Home Security Heroes, compañía especializada en ciberseguridad, ha puesto a prueba la fortaleza de una ingente cantidad de contraseñas utilizando un descifrador de inteligencia artificial. El estudio pone de manifiesto lo importantes que son tanto la longitud como el uso de todo tipo de caracteres a la hora de crear una contraseña segura.
Sin duda, la inteligencia artificial puede aportarnos muchas ventajas. Podemos utilizarla para ayudarnos en nuestro trabajo, escribir código de programación o crear contenido creativo. Sin embargo, también puede emplearse con malas intenciones. Los investigadores de seguridad ya están alertando de que, por ejemplo, los ciberdelincuentes ya están usando ChatGPT para crear código malicioso, pero lo peor de todo es que no hace falta estar versado en la materia para poder hacerlo.
Otra de las aplicaciones de la IA de la que los actores de amenazas pueden sacar partido tiene que ver con el robo de credenciales. Y es que ya existen descifradores capaces de averiguar una contraseña instantáneamente o en cuestión de segundos, lo que puede resultar realmente rentable en comparación con los menos sofisticados ataques de fuerza bruta.
En estudios similares, hemos podido observar que la mayoría de las contraseñas más utilizadas son también las menos seguras. Los usuarios tienden a crear claves fáciles de recordar e incluso utilizan las mismas en todas sus cuentas, lo que puede ponerles en graves aprietos si los piratas informáticos logran descubrirlas.
Y aunque todo parece indicar que nos encaminamos a un mundo sin contraseñas, mientras tanto debemos seguir teniendo en cuenta las mejores prácticas para evitar que nuestras credenciales acaben en manos no deseadas.
Más de la mitad de las contraseñas analizadas pueden ser descubiertas en menos de un minuto
Los gestores de contraseñas son una buena alternativa en la actualidad para crear contraseñas seguras sin necesidad de recordarlas, pero tampoco son invulnerables a los ciberataques. Lo ideal es crear contraseñas largas que utilicen caracteres de todo tipo, cambiarlas regularmente y recurrir a sitios como HaveIBeenPwned para saber si se han visto comprometidas.
El estudio de Home Security Heroes demuestra sobre todo los dos primeros puntos: una contraseña segura debe ser larga y contar con todo tipo de caracteres. Los investigadores de la compañía han utilizado PassGAN, un descifrador de contraseñas asistido por IA, para ver cuánto se tarda en descubrir una contraseña.
“PassGAN puede generar múltiples propiedades de contraseña y mejorar la calidad de las contraseñas predichas, lo que facilita que los ciberdelincuentes descifren sus contraseñas y obtengan acceso a sus datos personales. Como tal, es crucial actualizar regularmente sus contraseñas para protegerse de esta tecnología peligrosa”, explica la compañía.
Concretamente, han empleado una lista con la friolera de 15.680.000 passwords y los resultados son bastante alarmantes. Evidentemente, como comentamos, todo depende de su longitud y complejidad, pero la compañía ha concluido que la mayoría de estas (81%) puede ser descubierta en menos de un mes; el 71% en menos de un día; el 65% en menos de una hora y el 51% en menos de un minuto. Es decir, más de la mitad de las contraseñas analizadas son increíblemente inseguras.
Como muestra la tabla, la herramienta requiere muy poco tiempo para descifrar contraseñas de menos de ocho caracteres, lo que coincide con la mayoría de los estándares de seguridad. Sin embargo, además de la longitud, también hay que tener en cuenta que cuantos más tipos de caracteres (números, letras, mayúsculas, minúsculas o simbolos) se utilicen más difíciles les pondremos las cosas a los ciberdelincuentes.
Consejos para crear una contraseña segura
Los investigadores señalan que las contraseñas de más de 18 caracteres son las más seguras contra los ciberdelincuentes. El número podría parecer excesivamente alto, pero la diferencia entre el tiempo de descifrado entre una de 17 y una de 18, independientemente de los caracteres que utilice, es sorprendentemente elevada. Por ejemplo, si tan sólo se usan números, en el primer caso, el tiempo medio es de tres semanas, mientras que en el segundo es de diez meses.
Por otro lado, si empleamos todo tipo de caracteres, una contraseña de 17 caracteres tardaría 95 trillones de años y una de 18 caracteres 6 quintillones de años. Como nadie vive tanto, consideramos que bastaría con utilizar una clave de al menos 11 caracteres que incluya números, minúsculas, mayúsculas y símbolos, ya que su averiguación llevaría 356 años; y, en cualquier caso, hay tiempo de sobra para cambiarla.
No obstante, para la firma de ciberseguridad, esto no es suficiente. Recomiendan utilizar una contraseña con al menos 15 caracteres, dos letras (mayúsculas y minúsculas), números y símbolos y evitar patrones predecibles. Además de esto, es conveniente cambiar la contraseña en un periodo de entre tres y seis meses. Por último, aconsejan no usar la misma contraseña en todas las cuentas, ya que si es descubierta podría ser fatal.
