¿Alguna vez te has preguntado cuán segura es realmente tu contraseña? Tal vez pienses que una combinación de letras y números es suficiente para mantener a raya a los hackers. Sin embargo, la realidad es que muchos ciberdelincuentes pueden descifrar contraseña utilizando diversas técnicas y herramientas avanzadas. De hecho, casi el 60% de las contraseñas pueden ser vulneradas en menos de una hora con una tarjeta gráfica moderna o servicios en la nube. Por tan solo unos pocos dólares y algo de tiempo, los hackers pueden acceder a tu información. En este artículo, exploraremos los métodos que utilizan estos hackers y te enseñaremos cómo protegerte adecuadamente, asegurando que tu información personal y profesional permanezca segura.
Descifrar una contraseña se refiere a romper el hash de la contraseña, que es una secuencia única de caracteres que representa la contraseña original. Las empresas suelen almacenar las contraseñas de los usuarios utilizando uno de los siguientes métodos:
El método más sencillo y vulnerable es almacenar las contraseñas en texto plano. Por ejemplo, si la contraseña de un usuario es "qwerty12345", se guarda exactamente como "qwerty12345" en el servidor de la empresa. Si ocurre una violación de datos, el hacker solo necesita conocer la contraseña y el nombre de usuario correspondientes para iniciar sesión. Aunque la autenticación de dos factores (2FA) añade una capa de seguridad, los ciberdelincuentes aún pueden interceptar las contraseñas de un solo uso en algunos casos.
Este método transforma cada contraseña en un valor hash único utilizando algoritmos como MD5 o SHA-1, que luego se almacena en el servidor. Cuando el usuario introduce su contraseña, el sistema convierte la secuencia de caracteres ingresada en un hash y la compara con el almacenado. Si coinciden, la contraseña es correcta. Por ejemplo, si la contraseña es "qwerty12345", el hash generado con SHA-1 sería "4e17a448e043206801b95de317e07c839770c8b8". Los hackers que obtengan este hash deben descifrarlo para recuperar "qwerty12345", a menudo usando herramientas como tablas de arcoíris (Rainbow Tables). Una vez descifrada, la contraseña puede ser utilizada para acceder no solo al servicio comprometido, sino también a otras cuentas donde se haya reutilizado.
El método más seguro implica agregar una secuencia aleatoria de datos, conocida como salting hashes, a cada contraseña antes de generar el hash. La salt puede ser estática o generarse dinámicamente. El sistema introduce la combinación de contraseña y salt en el algoritmo, produciendo un hash diferente para cada entrada. Esto hace que las tablas de arcoíris precalculadas sean inútiles para los hackers. Este enfoque de almacenamiento hace que las contraseñas sean mucho más difíciles de descifrar.
Conoce más sobre: Contraseña Perfecta: ¿Cuántos Caracteres para Seguridad Óptima?
Las GPU modernas son herramientas sumamente efectivas para evaluar la seguridad de las contraseñas. Por ejemplo, una RTX 4090 combinada con la herramienta de recuperación de contraseñas hashcat puede alcanzar una velocidad de 164 mil millones de hashes por segundo (GH/s) para salting hashes MD5.
Ejemplo de Descifrado: Contraseña de 8 Caracteres:
Consideremos una contraseña de 8 caracteres que incluye letras (ya sean todas en minúsculas o todas en mayúsculas) y dígitos, lo que da un total de 36 caracteres posibles por posición. Esto resulta en 2,8 billones de combinaciones únicas (36^8). Una CPU potente con una capacidad de procesamiento de 6,7 GigaHashes por segundo (GH/s) podría descifrar esta contraseña mediante fuerza bruta en aproximadamente siete minutos. Sin embargo, la mencionada RTX 4090 puede hacerlo en tan solo 17 segundos.
Aunque una GPU de alta gama cuesta cerca de 2.000 dólares, los atacantes que no pueden permitirse una pueden alquilar potencia informática por unos pocos dólares por hora. Alquilar varias RTX 4090 a la vez proporcionaría suficiente potencia para procesar grandes bases de datos de hashes con facilidad.
La capacidad de las GPU modernas y los servicios de alquiler de potencia informática hacen que el descifrado de contraseñas sea más accesible para los atacantes. Por lo tanto, es crucial utilizar contraseñas largas y complejas, y considerar medidas adicionales de seguridad como la autenticación multifactor para proteger la información sensible.
Te podrá interesar leer: Importancia de cambiar regularmente tus contraseñas
En un reciente estudio realizado por Kaspersky, se evaluó la seguridad de las contraseñas utilizando dos enfoques principales: algoritmos de fuerza bruta y de adivinación inteligente. La fuerza bruta implica probar sistemáticamente todas las combinaciones posibles de caracteres hasta encontrar una coincidencia, mientras que los algoritmos de adivinación inteligente se entrenan con conjuntos de datos de contraseñas para predecir y priorizar las combinaciones más comunes.
Los resultados fueron alarmantes. De los 193 millones de contraseñas reales analizadas, el algoritmo de adivinación inteligente logró descifrar un sorprendente 45% (87 millones) en menos de un minuto. En una hora, el porcentaje de contraseñas descifradas aumentó al 59%. En un mes, el 67% de las contraseñas fueron vulneradas, y solo el 23% se consideraron verdaderamente seguras, requiriendo más de un año para ser descifradas.
Es importante destacar que descifrar todas las contraseñas de una base de datos no requiere significativamente más tiempo que descifrar una sola contraseña. En cada iteración, después de calcular el hash para una combinación de caracteres, el atacante verifica si coincide con algún hash en la base de datos general. Si coincide, la contraseña se marca como "descifrada" y el algoritmo continúa con las siguientes combinaciones. Estos hallazgos subrayan la necesidad de adoptar medidas de seguridad más robustas y revisar nuestras prácticas de creación y gestión de contraseñas.
Conoce más sobre: ISO 27001: Gestión de Contraseñas
Para proteger tus cuentas, considera las siguientes recomendaciones:
Siguiendo estas recomendaciones, puedes mejorar significativamente la seguridad de tus cuentas y proteger tu información personal y profesional de posibles amenazas.