Gastón Rial (el de la izquierda en la foto) y Miguel Pérez del Castillo comenzaron las clases en la Facultad de Ingeniería de la UM (FIUM) en 2014. Gastón estudió Ingeniería Telemática. Miguel, Ingeniería en Informática. El año pasado, presentaron una idea al Ing. Santiago Paz, Director de Seguridad de la Información de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC). Después de contar con su aprobación, unieron los conocimientos de las dos carreras para trabajar en su proyecto final: un emprendimiento para AGESIC a través del aprendizaje automático, conocido en inglés como Machine Learning.

Gastón explicó que el proyecto consiste en reducir el tiempo en que analistas tardan en detectar una brecha en la seguridad en los sitios web del Estado. Para lograrlo, desarrollaron una herramienta basada en aprendizaje automático. El registro de estos datos se realiza en AGESIC a través de REDuy, una red de alta velocidad de fibra óptica diseñada y desplegada como una Intranet del Estado uruguayo. Hasta este momento, no existían en AGESIC procesos automatizados para detectar los posibles ataques, por lo que un forense informático podía pasar días utilizando herramientas de análisis de datos con ese objetivo.

Para su proyecto, los alumnos de FIUM comenzaron por sumergirse en bibliografía sobre aprendizaje automático y seguridad de la información. Luego, tuvieron reuniones con personal del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy) de AGESIC con el fin de comprender mejor los datos “crudos” con los que iban a trabajar y entender las expectativas de CERTuy sobre el proyecto. A finales de setiembre de 2018, ya habían comenzado a desarrollar un prototipo y a establecer pruebas, con apoyo de personal del Centro de Operaciones de Seguridad (SOC) de AGESIC.

A mediados de noviembre, expusieron el prototipo y los resultados de pruebas en la oficina del Ing. Santiago Paz, junto a directivos y personal de CERTuy y SOC. Gastón contó que de esa reunión lograron llevarse retroalimentación que luego incorporaron al sistema final. En enero culminaron el desarrollo del sistema clasificador, el cual, a partir de datos de logs, separa líneas en trazas de actividad —por usuario y por tiempo— y las clasifica en normales y anormales. Las anormales pueden corresponder a ataques informáticos. “La idea del clasificador fue dejar una herramienta ligera y portable de la que el CERTuy pueda valerse para realizar tareas de detección de brechas de seguridad en menos tiempo”, indicó Gastón.

Además, decidieron agregar valor al flujo de trabajo del SOC incorporando el clasificador como fuente adicional de logs al sistema de gestión de eventos de seguridad (o SIEM, por sus siglas en inglés). El reciente Ingeniero Telemático aseguró que “el trabajo fue muy formativo”, ya que tuvieron la oportunidad de aprender nuevas tecnologías y aplicar sus conocimientos para resolver un problema real. “También destacamos lo valioso que fue para el patrocinador, AGESIC, pues, de acuerdo con Santiago Paz, nuestro proyecto fue el primer intento de la agencia para incorporar aprendizaje automático a sus tareas”, aseguró.