Así es la herramienta de Microsoft que usa IA para detectar si un archivo tiene malware o no

Microsoft desarrolló una herramienta de ciberseguridad que usa inteligencia artificial para ayudar a las empresas a prevenir y combatir amenazas digitales, detectando malware en archivos.

Project Ire es la plataforma que busca transformar la identificación y clasificación de malware mediante procesos autónomos y análisis avanzados que no requieren intervención humana, según los datos dados por la empresa en su blog oficial.

Project Ire surgió de un trabajo conjunto entre Microsoft Research, Microsoft Defender Research y Microsoft Discovery & Quantum, combinando experiencias en seguridad informática, datos de telemetría global de malware e investigaciones punteras en inteligencia artificial.

Basada en una arquitectura que aprovecha modelos de lenguaje sofisticados y múltiples sistemas de análisis binario e ingeniería inversa, la herramienta se diseñó para analizar archivos cuyo origen y propósito son desconocidos, con el objetivo de determinar si presentan características maliciosas.

A diferencia de las técnicas convencionales, más dependientes de la intervención humana, Project Ire automatiza el proceso considerado hasta ahora como “el estándar de oro” en la clasificación de amenazas: la ingeniería inversa completa y exhaustiva de archivos de software.

Así, funciona como un agente autónomo capaz de enfrentar la complejidad y escalabilidad necesarias en los entornos modernos, donde la cantidad de software a revisar se mide en millones de archivos cada mes.

La potencia de Project Ire reside en su integración de varias fases analíticas. El proceso comienza cuando la herramienta recibe un archivo sospechoso, sin contar con ningún dato adicional acerca de su naturaleza o función.

De inmediato, utiliza un conjunto interconectado de herramientas de descompilación y sistemas de análisis de memoria, que forman la base para investigar el comportamiento real del archivo.

Para reconstruir la lógica del archivo, Project Ire recurre a marcos o frameworks como angr y Ghidra, los cuales permiten crear representaciones detalladas denominadas “gráfico de flujo de control”. Este gráfico constituye la estructura esencial sobre la que se apoyará el análisis posterior, proporcionando información desde el nivel más elemental hasta la interpretación del comportamiento global del código.

Un aspecto distintivo de Project Ire es su uso de modelos de lenguaje avanzado, similares en arquitectura a ChatGPT, pero específicamente entrenados en el campo de la ciberseguridad. Estos modelos se encargan de examinar las salidas de las herramientas técnicas, interpretar las funciones clave del código y construir hipótesis sobre posible actividad maliciosa, basándose en patrones de comportamiento identificados históricamente en amenazas reales.

En cada paso del proceso, el sistema genera una “cadena de evidencia” que documenta detalladamente cómo llega a sus conclusiones. Este registro exhaustivo es auditable y favorece tanto la mejora continua del sistema como la revisión por parte de expertos humanos cuando la situación lo requiere.

Las pruebas iniciales de Project Ire aportan datos contundentes sobre su capacidad de análisis. En una evaluación utilizando un conjunto de controladores de Windows, la herramienta logró identificar correctamente el 90% de todos los archivos sospechosos, con una tasa de falsos positivos notablemente baja, apenas 2%.

Otra prueba clave consistió en analizar casi 4.000 archivos sospechosos, considerados difíciles porque ningún sistema automatizado previo de Microsoft podía clasificar esos archivos en el momento del test. En este entorno, Project Ire acertó en nueve de cada diez casos de malware detectados, manteniendo un 4% de falsos positivos y demostrando una precisión relevante incluso fuera de ambientes controlados.

Estas capacidades demuestran que Project Ire puede abordar amenazas que emplean técnicas avanzadas de evasión y persistencia.

El valor diferencial de Project Ire se revela al considerar el contexto de uso dentro de Microsoft Defender, que rastrea más de 1.000 millones de dispositivos activos cada mes. El volumen de archivos potencialmente maliciosos es tan elevado que la revisión manual por equipos expertos resulta insostenible y vulnera a los investigadores a la saturación y al agotamiento.

El sistema promete reducir al mínimo el margen de error y los casos de clasificación errónea, mientras prepara el terreno para una escalabilidad notable: la meta que persigue la compañía consiste en mejorar la velocidad, precisión y adaptabilidad hasta el punto de identificar cualquier archivo malicioso, incluso si nunca antes se ha encontrado muestra similar.