Seguimos desgranando la revolución en Microsoft, en este caso en el complejo y cambiante panorama de la ciberseguridad. La identificación y clasificación de software malicioso es complicado de realizar y sigue siendo una de las tareas más exigentes. Hoy, Microsoft Research ha presentado Project Ire, un sistema pionero que utiliza inteligencia artificial para clasificar malware de forma completamente autónoma, sin intervención humana.
El ecosistema de seguridad de Microsoft analiza más de mil millones de dispositivos cada mes a través de la plataforma Microsoft Defender. Este volumen obliga a los analistas a revisar manualmente miles de archivos, lo que conlleva fatiga de alertas y riesgo de errores humanos.
Clasificar un archivo como malicioso requiere ingeniería inversa detallada, interpretación de código, y juicio experto ante comportamientos ambiguos. Hasta ahora, esto ha hecho prácticamente imposible escalar estos procesos sin perder precisión.
Qué es Microsoft Project Ire y cómo funciona
Project Ire es un agente autónomo de IA desarrollado conjuntamente por Microsoft Research, Microsoft Defender Research y Microsoft Discovery & Quantum. Su objetivo es automatizar el proceso completo de ingeniería inversa, utilizando modelos de lenguaje avanzados, herramientas de análisis binario y APIs especializadas.
Ingeniería inversa autónoma y uso de herramientas especializadas
El sistema comienza con una fase de triaje automático del archivo, identificando tipo, estructura y posibles áreas críticas. A continuación, genera un grafo de flujo de control con herramientas como Ghidra y angr, sobre el que construye su análisis.
Project Ire utiliza una API para invocar herramientas como decompiladores, buscadores de documentación, sandboxes de memoria (como Project Freta) y motores de análisis personalizados. Estas herramientas alimentan una memoria interna del archivo, sobre la que razona y emite su veredicto.
Cadena de evidencia y validación
Cada decisión del sistema queda registrada en una cadena de evidencia auditable, lo que permite revisiones por parte de analistas humanos. Además, puede invocar un validador interno que compara los hallazgos con afirmaciones de expertos en ingeniería inversa.
Casos reales de detección de malware
Durante su validación, Project Ire ha sido capaz de clasificar de forma autónoma muestras avanzadas de malware, como:
Trojan:Win64/Rootkit.EH!MTB, donde detectó técnicas de hooking, manipulación del proceso Explorer.exe y comunicación remota.
HackTool:Win64/KillAV!MTB, diseñada para desactivar antivirus, identificando funciones específicas que mataban procesos de seguridad como avp.exe o 360Tray.exe.
En uno de los casos, el sistema incluso detectó su propia mala interpretación de una función, y corrigió su análisis utilizando su herramienta de validación. Esta capacidad de autocorrección es clave para mejorar la precisión a largo plazo.
Evaluación en entornos reales y rendimiento
En pruebas con drivers públicos de Windows, Project Ire alcanzó una precisión del 98 % y un recall del 83 %, clasificando correctamente el 90 % de los archivos y con apenas un 2 % de falsos positivos.
En un segundo test más exigente, con casi 4.000 archivos “hard-target” no clasificados por ningún sistema automático, Project Ire operó completamente solo, alcanzando un 89 % de precisión y manteniendo una tasa de falsos positivos del 4 %. Aunque el recall fue más bajo (26 %), su bajo margen de error lo hace idóneo como primera línea de defensa antes del análisis humano.
Implicaciones para el futuro de la ciberseguridad
Project Ire no solo representa una mejora técnica, sino un cambio de paradigma: automatizar tareas que tradicionalmente requerían semanas de trabajo humano. El sistema ya se está utilizando dentro de Microsoft Defender como Binary Analyzer, y sus desarrolladores apuntan a extender su capacidad para analizar malware directamente en memoria y a escala global.
Este enfoque refuerza una tendencia creciente: la convergencia entre IA avanzada y ciberseguridad, donde los agentes autónomos no solo asisten, sino que lideran investigaciones complejas, liberando a los analistas humanos para tareas aún más críticas.
