Sufrir una vulnerabilidad está a la orden del día, por ello en el día mundial de las contraseñas le contaré sobre PassGAN, una nueva herramienta que podría poner en peligro la información de su empresa pues descifra las claves de seguridad en segundos ¡Conozca, prepárese y prevenga!

Hace poco se encendió la alarma de nuevo porque llegó una herramienta que usa la inteligencia artificial para descifrar contraseñas o códigos de acceso en menos de un segundo, que se conoce como PassGAN (Password Generative Adversarial Network).

Se empezó a nombrar porque una empresa de ciberseguridad publicó un informe en el que examina y prueba la herramienta en una lista de 15.680.000 millones de contraseñas para averiguar cuánto les tomaría descubrir una contraseña en el 2023.

Antes de contarle qué fue lo que descubrieron con esta prueba, déjeme explicarle qué es PassGAN, cómo funciona y por qué debería llamar su atención en términos de ciberseguridad para las organizaciones, porque podría convertirse en un recurso peligro para todos.

¿Qué es PassGAN y cómo funciona?

PassGAN es la abreviación de dos palabras en inglés: password  y Generative Adversarial Networks (GAN), es decir, claves y redes generativas adversarias en español.

Esta herramienta trabaja con las GAN, un modelo generativo que crea instancias de datos nuevas que tienen semejanza con los datos de entrenamiento, según explica Google. Es decir, puede crear cosas nuevas, a partir de información ya existente.

“El objetivo de las GAN es generar datos nuevos y sintéticos que se asemejen a alguna distribución de los conocidos”.

—Portal Geeks for Geeks.

Gracias a este modelo, que incluye el aprendizaje reforzado que ayuda al robot a aprender más rápido, se pueden generar desde cero imágenes, música y ahora se pueden descifrar las contraseñas.

¿Pero qué es PassGAN?, pues es una herramienta avanzada que utiliza las redes GAN para “aprender de manera autónoma la distribución de códigos de acceso reales a partir de filtraciones de claves reales, eliminando así la necesidad de un análisis manual de estas”, según el informe de Home Security Heroes.

El riesgo es que como esta herramienta puede generar múltiples propiedades de contraseña y mejorar la calidad de las que predice, esto les facilita a los ciberdelincuentes el descifrado de claves y el acceso a la información personal de otros usuarios en menos de un minuto, en algunos casos.

PassGAN puede descifrar claves complejas en tiempos muy cortos

Para probar esta herramienta entrenaron la tecnología con información de RockYou, que cuenta con un grupo de datos usados para entrenar sistemas inteligentes en el análisis de passwords. Estos fueron algunos de los hallazgos:

PassGAN aprende y crea conocimiento nuevo

Uno de los primeros resultados obtenidos de acuerdo con el informe de Home Security Heroes es que GAN aprovechó el conocimiento adquirido para crear nuevas códigos de acceso de muestra.

Cuenta con una alta capacidad para descubrir contraseñas

Según los resultados del experimento, el 51 % de las claves más comunes pueden ser descifradas en menos de un minuto, el 65 % en menos de una hora, el 71 % en menos de un día y el 81 % en menos de un mes.

Las passwords más comunes las descifra de manera instantánea

Básicamente, si sus claves tienen entre cuatro y cinco caracteres, con números, mayúsculas, minúsculas, y símbolos, esta herramienta la descifraría de manera inmediata. Además, le toma menos de seis minutos conocer cualquier contraseña de siete caracteres.

Las claves más retadoras para PassGAN

Los códigos de acceso mayores a 18 caracteres, por ejemplo, son las más seguros contra los programas de IA de descifrado. En este caso PassGAN puede tardar al menos 10 meses en averiguar una contraseña de solo números. Y se demoraría unos seis quintillones de años en hacerlo con aquellas que tienen símbolos, números, letras minúsculas y mayúsculas.

Ya habían probado antes PassGAN en el 2018, esto concluyeron

Un estudio previo que se conoce como “PassGAN: A Deep Learning Approach for Password Guessing” (2018-2019), que fue realizado por Briland Hitaj, Paolo Gasti, Giuseppe Ateniese, Fernando Perez-Cruz y publicado por Cornell University en su página Arxiv.org; al parecer fue el primero en abordar una prueba de este tipo con PasGAN.

Estos fueron algunas de sus conclusiones:

Las GAN pueden generar suposiciones para adivinar las claves

El experimento de este estudio demostró que PassGAN logró igualar el 34 ,2% de las claves extraídas de RockYou, base de datos de contraseñas. También logró hacer coincidir el 21,9 % de los códigos de acceso del conjunto de datos de LinkedIn. La herramienta fue capaz de adivinar un número alto en cuanto a caracteres, basándose en solo un conjunto de muestras.

Podría reemplazar la adivinación de passwords basada en reglas

Esta es una de las conclusiones a las que llegaron luego de comprobar que al combinar múltiples técnicas los porcentajes de coincidencias son mucho más altos. Por lo que, software o aplicaciones como PassGAN podrían remplazar la identificación de contraseñas basada en reglas que es la que se había estado empleando hasta ahora.

Es capaz de adivinar claves sin intervención de un usuario

PassGAN es capaz de generar códigos de acceso sin intervención de un usuario. Además, tampoco requiere de conocer el dominio actual de estos o de un análisis manual de filtraciones de bases de datos de passwords.

Con herramientas como PassGAN para descifrar contraseñas, que usan algoritmos como las GAN, que son empleados en la IA, solo queda algo muy claro: es apremiante invertir en temas de seguridad de la información.

La gran pregunta es ¿cómo nos estamos preparando y qué vamos a hacer?

Fuentes consultadas

Briland Hitaj, Paolo Gasti, Giuseppe Ateniese, Fernando Perez-CruzPassGAN: A Deep Learning Approach for Password Guessing  .

 

  1. Alonebx_1

    They just hack my instagram account like 1 months ago I’m just trying to get it back

  2. Gustavo

    Muy bueno