El problema es que los LLM no crean una aleatoriedad verdadera

Las contraseñas generadas por IA son más vulnerables de lo que parecen

©Bigstock

Actualizado 02 | 05 | 2025 11:38

Contraseñas generadas por IA

¿Cuántas contraseñas tienes? Podrían ser más de las que crees. La mayoría de los servicios y aplicaciones online piden al usuario que cree una contraseña. Lo más probable es que muchas de esas contraseñas no se usen a diario, y debido a esta cantidad, hay una alta probabilidad de que muchas estén siendo reutilizadas.

Una mala gestión de contraseñas se ve agravada por la dependencia de combinaciones comunes de nombres, palabras del diccionario y números. Estas contraseñas no solo son relativamente fáciles de descifrar, sino que, si un ciberdelincuente obtiene acceso a una contraseña en un sitio, eso podría darle acceso a una gran cantidad de otros sitios.

Se invita a las personas a crear contraseñas únicas y aleatorias para contrarrestar la vulnerabilidad que implica usar la misma contraseña en múltiples servicios. Sin embargo, la creación y gestión de contraseñas puede ser una tarea ardua. Para enfrentar esta carga, las personas podrían verse tentadas a usar modelos de lenguaje de gran tamaño (LLM) como ChatGPT, Llama o DeepSeek para generar sus contraseñas. La mayoría de los servicios y aplicaciones online requieren que el usuario cree una contraseña de acceso. Además, se invita a las personas a crear contraseñas únicas y aleatorias para contrarrestar la vulnerabilidad que supone usar la misma contraseña múltiples veces. Es por ello que cada vez son más las personas recurren a grandes modelos de lenguaje (LLMs, por sus siglas en inglés), como ChatGPT, Llama o DeepSeek, para generar sus claves.

Alexey Antonov, líder del equipo de Ciencia de Datos en Kaspersky, hizo una prueba y generó mil contraseñas usando algunos de los LLMs más fiables, incluidos ChatGPT (de OpenAI), Llama (modelo del grupo Meta) y DeepSeek (nuevo en China). “Todos los modelos saben que una buena contraseña debe consistir en al menos 12 caracteres, incluidos letras mayúsculas y minúsculas, números y símbolos”, explica Antonov.

“DeepSeek y Llama a veces generaban contraseñas compuestas por palabras del diccionario, en las cuales, en lugar de algunas letras, había números de forma similar: S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Llama). Ambos modelos tienden a generar la contraseña ‘password’: P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). No hace falta decir que dichas contraseñas no son seguras”, agrega Antonov. Por su parte, ChatGPT no sufre de este problema y genera contraseñas que parecen aleatorias. Por ejemplo: • qLUx@^9Wp#YZ • LU#@^9WpYqxZ • YLU@x#Wp9q^Z • YLp^9W#qX@zv • P@zq^XWLY#v9 • v#@LqYXW^9pz • X@9pYWq^#Lzv Sin embargo, si se observa detenidamente, se pueden ver patrones. Por ejemplo, el número 9 aparece con frecuencia.

A continuación, se muestra un histograma de todos los símbolos usados en mil contraseñas generadas por ChatGPT: casi todas contienen los símbolos x, p, l, L…

Frecuencia de caracteres usados en contraseñas generadas por ChatGPT

Por su parte, Llama recurre más al símbolo # y las letras p, l, L.

Frecuencia de caracteres usados en contraseñas generadas por Llama

DeepSeek muestra tendencias similares:

Frecuencia de caracteres usados en contraseñas generadas por DeepSeek

Para que las contraseñas sean lo más seguras posible, todos los símbolos deberían aparecer aproximadamente la misma cantidad de veces. Además, los algoritmos a menudo no insertaban un carácter especial o dígitos en la contraseña: el 26% de las contraseñas para ChatGPT, el 32% para Llama y el 29% para DeepSeek. Asimismo, DeepSeek y Llama a veces generaban contraseñas más cortas de 12 caracteres.

Sabiendo esto, los ciberdelincuentes pueden acelerar significativamente el proceso de prueba de contraseñas por fuerza bruta: es decir, en lugar de probar en orden “aaa”, “aab”, “aac”, … “aba”, “abb”, “abc”, … “zzz”, podrían empezar con combinaciones frecuentes.

En 2024, el experto de Kaspersky desarrolló un algoritmo de aprendizaje automático para probar la fortaleza de las contraseñas y descubrió que casi el 60% de las contraseñas pueden ser descifradas en menos de una hora usando GPUs modernas o herramientas de descifrado basadas en la nube. Cuando se aplicó a las contraseñas generadas por IA, los resultados fueron alarmantes, ya que eran mucho menos seguras de lo que parecían: el 88% de las contraseñas generadas por DeepSeek y el 87% de las generadas por Llama no eran lo suficientemente fuertes como para resistir un ataque de ciberdelincuentes sofisticados. El porcentaje se reducía hasta el 33% en el caso de Chat GPT.

“El problema es que los LLM no crean una aleatoriedad verdadera. En su lugar, imitan patrones de datos existentes, lo que hace que sus resultados sean predecibles para los atacantes que entienden cómo funcionan estos modelos”, señala Antonov.

Adoptar una gestión de contraseñas más segura

En lugar de depender de la IA, los expertos de Kaspersky recomiendan a los usuarios utilizar software específicamente diseñado para la gestión de contraseñas ya que estas herramientas ofrecen varias ventajas clave:

  • En primer lugar, este tipo de software utiliza generadores criptográficamente seguros para crear contraseñas sin patrones detectables, lo que garantiza una verdadera aleatoriedad.
  • En segundo lugar, todas las credenciales se almacenan en una bóveda segura, protegida por una única contraseña maestra. Esto elimina la necesidad de recordar cientos de contraseñas mientras las mantiene a salvo de las filtraciones.
  • Además, los gestores de contraseñas proporcionan autocompletado y sincronización a través de dispositivos, agilizando los inicios de sesión sin comprometer la seguridad. Muchos también incluyen monitoreo de brechas, alertando a los usuarios si sus credenciales aparecen en una filtración de datos.
  • Aunque la IA puede asistir en muchas tareas, la generación de contraseñas no es una de ellas. Los patrones y la previsibilidad de las contraseñas creadas por LLM las hacen vulnerables a ser descifradas. En lugar de tomar atajos, invierte en un gestor de contraseñas fiable. En una era donde las filtraciones de datos son frecuentes, una contraseña fuerte y única para cada cuenta es imprescindible.

Te puede interesar


Cargando noticia...