Cómo los pequeños modelos de IA están revolucionando la ciberseguridad, según Sophos
Los grandes modelos de lenguaje son potentes, pero no siempre prácticos. Sophos propone entrenar modelos pequeños con ayuda de IA generativa para enfrentar amenazas en tiempo real, sin costos desmedidos.
Aunque los asistentes de IA parecen una novedad, la inteligencia artificial lleva años integrada en la ciberseguridad, ayudando a detectar amenazas, clasificar archivos, analizar URLs y más. Sin embargo, los modelos más conocidos —como los LLMs (Large Language Models)— no son ideales para todos los escenarios.
En entornos donde se procesan miles de millones de eventos diarios, como los que monitorea Sophos, implementar LLMs resulta inviable: requieren infraestructura GPU costosa, mucha memoria y mantenimiento intensivo. Esto dificulta su uso en puntos finales, firewalls o sistemas de clasificación de documentos.
Modelos pequeños: menos recursos, más eficiencia
Frente a estas limitaciones, Sophos plantea una alternativa clara: modelos pequeños y eficientes que puedan ejecutarse en el dispositivo o en la nube, sin sacrificar rendimiento.
Muchas tareas en ciberseguridad —como la detección de binarios maliciosos, clasificación de comandos o análisis de HTML sospechoso— no necesitan generación de texto, sino clasificación precisa. Incluso los copilotos de seguridad, que suelen asociarse con IA generativa, pueden dividirse en subtareas clasificatorias, resueltas eficazmente con modelos pequeños.
Cómo entrenar modelos pequeños con ayuda de grandes modelos
Sophos propone una estrategia híbrida: usar LLMs durante el entrenamiento para mejorar modelos livianos en producción. Esto permite combinar lo mejor de ambos mundos: el aprendizaje avanzado de modelos grandes con la eficiencia de los modelos pequeños.
Los tres pilares de esta metodología son:
1. Distilación de conocimiento
En este enfoque, un modelo grande entrena a uno pequeño, transfiriéndole su conocimiento mediante salidas probabilísticas. Esto permite al modelo liviano aprender patrones complejos incluso en presencia de datos ruidosos.
Caso Sophos: al aplicar esta técnica a la clasificación de comandos tipo LOLBins, el modelo entrenado con distilación redujo falsos positivos y mejoró la detección de amenazas reales frente al modelo anterior.
2. Aprendizaje semi-supervisado
Este método permite usar datos no etiquetados para enriquecer el entrenamiento. Un modelo grande genera etiquetas para datos sin clasificar, que luego sirven para entrenar un modelo más pequeño y rápido.
Ejemplo: al clasificar sitios web según su productividad, se entrenó un modelo pequeño que alcanzó niveles de rendimiento cercanos al LLM original, usando este enfoque con millones de URLs no etiquetadas previamente.
3. Generación de datos sintéticos
Cuando los datos disponibles no cubren todos los escenarios posibles, los LLMs pueden generar ejemplos sintéticos realistas a partir de plantillas o semillas. Esto amplía el espectro de amenazas que el modelo puede aprender a detectar.
Campaña simulada por IA: usando plantillas simples, Sophos generó tiendas falsas con páginas de phishing (como una falsa pantalla de inicio de Facebook) que no fueron detectadas por el modelo productivo original. Al entrenarlo con esos datos generados, el modelo mejoró su capacidad para reconocer nuevos ataques.
La propuesta de Sophos es clara: no siempre hace falta un modelo gigante para lograr una ciberseguridad efectiva. Con el entrenamiento adecuado, los modelos pequeños pueden ser tan potentes como eficientes, capaces de ejecutarse en tiempo real, sin comprometer costos ni recursos.
LEER MÁS:
Fraude en tiempo real: por qué las apps bancarias son el nuevo campo de batalla
Ciberseguridad: solo el 2% de las empresas están preparadas para una adopción controlada de la IA
