Febrero 6, 2017
La inteligencia humartificial y la lucha contra las raquetas de nieve
Estoy destinado a recibir mucho spam en mi correo, puede que más del que recibe la mayoría. Llevo décadas dando mi tarjeta de visita en todas partes; nuestro dominio aparece en presentaciones, publicaciones, catálogos y en otros muchos documentos. Después está la sencillez de mi dirección de correo electrónico. A veces, los empleados deben dejar de usar sus direcciones de correo porque se llenan de spam, lo que nos obliga a crear nuevas direcciones con alguna modificación. Pero no podemos hacer eso con mi cuenta, ¿verdad? No. Porque, en primer lugar, debo guardar un registro preciso sobre quién es el enemigo y, en segunda, quiero poder revisar personalmente la calidad de nuestra protección antispam. Además, nunca está de más echarse un par de risas.
Al igual que los entomólogos con sus mariposas, guardo todos los correos basura en una carpeta diferente, reviso los veredictos y determino las tendencias y los falsos positivos, mientras que envío las muestras que pasamos por alto a nuestro laboratorio antispam.
Curiosamente, desde principios de año, la cantidad de spam se ha disparado. Y, tras estudiar su estructura y estilo, ¡parece que viene de una (1) fuente! Casi todos los mensajes estaban en inglés (solo dos en japonés) y, lo más importante, ¡nuestros productos detectaron el 100% de este spam! Recurrí a nuestros especialistas… y lo confirmaron: se trataba de una ola de spam de proporciones similares a las de un tsunami (el método de envío de spam conocido como snowshoe spam, es decir, raqueta de nieve). Esto es extraño, ya que la actividad de spam disminuye en año nuevo.
Y estos son los datos sobre el snowshoe spam en su día más activo, el 7 de enero, en los correos de nuestro dominio corporativo:
Entonces, ¿qué es el snowshoe spam y cómo nos podemos proteger de él?
El método snowshoe no es nuevo; lo detectamos por primera vez a principios del año 2012. Pero, desde entonces, no ha hecho más que crecer debido a que engañan a los filtros de spam para que no ejecuten un análisis multinivel. Para ello, el spam no se envía desde una o dos direcciones IP, sino desde muchas más, eludiendo así el filtro de las IP que se basa en la reputación. A propósito, de aquí viene su nombre: el peso de una persona que usa raquetas de nieve se distribuye en toda el área y, por ello, la persona no se resbala en la nieve. Bien, más o menos este mismo principio se aplica a este tipo de spam: los filtros no captan el spam que se distribuye a través de muchas direcciones IP.
Para los spammers, usar múltiples direcciones de IP es más complicado, pero consiguen el resultado que quieren. Deben usar constantemente dominios generados automáticamente, sus proveedores (normalmente un diccionario) y cerrar hostings y proxis de spam. Sí, son muchos trucos y muy complejos, pero, como he dicho, les vale la pena.
Una vez que el spam llega a los receptores, la ingeniería social entra en acción. Se empieza poniendo un asunto atractivo en el e-mail y, luego, se añade un enlace en el cuerpo del texto que redirige a un sitio donde se anuncia un producto que no se puede dejar pasar y que tiene un precio especial por tiempo limitado. Curas milagrosas, descuentos únicos en pólizas de seguros, pastillas para la impotencia, facturas de servicios, de todo J. Todo en conjunto adornado de viejos trucos: historias tristes (estoy muy enfermo y necesito dinero), finales felices (probé esta píldora de 29,99 dólares y en seguida desaparecieron todos mis síntomas) y así sucesivamente.
Según la región en la que te encuentres, los enlaces te llevan a un sitio u otro. Por ejemplo, si un usuario vive en un lugar muy pobre, simplemente lo redirecciona a la página Google. Pero si un usuario es de un país desarrollado, como por ejemplo de Europa o Norteamérica, la fuente del spam utiliza una serie de historias… como la herencia medicinal de Apache o los misterios de Tesla.
Pero no solo se utilizan trucos de ingeniería social. Este tipo de spam también puede traer consigo malware…
¿Y qué hay de la protección?
Desde el punto de vista técnico, la raqueta de nieve no es un spam sofisticado, pero eso no significa que no se deba tomar en serio. Los filtros simples son incapaces de adaptarse a los múltiples cambios del spam y no existe ninguna tecnología capaz de acabar con la raqueta de nieve de una vez por todas. Nosotros lo combatimos con protección multinivel y abordamos el primer truco con aprendizaje automático. Esto es lógico, ya que enfrentarse de forma manual al elevado volumen de spam no sería realista; es mejor que los expertos inviertan su tiempo en algo más útil. Y ese algo es la creación de máquinas inteligentes que analicen de forma automática, extremadamente precisa y fiable el spam y que creen algoritmos de contrataque. Por ejemplo, gracias al aprendizaje automático, nuestros productos reconocen y bloquean automáticamente los nuevos dominios de los spammers, las direcciones IP, y las subredes; además, llevan a cabo análisis de contenido basándose en varios atributos. Y lo hacen todo, como ya os he dicho, con éxito.
De hecho, la guerra entre el ciberbien y el cibermal se ha convertido en una guerra de algoritmos. Los malos aprendieron a camuflar de manera habilidosa sus ciberataques y esto, por sí mismo, también se automatiza cada vez más, por lo que los ataques se ejecutan con una lógica completa. Pero, por cada algoritmo, existe un contra algoritmo (uno más largo :)). Hoy, la efectividad depende de la flexibilidad y fiabilidad de los sistemas de aprendizaje automático creados por expertos. Y el éxito es para los que son capaces de proveer una combinación de (i) las habilidades matemáticas humanas y (ii) la compleja infraestructura que permite que se desarrollen nuevos algoritmos. A esa combinación la llamamos “Inteligencia Humartificial“.