Hola,
Acabo de leer en The Register que AVG avanza hacia la implantación de modelos comportamentales en sus productos antivirus de pago. La versión de 8.5 de AVG Internet Security, comercializada desde el pasado lunes, añade al producto tecnología basada en el análisis comportamental. Esta tecnología procede principalmente de la adquisición de Sana Security, cuya tecnología seguirá estando disponible como producto independiente comercializada bajo el nombre comercial AVG Identity Protection. Algo que imagino agradecerá la base de clientes de AVG, que se cifra, según la compañía, en 80 millones de usuarios.
El tiempo dirá si la tecnología de AVG es efectiva o no, pero de lo que no cabe duda es que la compañía, sin perder de vista sus resultados comerciales, ha realizado un loable esfuerzo para tratar de mitigar los impactos de los robos de identidad en todas sus variantes, especialmente, la doméstica. De todos modos no escribo esta noticia para hablar de AVG ni de sus bondades o puntos débiles, sino para extender el debate un poco más allá.
El principal mensaje que podemos obtener de la sofisticación del e-crime, los delitos tecnológicos y el fraude en general es que debemos tender, tarde o temprano, a los modelos de análisis especializado y basado en el estudio comportamental. Los jugadores que se queden en los modelos básicos (reactivos y preventivos basados en reglas estáticas) van a desaparecer del tablero más pronto que tarde, porque los resultados de sus servicios y productos serán ampliamente sobrepasados por los competidores que apuesten por tecnología basada en inteligencia. Esto es aplicable para todos las ramas de negocio de la industria de la seguridad, sea doméstica o empresarial, sean desarrollos in-house o suministrados por compañías especializadas. A día de hoy las soluciones heurísticas y comportamentales no terminan de desplazar a las puramente reactivas por varios motivos, siendo la falta de madurez de las últimas la principal culpable. A poco que maduren estas tecnologías, deben ir desplazando en relevancia a las soluciones clásicas, eso sí, sin llegar a eliminarlas, porque lo adecuado es generar soluciones complementarias donde se aprovechen los puntos fuertes de ambos planteamientos.
Imaginaos, por simplificar, un sistema operativo capaz de, mediante aprendizaje, conocer todas nuestras pautas: qué instalamos, cómo lo instalamos, a qué horas, qué servicios usamos, qué no usamos, qué hacemos y dejamos de hacer … es decir, un sistema capaz de conocer cómo nos comportamos cuando nos sentamos delante del teclado. Si el sistema detectase que nos salimos del patrón y que instalamos algo sospechoso procedente de un sitio igualmente inusual, sería posible detectar preventivamente un intento de compromiso. Qué duda cabe que articular esto es harto difícil, porque hay que centralizar las pautas comportamentales, impedir que puedan ser reveladas (imaginaos qué pasaría si el sistema queda expuesto y con él nuestros hábitos y comportamientos) y evitar a toda costa que el malware no pueda anular o desvirtuar ese motor de análisis comportamental. Todo esto hace que los modelos complejos comportamentales tengan muchos inconvenientes técnicos y legales, por aspectos como la privacidad de los usuarios, aunque en el mercado hay aproximaciones comerciales interesantes para los que desean dotar a sus equipos de una capa adicional de seguridad. De lo que no cabe duda es que el malware es incapaz, afortunadamente, de reproducir el comportamiento específico de un usuario en una máquina y entorno específicos, con lo que con un buen motor comportamental y un adecuado adiestramiento, siempre en la teoría, se lograrían mejores tasas de éxito.
Estos modelos comportamentales se empiezan a aplicar en la actualidad en servicios y productos de tecnología punta en los ámbitos de la prevención de delitos tecnológicos, y se lleva usando mucho tiempo (con las debidas excepciones, y de una manera mucho más espartana) en otros ámbitos como la gestión y prevención de lavado de dinero, donde es frecuente disponer de herramientas comportamentales básicas que basan su éxito en detectar abandonos del patrón habitual de comportamiento de, por ejemplo, un cliente y sus operaciones en cuenta corriente, o su operativa asociada al débito y crédito en medios de pago.
Lo que parece innegable es que la mejor manera de combatir la sofisticación del crimen es sofisticar las herramientas y la gestión para combatirlo. En este sentido quiero dar mi voto de confianza a los sistemas de análisis comportamental como claro futuro de las tecnologías antifraude en general. A día de hoy ya empieza a ser notorio que las tecnologías antifraude basadas en esquemas fijos (reglas) y no comportamentales (neuronales/decisionales) empiezan a fracasar, obteniendo tasas de éxito cada vez menores, y esto es especialmente visible en eventos de ataque en los que los atacantes conocen los patrones de detección y juegan a no vulnerar los umbrales de detección y las reglas definidas para la detección. Es el momento adecuado para ir transformándose a la par que se se transforman, día a día, los que por desgracia trabajan para sacar provecho ilegítimo de nuestros bienes.
Un saludo,
Lo siento, Sergio, pero la palabra «comportamental» no está reconocida por la R.A.E. Imagino que querrás decir «hacia los modelos antifraude basados en el análisis del comportamiento» ;)
Y como ejemplo de sistema de análisis de comportamiento, tenemos a mi banco. Hace relativamente poco me marché una temporada a Estados Unidos y, aprovechando que el dólar estaba por los suelos, hice algunas compras con mi tarjeta de crédito. Automáticamente mi banco canceló mi tarjeta de crédito y se puso en contacto conmigo para comprobar si esas compras eran normales. Ahí aprendí la lección: antes de salir al extranjero, es conveniente avisar al banco :)
Felipe,
Gracias por el aviso. Creo que es patente que no realizo una traducción adecuada del término «behavorial» (es lo que tiene trabajar y pensar en inglés). No voy a editar el texto, pero que tomen nota los lectores de la incorrección. Thanks :)
Sobre lo que hace tu banco, es el camino a seguir. Lo tengo absolutamente claro. Los métodos reactivos basados en reglas tenderán a ser un método base, pero la excelencia en la lucha contra el fraude vendrá marcada por la aplicación de sistemas inteligentes con capacidad de análisis de nuestro comportamiento.
Un saludo,