Hay muchos buenos consejos para crear una buena contraseña, pero seamos sinceros, la mayoría de los internautas no los sigue. Es mucho más sencillo poner una palabra fácil de recordar, o una fecha que sea significativa para nosotros.
[Esta IA ha sido creada con el propósito de destruir a la humanidad]
Si las últimas filtraciones no te han convencido de cambiar esas costumbres, puede que los nuevos tipos de ataques basados en Inteligencia Artificial lo hagan; o puede que sea justo lo que necesitábamos para decir adiós a las contraseñas de una vez por todas.
Usando IA para ‘crackear’ contraseñas
Investigadores de Home Security Heroes han descubierto que es posible usar IA para averiguar contraseñas, y que el proceso es mucho más rápido que los métodos habituales para ‘crackearlas’ por la fuerza.
La clave está en el uso de modelos de aprendizaje automático basados en una gran cantidad de datos, a partir de los cuales puede obtener las soluciones más probables. En este caso en concreto, obtener esos datos es muy sencillo por la cantidad de filtraciones de contraseñas que se han producido en los últimos años. Para el estudio, los investigadores se basaron en los 32 millones de contraseñas del servicio RockYou, filtradas por un ataque hacker en el 2009, pero existen filtraciones mucho más recientes y grandes.
Los investigadores entrenaron a una IA usando esas contraseñas usando PassGAN, un generador de contraseñas basado en dos redes neuronales que se ‘enfrentan’ para obtener el mejor resultado. En concreto, una red neuronal se encarga de generar contraseñas que sean parecidas a las filtradas y la otra las analiza para comprobar si serían válidas para un ataque.
Los resultados fueron sorprendentes. Los investigadores comprobaron que la IA fue capaz de ‘crackear’ el 51% de las contraseñas más usadas en menos de un minuto; para obtener el 65% de las contraseñas tardó menos de una hora, un día para el 71%, y menos de un mes para obtener el 81% de las contraseñas. Y si la contraseña tiene seis caracteres o menos, la resuelve de manera instantánea.
Por lo tanto, si tu contraseña es muy común (como palabras simples o combinaciones populares), la IA la encontrará sin dificultades; pero incluso si usas una contraseña difícil no estás a salvo, es sólo que, por ahora, la IA tardará algo más. De hecho, los investigadores a continuación probaron con contraseñas creadas siguiendo las mejores prácticas, incluyendo letras en mayúsculas y minúsculas, números y símbolos, y aún así la IA la pudo obtener en menos de seis minutos.
La recomendación de los expertos es alargar la longitud de las contraseñas a hasta los 15 caracteres, e incluir variaciones de letras en mayúsculas y minúsculas, símbolos y números; en ese caso, la IA necesitaría miles de años para resolver la contraseña. También recomiendan cambiar la contraseña a menudo y evitar usar la misma en diferentes cuentas.
Sin embargo, al ritmo al que está avanzando esta tecnología, cabe preguntarse si no es el momento de abandonar completamente las contraseñas, usando métodos alternativos como las llaves USB.