El mundo de las contraseñas tiene sus días contados. Sin embargo, mientras diversos especialistas en ciberseguridad ya apuestan por otros métodos de logueo como las passkeys, los passwords siguen siendo el estándar a la hora de iniciar sesión. Y un nuevo estudio tomó un muestreo que denota que el 59% de las claves usadas se pueden adivinar en menos de una hora.
Tomando 193 millones de contraseñas, Kaspersky, empresa especializada en ciberseguridad con base en Rusia, detectó claves vulnerables a diversas técnicas de ataque, desde fuerza bruta (probar repetidamente distintas claves) hasta otras más sofisticadas. Todas con el mismo resultado: el robo de una contraseña para suplantar identidad, robar activos o cometer distintos tipos de ciberdelitos.
“La telemetría de Kaspersky revela más de 32 millones de intentos de atacar a usuarios con programas de robo de contraseñas en 2023. Estas cifras muestran la importancia de la higiene digital y de políticas de contraseñas adecuadas. En junio de 2024, Kaspersky analizó 193 millones de contraseñas encontradas en varios recursos de la darknet. Estos resultados demuestran que la mayoría de las contraseñas revisadas no eran lo suficientemente fuertes y podían ser fácilmente comprometidas usando algoritmos de adivinanza inteligente. Los analistas indican además la rapidez con la que los ciberataques permiten obtener las contraseñas”, explicó la empresa.
Acá, estadísticas y consejos para no ser vulnerados.
Claves fáciles de adivinar
De esos 32 millones de intentos, estas son las estadísticas para adivinar las passwords:
- El 45% (87 millones) en menos de 1 minuto.
- El 14% (27 millones) de 1 minuto a 1 hora.
- El 8% (15 millones) de 1 hora a 1 día.
- El 6% (12 millones) de 1 día a 1 mes.
- El 4% (8 millones) de 1 mes a 1 año.
Cuando se dice “adivinar”, hay que aclarar: no se trata de un usuario probando manualmente clave por clave, sino de ataques automatizados con distintos métodos. Y es que la inteligencia artificial y la automatización no es algo aprovechado sólo por quienes quieren hacer un uso legítimo de estas herramientas.
Así lo explica la empresa: “Los atacantes no requieren conocimientos profundos ni equipos costosos para descifrar contraseñas. Por ejemplo, un potente procesador de ordenador portátil es capaz de encontrar la combinación correcta para una contraseña de 8 letras minúsculas o dígitos utilizando la fuerza bruta en sólo siete minutos, y las tarjetas de vídeo actuales, en 17 segundos. Además, los algoritmos inteligentes para adivinar contraseñas tienen en cuenta la sustitución de caracteres («e» por «3», «1» por «!» o «a» por «@») y secuencias populares («qwerty», «12345», «asdfg»)”.
“Los expertos identificaron que solo el 23% de las contraseñas resultaron ser resistentes (44 millones), puesto que comprometerlas les llevaría más de un año. Además, la mayoría de las contraseñas examinadas (57%) contiene una palabra del diccionario, lo que reduce significativamente su seguridad”, explica el estudio.
ntre las claves más repetidas, se encontraron palabras populares como “forever” (“siempre”), “love” (“amor”), “google”, “hacker”, “gamer” (“jugador”), y las contraseñas estándar más detectadas fueron “password” (“contraseña”), “qwerty12345”, “admin” (“administrador”), «12345», “team” (“equipo”).
“En este sentido, el análisis mostró que solo el 19% de todas las contraseñas contienen los elementos básicos para conseguir una combinación robusta: una palabra que no esté en el diccionario y una combinación de letras minúsculas y mayúsculas, así como números y símbolos. A su vez, el estudio reveló que el 39% de estas contraseñas también podrían ser adivinadas en menos de una hora usando algoritmos inteligentes”, agrega Kaspersky.
“Inconscientemente, los seres humanos crean contraseñas ‘humanas’: contienen las palabras del diccionario en su lengua materna, con nombres y números. Incluso las combinaciones aparentemente fuertes rara vez son completamente aleatorias, por lo que pueden ser adivinadas por algoritmos. Por ello, la solución más fiable es generar una contraseña completamente aleatoria, utilizando gestores de contraseñas actuales y fiables. Estas aplicaciones pueden almacenar de forma segura grandes volúmenes de datos, proporcionando una protección integral y sólida de la información del usuario”, apunta Yuliya Novikova, responsable de Inteligencia de Huella Digital de Kaspersky.
Consejos para no ser vulnerados
Para evitar ser hackeados se pueden tomar en cuenta los siguientes consejos:
- Es casi imposible memorizar contraseñas largas y únicas para todos los servicios que utilizas, pero con un gestor de contraseñas solo tendrás que memorizar una clave maestra.
- Utilizar una contraseña diferente para cada servicio. De esa manera, incluso si roban una de tus cuentas, el resto no correrá la misma suerte.
- Las contraseñas pueden ser más seguras cuando se utilizan palabras inesperadas. Incluso si usas palabras comunes, puedes organizarlas en un orden inusual y asegurarte de que no estén relacionadas. También hay servicios en línea que te ayudarán a verificar si una contraseña es lo suficientemente fuerte.
- Es mejor no usar contraseñas que puedan adivinarse fácilmente a partir de tu información personal, como fechas de nacimiento, nombres de familiares, mascotas o tu propio nombre. Estos suelen ser los primeros intentos de los atacantes.
- Habilita la autenticación de doble factor (2FA). Aunque no está directamente relacionada con la seguridad de las contraseñas, activar el 2FA añade una capa adicional de seguridad. Incluso si alguien descubre tu contraseña, aún necesitarían una segunda forma de verificación para acceder a tu cuenta. Los gestores de contraseñas actuales almacenan claves 2FA y las aseguran con los últimos algoritmos de cifrado.