Es bien sabido que contar con contraseñas robustas es esencial para proteger nuestras cuentas y datos en línea, ya que constituyen la primera línea de defensa ante un posible acceso no autorizado. Sin embargo, la seguridad de las contraseñas sigue siendo un reto en la actualidad y un problema a resolver.
Así lo ponen de manifiesto dos recientes informes de Kaspersky y ESET, que revelan conclusiones alarmantes sobre la facilidad con la que los ciberdelincuentes pueden descifrar contraseñas y la magnitud de las filtraciones que las dejan expuestas.
El 45% de las contraseñas se descifrarían en menos de un minuto
En un estudio a gran escala realizado este mes de junio, los expertos de Kaspersky han corroborado la vulnerabilidad de las contraseñas, constatando que el 59% pueden ser adivinadas por los hackers en menos de una hora y hasta el 45% en menos de un minuto. Por el contrario, han descubierto que solo el 23% de las contraseñas resultaron ser lo suficientemente resistentes, puesto que comprometerlas les llevaría más de un año.
Esta investigación ha consistido en analizar la resistencia de 193 millones de contraseñas comprometidas por programas de robo de información y disponibles en la darknet, ante ataques de fuerza bruta2, Zxcvbn3 y algoritmos de adivinanza inteligente. Sus resultados demuestran que la mayoría de las contraseñas revisadas no eran lo suficientemente fuertes y que el 57% de ellas contiene una palabra del diccionario, lo que reduce significativamente su seguridad.
Además, el estudio indica que el 39% de las contraseñas también podían ser fácilmente comprometidas usando algoritmos inteligentes, que tienen en cuenta la sustitución de caracteres ("e" por "3", "1" por "!" o "a" por "@") y secuencias populares ("qwerty", "12345", "asdfg").
Según subrayan los expertos de Kaspersky, los atacantes no requieren conocimientos profundos ni equipos costosos para descifrar contraseñas y disponen de varias herramientas, no solo de los algoritmos inteligentes. Por ejemplo, un potente procesador de ordenador portátil es capaz de encontrar la combinación correcta para una contraseña de 8 letras minúsculas o dígitos utilizando la fuerza bruta en sólo siete minutos, y las tarjetas de vídeo actuales, en 17 segundos.
En palabras de Yuliya Novikova, responsable de Inteligencia de Huella Digital de Kaspersky: "Inconscientemente, los seres humanos crean contraseñas 'humanas': contienen las palabras del diccionario en su lengua materna, con nombres y números. Incluso las combinaciones aparentemente fuertes rara vez son completamente aleatorias, por lo que pueden ser adivinadas por algoritmos. Por ello, la solución más fiable es generar una contraseña completamente aleatoria, utilizando gestores de contraseñas actuales y fiables. Estas aplicaciones pueden almacenar de forma segura grandes volúmenes de datos, proporcionando una protección integral y sólida de la información del usuario".
Las filtraciones de contraseñas alcanzan niveles sin precedentes
El informe de ESET, por su parte, advierte sobre el creciente riesgo de las filtraciones de contraseñas tanto a nivel mundial como a nivel nacional.
La compañía de ciberseguridad recuerda que últimamente se ha producido una de las mayores jamás registradas, con la exposición de 26.000 millones de registros que incluyen información confidencial y credenciales de acceso de diversas empresas y servicios en línea, como X (antigua Twitter) y LinkedIn.
Asimismo, resalta que el panorama no es diferente en España, donde las filtraciones de contraseñas se han convertido en un asunto que cada vez genera mayor preocupación. En esta línea, pone de relieve que el año pasado el Instituto Nacional de Ciberseguridad (INCIBE) registró más de 80.000 incidentes de ciberseguridad, muchos de los cuales involucraron el robo de credenciales.
¿Cómo detectar filtraciones? ¿Y cómo prevenirlas?
Para verificar si las contraseñas han quedado expuestas en una filtración, ESET recomienda utilizar herramientas como haveibeenpwned.com, que permite comprobar gratuitamente el estado de seguridad de las credenciales introduciendo una dirección de correo electrónico.
"La herramienta muestra el estado de seguridad de las credenciales y detalla la filtración específica. Si los datos están seguros, el resultado será verde; si han sido comprometidos, el resultado será rojo, indicando en qué filtración aparecieron", explica Josep Albors, director de investigación y concienciación de ESET España.
La firma de ciberseguridad también recuerda que navegadores web como Google Chrome y Firefox pueden alertar si las contraseñas han sido comprometidas o incluidas en alguna filtración de datos conocida y recomendar contraseñas más seguras. No obstante, para una mayor seguridad, aconseja el uso de gestores de contraseñas dedicados, que no solo almacenan de forma segura las credenciales, sino que también generan contraseñas complejas y únicas para cada cuenta en línea. "A pesar de que estos gestores pueden ser objetivo de ataques, las ventajas de su uso, como la comprobación de contraseñas filtradas o como la integración con sistemas de autenticación de dos factores (2FA), superan los riesgos", afirma.
Además, ESET incide en que es fundamental no confiar únicamente en las contraseñas, sino que es conveniente utilizar la autenticación de doble factor (2FA) en todos los servicios que lo permitan, preferiblemente con una clave de seguridad dedicada o aplicaciones como Microsoft Authenticator o Google Authenticator.
"Esto dificulta el acceso no autorizado a las cuentas, incluso si los atacantes obtienen las contraseñas", comenta Albors, quien también avisa que es importante "no guardar las contraseñas en papel, aplicaciones de notas o navegadores web, ya que estos métodos son vulnerables a filtraciones de datos".
"Aunque no existe una solución única para la seguridad de datos, una combinación de buenas prácticas de ciberseguridad adaptadas a las necesidades específicas de cada empresa y al cambiante panorama de las amenazas puede contribuir significativamente a prevenir filtraciones y violaciones de datos", apunta el director de investigación y concienciación de ESET España.