50% de las contraseñas pueden hackearse


Pese a que la mayor parte de la población ya está advertida ante los riesgos de una contraseña fácilmente predecible o vulnerable, los internautas siguen desafiando a la suerte sin reforzar sus passwords. Los hackeos siempre ocurren a los demás, por lo que no hay prisa para complicar los sistemas de accesos. Por todo lo anterior, abundan los números de teléfono, las fechas de cumpleaños de los familiares más allegados, el nombre de hijos, sobrinos o mascotas o una mezcla de todo lo anterior con números y símbolos sencillos.

Para mayores males, la combinación de caracteres elegidos es idéntica en multitud de sitios web, sin actualizarlos durante meses. Todo lo anterior facilita la tarea a los amigos de lo ajeno, también provistos de listados hackeados con contraseñas de millones de usuarios. Por si no fuera suficiente lo descrito, en los últimos meses se suman las capacidades de la inteligencia artificial, una tecnología capaz para poner al descubierto todos los blindajes de forma instantánea o en pocos minutos, en función del tipo de contraseña.

La empresa Home Security Heroes, especializada en ciberseguridad, asegura en su página web que ha utilizado una Inteligencia Artificial para descifrar 15.600.000 contraseñas comunes y averiguar cuánto tardará esta tecnología en descifrar la contraseña. De hecho, y a través del nuevo descifrador de contraseñas PassGAN (password generative adversarial network), el sitio invita a los usuarios a teclear un password aleatorio para conocer el tiempo que ocupará a los ordenadores en ponerlo al descubierto. Un estudio de la misma firma asegura que la mayoría de las contraseñas (el 51%) utiliza palabras sencillas se pueden conocer en menos de un minuto. De la misma forma, el 65% de los passwords (con mayor complejidad que los anteriores) pueden descifrarse en menos de una hora. El 71% de las mismas contraseñas pueden hackearse en un día, mientras que el 81% de las contraseñas requeriría el trabajo de un mes. De todo lo anterior se desprende que sólo la quinta parte de las contraseñas ofrece un nivel de robustez confiable. Por su parte, PassGAN no ejecuta contraseñas filtradas en sitios webs, sino que es capaz de «aprender de forma autónoma la distribución de contraseñas reales a partir de filtraciones».

Marc Rivero, Senior Security Researcher de Kaspersky, considera que la «Inteligencia Artificial puede ser utilizada para descubrir contraseñas de diversas formas, como a través de ataques de fuerza bruta, entrenando las redes neuronales artificiales para automatizar este proceso; mediante algoritmos de aprendizaje automático para adivinar patrones en las contraseñas; o con ataques de phishing. Los riesgos asociados están principalmente relacionados con la seguridad de la información personal. Por ello, es importante que los usuarios utilicen contraseñas seguras y complejas que sean difíciles de adivinar, además de habilitar autenticación de dos factores siempre que sea posible».

Sobre la aplicación de Inteligencia Artificial para la obtención de contraseñas, Konstantin Berlin, director de AI de Sophos, señala que «se ha explorado anteriormente el uso de plataformas con IA que se utilizan para descifrar contraseñas, denominadas GANs, y últimamente se ha probado con modelos de lenguaje de gran tamaño, denominados LLMS, pero no queda clara la relevancia de estos métodos, porque no aclaran, y es muy importante, cómo se comportan una vez que pasas de las contraseñas fáciles que la mayoría de los métodos pueden adivinar. Una vez pasas esa línea llegas a los generadores de contraseñas que las crean aleatoriamente y ahí tienes la misma suerte adivinándolas como si quisieras adivinar una clave de cifrado. Solo lo generado aleatoriamente por estas combinaciones superará las suposiciones «inteligentes» o que se obtengan con IA. Los métodos de redes neuronales de IA requieren mucha más computación para generar una muestra, por lo que no está claro cuál es el equilibrio entre los costes de computación para educar una IA y las contraseñas reales que se descifran en la práctica».

NordPass, firma de gestión de contraseñas, ha realizado una investigación donde refleja que los empleados de las mayores empresas del mundo utilizan contraseñas terriblemente débiles. Entre los 20 sectores investigados, «123456» y «password» («contraseña» o «contraseña» entre los usuarios españoles) volvieron a encabezar las listas. Además, casi un tercio (32%) «de las contraseñas de las empresas más ricas hacen referencia a la propia compañía, por ejemplo, el nombre de la empresa, parte de ella, el dominio de correo electrónico o el producto de la empresa. Contraseñas como «dummies», «vacation» y «sexy4sho» también aparecen en las listas. Por sectores, «Dummies» aparece entre las contraseñas más comunes del sector de los bienes de consumo, mientras que las contraseñas «vacation» y «ready2go» figuran entre las elecciones más populares del sector financiero. En el sector de las telecomunicaciones, las diez más utilizadas son: 123456, password, password1, abc123, 123456789, unknown, 12345, myspace1, god y 123456a. Los expertos de NordPass recomiendan que la contraseña incluya, al menos, 20 caracteres que combinen mayúsculas y minúsculas, números y caracteres especiales.

Entre las contraseñas más hackeadas en las últimas semanas sobresalen las incorporadas en Twitter tras la reciente eliminación del sistema de autenticación de doble factor (2FA) vía SMS para todos sus usuarios, excepto aquellos que acceden al pago de distintivo de verificación. Tras la desaparición de este elemento de seguridad, fuentes de Eset proponen el uso de aplicaciones dedicadas a la autenticación en los dispositivos, como Microsoft Authenticator o Google Authenticator, «que proporcionan una seguridad muy sólida y ofrecen más flexibilidad que el sistema de verificación mediante hardware. Las aplicaciones de autenticación generan un código de un solo uso que se utiliza para confirmar la identidad al iniciar sesión en sitios webs y aplicaciones.. La ventaja es que, en lugar de recibir un código por mensaje de texto, el código aparece en la aplicación y está vinculado directamente al dispositivo, en lugar de a un número de teléfono. De este modo, se complica significativamente el trabajo de los ciberdelincuentes a la hora de intentar leer o robar el código».

Texto original: El Economista

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.