Estrategias avanzadas para la identificación proactiva de tácticas empleadas en ciberataques mediante el uso de Machine Learning

Abstract

[ES] En el contexto actual de incremento de la cibercriminalidad se hace patente la necesidad de disponer, por parte de las Fuerzas y Cuerpos de Seguridad del Estado, de herramientas que permitan identificar tácticas y patrones en ataques a sistemas de información u operación. Estas soluciones podrían reducir significativamente los tiempos de análisis y proporcionarían información valiosa para la difícil tarea de atribuir acciones delictivas a organizaciones o individuos. Así pues, este estudio tiene como objetivo diseñar un modelo robusto de predicción de tácticas o acciones empleadas por ciberatacantes, partiendo de la hipótesis de que la Inteligencia Artificial, específicamente el Machine Learning, ofrece herramientas capaces de detectar, trazar y predecir patrones de ciberataques, siempre y cuando estos sistemas estén alimentados con datos diversificados y confiables. En este sentido, la obtención, codificación, ampliación y equilibrio de un conjunto de datos se convierte en un foco principal de esta investigación. En primer lugar, se ha llevado a cabo un profundo examen del estado actual de la ciberseguridad y la cibercriminalidad de cara a sentar las bases y conceptos necesarios que permitan entender el resto de la investigación. Para ello, se ha expuesto la metodología y pasos que se encuentran detrás de un ciberataque y la importancia que cobran hoy en día las Tácticas, Técnicas y Procedimientos (TTPs) frente a los Indicadores de Compromiso (IOCs), focalizando la investigación en aquellos. A continuación, se han analizado los principales frameworks de ciberinteligencia, enfocando su análisis en la posible ulterior aplicación de Inteligencia Artificial, de modo que un caso práctico acontecido en España ha servido para ilustrar la funcionalidad de estos frameworks y constatar que Mitre Att&ck es el más potente y recomendado de ellos para su uso en la investigación. Ante los desafíos inherentes de la escasez y el desequilibrio de datos se ha optado por diversas estrategias que han codificado, tratado e incrementado artificialmente los datos, logrando así mejorar la calidad y equilibrio del conjunto final. Finalmente, tras la implementación de técnicas basadas en cadenas de clasificadores y el algoritmo AdaBoost, se propone un modelo que alcanza un rendimiento aproximado del 80%, en la predicción de una, dos o tres tácticas desconocidas en un ciberataque. Esta investigación no solo valida los objetivos e hipótesis planteadas, sino que también proporciona una contribución significativa al ámbito de la ciberseguridad, dotando a los profesionales de herramientas avanzadas para luchar contra los riesgos presentes en el ciberespacio.