Modelado matemático de estrategias adaptativas de seguridad de la información mediante modelos de comportamiento compuestos

Por qué importa una defensa cibernética más inteligente

Desde los registros hospitalarios hasta las redes eléctricas, nuestras vidas dependen ahora de sistemas digitales que están bajo ataque constante. Los delincuentes y los hackers patrocinados por Estados ya no emplean trucos aislados y poco sofisticados; tejen campañas largas y sigilosas que se adaptan a las reacciones de los defensores. Este artículo presenta una nueva forma de modelar matemáticamente ese juego del gato y el ratón, con el objetivo de proporcionar a los defensores herramientas que se ajusten en tiempo real en lugar de confiar en reglas fijas o en modelos de aprendizaje automático puntuales.

Límites de los muros protectores actuales

La mayoría de las herramientas de seguridad existentes buscan o bien las firmas conocidas de ataques pasados o bien anomalías estadísticas sencillas en el tráfico de la red. Otras emplean teoría de juegos o aprendizaje automático para anticipar amenazas. Cada uno de estos enfoques captura solo una porción de la realidad: pueden modelar al atacante o al defensor, pero rara vez a ambos juntos, y a menudo asumen comportamientos que no cambian mucho con el tiempo. Una amplia revisión bibliográfica en este estudio, que cubre 75 artículos de investigación de 2018 a 2025, mostró que menos de un tercio de los modelos existentes intentan combinar distintos patrones de comportamiento, y solo alrededor de una cuarta parte admiten una adaptación verdaderamente en tiempo real. En otras palabras, la mayoría de los modelos tratan el conflicto cibernético como estático y unidimensional, aun cuando las intrusiones reales se desarrollan en múltiples etapas y reaccionan a las acciones de los defensores.

Una visión unificada de atacantes y defensores

Los autores proponen un modelo de comportamiento compuesto que entreteje muchos submodelos de atacantes y defensores en una única imagen dinámica. En el lado del atacante, representa etapas como el escaneo de la red, la entrada, el movimiento lateral entre sistemas y el mantenimiento de una presencia oculta. En el lado del defensor, incluye componentes como la detección de anomalías, el ajuste de firewalls y la reasignación de recursos informáticos hacia donde más se necesitan. Todas estas piezas se vinculan mediante ecuaciones matemáticas que describen cómo cambia el estado del sistema en su conjunto a lo largo del tiempo, incluyendo incertidumbre y perturbaciones aleatorias. Crucialmente, el defensor no obtiene una visión perfecta de lo que ocurre; en su lugar, observa señales ruidosas —como alertas y registros imperfectos— y debe inferir qué es lo que probablemente esté haciendo el atacante y responder en consecuencia.

Convertir las matemáticas en defensas dinámicas

Para probar sus ideas, los autores construyeron un entorno de simulación detallado usando conjuntos de datos comunes de ciberseguridad (NSL-KDD y UNSW-NB15) y campañas de ataque sintéticas realistas inspiradas en las etapas de la “kill chain” empleadas por intrusos modernos. Los ataques progresan como cadenas probabilísticas de eventos, con tiempos aleatorios y ruido en los sensores añadidos para imitar las condiciones desordenadas de redes reales. Los componentes defensivos emplean reglas de aprendizaje y control por retroalimentación para ajustar umbrales, reconfigurar defensas y reasignar recursos a medida que llega nueva evidencia. El modelo funciona como un lazo cerrado: los atacantes cambian tácticas en respuesta a las defensas, las defensas se adaptan de nuevo, y así sucesivamente, lo que permite a los investigadores estudiar cómo se comporta todo el sistema a lo largo de miles de pasos temporales.

Lo que revelan las simulaciones

En una amplia gama de escenarios —desde intrusiones directas hasta campañas complejas y de desarrollo lento contra sistemas de control industrial simulados—, el modelo compuesto superó de forma consistente a las defensas tradicionales no adaptativas y a varios referentes avanzados. Logró tasas de detección cercanas o superiores al 90 por ciento en entornos con bajo nivel de ruido y se mantuvo por encima de aproximadamente el 85 por ciento incluso cuando los atacantes se volvían más sofisticados o cuando los datos de monitorización estaban fuertemente corrompidos por ruido. En comparación con un modelo estático de referencia, detectó más ataques, reaccionó más rápido a cambios en el comportamiento del atacante y empleó los recursos computacionales con mayor eficacia, reduciendo las falsas alarmas sin que se dispararan los costes. Pruebas estadísticas confirmaron que estas mejoras no se debieron al azar, y la dinámica interna del sistema se mantuvo estable en lugar de caer en el caos a medida que atacantes y defensores se ajustaban entre sí.

Qué significa esto para la seguridad cotidiana

Para quienes no son especialistas, la idea clave es que la defensa cibernética puede modelarse más como un ecosistema en evolución que como un muro fijo. Al describir matemáticamente cómo interactúan a lo largo del tiempo muchos comportamientos distintos de atacantes y defensores —y al tener en cuenta la incertidumbre y la visibilidad parcial—, el marco propuesto muestra un camino hacia sistemas de seguridad que aprenden durante un ataque, no solo antes de él. Tales modelos compuestos y adaptativos podrían sustentar herramientas futuras que reconfiguren silenciosamente las defensas de una red a medida que se desarrollan las amenazas, ayudando a que servicios críticos permanezcan en línea y sean confiables incluso cuando los adversarios se vuelven más persistentes e ingeniosos.

Cita: Nuaim, A.A., Nuaim, A.A., Nadeem, M. et al. Mathematical modeling of adaptive information security strategies using composite behavior models. Sci Rep 16, 10755 (2026). https://doi.org/10.1038/s41598-026-45315-5

Palabras clave: ciberseguridad adaptativa, modelado de amenazas conductuales, dinámicas ataque–defensa, sistemas de seguridad estocásticos, detección de intrusiones