Kaspersky revela que, en 2023, hubo más de 32 millones de intentos de robo de contraseñas, subrayando la importancia de la higiene digital y políticas de contraseñas robustas.
Los expertos de Kaspersky han realizado un estudio a gran escala sobre la resistencia de 193 millones de contraseñas, comprometidas por programas de robo de información y disponibles en la darknet, ante ataques de fuerza bruta, algoritmos Zxcvbn y métodos de adivinanza inteligente. Los resultados de la investigación revelan que el 45% de todas las contraseñas analizadas pueden ser adivinadas en menos de un minuto, y solo el 23% resultaron ser lo suficientemente resistentes, lo que significa que descifrarlas llevaría más de un año.
La telemetría de Kaspersky muestra que en 2023 se registraron más de 32 millones de intentos de ataques a usuarios con programas de robo de contraseñas. Estas cifras subrayan la importancia de mantener una buena higiene digital y de implementar políticas de contraseñas adecuadas. El análisis de Kaspersky demostró que la mayoría de las contraseñas revisadas no eran lo suficientemente fuertes y podían ser fácilmente comprometidas utilizando algoritmos de adivinanza inteligente.
De las contraseñas analizadas:
• El 45% (87 millones) pueden ser adivinadas en menos de 1 minuto.
• El 14% (27 millones) pueden ser adivinadas entre 1 minuto y 1 hora.
• El 8% (15 millones) pueden ser adivinadas entre 1 hora y 1 día.
• El 6% (12 millones) pueden ser adivinadas entre 1 día y 1 mes.
• El 4% (8 millones) pueden ser adivinadas entre 1 mes y 1 año.
Solo el 23% de las contraseñas resultaron ser resistentes, ya que comprometerlas llevaría más de un año. La mayoría de las contraseñas examinadas (57%) contienen una palabra del diccionario, lo que reduce significativamente su seguridad. Entre las secuencias de vocabulario más populares se pueden distinguir varios grupos:
• Nombres: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”.
• Palabras populares: “forever” (“siempre”), “love” (“amor”), “google”, “hacker”, “gamer” (“jugador”).
• Contraseñas estándar: “password” (“contraseña”), “qwerty12345”, “admin” (“administrador”), “12345”, “team” (“equipo”).
El análisis mostró que solo el 19% de todas las contraseñas contienen los elementos básicos para una combinación robusta: una palabra que no esté en el diccionario y una combinación de letras minúsculas y mayúsculas, números y símbolos. A su vez, el estudio reveló que el 39% de estas contraseñas también podrían ser adivinadas en menos de una hora usando algoritmos inteligentes.
Según los expertos de Kaspersky, los atacantes no necesitan conocimientos profundos ni equipos costosos para descifrar contraseñas. Un potente procesador de ordenador portátil puede encontrar la combinación correcta para una contraseña de 8 letras minúsculas o dígitos utilizando la fuerza bruta en solo siete minutos, y las tarjetas de vídeo actuales, en 17 segundos. Los algoritmos inteligentes para adivinar contraseñas también consideran la sustitución de caracteres y secuencias populares.
“Inconscientemente, los seres humanos crean contraseñas ‘humanas’: contienen palabras del diccionario en su lengua materna, con nombres y números. Incluso las combinaciones aparentemente fuertes rara vez son completamente aleatorias, por lo que pueden ser adivinadas por algoritmos. La solución más fiable es generar una contraseña completamente aleatoria, utilizando gestores de contraseñas actuales y fiables. Estas aplicaciones pueden almacenar de forma segura grandes volúmenes de datos, proporcionando una protección integral y sólida de la información del usuario”, comenta Yuliya Novikova, responsable de Inteligencia de Huella Digital de Kaspersky.
Los expertos de Kaspersky comparten algunos consejos para crear y almacenar contraseñas:
• Es casi imposible memorizar contraseñas largas y únicas para todos los servicios que utilizas, pero con un gestor de contraseñas solo tendrás que memorizar una clave maestra.
• Utiliza una contraseña diferente para cada servicio. De esa manera, incluso si roban una de tus cuentas, el resto no correrá la misma suerte.
• Las contraseñas pueden ser más seguras cuando se utilizan palabras inesperadas. Incluso si usas palabras comunes, organízalas en un orden inusual y asegúrate de que no estén relacionadas. Hay servicios en línea que te ayudan a verificar si una contraseña es lo suficientemente fuerte.
• No uses contraseñas que puedan adivinarse fácilmente a partir de tu información personal, como fechas de nacimiento, nombres de familiares, mascotas o tu propio nombre.
• Habilita la autenticación de doble factor (2FA). Aunque no está directamente relacionada con la seguridad de las contraseñas, activar el 2FA añade una capa adicional de seguridad.
• Implementa una solución de seguridad fiable, como Kaspersky Premium, para mejorar tu protección. Monitoriza Internet y la dark web y te advierte si tus contraseñas necesitan ser cambiadas.
Para más información, haz clic en este enlace de Securelist.
Referencias
1 La investigación se realizó en base a 193 millones de contraseñas encontradas disponibles públicamente en varios recursos de la darknet.
2 Fuerza bruta: es un método para adivinar una contraseña que implica probar sistemáticamente todas las combinaciones posibles de caracteres hasta encontrar la correcta.
3 Zxcvbn: es un algoritmo avanzado de puntuación disponible en GitHub. Para una contraseña existente, el algoritmo determina su esquema. Luego, el algoritmo cuenta el número de iteraciones requeridas para la búsqueda de cada elemento del esquema. Entonces, si la contraseña contiene una palabra, encontrarla tomará un número de iteraciones igual a la longitud del diccionario. Teniendo el tiempo de búsqueda para cada elemento del esquema, podríamos contar la fortaleza de la contraseña.
4 Algoritmo de adivinanza inteligente: es un algoritmo de aprendizaje. Basado en el conjunto de datos de contraseñas de los usuarios, podría calcular la frecuencia de varias combinaciones de caracteres. Luego podría generar pruebas desde las variantes más frecuentes y sus combinaciones hasta las menos frecuentes.