Porque es la única que no se basa en trampas de «phishing» conocidas por todos, como el uso de textos con errores gramaticales o argumentos sospechosos, sino que gracias a sus programas de inteligencia artificial y de aprendizaje automático, se basa en un enfoque personalizado y, sobre todo, adaptativo, que hace que la formación sea mucho más eficaz y adecuada para afrontar las nuevas técnicas de ataque cibernético, como las que resultan de un uso malintencionado de la IA.
Profundizamos en este tema con Leonida Gianfagna (puedes encontrar las otras entrevistas aquí y aquí), físico teórico especializado en partículas elementales y actualmente jefe del sector de Investigación y Desarrollo de Cyber Guru.
Pasemos al tema que más nos interesa. ¿La inteligencia artificial y todas sus nuevas expresiones representarán un mayor riesgo de ser atacados por los delincuentes informáticos? Y si es así, ¿cómo y por qué?
La respuesta nunca es unívoca. Por un lado, la delincuencia será cada vez más refinada, porque el «hacker» podrá envenenar el sistema de la IA, es decir, confundirlo y hacer que sea incapaz de reconocer señales o datos. Puede hacerlo, por ejemplo, cambiando simplemente el píxel de una imagen para que la máquina no lo pueda reconocer.
Al mismo tiempo, sin embargo, la«Explainable AI» podrá entender cuándo sucederá esto, lo que hará que todo el sistema sea más resistente.
Naturalmente, esto implica que las personas tendrán que hacer un esfuerzo de comprensión diferente, y tal vez mayor, para mantenerse al día dada la velocidad de estos cambios.
Se trata de un aprendizaje necesario que debe incluir un curso de formación y de prácticas específico y, sobre todo, actualizado en cada momento. Justo lo que Cyber Guru ofrece a sus clientes.
¿De qué se trata exactamente?
De una adiestramiento extremadamente individualizado y lo más realista posible. El modelo es muy similar al de los algoritmos que proponen recomendaciones para las compras: a cada persona le llegan sugerencias diferentes según sus gustos, sus horarios y sus hábitos en internet. Así, a mí me llegan determinadas propuestas, distintas de las dirigidas a otras personas.
Y, de vez en cuando, el modelo da en la diana. Como en una partida de ajedrez, en la que la jugada del adversario depende de mi comportamiento en el tablero.
En nuestra plataforma de formación, el oponente es el programa de inteligencia artificial que, de vez en cuando, somete a los estudiantes a diferentes problemas dependiendo de las respuestas que den.
Por lo tanto, cada correo de «phishing» se enviará en momentos en los que es más probable que la persona a la que se dirige haga clic y contendrá un desafío que se adaptará a su nivel de preparación. Y por supuesto, subiendo siempre el listón de dificultad.
Para nosotros, la pregunta clave no es «cómo de difícil es que hagas clic», sino «cómo de probable es» que lo hagas. Parece una diferencia insignificante, pero es sustancial.
¿Se trata de una novedad en el campo de la formación en ciberseguridad?
Desde luego que sí. Toda la formación sobre el «phishing» que se encuentra en el mercado se basaba hasta ahora en las trampas más o menos conocidas por todos: textos con errores gramaticales, correos con argumentos sospechosos, errores tipográficos, etc. Una modalidad que a la larga no garantiza los resultados esperados, puesto que la audiencia a la que se dirige está muy diferenciada y evoluciona en diferentes tiempos y formas.
Además, para algunos, este enfoque puede resultar poco estimulante y, por lo tanto, desmotivador. En cambio, un enfoque personalizado y, sobre todo, adaptativo, hace que la formación sea mucho más efectiva. Una mayor sensibilización y concienciación sobre los riesgos, difundidas entre todos los empleados, así como una mayor capacidad de respuesta a los diferentes tipos de ataques en función de cada persona, crean una barrera infranqueable para cualquier «hacker». Porque, debemos recordarlo, el punto débil de la seguridad es siempre el factor humano.
Lógicamente, este modelo adaptativo solo se puede lograr a través de programas de inteligencia artificial y aprendizaje automático. Estos programas, en función de los datos recopilados sobre los usuarios, decidirán qué tipo de correo electrónico se envía a cada uno de ellos.
¿Es un modelo de formación que solo se puede utilizar para el «phishing»?
Hemos empezado con el «phishing», pero el objetivo es ampliar el método a todo el aprendizaje, a fin de ayudar a todos los usuarios para que puedan consolidar una cultura digital estructurada y capaz de reconocer todas las trampas y peligros de la red.