Revelan el tiempo que tarda un ciberdelincuente en adivinar tu contraseña

Horas o minutos. Ese es el rango de tiempo en el que un ciberdelincuente puede saber la contraseña con la que proteges alguna de tus cuentas personales. Gran parte de este promedio se da por la fragilidad de las claves de los usuarios, más allá de las capacidades de los atacantes para realizar todo el proceso.

Un estudio de Kaspersky, llevado a cabo en junio de 2024, reveló que las contraseñas actuales no son lo suficientemente fuertes y pueden ser descifradas en cuestión de minutos. Este informe, que analizó 193 millones de contraseñas comprometidas y disponibles en la darknet, demuestra la importancia de saber usar este tipo de sistema de seguridad y de crear claves complejas para proteger realmente nuestra información personal.

Para establecer el tiempo promedio, en el estudio utilizaron varias técnicas de ataque para evaluar la resistencia de las contraseñas, entre ellas estaban los ataques de fuerza bruta, Zxcvbn (una herramienta para evaluar la seguridad de las claves) y algoritmos de adivinanza inteligente. Los resultados fueron los siguientes:

• El 45% de las contraseñas analizadas pueden ser adivinadas en menos de un minuto.
• El 14% adicional puede ser descifrado en un tiempo que varía de un minuto a una hora.
• El 8% toma de una hora a un día para ser vulnerado.
• El 6% puede ser descifrado en un plazo de uno a treinta días.
• El 4% requiere de un mes a un año para ser adivinado.

Estos datos indican que, en total, el 59% de las contraseñas pueden ser descifradas en menos de una hora. Solo un 23% de las contraseñas analizadas son consideradas resistentes, es decir, que tomarían más de un año en ser comprometidas.

El estudio también desglosó la composición de las contraseñas, revelando que la mayoría de ellas contiene elementos que las hacen más vulnerables a ser adivinadas. Por ejemplo:

• El 57% de las contraseñas contienen una palabra del diccionario, lo que reduce significativamente su seguridad.
• Nombres comunes como “hmed”, “nguyen”, “kumar”, “kevin” y “daniel” son frecuentemente utilizados.
• Palabras populares como “forever” (siempre), “love” (amor), “google”, “hacker” y “gamer” (jugador) son comunes.
• Contraseñas estándar como “password” (contraseña), “qwerty12345″, “admin” (administrador), “12345″ y “team” (equipo) también aparecen con frecuencia.

A pesar de que algunas contraseñas contienen una combinación de letras minúsculas y mayúsculas, números y símbolos, solo el 19% de ellas cumplen con los elementos básicos para ser consideradas robustas. Sin embargo, incluso entre estas, el 39% puede ser adivinado en menos de una hora utilizando algoritmos inteligentes que tienen en cuenta la sustitución de caracteres y secuencias populares.

Además, la investigación también destaca que los atacantes no necesitan equipos costosos ni conocimientos profundos para descifrar contraseñas. Por ejemplo, un potente procesador de ordenador portátil puede encontrar la combinación correcta para una contraseña de 8 letras minúsculas o dígitos utilizando la fuerza bruta en solo siete minutos. Las tarjetas de vídeo actuales pueden hacer lo mismo en apenas 17 segundos.

• Usar gestores de contraseñas: es casi imposible memorizar contraseñas largas y únicas para todos los servicios que utilizamos. Un gestor de contraseñas permite almacenar de forma segura grandes volúmenes de datos, requiriendo solo la memorización de una clave maestra.
• Contraseñas únicas para cada servicio: utilizar una contraseña diferente para cada servicio es fundamental. Así, si una cuenta es comprometida, las demás permanecen seguras.

• Palabras inesperadas: aunque utilices palabras comunes, organizarlas en un orden inusual y asegurarte de que no estén relacionadas puede aumentar la seguridad. Además, hay servicios en línea que pueden ayudar a verificar si una contraseña es lo suficientemente fuerte.
• Evitar información personal: no utilizar información personal como fechas de nacimiento, nombres de familiares, mascotas o tu propio nombre en las contraseñas. Estos son los primeros intentos de los atacantes.
• Autenticación de doble factor (2FA): aunque no está directamente relacionada con la seguridad de las contraseñas, activar la 2FA añade una capa adicional de seguridad. Incluso si alguien descubre tu contraseña, aún necesitaría una segunda forma de verificación para acceder a tu cuenta.