Data = Big Business?

En la recientemente concluida Conferencia Black Hat, la nueva palabra mágica parecía ser "Inteligencia Artificial". El objetivo ya no es "solo" obtener datos utilizables de las fuentes de datos disponibles mediante un algoritmo inteligente, sino también automatizar (encontrar) el algoritmo adecuado.

El trasfondo de todo esto es, sin duda, la observación de que el aspecto informático de los macrodatos puede ampliarse, mientras que la creatividad y la experiencia humanas necesarias son mucho más difíciles.

El Gran Desafío Cibernético, cuyo organizador, DARPA, gestiona proyectos de investigación dependientes del Departamento de Defensa estadounidense, muestra adónde puede conducir el viaje.

En pocas palabras, esta competición pretende crear sistemas autónomos capaces de detectar y cerrar brechas de seguridad. Lo que al principio suena como el "próximo Santo Grial" de la defensa contra los ataques a las vulnerabilidades se vuelve mucho más explosivo cuando uno se da cuenta de que los sistemas compiten entre sí en el llamado escenario de capturar la bandera, y no sólo intentan encontrar y cerrar automáticamente vulnerabilidades en sí mismos, sino también encontrarlas y explotarlas en los demás.

Muchas tecnologías no son inequívocamente buenas o malas; los factores decisivos son el escenario de aplicación y la intención.

Pero incluso a pesar de la conexión con el Departamento de Defensa estadounidense, hay que tener cuidado con una sospecha general. Al fin y al cabo, muchas tecnologías que hoy percibimos naturalmente como "buenas" surgieron de proyectos de investigación públicos financiados por DARPA.

El ejemplo más destacado es Internet.

Aunque los resultados del Cyber Grand Challenge fueron impresionantes, aún estamos muy lejos de un sistema autónomo que corresponda a las capacidades de un ser humano "en disposición de producción". Los escenarios de doble (mal) uso de las tecnologías de big data están mucho más avanzados.

El phishing, por ejemplo: Todo el mundo conoce probablemente las facturas falsas de teléfono móvil o las notificaciones de paquetes diseñadas para atraer a los usuarios incautos a sitios de phishing.

En el entorno corporativo, son incluso peores que los denominados spear phishing, correos electrónicos que pretenden atraer a una persona o grupo a sitios web. La mayoría de las veces como precursor de un ataque dirigido.

En este contexto, no es de extrañar que muchas soluciones de "detección de amenazas basada en Big Data" se dediquen a la detección del phishing. Se utilizan los resultados de los análisis de big data, fieles al lema "lo bueno a la cazuela, lo malo al tarro".

Sin embargo, los mismos datos también pueden utilizarse para sacar conclusiones sobre qué personas/objetivos son especialmente prometedores, en qué contenidos de phishing se hace clic con especial frecuencia y, como última consecuencia, ¡no son detectados por las soluciones de seguridad!

Este es precisamente el escenario planteado por la herramienta SNAP_R, presentada en Black Hat: genera automáticamente una "lista negra" de objetivos que merecen la pena a partir de datos públicos de Twitter y una lista de objetivos y, basándose en el contenido de su cronología, tuitea automáticamente con enlaces.

Se ha demostrado que se hace clic en ellos con más frecuencia que en los tweets de phishing masivo comparables.

Aunque SNAP_R se desarrolló como una herramienta automatizada de spear phishing para probadores de penetración, su uso (malicioso) no tiene límites. Independientemente de la herramienta específica, también es evidente aquí:

A menudo, una tecnología no es ni claramente "buena" ni "mala".

Más bien, la historia nos enseña que depende del contexto y de la persona que lo utilice. En el contexto de la seguridad informática, existen tecnologías (actuales y futuras) que, por un lado, pueden ayudar a detectar mejor los ataques y a defenderse de ellos, pero que, por otro, pueden utilizarse para optimizar precisamente esos ataques frente a las medidas defensivas.

Con todo nuestro amor por la tecnología, no debemos esperar al "grial de la seguridad informática", sino utilizar las tecnologías disponibles con sensatez tras una evaluación de riesgos.