Sufrir una vulnerabilidad está a la orden del día, por ello en el día mundial de las contraseñas le contaré sobre PassGAN, una nueva herramienta que podría poner en peligro la información de su empresa pues descifra las claves de seguridad en segundos ¡Conozca, prepárese y prevenga!
Hace poco se encendió la alarma de nuevo porque llegó una herramienta que usa la inteligencia artificial para descifrar contraseñas o códigos de acceso en menos de un segundo, que se conoce como PassGAN (Password Generative Adversarial Network).
Se empezó a nombrar porque una empresa de ciberseguridad publicó un informe en el que examina y prueba la herramienta en una lista de 15.680.000 millones de contraseñas para averiguar cuánto les tomaría descubrir una contraseña en el 2023.
Antes de contarle qué fue lo que descubrieron con esta prueba, déjeme explicarle qué es PassGAN, cómo funciona y por qué debería llamar su atención en términos de ciberseguridad para las organizaciones, porque podría convertirse en un recurso peligro para todos.
¿Qué es PassGAN y cómo funciona?
PassGAN es la abreviación de dos palabras en inglés: password y Generative Adversarial Networks (GAN), es decir, claves y redes generativas adversarias en español.
Esta herramienta trabaja con las GAN, un modelo generativo que crea instancias de datos nuevas que tienen semejanza con los datos de entrenamiento, según explica Google. Es decir, puede crear cosas nuevas, a partir de información ya existente.
“El objetivo de las GAN es generar datos nuevos y sintéticos que se asemejen a alguna distribución de los conocidos”.
—Portal Geeks for Geeks.
Gracias a este modelo, que incluye el aprendizaje reforzado que ayuda al robot a aprender más rápido, se pueden generar desde cero imágenes, música y ahora se pueden descifrar las contraseñas.
¿Pero qué es PassGAN?, pues es una herramienta avanzada que utiliza las redes GAN para “aprender de manera autónoma la distribución de códigos de acceso reales a partir de filtraciones de claves reales, eliminando así la necesidad de un análisis manual de estas”, según el informe de Home Security Heroes.
El riesgo es que como esta herramienta puede generar múltiples propiedades de contraseña y mejorar la calidad de las que predice, esto les facilita a los ciberdelincuentes el descifrado de claves y el acceso a la información personal de otros usuarios en menos de un minuto, en algunos casos.
PassGAN puede descifrar claves complejas en tiempos muy cortos
Para probar esta herramienta entrenaron la tecnología con información de RockYou, que cuenta con un grupo de datos usados para entrenar sistemas inteligentes en el análisis de passwords. Estos fueron algunos de los hallazgos:
PassGAN aprende y crea conocimiento nuevo
Uno de los primeros resultados obtenidos de acuerdo con el informe de Home Security Heroes es que GAN aprovechó el conocimiento adquirido para crear nuevas códigos de acceso de muestra.
Cuenta con una alta capacidad para descubrir contraseñas
Según los resultados del experimento, el 51 % de las claves más comunes pueden ser descifradas en menos de un minuto, el 65 % en menos de una hora, el 71 % en menos de un día y el 81 % en menos de un mes.
Las passwords más comunes las descifra de manera instantánea
Básicamente, si sus claves tienen entre cuatro y cinco caracteres, con números, mayúsculas, minúsculas, y símbolos, esta herramienta la descifraría de manera inmediata. Además, le toma menos de seis minutos conocer cualquier contraseña de siete caracteres.
Las claves más retadoras para PassGAN
Los códigos de acceso mayores a 18 caracteres, por ejemplo, son las más seguros contra los programas de IA de descifrado. En este caso PassGAN puede tardar al menos 10 meses en averiguar una contraseña de solo números. Y se demoraría unos seis quintillones de años en hacerlo con aquellas que tienen símbolos, números, letras minúsculas y mayúsculas.
Ya habían probado antes PassGAN en el 2018, esto concluyeron
Un estudio previo que se conoce como “PassGAN: A Deep Learning Approach for Password Guessing” (2018-2019), que fue realizado por Briland Hitaj, Paolo Gasti, Giuseppe Ateniese, Fernando Perez-Cruz y publicado por Cornell University en su página Arxiv.org; al parecer fue el primero en abordar una prueba de este tipo con PasGAN.
Estos fueron algunas de sus conclusiones:
Las GAN pueden generar suposiciones para adivinar las claves
El experimento de este estudio demostró que PassGAN logró igualar el 34 ,2% de las claves extraídas de RockYou, base de datos de contraseñas. También logró hacer coincidir el 21,9 % de los códigos de acceso del conjunto de datos de LinkedIn. La herramienta fue capaz de adivinar un número alto en cuanto a caracteres, basándose en solo un conjunto de muestras.
Podría reemplazar la adivinación de passwords basada en reglas
Esta es una de las conclusiones a las que llegaron luego de comprobar que al combinar múltiples técnicas los porcentajes de coincidencias son mucho más altos. Por lo que, software o aplicaciones como PassGAN podrían remplazar la identificación de contraseñas basada en reglas que es la que se había estado empleando hasta ahora.
Es capaz de adivinar claves sin intervención de un usuario
PassGAN es capaz de generar códigos de acceso sin intervención de un usuario. Además, tampoco requiere de conocer el dominio actual de estos o de un análisis manual de filtraciones de bases de datos de passwords.
Con herramientas como PassGAN para descifrar contraseñas, que usan algoritmos como las GAN, que son empleados en la IA, solo queda algo muy claro: es apremiante invertir en temas de seguridad de la información.
La gran pregunta es ¿cómo nos estamos preparando y qué vamos a hacer?
Fuentes consultadas
Briland Hitaj, Paolo Gasti, Giuseppe Ateniese, Fernando Perez-Cruz. PassGAN: A Deep Learning Approach for Password Guessing .
quiero saber cual es mi contraseña
¡Hola, Alex!
Para recuperar tu contraseña, debes recurrir a las opciones que ofrece el respectivo servicio.
¡Saludos!
mañana ya
¡Hola!
¿Tienes algún comentario o pregunta sobre este contenido?
Al estar leyendo de verdad ke transmite más allá de preocupacion por qué si una iA puede romper con la seguridad de patrones contraseñas ke nos depara el futuro? Las iA tienen dueños y es por ahí donde toda la información de cada habitante en la tierra con un dispositivo está siendo monitoreada
¡Hola, Ángel! Como dices, aunque ha traído cosas positivas, el desarrollo de la IA también ha creado nuevos riesgos de ciberseguridad. Es justamente por ello que, hoy más que nunca, hay que ser muy prudentes a la hora de navegar la web y proactivos a la hora de proteger nuestra información privada. Recomendamos que te mantengas al día con las actualizaciones de tu sistema y que tengas un buen antivirus.
¡Saludos!
They just hack my instagram account like 1 months ago I’m just trying to get it back
I’m dealing with the same thing, a few days ago they hacked my Instagram, changing username, email, phone, etc. Even answering from my DMs, I need it back.
Hi! I’m afraid you need to use the options provided by Instagram to get back your account.
Muy bueno
¡Nos alegra que te haya gustado, Gustavo!