En la era digital, las contraseñas siguen siendo la
primera línea de defensa para proteger nuestras cuentas y datos. En un estudio
hecho por los expertos de Kaspersky sobre la falta de confiabilidad de las
contraseñas creadas con ayuda de grandes modelos de lenguaje (ChatGPT, Llama,
DeepSeek), se encontró que dichas claves a menudo tienen ciertos patrones que
las hacen vulnerables a la piratería y a medida que crece la cantidad de
servicios y aplicaciones que las requieren, también aumenta el riesgo de malas
prácticas, como la reutilización de claves o la elección de combinaciones
débiles.

La gestión de contraseñas se ha vuelto tan compleja que
muchas personas han empezado a usar estos modelos (LLM, por sus siglas en
inglés), como los mencionados anteriormente, para generar contraseñas que
aparentan ser seguras. Pero esta solución, lejos de ser infalible, puede
generar una falsa sensación de protección.

Las contraseñas creadas por LLM tienden a seguir patrones
lingüísticos reconocibles, lo que podría facilitar su descifrado por parte de
atacantes que utilizan herramientas similares para predecir o replicar
combinaciones. Además, si una de estas contraseñas cae en manos equivocadas, su
reutilización en múltiples plataformas multiplica el riesgo de un ataque
masivo.

Alexey Antonov, líder del equipo de Ciencia de Datos en
Kaspersky, hizo una prueba y generó mil contraseñas usando algunos de los LLMs
más fiables, incluidos ChatGPT (de OpenAI), Llama (modelo del grupo Meta) y
DeepSeek (nuevo en China). “Todos los modelos saben que una buena contraseña
debe consistir en al menos 12 caracteres, incluidos letras mayúsculas y
minúsculas, números y símbolos.

“DeepSeek y Llama a veces generaban contraseñas
compuestas por palabras del diccionario, en las cuales, en lugar de algunas
letras, había números de forma similar: S@d0w12, M@n@go3, B@n@n@7 (DeepSeek),
K5yB0a8dS8, S1mP1eL1on (Llama). Ambos modelos tienden a generar la contraseña
‘password’: P@ssw0rd, P@ssw0rd!23

(DeepSeek), P@ssw0rd1, P@ssw0rdV
(Llama). No hace falta decir que dichas
contraseñas no son seguras”, agrega Antonov.

Por su parte, ChatGPT no sufre de este problema y genera
contraseñas que parecen aleatorias. Por ejemplo: • qLUx@^9Wp#YZ • LU#@^9WpYqxZ
• YLU@x#Wp9q^Z • YLp^9W#qX@zv • P@zq^XWLY#v9 • v#@LqYXW^9pz • X@9pYWq^#Lzv Sin
embargo, si se observa detenidamente, se pueden ver patrones. Por ejemplo, el
número 9 aparece con frecuencia.

A continuación, se muestra un histograma de todos los
símbolos usados en mil contraseñas generadas por ChatGPT: casi todas contienen
los símbolos x, p, l, L…

Frecuencia de caracteres usados en contraseñas generadas
por DeepSeek

Para que las contraseñas sean lo más seguras posible,
todos los símbolos deberían aparecer aproximadamente la misma cantidad de
veces. Además, los algoritmos a menudo no insertaban un carácter especial o
dígitos en la contraseña: el 26% de las contraseñas para ChatGPT, el 32% para
Llama y el 29% para DeepSeek. Asimismo, DeepSeek y Llama a veces generaban
contraseñas más cortas de 12 caracteres.

Sabiendo esto, los ciberdelincuentes pueden acelerar
significativamente el proceso de prueba de contraseñas por fuerza bruta: es
decir, en lugar de probar en orden “aaa”, “aab”, “aac”, … “aba”, “abb”,
“abc”, … “zzz”, podrían empezar con combinaciones frecuentes.

https://ift.tt/XLj9hQY