DeepLocker: cuando el malware convierte a la inteligencia artificial en un arma.

IA

La Inteligencia Artificial se puede utilizar para detectar y combatir automáticamente malware, pero esto no significa que los ciber criminales también puedan usarlo en su beneficio.

La ciberseguridad, en un mundo lleno de sistemas en red, recopilación de datos, dispositivos de Internet de las cosas (IO) y movilidad, se ha convertido en una carrera entre los sombreros blancos y los sombreros negros.

Las soluciones tradicionales de seguridad cibernética, como el software antivirus atornillado, ya no son suficientes. Los ciberataques están explotando todas las vías posibles para robar datos, infiltrarse en redes, interrumpir sistemas críticos, filtrar cuentas bancarias y exigir rescate a las empresas.

El aumento de los ataques patrocinados por el estado tampoco ayuda.

Los investigadores de seguridad y los equipos de respuesta a menudo están en apuros para mantenerse al día con constantes intentos de ataque, así como con la administración de vulnerabilidades y parches en un momento en que la informática es cada vez más sofisticada.

La inteligencia artificial (AI) ha sido promocionada como una solución potencial que podría aprender a detectar comportamientos sospechosos, detener los ataques cibernéticos y quitarle parte de la carga de trabajo a los equipos humanos.

Sin embargo, los actores de la amenaza también pueden usar la misma tecnología para aumentar sus propios métodos de ataque.

Según IBM, la "era AI" podría resultar en inteligencia artificial armada. Para estudiar cómo la IA podría convertirse algún día en una nueva herramienta en el arsenal de los actores amenazantes, IBM Research ha desarrollado una herramienta de ataque con inteligencia artificial.

Apodado DeepLocker, el malware con inteligencia artificial es "altamente selectivo y evasivo", según el equipo de investigación.

El malware, transmitido por sistemas como el software de videoconferencia, permanece inactivo hasta que llega a una víctima específica, identificada a través de factores que incluyen reconocimiento facial, geolocalización, reconocimiento de voz y potencialmente el análisis de datos recopilados de fuentes como los rastreadores en línea y medios de comunicación social.

Una vez que se ha adquirido el objetivo, DeepLocker inicia su ataque.

"Se puede pensar que esta capacidad es similar a un ataque de francotiradores, en contraste con el enfoque de "spray and pray" del malware tradicional", dice IBM. "Está diseñado para ser sigiloso y volar bajo el radar, evitando la detección hasta el último momento cuando un objetivo específico ha sido reconocido".

El modelo de red neuronal profunda (DNN) de DeepLocker estipula las "condiciones de activación" para ejecutar una carga útil. Si no se cumplen estas condiciones, y el objetivo no se encuentra, entonces el malware permanece bloqueado, lo que IBM dice que hace que el código malicioso sea "casi imposible de aplicar ingeniería inversa".

Encontrar un objetivo, activar una tecla y ejecutar una carga útil puede traer a la mente un modelo de programación "si esto, luego eso". Sin embargo, el modelo DNN AI es mucho más intrincado y difícil de descifrar.

Para demostrar el potencial de DeepLocker, los investigadores de seguridad crearon una prueba de concepto (PoC) en la que el ransomware WannaCry estaba oculto en una aplicación de videoconferencia. El malware no fue detectado por los motores antivirus o sandboxing.

El modelo de IA fue entrenado para reconocer la cara de un individuo seleccionado para la prueba, y una vez detectado, la condición de activación se cumpliría y se ejecutaría el ransomware.

"Lo que hace que este malware con IA sea particularmente peligroso es que, similar al funcionamiento del malware del estado-nación, podría infectar a millones de sistemas sin ser detectado, solo liberando su carga maliciosa a objetivos específicos que el operador del malware define", el equipo de investigación adicional.

Afortunadamente, este tipo de amenaza cibernética no se ha utilizado activamente, todavía. Sin embargo, DeepLocker se creó con el fin de comprender cómo la inteligencia artificial se podía atornillar a las técnicas actuales de malware y para investigar qué amenazas podrían enfrentar la empresa y los consumidores en el futuro.

Síguenos en FacebookTwitterunete a nuestra charla en Riotúnete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

 

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila