UNIR desarrolla una técnica más rápida y eficiente para detectar el malware con Inteligencia Artificial

Una investigación en la que ha participado la Universidad Internacional de La Rioja (UNIR) ha desarrollado una nueva técnica que posibilita, gracias a la Inteligencia Artificial, una detección de malware más rápida, eficiente y capaz de adaptarse a las nuevas amenazas con mayor agilidad.

Esta técnica utiliza redes neuronales convolucionales (CNN), un sistema de aprendizaje automático inspirado en el cerebro humano, para clasificar familias de malware con una precisión del 99.54%. Para ello se enfoca en el análisis de las partes funcionales -o semánticas- de los archivos ejecutables Portable Executable (PE), el formato predominante en Windows.

El estudio demuestra que, en lugar de analizar la totalidad del archivo, centrarse en partes específicas como la cabecera, el código o los datos, permite alcanzar una precisión de clasificación comparable e incluso superior a los sistemas tradicionales, con menos recursos computacionales y reduciendo significativamente los tiempos de procesamiento.

La industria de la ciberseguridad y las empresas pueden beneficiarse de esta técnica para mejorar su defensa contra el malware, optimizar sus recursos de seguridad y adaptarse a un paisaje de amenazas cibernéticas en constante evolución.

El malware (o software malicioso) es cualquier tipo de programa informático diseñado para infiltrarse en un dispositivo (ordenador, teléfono móvil, tableta, etc.) sin el consentimiento del propietario y realizar acciones dañinas, como el robo de información personal (contraseñas, datos bancarios, etc.), el cifrado de archivos para exigir un rescate (ransomware), el envío de spam o el espionaje de la actividad del usuario, entre otros.

"Al utilizar la segmentación semántica, particularmente enfocándonos en el encabezado de los archivos PE, se logró una precisión excepcional del 99,54 por ciento en la clasificación de malware. Esto resalta la eficacia de identificar patrones distintivos en los encabezados que pueden ser cruciales para diferenciar entre familias de malware", explica Javier Bermejo Higuera, investigador de UNIR y uno de los autores de la investigación. Los otros autores proceden del Systems Development Center de Brasilia y la Universidad Camilo José Cela.

Bermejo explica que "la cabecera contiene patrones y firmas únicas que caracterizan a las diferentes familias de malware, por lo que emplear datos extraídos de partes específicas de los archivos PE, en lugar de utilizar secuencias de bytes completas, permite una reducción en el número de parámetros entrenables en las redes neuronales, lo que puede llevar a modelos más eficientes sin sacrificar el rendimiento".

Este enfoque combina técnicas de aprendizaje profundo con un análisis semántico, una intersección poco explorada en la literatura científica previa, lo que subraya la novedad de la investigación.

"Dado que los atacantes a menudo utilizan técnicas como el polimorfismo, cifrado, empaquetado, etc. para evadir sistemas de detección, mejorar los métodos de clasificación y detección con un enfoque semántico tiene el potencial de ofrecer soluciones más robustas ante las variantes emergentes de malware", asegura el investigador de UNIR.

PRINCIPALES BENEFICIOS
Esta técnica ofrece adaptabilidad a diferentes entornos y formatos de archivo (como PE y ELF), ayuda a reducir los falsos positivos, lo que permite a los equipos de seguridad enfocarse en amenazas reales, y mejora la eficiencia operativa al optimizar el uso de recursos. Así, los principales beneficios son:

-Mayor precisión y menos falsos positivos: La alta precisión alcanzada, especialmente con el análisis de la cabecera, puede reducir significativamente el número de falsas alarmas, permitiendo a los equipos de seguridad centrarse en las amenazas reales.

-Detección más rápida: Al analizar solo una porción del archivo, el tiempo necesario para clasificar un potencial malware se reduce drásticamente, lo que posibilita una respuesta más ágil ante incidentes de seguridad.

-Optimización de recursos: La capacidad de lograr una alta precisión con menos datos implica un menor consumo de recursos computacionales, lo que facilita la implementación de estos sistemas en entornos con limitaciones de hardware.

-Adaptabilidad a nuevas amenazas: La naturaleza del aprendizaje profundo permite que el modelo se adapte continuamente a las nuevas variantes de malware, mejorando su capacidad de detección a lo largo del tiempo.

Este estudio presenta un avance significativo en la aplicación de la Inteligencia Artificial a la ciberseguridad. Al demostrar el valor informativo de las partes semánticas de los archivos ejecutables, allana el camino hacia sistemas de detección de malware más inteligentes, rápidos y eficientes, que fortalezcan la defensa contra las ciberamenazas del futuro.