Sophos publicó en marzo de 2023 un estudio que demuestra cómo GPT-3, el modelo de lenguaje grande (LLM) detrás de ChatGPT, puede ayudar a los equipos de seguridad a filtrar actividad maliciosa, clasificar spam y analizar comandos ejecutados por binarios LOLBin (binarios del sistema usados para fines maliciosos, del inglés living off the land binaries). El trabajo, titulado «La aplicación del procesamiento del lenguaje natural a las ciberdefensas», lo firma el equipo Sophos X-Ops y cubre tres experimentos en los que GPT-3 actúa como asistente de analistas, no como sustituto.
Sean Gallagher, investigador principal de amenazas de Sophos, enmarca el planteamiento como una apuesta por tratar la IA como aliada en los centros de operaciones de seguridad (SOC), donde el mayor problema no es la falta de datos sino el volumen de ruido que hay que filtrar antes de llegar a una amenaza real.
Consultas en lenguaje natural para XDR
El primero de los proyectos crea una interfaz conectada a la telemetría XDR (detección y respuesta extendida) de Sophos. Un analista puede escribir en texto plano qué quiere buscar —por ejemplo, «procesos que hayan realizado conexiones salientes a IPs no habituales en las últimas 24 horas»— y el sistema genera la consulta SQL correspondiente sin necesidad de conocer el esquema de la base de datos ni el lenguaje de consulta. El objetivo es reducir la barrera de entrada para personal con menos experiencia técnica en equipos de respuesta a incidentes.
Detección de spam con pocos ejemplos de entrenamiento
El segundo proyecto construye un clasificador de spam basado en GPT-3. Según los datos de Sophos, el modelo supera a otros enfoques de aprendizaje automático cuando el volumen de ejemplos de entrenamiento es pequeño, que es el punto débil habitual de los clasificadores tradicionales ante campañas de spam nuevas. La técnica usada es el aprendizaje en pocos pasos (few-shot learning, FSL), que permite al modelo generalizar a partir de un número reducido de ejemplos etiquetados.
Ingeniería inversa de comandos LOLBin
El tercer experimento ataca un problema frecuente en análisis forense: descifrar qué hace exactamente una línea de comandos ejecutada por un binario legítimo del sistema —certutil, powershell, mshta— cuando se usa con fines maliciosos. Sophos entrena a GPT-3 para generar descripciones analíticas a partir de fragmentos de código y líneas de comandos, con el fin de acelerar la ingeniería inversa que normalmente exige horas de trabajo manual de un analista especializado.
GPT-3 como copiloto en el SOC
Gallagher ve en GPT-3 un «copiloto habitual» para los profesionales de ciberseguridad, sobre todo en SOC donde el ratio de alertas por analista es alto. Contar con un asistente que filtre ruido, traduzca comandos ofuscados o clasifique correos maliciosos reduce el tiempo hasta la detección real. Sophos es explícita en que el objetivo no es automatizar la respuesta sino acelerar la fase de triage.
El uso de LLMs en seguridad no es exclusivo del lado defensivo. Si el atacante puede usar GPT para generar phishing personalizado o variantes de malware, el defensor también puede usar el mismo tipo de modelo para detectarlos antes. Ese equilibrio es lo que Sophos X-Ops trata de cuantificar con estos proyectos. En paralelo, OpenAI también ha reforzado la seguridad de ChatGPT con opciones específicas para cuentas de alto riesgo, lo que muestra que los propios desarrolladores de LLM aplican capas defensivas sobre sus propias herramientas.
Código abierto y próximos pasos
Los tres proyectos están disponibles en el repositorio público de Sophos en GitHub. La empresa trabaja en integrar algunos de los experimentos en sus productos comerciales, aunque en el momento de publicación del estudio no concretó plazos ni qué líneas de producto recibirían primero las mejoras.
Para quienes trabajan con LLMs en entornos corporativos, el trabajo de Sophos también conecta con un debate más amplio sobre la titularidad de los prompts generados en el trabajo, una cuestión que el uso de GPT en operaciones de seguridad hace cada vez más urgente.
Preguntas frecuentes
¿Qué es GPT-3 y en qué se diferencia de ChatGPT?
GPT-3 es el modelo de lenguaje grande desarrollado por OpenAI en 2020, con 175.000 millones de parámetros. ChatGPT es una aplicación conversacional construida sobre esa familia de modelos y optimizada con aprendizaje por refuerzo a partir de retroalimentación humana (RLHF). GPT-3 puede usarse directamente vía API, como hace Sophos en estos experimentos, sin necesidad de la interfaz conversacional de ChatGPT.
¿Qué es XDR y cómo encaja GPT-3 en ese contexto?
XDR (detección y respuesta extendida) es una arquitectura de seguridad que agrega datos de endpoints, red, correo y nube en una sola plataforma de análisis. GPT-3 actúa aquí como capa de traducción: convierte preguntas en lenguaje natural en consultas SQL sobre la telemetría, lo que permite investigar incidentes sin conocimientos profundos de la base de datos.
¿Qué son los LOLBin y por qué son difíciles de detectar?
LOLBin son binarios legítimos del sistema operativo —certutil, mshta, powershell— que los atacantes reutilizan para ejecutar código malicioso sin introducir archivos externos. Como el binario es de confianza, los antivirus basados en firmas no los detectan. Analizar sus líneas de comandos requiere un especialista con experiencia, de ahí el valor de la herramienta de Sophos.
¿En qué consiste el aprendizaje en pocos pasos (few-shot learning)?
El aprendizaje en pocos pasos (FSL) permite a un modelo generalizar a partir de muy pocos ejemplos etiquetados, a diferencia del aprendizaje supervisado clásico que necesita miles o millones de muestras. En el caso del detector de spam, esto es clave porque las nuevas campañas arrancan sin historial previo y los clasificadores tradicionales tardan en acumular suficientes datos.
¿Puede GPT-3 reemplazar a los analistas de seguridad?
No, según el propio Sophos. Los tres experimentos están diseñados para asistir a los analistas, no para sustituirlos. El modelo ayuda con la parte repetitiva —filtrar ruido, clasificar correos, traducir comandos— pero las decisiones sobre respuesta a incidentes siguen requiriendo criterio humano. Gallagher usa expresamente el término «copiloto», no piloto autónomo.
¿Dónde están disponibles los experimentos de Sophos?
Los tres proyectos están publicados en el repositorio público de Sophos en GitHub. La empresa ha indicado que trabaja en llevar algunos de ellos a sus productos comerciales, aunque en la fecha del estudio (marzo de 2023) no se especificaron plazos concretos.
