Cuánto tiempo le toma a un hacker robar tu contraseña

Con el avance imparable de la tecnología, el debate sobre la seguridad de las contraseñas cobra cada vez más relevancia. El análisis de los métodos de protección más utilizados y su resistencia frente a intentos de violación ha llevado a la creación de herramientas como la Tabla de Contraseñas de la empresa de ciberseguridad Hive Systems, que en su última versión, la 2024, incorporó cambios importantes.

Desde su creación en 2020, la Tabla de Contraseñas se convirtió en una referencia esencial para entender el tiempo necesario para vulnerar contraseñas mediante ataques de fuerza bruta, cuando los hackers prueban todas las combinaciones posibles con la esperanza de adivinar la combinación correcta.

• Solo números o solo minúsculas.
• Tiempo de descifrado: instantáneo a segundos o minutos (hasta 10 caracteres).
• Estas contraseñas son extremadamente fáciles de hackear, incluso con una longitud considerable. No son seguras.

• Mayúsculas y minúsculas, o combinaciones básicas.
• Tiempo de descifrado:
  • Con 8 caracteres: meses a años.
  • Con 9-10 caracteres: décadas a miles de años.
• Ofrecen una mejora en seguridad, pero siguen siendo vulnerables si tienen menos de 10 caracteres.

• Números, mayúsculas, minúsculas y símbolos.
• Tiempo de descifrado:
  • Con 12 caracteres: años a millones de años.
  • Con 14 caracteres: miles de millones de años.
• Estas contraseñas son muy seguras a partir de los 12 caracteres.

• Números, mayúsculas, minúsculas y símbolos, con 16+ caracteres.
• Tiempo de descifrado: desde billones hasta trillones de años.
• Estas contraseñas son prácticamente imposibles de descifrar con ataques de fuerza bruta.

1. Menos de 8 caracteres (cualquier combinación): inseguras, fáciles de descifrar.
2. 8-10 caracteres: moderadamente seguras si combinan números, letras y símbolos.
3. 12-14 caracteres: muy seguras si son complejas (mezcla de letras, números y símbolos).
4. 16+ caracteres: practicamente invulnerables si usan combinaciones complejas.

Recomendación: usa contraseñas de 12 o más caracteres con una mezcla de números, letras y símbolos para máxima seguridad.

En 2020, los expertes de Hive Systems utilizaron para el análisis contraseñas protegidas con el algoritmo MD5 y un hardware modesto: una sola tarjeta gráfica RTX 2080. Sin embargo, para 2024, los avances tecnológicos obligaron a actualizar tanto el hardware como los métodos de protección. Actualmente, se emplean 12 GPUs RTX 4090 para medir el tiempo necesario para quebrar contraseñas protegidas con bcrypt, configurado a 32 iteraciones.

Según la información del sitio oficial Hive Systems, bcrypt es preferido en entornos reales por su resistencia frente a ataques, a pesar de no ser necesariamente el estándar recomendado por organizaciones como OWASP.

Un punto clave es el cambio en el panorama de los algoritmos utilizados. Aunque MD5 dominó durante años, bcrypt ganó protagonismo en violaciones de seguridad recientes, como las observadas en brechas de Dropbox y Ethereum. Esto destaca la necesidad de que las organizaciones adopten métodos más robustos para proteger las credenciales de sus usuarios.

El aumento en la potencia de cálculo, principalmente gracias al desarrollo de GPUs de alto rendimiento, ha transformado el panorama de los ataques de fuerza bruta. Programas como Hashcat permiten a los expertos medir el rendimiento de distintos algoritmos y configuraciones, proporcionando datos valiosos sobre el tiempo necesario para quebrar una contraseña en función de su complejidad y longitud.

Por ejemplo, mientras una contraseña de ocho caracteres protegida por MD5 puede ser vulnerada en cuestión de minutos con hardware avanzado, el uso de bcrypt con configuraciones adecuadas extiende ese tiempo a años, incluso en condiciones ideales para los atacantes. Según los datos presentados, una contraseña aleatoria de ocho caracteres protegida con bcrypt podría tardar hasta 12 años en ser quebrada con un presupuesto limitado, lo que ofrece un nivel considerable de seguridad.

Sin embargo, la tabla también pone de manifiesto los riesgos inherentes a contraseñas no aleatorias o reutilizadas. Si un atacante tiene acceso a bases de datos con contraseñas filtradas en el pasado, el tiempo necesario para vulnerarlas se reduce drásticamente mediante el uso de ataques de diccionario o tablas arcoíris.

1. Contraseñas largas y aleatorias: las contraseñas deben ser lo más largas y complejas posible, utilizando combinaciones de letras, números y caracteres especiales aceptados por la mayoría de los sitios web.
2. Gestores de contraseñas: herramientas como LastPass, Bitwarden y 1Password facilitan la creación y el almacenamiento de contraseñas robustas. Aunque estos gestores no están exentos de riesgos, su uso correctamente implementado puede ser más seguro que depender de contraseñas simples o reutilizadas.
3. Evitar la reutilización de contraseñas: si una contraseña reutilizada ha sido parte de una brecha anterior, los atacantes tienen un punto de entrada inmediato a múltiples cuentas.
4. Activar la autenticación multifactor (MFA): este mecanismo añade una capa de seguridad al requerir un segundo factor de autenticación, como un código enviado al teléfono móvil.
5. Actualizar configuraciones de seguridad: las organizaciones deben adoptar estándares robustos para proteger las contraseñas, como PBKDF2 con SHA-256 y configuraciones superiores a las mínimas recomendadas por organismos como NIST.