Kaspersky advierte sobre la vulnerabilidad de las contraseñas generadas por IA

A medida que la inteligencia artificial (IA) se abre paso en nuestras vidas, asume funciones cotidianas para ahorrar tiempo de trabajo pero también termina implicada en tareas que pueden limitar la seguridad.

Un ejemplo es su uso para crear contraseñas. Kaspersky ha examinado la fortaleza de las claves propuestas por las herramientas de IA y determina que “son más vulnerables de lo que parecen”.

El líder del equipo de Ciencia de Datos de Kaspersky, Alexey Antonov, generó un millar de contraseñas usando modelos de lenguaje de gran tamaño (LLM) populares como ChatGPT (de OpenAI), Llama (de Meta) y DeepSeek.

Lo primero que descubrió es que “todos los modelos saben que una buena contraseña debe consistir en al menos doce caracteres, incluidos letras mayúsculas y minúsculas, números y símbolos”.

Pero “DeepSeek y Llama a veces generaban contraseñas compuestas por palabras del diccionario, en las cuales, en lugar de algunas letras, había números de forma similar: S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Llama)”. Además, “ambos modelos tienden a generar la contraseña ‘password‘: P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). No hace falta decir que dichas contraseñas no son seguras”, advierte Antonov.

En ChatGPT no se detectaron estos contratiempos. Entre las alternativas generadas por esta herramienta se encuentran ejemplos como: qLUx@^9Wp#YZ, LU#@^9WpYqxZ, YLU@x#Wp9q^Z, YLp^9W#qX@zv, P@zq^XWLY#v9, v#@LqYXW^9pz o X@9pYWq^#Lzv. la debilidad aquí radica en el seguimiento de ciertos patrones como la inclusión frecuente del número 9 o caracteres como x, p, l, L…

En este sentido, para que la seguridad fuese real, todos los símbolos disponibles para la generación de una contraseña deberían aparecer aproximadamente la misma cantidad de veces en la muestra.

Otro error es que los algoritmos, a menudo, no insertan un carácter especial o dígitos. Solamente fue el caso para un 26 % de las contraseñas de ChatGPT, un 29 % de las creadas con DeepSeek y un 32 % en Llama. A mayores, la investigación detectó que DeepSeek y Llama a veces entregaban claves de menos de doce caracteres.

La creación y gestión de contraseñas para múltiples servicios online puede terminar siendo una tarea pesada. Por eso los usuarios recurren a la tecnología. Pero parece que la IA no está resolviendo esta cuestión de la mejor manera. En base a la información descubierta por Kaspersky, los ciberdelincuentes podrían acelerar sus ataques por fuerza bruta.

Alexey Antonov puso a prueba un algoritmo de aprendizaje automático que él mismo desarrolló para comprobar la fortaleza de las credenciales. En su momento ya descubrió que es posible descifrar alrededor del 60 % en menos de una hora con ayuda de una GPU moderna o soluciones de descifrado que se apoyan en la nube. El resultado es peor para las que están generadas por IA. Un 88 % y 87 % de las contraseñas generadas por DeepSeek y Llama, respectivamente, no resisten ataques sofisticados. El porcentaje baja a un 33 % en el caso de ChatGPT.

“El problema es que los LLM no crean una aleatoriedad verdadera“, explica Antonov. “En su lugar, imitan patrones de datos existentes, lo que hace que sus resultados sean predecibles para los atacantes que entienden cómo funcionan estos modelos”.

¿Cuál es la solución? En pleno Día de la Contraseña, Kaspersky recomienda dejar a un lado la IA y apostar por generadores criptográficamente seguros que almacenan las contraseñas en una bóveda protegida por una clave maestra.

“Aunque la IA puede asistir en muchas tareas, la generación de contraseñas no es una de ellas”, insisten desde la compañía. “Los patrones y la previsibilidad de las contraseñas creadas por LLM las hacen vulnerables a ser descifradas. En lugar de tomar atajos, invierte en un gestor de contraseñas fiable”, resuelve. “En una era donde las filtraciones de datos son frecuentes, una contraseña fuerte y única para cada cuenta es imprescindible”, subraya.