Llevamos utilizando contraseñas para demostrar quiénes somos desde los primeros ordenadores multiusuario. Décadas después, siguen con nosotros… y siguen causando problemas.
Las contraseñas tienen muy mala reputación, pero en realidad no es culpa de la contraseña en sí. Es nuestra. La mayor parte del riesgo proviene de las limitaciones humanas y de comportamientos predecibles, no de las matemáticas que hay detrás de “probar todas las combinaciones posibles”.
Con motivo del Día Mundial de la Contraseña, que se celebra cada 7 de mayo, veamos por qué las contraseñas ‘seguras’ pueden ser más débiles de lo que piensas, qué hacen los atacantes avanzados y cómo elegir contraseñas difíciles de descifrar.
«Veamos por qué las contraseñas ‘seguras’ pueden ser más débiles de lo que piensas»
El mito tranquilizador es que, si el número de combinaciones posibles para una contraseña de 10 caracteres que utiliza letras minúsculas, mayúsculas, dígitos y caracteres especiales es enorme, entonces la contraseña debe ser segura.
El espacio total de búsqueda está en el orden de decenas de quintillones de combinaciones (alrededor de 5,4×10¹⁹). Incluso si un atacante puede probar mil millones de intentos por segundo, tardaría aproximadamente 1.700 años en agotar todo el espacio mediante un ataque de fuerza bruta puro.
Sobre el papel, esto parece excelente. Pero es engañoso, porque muy pocas personas eligen contraseñas aleatorias de 10 caracteres. Para recordar una contraseña, los humanos tendemos a recurrir a patrones predecibles: una letra mayúscula al principio, seguida de una o más minúsculas, luego entre 1 y 4 dígitos (a menudo un año), y finalmente un único carácter especial al final.
Los atacantes avanzados lo saben. No prueban todo el espacio de claves; prueban tus hábitos.
Si se limitan a patrones ‘humanos’ como el anterior, el espacio puede reducirse a aproximadamente 10¹⁴ (100 billones) de posibilidades. Con una GPU de alta gama capaz de realizar 100.000 millones de intentos por segundo, ese espacio completo de patrones puede agotarse en minutos, no en siglos.
Los atacantes avanzados lo saben, no prueban todo el espacio de claves; prueban tus hábitos
Desde una perspectiva puramente de fuerza bruta, una contraseña aleatoria de 15 caracteres del conjunto completo de caracteres es prácticamente indescifrable con el hardware actual. Si es realmente aleatoria, las matemáticas están de tu lado. Pero, de nuevo, volvemos a los humanos.
Cuando las personas crean contraseñas largas, a menudo eligen opciones memorables como patrones reutilizados, pequeñas variaciones de contraseñas antiguas, frases predecibles o letras de canciones, citas y memes populares en lugar de cadenas aleatorias.
Los atacantes se aprovechan de esto utilizando grandes diccionarios construidos a partir de bases de datos de contraseñas filtradas y aplicando modificaciones basadas en reglas, como añadir el año actual, sustituir letras por símbolos o añadir signos de puntuación, para adivinar estas contraseñas ‘memorables’ de forma eficiente.
Dado que la mayoría de los sistemas almacenan solo hashes, no contraseñas en texto plano, una tabla arcoíris permite a un atacante revertir un hash hasta la contraseña original
También construyen tablas arcoíris: tablas precalculadas de hashes de contraseñas.
Dado que la mayoría de los sistemas almacenan solo hashes, no contraseñas en texto plano, una tabla arcoíris permite a un atacante revertir un hash hasta la contraseña original, si esta está en la tabla. Estas tablas pueden descargarse de sitios públicos. Si tu obra maestra de 15 caracteres está ahí -o es una simple variación basada en reglas de algo que sí lo está- la longitud no te salvará. Caerá en segundos.
Autenticación multifactor
¿Siguen siendo útiles las contraseñas hoy en día? Sí, pero ya no son suficientes por sí solas. La autenticación multifactor (MFA) debería activarse siempre que sea posible, porque hace que las contraseñas robadas o adivinadas sean mucho menos valiosas.
Usa un gestor de contraseñas para generar y almacenar contraseñas largas y verdaderamente aleatorias (más de 20 caracteres) y no las reutilices nunca; y activa MFA siempre que sea posible
Si sigues utilizando contraseñas, la mejor práctica es dejar de permitir que los humanos las diseñen.
Usa un gestor de contraseñas para generar y almacenar contraseñas largas y verdaderamente aleatorias (más de 20 caracteres) y no las reutilices nunca; activa MFA siempre que sea posible para que las contraseñas robadas sean mucho menos útiles; y, para las pocas contraseñas que debas recordar, utiliza frases de paso largas y únicas formadas por palabras aleatorias en lugar de letras de canciones, citas o patrones ingeniosos.
El objetivo no es la perfección, sino hacer que atacarte sea tan difícil y poco rentable que los atacantes pasen a objetivos más fáciles.
