Con el desarrollo tecnológico actual, donde la inteligencia artificial (IA) impacta en los procesos mediados por las TIC se torna en imperativo exponer algunas cuestiones en torno a la relación de estas dos cuestiones y su relación con la prevención.
El crecimiento de los volúmenes de información conspiran contra la capacidad de recordar del cerebro humano, que tendrá un reto cada vez mayor para no olvidar aspectos esenciales como las contraseñas de los servicios relacionados con las TIC.
Se ha demostrado en varias oportunidades por expertos a nivel planetario que se requiere poco tiempo para descifrar las contraseñas por los ciberdelincuentes dados el avance de los recursos actuales en el ámbito de las TIC.
La máxima a seguir entonces es complicar las contraseñas para ver si los atacantes desisten para no perder tiempo en acceder a los datos. Pero la realidad es que los ciberdelincuentes están utilizando recurso en la nube, que obtienen a muy bajo costo en relación con los beneficios que obtienen. Según estimados de Kaspersky, a partir de estas condiciones es posible en menos de una hora quebrar el 59 % de las contraseñas a nivel mundial.
Es común en nuestro medio que se utilicen como opciones para garantizar la autenticación en un sistema informático la combinación de usuario y contraseña, el uso de servicio de terceros como Google o Facebook cuya cuentas son recabadas para servir como llave y la autenticación multifactorial, mediada por SMS de un único uso (mensajes cortos vía telefonía móvil) o a través de aplicaciones como Google Authenticator.
Si bien estos métodos pueden ser vulnerados, el usar la contraseña aleatoria de entre 15 a 20 caracteres es un paliativo, pero lo ideal esté en la búsqueda de métodos que solidifiquen la posición del usuario.
A esto se añade el hecho de la facilidad para memorizar contraseñas complejas y las viejas reglas que persisten en la práctica de muchos entre las que destacan las claves que combinen diversos tipos de caracteres (letras mayúsculas, minúsculas, números y símbolos), que no forme parte de ellas una información personal, la longitud de más de 8 caracteres, a pesar de que la NIST 800-171 ha planteado que mientras mayor sea su longitud, mayor será su fortaleza y finalmente la necesidad de que se usen contraseñas exclusivas para cada servicio al que se accede.
Ante la disyuntiva de que una contraseña fácil de recordar es también fácil de descifrar y que las difíciles de retener en la memoria son a la vez difíciles de quebrar, cabe preguntarse: ¿Qué hacer?.
La idea que se ha planteado en la firma Kaspersky está en el uso de métodos que pasen por la combinación de longitud y complejidad.
La que denominan solución de nivel básico es utilizar el método de las palabras de las llamadas frase semilla. En este caso proponen utilizar palabras cortas sin relación, combinadas con símbolos y números, donde estos refieran una fecha significativa para el propietario.
El llamado nivel avanzado plantea el uso de una frase favorita o una cita memorable de un filme, etc, donde se remplazan cada dos o tres caracteres las letras por un símbolo de manera aleatoria sin seguir la secuencia habitual del teclado.
Ejemplo:
“La suerte esta echada”
Pudiera quedar:
“La 1ue*te #st5 ec/ad9”
Se plantea como recurso para recordarla escribirla varias veces para habituar los dedos a la lógica de las pulsaciones en el teclado.
Sin embrago, en los últimos tiempo muchas personas han comenzado a recurrir a la IA para generar contraseñas, con la posibilidad de que sean mnemotécnicas.
Estos genera el riesgo de que las combinaciones aleatorias creadas, cumplen esta condición solamente para el ojo humano. Por ende, para las herramientas de IA no representan una barrera por lo que no son tan confiables.
Un estudio de Kaspersky creando contraseñas con ChatGPT, Llama y DeepSeek puso de manifiesto que repetían patrones como la tenencia de 12 caracteres, mayúsculas, minúsculas, números y símbolos, pero en la mayor parte de los casos usaron palabras de “diccionario”.
El estudio llegó a trabajar la frecuencia del uso de caracteres, lo que demostró que existían letras, símbolos y números favoritos, entre los que destacan W, 9, x, p y #.
Dada esta situación Kaspersky recomienda el enfoque combinado de un administrador de contraseñas junto a un verificador. El método parte de que al crear la contraseña se recibe una frase que ayuda a recordarla a partir de un recurso de mnemotecnia.
Es esencial recordar que nunca es una buena idea recordar contraseñas en el navegador pues cualquiera que acceda a la configuración accederá a la clave. Tampoco deben escribirse en “papeles” que quedan al alcance de otras personas. Las contraseñas son personales e intransferibles, nunca se envían a nadie que las solicite, ya que este es el principio para que su identidad sea usurpada y se produzcan nuevos ataques de tipo phishing.