La dificultad de la detección de intrusiones

Supongamos que sospecha padecer una enfermedad que afecta a 1 de cada 1000 habitantes. Para salir de dudas, decide someterse a un test cuya precisión, según su médico, es del 99%, habiendo clasificado como enfermos a 1 de cada 100 pacientes sanos en promedio a lo largo de los años. Para su desgracia, el test resulta positivo. ¿Hasta que punto debería preocuparse? Sorprendentemente, la probabilidad de que realmente usted esté enfermo es tan sólo de aproximadamente el 9%; contrariamente a lo que tenderíamos a pensar, unas 91 personas de cada 100 en su situación estarán sanas pese a haber dado positivo en el test.

Este sesgo en nuestra intuición probabilística, conocido como la falacia de la tasa base, la paradoja del falso positivo, la confusión de la inversa o la falacia de la probabilidad condicional, suele presentarse cuando el índice de incidencia de un suceso (esto es, su probabilidad a priori) es bajo. Y éste es precisamente el caso en el problema de la detección de intrusiones en seguridad informática, como observó el investigador sueco Stefan Axelsson en un artículo de 1999. Veámoslo con un poco más de detalle.

Si llamamos A al suceso «el detector de intrusiones ha emitido una alerta» e I al suceso «se ha producido una intrusión», tenemos que la probabilidad condicional P(A|I) es la medida de la «precisión» de nuestro detector (la probabilidad de que cuando se produzca una intrusión se emita una alarma), por lo que nos interesa que sea cuanto más alta mejor. Por otro lado, P(A|no I) es la probabilidad de falso positivo: la emisión de una alerta más a atender por parte del personal técnico de seguridad que nos aporta más bien poca información. Obviamente, nos interesa que esa probabilidad sea lo más baja posible.

En el fondo, lo que nos interesa es que el detector de intrusiones sea «efectivo»: que detecte el mayor número de intrusiones pero manteniendo la tasa de falsas alarmas en un nivel aceptable. Nos interesa también que, cuando vemos una alarma, la probabilidad de que corresponda a un ataque, P(I|A), sea lo más alta posible. Relacionando todo lo anterior con ayuda del Teorema de Bayes, tenemos que:

P(I|A) = P(I) x P(A|I) / [ P(I) x P(A|I) + P(no I) x P(A|no I) ]

Como estimación, el detector de intrusiones ubicado en la zona desmilitarizada de un cliente relativamente pequeño ha procesado unos 500 millones de datagramas IP en los últimos 4 meses, a partir de los cuáles ha generado 339 alertas. De esas alertas, 128 se corresponden con ataques reales. Suponiendo una precisión del 100% (que ya es suponer), P(A|I) = 1, tenemos que las intrusiones detectadas son todas las que se han producido, y que la probabilidad de intrusión, tomando 10 datagramas por cada una de ellas, es P(I) = (128*10) / (500*10+6) = 2,56*10-6. Como P(no I) = 1 – P(I) se aproxima mucho a 1, sustituyendo en la anterior ecuación nos queda, aproximadamente:

P(I|A) = 2,56·10-6 x 1 / [ 2,56·10-6 x 1 + 0,99 x P(A|no I) ]

con lo que se observa claramente que el factor dominante es ese 0,99 de P(no I), y que la probabilidad de falso positivo tendría que ser muy baja para contar con una efectividad adecuada. Cualquiera que haya trabajado atendiendo las alertas generadas por un detector de intrusiones actual convendrá en que no es ni mucho menos el caso: la mayor parte del tiempo es dedicado a descartar falsos positivos. La cuestión es: ¿es realmente posible obtener una tasa de falsos positivos tan baja? El tiempo lo dirá, pero a día de hoy la solución quizá pase por facilitarle la vida al técnico de seguridad en forma de herramientas que le faciliten la gestión de las alertas generadas y la consulta de la información necesaria para procesarlas cómodamente.

P.S. La falacia de la probabilidad condicional también es aplicable a otros ámbitos de la seguridad. Por ejemplo, dado el bajo número de población terrorista con respecto a la población total de un país, aun suponiendo que los gobiernos cuentan con herramientas de vigilancia masiva altamente precisas, es difícil que la tasa de falsos positivos (no terroristas identificados como terroristas) sea tan baja como para asegurar una detección eficaz según los parámetros anteriores. Además, ¿cuál sería el coste de ser clasificado como un terrorista cuando no lo eres? ¿Y el de la pérdida de derechos civiles asociada a ese tipo de vigilancia?