Los hackers pueden ‘tumbar’ nuestra contraseña en medio minuto

Vivimos rodeados de contraseñas. Las tenemos para acceder al ordenador del trabajo, a nuestro correo electrónico, a nuestro banco, a las plataformas de música y vídeo en streaming… Absolutamente todo tiene una contraseña. ¿Cómo podemos acordarnos de todas?

Los usuarios tienden a dar respuesta a este problema de dos maneras: utilizando la misma contraseña para todo o poniendo passwords muy sencillas de recordar. Es decir, dos soluciones muy malas.

En el primer caso, la amenaza es especialmente importante. Si sólo usamos una contraseña y ésta es vulnerada, los asaltantes tendrían acceso a toda nuestra vida digital. Y si la password es demasiado sencilla de desvelar, el acceso de los hackers será casi instantáneo.

Según un estudio de Hive Systems, los ciberdelincuentes son capaces de ‘tumbar’ inmediatamente cualquier contraseña compuesta por 11 números, 8 minúsculas o 6 caracteres que combinen mayúsculas, minúsculas, números y símbolos especiales. Si añadimos un carácter más a esta combinación, apenas tendrían que invertir 31 segundos para averiguarla. Y si llegamos a 8 caracteres, la situación no mejora mucho más: sólo exigiría 39 minutos.

La situación empieza a mejorar si llegamos hasta los 11 caracteres alfanuméricos y con símbolos, puesto que esta opción obligaría a destinar 34 años a los atacantes. Y con uno más, con 12 caracteres, ya podríamos quedarnos bastante tranquilos, porque se necesitarían 3.000 años para descubrirla. Al menos así es con las capacidades de computación actuales.

“Si hay números, letras y símbolos especiales, como +, -, (, $, @, €, etc., a partir de 10 caracteres ya se considera que, con los ordenadores actuales, el tiempo necesario para encontrar la contraseña, si no es una palabra conocida, es suficiente como para no perder el tiempo intentándolo”, afirma Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC.

Además de la longitud, insiste en la importancia de la construcción de la password. “Si es a partir de palabras que están en el diccionario, no es muy relevante la longitud. Hay herramientas que prueban combinaciones de palabras conocidas agregando también fechas. Para el resto, lo que se hace es crear combinaciones de letras y números e ir probando. Cuantas más letras tenga, más combinaciones posibles se deberán probar hasta encontrar la buena”, detalla.

En cualquier caso, el sistema de autenticación tradicional se está viendo superado por la ingente cantidad de contraseñas que debemos usar en nuestro día a día, por lo que parece evidente la necesidad de avanzar hacia otros sistemas o, al menos, complementarlo con otros métodos.

Serra explica que actualmente hay tres sistemas de identificación, que se resumen así: “Uno de ellos es lo que sabemos (contraseñas), otro es lo que somos (biometría, huella dactilar…), y el tercero, lo que tenemos (un dispositivo único al que enviar un código)”, aclara.

Respecto a la biometría, aunque tiene muchas ventajas, señala que el problema es que se obtengan los datos asociados a la lectura. Por ejemplo, en caso de que se hagan con nuestra huella dactilar, “no podríamos cambiar esa característica de nuestro dedo para cambiar el acceso, y sólo tenemos diez dedos”. Y con el uso de dispositivos, subraya que su seguridad depende de que no sea robado o duplicado. Aunque reconoce el mayor inconveniente es la usabilidad de este sistema, que obliga a tener siempre a mano dicho dispositivo.

De este modo, considera que lo mejor es optar por métodos de autentificación doble o multifactor (2FA o MFA, por sus siglas en inglés), que combinan de dos o más de estos sistemas de identificación, solución que ya se está instaurando en muchos servicios.