Contraseña de 6 caracteres podría ser descifrada en menos de un segundo: ¿Qué tan segura es la tuya?

Pero, a diferencia de las llaves físicas que llevamos pegadas a nuestro cuerpo para que no se pierdan, las contraseñas de Internet pueden ser descifradas con mayor o menor facilidad dependiendo de qué tan seguras sean. Esta situación se agrava por el hecho que en la actualidad consumimos cada vez más aplicaciones, plataformas o sitios web que requieren de un código de autentificación para ingresar. Son herramientas que sirven para evitar que cualquier tercero ingrese a nuestro correo, cuenta de Instagram, cuenta de Netflix o aplicación bancaria sin autorización.

LEE TAMBIÉN: Una IA podría descifrar tu contraseña de forma instantánea: ¿es suficiente para que nuestras cuentas estén en peligro?

El problema es que una contraseña que no cumpla los requerimientos mínimos para ser segura podría descifrarse fácilmente. Por ejemplo, ¿sabías que si tu contraseña tiene solo seis caracteres tomaría menos de un segundo descifrarla, incluso si incluye minúsculas, mayúsculas y números? Si además utilizas un símbolo, aun así, solo tardará cinco segundos en ser descubierta. Si a esa misma contraseña le añades dos caracteres más, es decir ocho en total, a un cibercriminal le tomaría un promedio de ocho horas en descifrarla. Todas estas estimaciones están basadas en la herramienta “How Secure Is My Password?” de Security.org, que identifica que tan fuerte o débil es una contraseña.

Los riesgos de tener una contraseña débil

No hay que ser demasiado hábil para entender los riegos de que una contraseña sea descubierta. Si el ladrón tiene la llave de la casa, podrá entrar sin problemas y cometer cualquier fechoría. Quizás no nos preocupe tanto que roben la contraseña de nuestra cuenta de Amazon Prime o Spotify, sin embargo, los cibercriminales harán todo lo posible para obtener nuestra información personal que, luego, podría ser vendida en la Dark Web o utilizada con el propósito de crear campañas de ingeniería social más elaboradas con malwares u otro tipo de ataques.

En promedio, un usuario tiene 100 contraseñas, entre la clave de la tarjeta del banco, la clave de desbloqueo de la laptop o el celular, correos, plataformas de streaming y distintos sitios web. Recordarlas todas es una tarea compleja, por eso muchas veces repetimos la misma para más de una cuenta, algo que los expertos en seguridad desaconsejan. Lo ideal es tener una contraseña exclusiva para cada sitio o aplicación que usemos.

MIRA: Ciberdelincuentes utilizan los anuncios de Google para secuestrar datos con apps como ChatGPT o Zoom

Otro problema muy frecuente es que, como se nos complica recordar tantas combinaciones de letras, número y símbolos, en muchas ocasiones armamos contraseñas extremadamente fáciles de descubrir. Un informe de NordPass reveló que a nivel mundial las contraseñas más utilizadas son las nada creativas “password”, “12345″, “123456″ y “123456789″.

Ahora, quizás no es nuestro caso. De repente, pensamos que nuestras contraseñas son seguras, pero ¿qué tan cierto es? En el siguiente cuadro te lo mostramos. En él vemos, en caso de un ataque, cuánto tiempo tardarían en descifrarla.

Los cibercriminales están al acecho constante, intentando que sus víctimas muerdan el anzuelo. Para lograrlo, poseen una variedad de métodos.

“Existen diversos métodos como el de ‘fuerza bruta’ y ‘ataques de diccionario’, o bien técnicas de ingeniería social. Todos estos intentan ‘adivinar’ las contraseñas en base a patrones, y su efectividad dependerá estrictamente de que tan robusta sean nuestras contraseñas y si usamos capas de autenticación agregada o no. En este sentido, si alguien averigua nuestra contraseña, pero tenemos un segundo factor de autenticación, no podrá acceder a nuestro sistema”, señala Mario Micucci , investigador de seguridad informática de ESET, a El Comercio.

La expresión “fuerza bruta” en el contexto de la seguridad informática se refiere a los intentos de descubrir una o varias contraseñas que dan acceso a servicios en línea o archivos y mensajes cifrados. El atacante utiliza diferentes combinaciones de contraseñas mediante software, hardware, algoritmos y diccionarios de palabras hasta encontrar la correcta.

Mientras más potencia de hardware y software se posee, más fácil será descifrar contraseñas, sobre todo, si estás son débiles.

MIRA: “Haland Bolt Advíncula”, “Nene malo”, “Calma papi” y otros registros de líneas móviles vinculados al robo de identidad

En los “ataques de diccionario”, por ejemplo, el atacante intenta descubrir la contraseña probando todas las palabras posibles almacenadas en un diccionario. Las palabras utilizadas pueden ser de diferentes tipos, como nombres, lugares y otras combinaciones, muchas de las cuales se obtienen a partir de filtraciones previas, ya que los usuarios suelen utilizar contraseñas fáciles de recordar.

En el mundo de la tecnología, a pesar de que las grandes empresas atrás de las plataformas y aplicaciones más populares hagan todo lo posible por mantener la seguridad cibernética a rajatabla, la verdad es que a veces hay vulnerabilidades en sus sistemas que son explotados por hackers para obtener información de utilidad, es así como surgen las filtraciones de datos, en las que incluso se ven involucradas las contraseñas de los usuarios de determinado servicio.

Un atacante puede utilizar bases de datos de correos y contraseñas para lograr su objetivo mediante lo que se conoce como un “ataque de fuerza bruta inversa”. Aprovechando los millones de credenciales filtradas a lo largo del tiempo, el atacante prueba diferentes combinaciones de nombres de usuario y contraseñas en varios servicios en línea hasta encontrar una combinación que permita el acceso.

El especialista de ESET también menciona el phishing, la “vieja confiable de los ciberdelincuentes”. Esta es una técnica utilizada desde los inicios de Internet. Son mensajes – por correo electrónico, SMS o hasta redes sociales– creados por medio de técnicas de ingeniería social que se hacen pasar por alguna institución suplantando su identidad. De esta manera, los ciberdelincuentes pueden saber que somos clientes de un determinado banco, entonces crean un mensaje señalando que un extraño a intentado entrar a nuestras cuentas. El objetivo final es recabar la mayor cantidad de información posible, principalmente, número de tarjetas, usuarios y contraseñas.

Los ataques de phishing también pueden incluir un malware que se descarga en el equipo de la víctima y puede recopilar sus contraseñas con keyloggers sin que este se dé cuenta.

De acuerdo a Walter García de la Cruz, jefe de la Escuela de Tecnología de la información de Senati, “dependiendo del objetivo del atacante -sea una persona, empresa, activo crítico o equipo-, se utilizará un método específico. Esto puede implicar un seguimiento previo y el uso de ingeniería social, incluyendo el seguimiento lógico en redes sociales y físico para vulnerar la seguridad de una empresa. Por ejemplo, si se quiere atacar un activo crítico, los ciberdelincuentes se fijan hasta en el acceso físico a las instalaciones, donde se investiga si usan huellas digitales para ingresar a diversos ambientes o si simplemente la seguridad se da solo en la puerta y con un simple fotocheck”, señala.

“En mayo de 2021, Colonial Pipeline, la red de oleoductos más grande de EE. UU., sufrió un ataque de ransomware (Darkside) que resultó en un rescate de 5 millones de dólares y un estado de emergencia declarado por el presidente Joe Biden debido a la escasez de combustible en la costa este del país, ya que el oleoducto proporciona el 45% de su suministro”, agrega.

MIRA: ¿Por qué algunas apps no permiten eliminar nuestras cuentas y qué debemos hacer en estos casos?

Es muy probable que nos sintamos abrumados tan solo con el hecho de pensar que necesitamos memorizar tantas contraseñas largas. Sin embargo, existen herramientas de ciberseguridad que nos ayudan a sistematizar ese proceso, por ejemplo, los gestores de contraseña.

Los gestores de contraseñas son programas que generan y almacenan de manera segura contraseñas complejas y únicas para cada cuenta. De esta forma, se evita el uso de contraseñas sencillas y fáciles de adivinar, reduciendo así el riesgo de comprometer la seguridad de la información personal o empresarial.

“Son aplicaciones que a partir de una contraseña maestra nos permiten administrar nuestras contraseñas de los diversos servicios o plataformas que utilizamos, todo esto dentro de un entorno seguro y cifrado. Una facilidad que brindan es que ya no es necesario memorizar todas nuestras contraseñas, sino basta con solo saber la contraseña maestra. Muchos de estos gestores tienen la autenticación en dos pasos, lo cual brinda un mayor nivel de seguridad para proteger nuestra contraseña maestra”, comenta García de la Cruz a este Diario.

Como ya vimos, las contraseñas son la primera barrera de defensa ante las amenazas cibernéticas. Mientras más cortas y simples sean, serán más fáciles de vulnerar. Los atacantes incluso pueden valerse de inteligencia artificial para descubrir con mayor eficiencia los patrones de seguridad que utilizamos. Si el gestor de contraseñas no es una opción, aquí te explixamos cómo crear claves de seguridad más fuertes.

Por ello, Micucci comenta que contraseñas de seis caracteres son relativamente fáciles de descifrar y no ofrecen una seguridad adecuada para nuestras cuentas. Para protegernos, es importante utilizar contraseñas fuertes y seguras que sean difíciles de adivinar o descifrar. La gran pregunta es, ¿cuándo una contraseña se considera fiable?

“Utiliza, primero, una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Luego, debe tener al menos 12 caracteres de longitud. Cuanto más larga sea la contraseña, más difícil será descifrarla”, explica.

Además, el especialista recomienda evitar palabras comunes, nombres propios o fechas de nacimiento. Es preferible, en su lugar, una combinación aleatoria de caracteres que no estén relacionados.

“No uses la misma contraseña para múltiples cuentas en línea. Si un ciberdelincuente descubre una de tus contraseñas, todas tus cuentas estarán en riesgo”, puntualiza.

Discord

Finalmente, el investigador de ESET aconseja habilitar la autenticación de dos factores siempre que sea posible. Esto añadirá una capa adicional de seguridad a sus cuentas en línea y hará más difícil que los piratas informáticos accedan a ellas, incluso si logran descifrar nuestra contraseña.

MIRA: IBM presenta una nueva herramienta para proteger a los usuarios de ciberataques con IA

Si deseas verificar qué tan segura es tu contraseña y qué tan rápido podrías ser ‘hackeada’, puedes hacerlo desde la web de Security.org.

Si deseas chequear si tu contraseña ha sido filtrada puedes hacerlos desde pwned.