Una Inteligencia artificial (IA) es capaz de descifrar el 51% de las contraseñas comunes en menos de un minuto, siendo las credenciales de más de 18 caracteres las que generalmente son más seguras contra los ‘crackers’.
La compañía de ciberseguridad Home Security Heroes ha realizado un estudio para conocer cuánto tiempo tarda el descifrador de contraseñas PassGAN en conocer las credenciales de los usuarios según el número de caracteres, de números y de símbolos, así como la combinación de todos ellos.
PassGAN -que proviene de la abreviación de ‘Password’ y Generative Adversarial Networks- es una herramienta que utiliza la red adversa generativa (GAN) para aprender de forma autónoma la distribución de contraseñas reales a partir de filtraciones de credenciales que ya existen.
Este sistema dista de las habituales herramientas modernas de adivinación de contraseñas porque se ejecuta en una red neuronal, esto es, un sistema que entrena máquinas para interpretar y analizar datos y aprovechar conocimientos adquiridos para crear nuevas contraseñas de muestra.
Para conocer la eficacia de PassGAN, la compañía de ciberseguridad ha analizado una muestra de 15 millones 680 mil contraseñas comunes del conjunto de datos de Rockyou, excluyendo aquellas que superan los 18 caracteres o que no alcanzan los cuatro caracteres en total.
Las claves con más de 18 caracteres, sin embargo, son generalmente más seguras contra los ‘crackers’ de contraseñas de IA, puesto que PassGAN tarda al menos diez meses en descifrar aquellas que contienen solo números.
El tiempo que necesita esta solución para conocer contraseñas que contienen símbolos, números y letras (mayúsculas y minúsculas), en cambio, se amplía a seis trillones de años, según sus cálculos.
Así, ha determinado que el 51% de las contraseñas comunes se pueden descifrar en menos de un minuto, el 65% de ellas en menos de una hora y el 71% de ellas, en menos de 24 horas. Asimismo, se tarda un mes en descifrar el 81% de las credenciales.
A grandes rasgos, esta herramienta tarda menos de seis minutos en descifrar cualquier tipo de contraseña con siete caracteres, incluso si esta contiene símbolos.
Home Security Heroes ha señalado que las contraseñas compuestas por solo números son más fáciles de descifrar que las que incluyen letras y símbolos, hasta el punto de que las que incluyen hasta once números.
A partir de la decimosegunda cifra, los ciberdelincuentes emplean 25 segundos en conocerla, llegando a tres minutos con un número más, 36 minutos cuando se trata de 14 cifras y 5 horas cuando se trata de una contraseña de 15 cifras.
La IA también tiene facilidad para conocer las credenciales escritas solo con letras minúsculas, ya que las sabe de forma instantánea cuando tienen siete o menos letras. A partir de la octava, tarda tres segundos más, un minuto a partir de la novena y una hora a partir de la décima.
La combinación de letras mayúsculas y minúsculas, así como la que integra números también es más completa para PassGAN, ya que solo las acierta instantáneamente hasta un total de seis caracteres. Si se introducen símbolos, en cambio, conoce las contraseñas de forma inmediata con hasta cinco caracteres.
¿Cómo proteger las contraseñas?
Desde Home Security Heroes recuerdan que cuanto más segura sea una contraseña, menor será la probabilidad de que ciberdelincuentes o los sistemas de IA puedan descubrirla; una seguridad que en muchas ocasiones depende de la longitud de las credenciales.
En este sentido, la compañía de ciberseguridad propone no utilizar menos de 15 caracteres, tener al menos dos letras (mayúsculas y minúsculas), así como números y símbolos, evitando en todo caso patrones de contraseña obvios.
Con ello, destaca que es recomendable cambiar la contraseña cada tres o seis meses y que siempre se deebe modificar cuando exista la duda de que alguien ha accedido a estas cuentas de forma no autorizada.