Sikov - stock.adobe.com
Crear contraseñas más seguras, un arte necesario en la era de IA
Con la IA llegando a todas partes, y la computación cuántica a la vuelta de la esquina, el uso de contraseñas largas, únicas y bien gestionadas, junto con el monitoreo, es fundamental.
Las contraseñas son la forma más común de autenticación. El clásico "algo que sabes", y que sigue siendo el método más utilizado para proteger cuentas en todo el mundo.
Las investigaciones muestran que, aproximadamente, la mitad de las aplicaciones aún dependen únicamente de contraseñas, y solo un 12 % de las personas usa una contraseña única para cada aplicación. El problema es que, en promedio, los humanos solo podemos recordar entre cinco y siete contraseñas, mientras la mayoría manejamos entre setenta y cien cuentas en línea. Esta discrepancia lleva a hábitos arriesgados, como reutilizar contraseñas o guardarlas en una aplicación de notas.
Este artículo no trata de promover la autenticación sin contraseña, ya que muchas cuentas no están preparadas para ello. Se centra en las cadenas de texto desordenadas que aún utilizamos para proteger nuestra vida digital. Analizaremos por qué las contraseñas siguen siendo importantes, qué hace que algunas sean seguras y otras débiles, y qué les depara el futuro. Al final, tendrás las herramientas para elegir una contraseña más inteligente, segura y quizás, incluso, casi indescifrable.
Por qué las contraseñas son más importantes que nunca
En la economía actual, los datos son dinero y, para los atacantes, tu contraseña podría valer solo unos pocos dólares en la dark web. Si logran acceder a tu bandeja de entrada o sistema de archivos y robar información corporativa, podría valer cientos de miles.
Ya sea tu información bancaria, de correo electrónico, de la seguridad social o de salud, una contraseña sigue siendo una de las formas más fáciles de acceder para los intrusos. Usar "contrasena123" (o password123) es como dejar tus cuentas abiertas. A medida que los ataques se vuelven más sofisticados, las contraseñas seguras son esenciales.
Mucha gente sabe que "contrasena123" es débil, pero puede que no entiendan realmente qué hace que una contraseña sea más segura que otra, y no siempre es lo que uno piensa. Por eso, para ayudarte, desglosamos algunas prioridades sencillas que debes considerar al decidir tu próxima contraseña.
Prioridad uno: La longitud es el factor más importante
Alerta de spoiler: qué tan fuerte es una contraseña no tiene que ver con cuántas pesas puede levantar. Su debilidad tampoco tiene que ver con lo fácil que sea leerla para un humano. Los atacantes tienen muchas maneras de robar una contraseña. A veces te engañan para que la escribas en un sitio web falso, y en ese caso no importa cómo esté escrita, porque básicamente se la has regalado.
La seguridad de una contraseña es fundamental cuando los atacantes roban grandes bases de datos de credenciales de usuario, a menudo de empresas con millones de cuentas, como LinkedIn o Facebook. Estas bases de datos no almacenan la contraseña directamente, sino una versión cifrada. Para que un atacante pueda averiguar la contraseña original, debe intentar adivinarla y ver qué resultado cifrado coincide.
Este proceso se denomina descifrado de contraseñas. Es similar a intentar adivinar la combinación de una caja fuerte. Cuanto más larga y compleja sea la combinación, más intentos se necesitarán. Los atacantes utilizan computadoras potentes para ello, y cuanto más potente sea la computadora, más rápido podrá adivinar.
Echa un vistazo a la tabla que viene abajo para ver cuánto tiempo tomaría utilizar tres enfoques diferentes: un clúster simple de GPU Nvidia, conjeturas en línea y una computadora cuántica teórica.
No hace falta ser un experto en matemáticas para darse cuenta de que el factor más importante en la solidez de una contraseña no es lo complicada que parezca, sino su longitud. Claro que las contraseñas más largas pueden ser más molestas de escribir. Pero recuerda: si usaras una contraseña compuesta únicamente por la letra "a" escrita cuarenta veces, incluso una computadora cuántica necesitaría cientos de miles de años para descifrarla.
Prioridad dos: Que sea única y se gestione centralmente
Recordar docenas de contraseñas únicas y complejas es imposible, y no es eso lo que te pedimos. Un gestor de contraseñas puede ser una forma práctica de guardarlas, pero también crea un punto de acceso prioritario para los atacantes. Siempre se recomienda guardar tus contraseñas en una bóveda segura, pero el gestor que elijas también debería ayudarte a rotarlas y avisarte si el gestor, o alguna de tus cuentas, se han visto comprometidas.
Al combinar esto con una contraseña compleja, la ventana de oportunidad para los atacantes se reduce considerablemente.
Prioridad 3: No mantengas cuentas que no uses
Al igual que actualizarías la contraseña de una cuenta activa en tu administrador de contraseñas, también deberías eliminar las cuentas que ya no necesitas. Si no has iniciado sesión en esa cuenta de MySpace desde principios de los 2000, probablemente sea hora de cerrar esa vieja página.
Puede que no creas que tu cuenta de Hotmail sea de mucho valor, pero si alguna vez la usaste como correo electrónico de respaldo para una cuenta bancaria que aún tienes, lo mejor es iniciar sesión en tu vieja cuenta “[email protected]” y cerrarla antes de que alguien más se aproveche.
Prioridad 4: Monitorea cuentas
Lo último que esperarías de tu banco es que nadie esté vigilando tu caja fuerte. Lo mismo debería ocurrir con tus cuentas en línea. Monitorear los intentos de inicio de sesión y los cambios en el sistema es tan importante como cerrar la puerta desde el principio.
Los análisis de la web oscura y las notificaciones de filtraciones suelen llegar semanas después de que tus datos ya hayan sido expuestos. La monitorización continua de tus cuentas, incluyendo la monitorización de crédito gratuita, cuando esté disponible, añade una capa adicional de protección crucial.
Mirando hacia el futuro, la IA cambia el juego de las contraseñas
Los atacantes ya no solo usan computadoras más rápidas. Están empezando a usar inteligencia artificial para adivinar contraseñas de forma más inteligente. En lugar de probar a ciegas todas las combinaciones, los modelos de IA pueden aprender de miles de millones de contraseñas filtradas y predecir los tipos de contraseñas que las personas suelen crear. Esto significa que las contraseñas basadas en nombres, fechas de nacimiento, equipos deportivos o letras de canciones pueden descifrarse mucho más rápido que antes.
La IA también dificulta la detección de ataques de phishing. Se pueden generar automáticamente páginas de inicio de sesión falsas o correos electrónicos fraudulentos con gramática convincente, logotipos e incluso voces generadas por IA que simulan ser de alguien de confianza. En esas situaciones, ni siquiera la contraseña más segura sirve si la revelas accidentalmente.
En defensa, la IA puede ser un poderoso aliado. Los sistemas de seguridad ya la utilizan para detectar patrones de inicio de sesión inusuales –como un intento de inicio de sesión desde otro país a las tres de la mañana–, y luego bloquearlo o impedirlo. La IA también puede ayudar a monitorear los archivos filtrados en la dark web para detectar si se ha filtrado tu contraseña, y avisarte más rápido que los análisis tradicionales.
Así pues, la IA tiene un doble efecto: permite a los atacantes ser más rápidos e inteligentes, pero también proporciona mejores herramientas a los defensores. Esto hace que las contraseñas básicas, largas, únicas y bien gestionadas, además de la monitorización, sean más importantes que nunca, ahora y en el futuro.
Nota de la editora: La columna fue editada por claridad y concisión. Puede revisar la original aquí.
Adam Winston es Cybersecurity CTO & CISO WatchGuard Technologies. Cuenta con más de dos décadas de experiencia en el diseño, operación, automatización y pruebas de Centros de Operaciones de Seguridad para Detección y Respuesta. Anteriormente fue CSO en ActZero.ai, y antes de eso fue CTO en IntelliGO Networks.
