¿Harto de analizar miles de líneas de logs a mano o de lidiar con alertas ruidosas en tu infraestructura? En ciberseguridad, el verdadero enemigo no siempre es el atacante; a menudo es el volumen de datos.
Para participar en el Gemma 4 Challenge de DEV.to, decidí construir una herramienta práctica: analista.byronlainez.click. Se trata de un Analista SOC (Security Operations Center) Virtual alimentado por la nueva familia de modelos abiertos Gemma 4 de Google.
El Problema: Ahogados en un Mar de Logs
Si administras servidores, firewalls o infraestructura en la nube, sabes que los logs de CloudTrail, AWS WAF o los syslogs de Nginx crecen de forma exponencial. Cuando ocurre un incidente de seguridad:
- El flujo de datos es tan denso que los analistas junior se fatigan rápidamente (fatiga por alertas).
- Correlacionar eventos distantes (por ejemplo, un escaneo de puertos a las 2:00 AM con un intento de inyección de código a las 5:00 AM desde la misma IP) requiere consultas complejas de SIEM (Splunk, Athena, etc.).
- Generar la mitigación (como una regla de bloqueo) suele tardar minutos críticos que un atacante puede aprovechar.
La Solución: analista.byronlainez.click
Nuestra aplicación actúa como un copiloto de ciberseguridad que automatiza las tareas de triaje de alertas, análisis forense de logs y generación de contramedidas en tiempo real. Así es como abordamos las necesidades del reto y las funcionalidades que agregamos a la app:
1. Ingesta Inteligente y Correlación (128K de Contexto)
Los modelos anteriores de IA tenían ventanas de contexto muy pequeñas; si intentabas pasarle un archivo de log completo, la memoria se desbordaba o la IA "olvidaba" las primeras líneas.
Gracias a la ventana de contexto de 128K de Gemma 4, la app puede ingerir bloques masivos de logs estructurados (JSON) o planos sin necesidad de truncar información. Esto permite identificar ataques de fuerza bruta distribuidos y correlacionar el escaneo inicial pasivo con el intento de explotación activa, obteniendo un diagnóstico holístico de la sesión del atacante.
2. Mapeo Automatizado a MITRE ATT&CK & OWASP
La aplicación no solo te dice "hay tráfico extraño". El motor de Gemma 4 analiza la firma del log, identifica el tipo de ataque y lo clasifica automáticamente dentro del framework MITRE ATT&CK y las categorías de OWASP.
Por ejemplo, si detecta múltiples peticiones con caracteres de comillas simples y palabras clave SQL, la app emitirá una alerta instantánea detallando la táctica (Acceso Inicial), la técnica (T1190 - Explotación de Aplicación Expuesta a Internet) y la clasificación de OWASP (A03:2021-Injection).
3. Generación de Contenciones Automatizadas (AWS WAF & Terraform)
El tiempo promedio de respuesta ante incidentes (MTTR) es clave. Por eso, agregamos un módulo que genera de forma autónoma las reglas necesarias para mitigar la amenaza en tiempo real. Si el analista detecta una IP maliciosa o un patrón de ataque recurrente, la app genera el JSON exacto de la regla de AWS WAF o el código de Terraform listo para ser desplegado:
{
"Name": "BlockMaliciousIPsGemma",
"Priority": 10,
"Statement": {
"IPSetReferenceStatement": {
"ARN": "arn:aws:wafv2:us-east-1:123456789012:regional/ipset/MaliciousIPs/a1b2c3d4..."
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "BlockMaliciousIPsGemmaMetric"
}
}4. Capacidad Multimodal (Triaje Visual)
Gemma 4 cuenta con capacidades multimodales nativas excelentes. En el módulo visual de la app, un administrador puede subir capturas de pantalla de diagramas de red, topologías de nube o paneles de alertas de AWS Security Hub. La IA analiza la imagen e identifica de inmediato fallas de diseño visuales o picos de tráfico anómalos, recomendando acciones correctivas de inmediato.
5. Modo Privado en el Edge (Gemma 2B/4B)
Sabemos que en ciberseguridad la **privacidad de los datos** es sagrada. Subir logs confidenciales de producción a APIs de terceros puede violar regulaciones como GDPR o PCI-DSS.
Por eso diseñamos un switch de "Procesamiento Local" en la aplicación. Al activarlo, en lugar de enviar los logs a un servidor externo, la app utiliza WebLLM para ejecutar los modelos ultraligeros de Gemma 4 2B o 4B directamente en la memoria del navegador del usuario. Tus logs nunca salen de tu máquina.
Cómo lo Escalamos al Siguiente Nivel
Actualmente la app es una prueba de concepto sólida, pero la verdadera magia ocurre cuando pensamos en producción a gran escala en un entorno de SecOps real. He diseñado la arquitectura del pipeline propuesto para demostrar cómo esta app básica puede escalar de manera industrial:
- Logs en tiempo real: Los logs de AWS WAF o CloudTrail se transmiten hacia un stream de Amazon Kinesis Firehose.
- Filtrado y Clasificación: Un filtro rápido separa peticiones comunes de eventos anómalos o sospechosos.
- Triaje Inteligente: Los eventos sospechosos se envían vía webhook a la API de la app donde Gemma 4 (31B o MoE) realiza el triaje profundo de la alerta.
- Generación de Contención: La IA produce instantáneamente la regla de bloqueo adecuada (JSON/Terraform).
- Bloqueo Activo y Alerta: Una función Lambda aplica la regla de inmediato en el Web ACL de producción, y se notifica al equipo vía Slack o webhook en Teams de forma transparente.
Este enfoque "closed-loop" reduce los tiempos de bloqueo de minutos a escasos milisegundos, mitigando el alcance de cualquier ataque de escaneo o fuerza bruta automatizada de manera autónoma.
Conclusión
El uso de Modelos de Lenguaje Abiertos como Gemma 4 democratiza la seguridad informática. Ya no necesitas costosas licencias de software corporativo para contar con un analista inteligente en tu equipo.
Aunque analista.byronlainez.click comience como un prototipo básico para el hackatón, demuestra que la inteligencia artificial local y el código abierto tienen el potencial de transformar la forma en que defendemos nuestra infraestructura en la nube.
¿Estás listo para probarla y empezar a auditar tus logs como un experto? ¡Pruébala hoy, experimenta con tus propios logs y cuéntame en los comentarios de DEV.to qué contenciones automáticas lograste generar!