Protegerse del phishing con aprendizaje automático
Daniel Creus, Senior Security Researcher, Global Research & Analyst Team, Kaspersky
11/09/2020El phishing sigue siendo una de las principales amenazas. La cantidad de ataques crece constantemente y adopta nuevos disfraces: servicios online, nuevas series de televisión, grandes eventos deportivos o musicales y, por supuesto, la pandemia de coronavirus. Además, los textos y los encabezados son más variables, las páginas de phishing pueden utilizar el protocolo seguro https, y los correos pueden enviarse mediante redes de bots. Todo ello hace más difícil su detección y bloqueo.
Para seguir protegiendo a los usuarios, Kaspersky ha desarrollado una tecnología capaz de detectar rápidamente los nuevos tipos de correos electrónicos de phishing a través de la automatización. Esta tecnología utiliza estadísticas y aprendizaje automático, lo que le permite extraer automáticamente la información necesaria para detectar y bloquear el phishing, así como entrenarse y reciclarse rápidamente. Para ello, utiliza dos algoritmos de aprendizaje automático que analizan diferentes elementos de los mensajes y proporcionan una solución que puede detectar y bloquear automáticamente el phishing sin falsos positivos.
Tecnología Kaspersky para la detección de phishing.
El primero de estos algoritmos o clasificadores se basa en una red neuronal profunda. Se entrena regularmente sobre la base de cientos de millones de registros de metadatos, que son encabezados obtenidos de las estadísticas de los correos electrónicos spam detectados por los productos Kaspersky. Las redes neuronales extraen características no triviales de las estadísticas para detectar encabezados sospechosos en el correo electrónico. El segundo clasificador utiliza un modelo para analizar exactamente los mensajes entrantes y detectar las frases de phishing.
Combinando los clasificadores que inspeccionan el contenido de un correo electrónico y sus metadatos de cabecera, surge una nueva tecnología que puede detectar y bloquear los correos electrónicos de phishing en tiempo real. Pero el veredicto de sólo uno de los dos clasificadores no es suficiente para definir si un mensaje es phishing. Es necesario que los veredictos coincidan, lo que permite que la tecnología identifique con mayor precisión los mensajes maliciosos y minimice la probabilidad de un falso positivo.
¿Cuáles son las ventajas? En primer lugar, la proactividad. La tecnología es capaz de detectar técnicas de phishing que no se han visto antes. La segunda ventaja es la automatización, ya que aprende de forma independiente de las nuevas colecciones de datos estadísticos, lo que permite aumentar la velocidad de respuesta y la detección de correos electrónicos malintencionados. Por último, puede detectar patrones no triviales. Gracias a la arquitectura del modelo y a la gran cantidad de datos disponibles para la formación, es capaz de extraer patrones complejos que no pueden ser encontrados manualmente.
Aunque está prevista la mejora mediante la inclusión de nuevos clasificadores que analizarán más parámetros de los mensajes, en su forma actual, y como parte de las soluciones que protegen los servidores de correo y la aplicación Microsoft Office 365, esta nueva tecnología ya está ayudando a aumentar la tasa de detección de los correos electrónicos de phishing más sofisticados y a evitar sus consecuencias no deseadas.
