Expertos de Kaspersky advierten que los modelos de inteligencia artificial como ChatGPT, DeepSeek o Llama tienden a repetir patrones, lo que facilita que los ciberdelincuentes descifren las contrase\u00f1as generadas con estas herramientas.<\/p>\n\n\n\n
En la era digital, las contrase\u00f1as siguen siendo la primera l\u00ednea de defensa para proteger nuestras cuentas y datos. En un estudio hecho por los expertos de Kaspersky<\/a> sobre la falta de confiabilidad de las contrase\u00f1as creadas con ayuda de grandes modelos de lenguaje (ChatGPT, Llama, DeepSeek), se encontr\u00f3 que dichas claves a menudo tienen ciertos patrones que las hacen vulnerables a la pirater\u00eda y a medida que crece la cantidad de servicios y aplicaciones que las requieren, tambi\u00e9n aumenta el riesgo de malas pr\u00e1cticas, como la reutilizaci\u00f3n de claves o la elecci\u00f3n de combinaciones d\u00e9biles.<\/p>\n\n\n\n La gesti\u00f3n de contrase\u00f1as se ha vuelto tan compleja que muchas personas han empezado a usar estos modelos (LLM, por sus siglas en ingl\u00e9s), como los mencionados anteriormente, para generar contrase\u00f1as que aparentan ser seguras. Pero esta soluci\u00f3n, lejos de ser infalible, puede generar una falsa sensaci\u00f3n de protecci\u00f3n.<\/p>\n\n\n\n Las contrase\u00f1as creadas por LLM tienden a seguir patrones ling\u00fc\u00edsticos reconocibles, lo que podr\u00eda facilitar su descifrado por parte de atacantes que utilizan herramientas similares para predecir o replicar combinaciones. Adem\u00e1s, si una de estas contrase\u00f1as cae en manos equivocadas, su reutilizaci\u00f3n en m\u00faltiples plataformas multiplica el riesgo de un ataque masivo.<\/p>\n\n\n\n Alexey Antonov, l\u00edder del equipo de Ciencia de Datos en Kaspersky, hizo una prueba y gener\u00f3 mil contrase\u00f1as usando algunos de los LLMs m\u00e1s fiables, incluidos ChatGPT (de OpenAI), Llama (modelo del grupo Meta) y DeepSeek (nuevo en China). \u201cTodos los modelos saben que una buena contrase\u00f1a debe consistir en al menos 12 caracteres, incluidos letras may\u00fasculas y min\u00fasculas, n\u00fameros y s\u00edmbolos.<\/p>\n\n\n\n \u201cDeepSeek y Llama a veces generaban contrase\u00f1as compuestas por palabras del diccionario, en las cuales, en lugar de algunas letras, hab\u00eda n\u00fameros de forma similar: S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Llama). Ambos modelos tienden a generar la contrase\u00f1a ‘password’: P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). No hace falta decir que dichas contrase\u00f1as no son seguras\u201d, agrega Antonov.<\/p>\n\n\n\n Por su parte, ChatGPT no sufre de este problema y genera contrase\u00f1as que parecen aleatorias. Por ejemplo: \u2022 qLUx@^9Wp#YZ \u2022 LU#@^9WpYqxZ \u2022 YLU@x#Wp9q^Z \u2022 YLp^9W#qX@zv \u2022 P@zq^XWLY#v9 \u2022 v#@LqYXW^9pz \u2022 X@9pYWq^#Lzv Sin embargo, si se observa detenidamente, se pueden ver patrones. Por ejemplo, el n\u00famero 9 aparece con frecuencia.<\/p>\n\n\n\n Para que las contrase\u00f1as sean lo m\u00e1s seguras posible, todos los s\u00edmbolos deber\u00edan aparecer aproximadamente la misma cantidad de veces. Adem\u00e1s, los algoritmos a menudo no insertaban un car\u00e1cter especial o d\u00edgitos en la contrase\u00f1a: el 26% de las contrase\u00f1as para ChatGPT, el 32% para Llama y el 29% para DeepSeek. Asimismo, DeepSeek y Llama a veces generaban contrase\u00f1as m\u00e1s cortas de 12 caracteres.<\/p>\n\n\n\n Sabiendo esto, los ciberdelincuentes pueden acelerar significativamente el proceso de prueba de contrase\u00f1as por fuerza bruta: es decir, en lugar de probar en orden \u201caaa\u201d, \u201caab\u201d, \u201caac\u201d, … \u201caba\u201d, \u201cabb\u201d, \u201cabc\u201d, … \u201czzz\u201d, podr\u00edan empezar con combinaciones frecuentes.<\/p>\n\n\n\n En 2024, el experto de Kaspersky desarroll\u00f3 un algoritmo de aprendizaje autom\u00e1tico para probar la fortaleza de las contrase\u00f1as y descubri\u00f3 que casi el 60% de las contrase\u00f1as pueden ser descifradas en menos de una hora usando GPUs modernas o herramientas de descifrado basadas en la nube. Cuando se aplic\u00f3 a las contrase\u00f1as generadas por IA, los resultados fueron alarmantes, ya que eran mucho menos seguras de lo que parec\u00edan: el 88% de las contrase\u00f1as generadas por DeepSeek y el 87% de las generadas por Llama no eran lo suficientemente fuertes como para resistir un ataque de ciberdelincuentes sofisticados. El porcentaje se reduc\u00eda hasta el 33% en el caso de Chat GPT.<\/p>\n\n\n\n \u201cEl problema es que los LLM no crean una aleatoriedad verdadera. En su lugar, imitan patrones de datos existentes, lo que hace que sus resultados sean predecibles para los atacantes que entienden c\u00f3mo funcionan estos modelos\u201d, se\u00f1ala Antonov.<\/p>\n\n\n\n En lugar de depender de la IA, los expertos de Kaspersky recomiendan a los usuarios utilizar software espec\u00edficamente dise\u00f1ado para la gesti\u00f3n de contrase\u00f1as, como Kaspersky Password Manager<\/a>. Estas herramientas ofrecen varias ventajas clave:<\/p>\n\n\n\n -En primer lugar, este tipo de software utiliza generadores criptogr\u00e1ficamente seguros para crear contrase\u00f1as sin patrones detectables, lo que garantiza una verdadera aleatoriedad.<\/p>\n\n\n\n -En segundo lugar, todas las credenciales se almacenan en una b\u00f3veda segura, protegida por una \u00fanica contrase\u00f1a maestra. Esto elimina la necesidad de recordar cientos de contrase\u00f1as mientras las mantiene a salvo de las filtraciones.<\/p>\n\n\n\n -Adem\u00e1s, los gestores de contrase\u00f1as proporcionan autocompletado y sincronizaci\u00f3n a trav\u00e9s de dispositivos, agilizando los inicios de sesi\u00f3n sin comprometer la seguridad. Muchos tambi\u00e9n incluyen monitoreo de brechas, alertando a los usuarios si sus credenciales aparecen en una filtraci\u00f3n de datos.<\/p>\n\n\n\n -Aunque la IA puede asistir en muchas tareas, la generaci\u00f3n de contrase\u00f1as no es una de ellas. Los patrones y la previsibilidad de las contrase\u00f1as creadas por LLM las hacen vulnerables a ser descifradas. En lugar de tomar atajos, invierte en un gestor de contrase\u00f1as fiable. En una era donde las filtraciones de datos son frecuentes, una contrase\u00f1a fuerte y \u00fanica para cada cuenta es imprescindible.<\/p>\n\n\n\n