seguridad contraseña

Marchando una entra rápida con una reflexión que llevo tiempo queriendo dejar por escrito.

De un tiempo a esta parte han ido surgiendo varios servicios online, creados generalmente bajo el amparo de alguna marca de antivirus o de algún sistema de seguridad comercial, que permiten al meter una contraseña, valorar si esta es o no segura, e incluso cuánto, probabilísticamente hablando, tardaría un ciberatacante en descubrirla mediante un ataque de fuerza bruta.

Este tipo de herramientas han existido toda la vida, pero es ahora, con el auge de las IAs, cuando se han puesto de nuevo de moda, ya que genera mucho interés, al parecer, saber cuántos minutos, días, años o siglos tardaría una máquina asistida por IA en descubrir tu contraseña.

Lo peor de todo es que además de ofrecer esta información (que, recalco, es un cálculo estimado y totalmente inventado, ya que en el descubrimiento de contraseñas mediante ataques de fuerza bruta interfiere, y mucho, el tipo de técnica utilizada, y que por supuesto estos sistemas obvian para simplificar la respuesta y darte un único periodo de tiempo), te invitan a que compartas tus resultados «para sacar pecho» entre tus seguidores de redes sociales.

¿Estamos locos?

Doble riesgo a la hora de usar servicios de seguridad para contraseñas

No hace mucho me sorprendía al ver que un buen amigo, que además trabaja en el mundillo de la seguridad, compartía alegremente por su cuenta de Twitter los resultados que había obtenido.

Al parecer, su contraseña tardaríamos 26 mil millones de años para descifrarla.

Que parece muchísimo, por supuesto. Pero tiene truco.

En estos casos, el riesgo es doble.

Me explico:

La seguridad del servicio web

En primera instancia, y presuponiendo que hubiera puesto su contraseña real en esa web, estaríamos asumiendo que un tercero ya tendría por algún lado un registro de su contraseña, con el riesgo que eso conlleva.

Ya hemos visto que la mayoría de usurpaciones de cuentas en la actualidad se realizan no descubriendo la contraseña del usuario mediante ataques de ingeniería social o fuerza bruta, sino simplemente obteniendo sus credenciales de acceso en filtraciones masivas de contraseñas en servicios donde previamente se han utilizado.

Por tanto, gracias a este tipo de servicios, le estamos facilitando la vida a los cibercriminales, ya que bastaría con conseguir hackear esa web para obtener, presumiblemente, miles de contraseñas usadas por las potenciales víctimas.

Y esto presuponiendo que la seguridad de la web sea decente. Es decir, que o bien no almacene de ninguna manera las contraseñas (complicado ya que en teoría debe hacer un análisis de la contraseña, ergo en algún momento esa info pasa por sus servidores), o la almacene aunque sea temporalmente usando algún algoritmo de cifrado que consideremos seguro (nada de MD5, que es el típico que ves en bases de datos colgadas en Internet y cuyo descifrado es hoy en día inmediato).

La información que expones al compartir los resultados

Como le comentaba al compañero, gracias a que nos había dicho que su contraseña llevaría a una máquina 26 mil millones de años para descifrarla, estaba informando públicamente que su contraseña estaba formada exactamente por 16 caracteres, y que ninguno de ellos era un símbolo.

¿La razón? Pues porque la misma herramienta te dice cómo realiza ese «cálculo».

IA contrasena descubrimiento

Y esta información, poniéndonos en el peor de los casos, hace que precisamente esos supuestos 26 mil millones de años pasen a ser muchísimo menos, ya que ya sabemos exactamente el número de caracteres y cuáles podría estar utilizando (y los que no) de todos los que incluye el teclado español.

Que de nuevo, es cierto que va a resultar más sencillo ver si ha utilizado la misma contraseña en otro servicio que previamente haya sido hackeado y por tanto hayan expuesto públicamente sus credenciales.

Pero oye, con algo tan sencillo como compartir esta información, le facilitas a un tercero el poder realizar ataques dirigidos.

Conclusiones

En fin, que espero que esto sirva para que la próxima vez que te plantees probar un servicio de estos, pienses en esta reflexión y no lo hagas.

O si lo haces, que al menos sea con una contraseña que no es la tuya. Una inventada que más o menos tenga unos caracteres y tipo de caracteres parecidos, pero no exactamente iguales y en la misma cuantía, por hacer la prueba y pasar el rato, además de añadir algo más de desinformación sobre tus perfiles en la red.

Newsletter nuevas tecnologias seguridad

Imagínate recibir en tu correo semanalmente historias como esta

Suscríbete ahora a «Las 7 de la Semana», la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.