Google lanza su primer analizador de virus dotado de IA… y está hecho en Málaga


Google ha presentado hoy en San Francisco, en el marco de la RSA Conference (considerado el foro más importante del mundo para la ciberseguridad), su primera herramienta basada en inteligencia artificial (IA) para el análisis de ‘malware’: VirusTotal Code Insight, una herramienta «de vanguardia» dotada de una tecnología que analiza código y produce resúmenes de fragmentos de código en lenguaje natural. Se sabe que Google lleva tiempo dedicando mucho esfuerzo de forma callada al desarrollo de la IA, pero se ha quedado rezagada respecto a sus competidores (sobre todo frente a Open AI y Microsoft) a la hora de lanzar aplicaciones al mercado. Esta es la primera vez que Google lanza una funcionalidad basada en inteligencia artificial para uso masivo dentro del ámbito de la ciberseguridad. Y lo hace con una tecnología hecha en Málaga, por el equipo de Virustotal. La tentación más obvia sería hablar del «ChatGPT de la ciberseguridad». La aplicación lanzada por Virustotal se basa, igual que el conocido ‘chatbot’, en los modelos de lenguaje extenso: herramientas de IA que pueden leer, resumir y traducir textos. «Esta funcionalidad empodera a los expertos y analistas de seguridad brindándoles una visión más profunda del propósito y la operación del código analizado, mejorando significativamente su capacidad para detectar y mitigar amenazas potenciales», explica el malagueño Bernardo Quintero, ‘security engineering director’ de Google, en un artículo publicado en el blog de Virustotal . «Hace ya tiempo que la inteligencia artificial y el aprendizaje automático juegan un papel crucial en la lucha contra el malware y la ciberseguridad, centrándose principalmente en tareas de clasificación. Sin embargo, los avances recientes en modelos de lenguaje extenso (LLM) han ampliado sus capacidades dentro de la generación y el resumen de texto», avanza el máximo responsable de Virustotal. «Sorprendentemente, cuando estos modelos se entrenan en lenguajes de programación, pueden transformar hábilmente el código en explicaciones de lenguaje natural. Esta innovación no solo acelera el análisis de ‘malware’, sino que también refuerza una variedad de aplicaciones de ciberseguridad. Reconociendo el inmenso potencial de esta tecnología punta, la hemos incorporado a la plataforma VirusTotal, mejorando significativamente sus capacidades», añade. Herramienta gratuita Así, Code Insight se incorpora como función añadida al arsenal gratuito que ofrece Virustotal para el análisis de ficheros sospechosos. «Es una nueva función basada en Sec-PaLM, uno de los modelos generativos de IA alojados en Google Cloud AI. Lo que diferencia a esta funcionalidad es su capacidad para generar resúmenes en lenguaje natural desde el punto de vista de un colaborador de IA especializado en ciberseguridad y malware. Esto proporciona a los profesionales y analistas de seguridad una poderosa herramienta para descubrir cuál es el cometido del código», explica Bernardo Quintero, que lidera un equipo de sesenta personas en Málaga. «Este tipo de análisis puede ser realizado por varios modelos de IA, cada uno de los cuales ofrece diferentes niveles de precisión y profundidad. Sin embargo, el verdadero valor de Code Insight de VirusTotal radica en su capacidad para escalar este análisis a través de su plataforma. Esto permite no solo el examen de muestras de código individuales, sino también la agregación y explotación de resultados a gran escala a través del servicio VirusTotal Intelligence. Como resultado, los equipos de seguridad pueden analizar de forma rápida y eficaz grandes cantidades de código e identificar amenazas potenciales, mejorando su eficiencia y, en última instancia, fortaleciendo su postura de seguridad», argumenta el directivo, que concluye: «Estamos realmente entusiasmados con lo que depara el futuro y estamos ansiosos por continuar ampliando los límites de lo que es posible en el campo de la ciberseguridad». Ejemplo real En su artículo, Quintero incorpora algunos ejemplos de informes generados por esta herramienta, como este de un un archivo que fue detectado en VirusTotal como «PowerShell/PSW-Agent.U» y «HEUR.Trojan-PSW.Multi.Disco.gen»: Pantalla de Virustotal. «El código es un ‘bot’ de Discord que intenta robar ‘tokens’ de Discord a los usuarios. Lo hace enumerando a través de una lista de rutas de almacenamiento de Discord conocidas y luego intentando hacer coincidir el contenido de cada archivo con una expresión regular que coincida con los tokens de Discord. Si se encuentra una coincidencia, el token se agrega a una colección. Luego, el código convierte la colección de tokens a JSON y la envía a un webhook de Discord. Este código es malicioso y no debe ejecutarse. Es importante tener en cuenta que los tokens de Discord no son contraseñas, pero se pueden usar para hacerse pasar por un usuario en Discord. Esto significa que un atacante podría usar un token robado para obtener acceso a la cuenta de un usuario, enviar mensajes en su nombre o unirse a canales privados. Si cree que puede haber sido afectado por este código, es importante que cambie su contraseña de Discord de inmediato. También debe considerar habilitar la autenticación de dos factores, lo que agregará una capa adicional de seguridad a su cuenta«. El ‘equipo malaguita’ de Google: 60 personas y creciendo Virustotal, el servicio de análisis de ‘malware’ que compró Google a Bernardo Quintero en 2012, tenía un equipo de seis personas en el año de adquisición y ya va por sesenta en su cuartel general malagueño, con vistas a alcanzar el centenar cuando se muden al Centro de Ingeniería de Ciberseguridad que tiene previsto abrir Google en la segunda mitad de este año en el paseo de la Farola. El crecimiento en personal de este equipo de élite, formado en su mayoría por ingenieros especializados en ciberseguridad e ingenieros de software, ha sido «sostenido», en palabras de su fundador y máximo responsable, Bernardo Quintero. Actualmente, la compañía tiene cinco vacantes abiertas .

Puedes leer el artículo completo en esta web