El impacto de la inteligencia artificial en el tiempo para descifrar contraseñas

A lo largo de mis siete años de trayectoria profesional evaluando infraestructuras de ciberseguridad y el comportamiento de los usuarios en entornos digitales, he documentado cómo las prácticas de seguridad que antes considerábamos robustas han quedado obsoletas. En el marco del Día Mundial de la Contraseña, la firma de seguridad Kaspersky ha revelado datos alarmantes tras estudiar 231 millones de claves únicas procedentes de grandes filtraciones registradas entre los años 2023 y 2026.

La conclusión principal de este estudio expone la fragilidad de nuestros sistemas de autenticación actuales: el 68 % de las contraseñas vigentes puede descifrarse en menos de un día, y un preocupante 60 % cae en aproximadamente una hora. Este fenómeno no solo obedece a la potencia de cálculo moderna, sino a la previsibilidad de la psicología humana y al uso de algoritmos de inteligencia artificial para acelerar los ataques.

Patrones predecibles que facilitan los ataques de fuerza bruta

Durante años, las plataformas han exigido a los usuarios crear claves de al menos 10 caracteres, combinando mayúsculas, números y símbolos. Sin embargo, cumplir parcialmente con estas reglas estructurales no garantiza la resistencia del acceso. Los ciberdelincuentes programan sus sistemas para identificar y explotar los atajos mentales que toman las personas al crear estas credenciales.

El uso repetitivo de números y símbolos

La investigación detalla que la inmensa mayoría de las contraseñas comprometidas ubica los caracteres especiales y los números en posiciones extremadamente predecibles. Entre las claves que incluyen un único símbolo, el arroba (@) domina con un 10 % de los casos, seguido por el punto con un 3 % y el signo de exclamación.

El comportamiento con los caracteres numéricos es aún más evidente y peligroso:

• El 53 % de las contraseñas finaliza con una cifra.
• El 17 % comienza directamente con un número.
• Cerca del 12 % incorpora secuencias que representan años de nacimiento o fechas importantes, concentradas entre 1950 y 2030.
• Un 3 % se apoya en secuencias físicas del teclado como «qwerty» o combinaciones básicas como «1234».

Alexey Antonov, responsable del equipo de Data Science de la firma de seguridad, advierte que ubicar símbolos o fechas habituales al principio o al final de la cadena de texto facilita drásticamente el trabajo de los delincuentes. Los ataques de fuerza bruta prueban sistemáticamente todas las combinaciones, y si el algoritmo conoce de antemano el patrón de comportamiento humano, el tiempo computacional necesario para encontrar la clave correcta se reduce exponencialmente.

Palabras comunes y tendencias culturales

El lenguaje utilizado también representa una vulnerabilidad crítica. El estudio confirma que las personas se basan en palabras con fuerte carga emocional o en tendencias de la cultura pop del momento. Por ejemplo, el uso del término «Skibidi» experimentó un crecimiento notable entre 2023 y 2026. Del mismo modo, predominan conceptos positivos en inglés como «love», «magic» o «team», y palabras oscuras como «nightmare» o «devil». Utilizar una sola palabra del diccionario, incluso si se le añade un número al final, es un patrón demasiado débil para las herramientas informáticas actuales.

La longitud de la clave frente a los algoritmos avanzados

Existe un mito persistente que asocia la longitud de la contraseña directamente con su invulnerabilidad. Si bien las cadenas de texto largas ofrecen mayor resistencia, la longitud por sí sola ha dejado de ser suficiente. Con la integración de herramientas basadas en inteligencia artificial, incluso las claves de 15 caracteres pueden ser vulneradas en menos de un minuto si siguen una estructura predecible.

Las contraseñas cortas, de hasta ocho caracteres, no representan ningún reto para el hardware moderno y se descifran en cuestión de horas. El 60,2 % de las claves analizadas que caen en una hora fueron puestas a prueba utilizando el algoritmo de hash MD5, un estándar que, aunque obsoleto para almacenamiento seguro, sigue presente en múltiples bases de datos antiguas.

Recomendaciones técnicas para proteger las credenciales

Para mitigar este riesgo inminente, los expertos en seguridad informática recomiendan abandonar la creación manual de contraseñas. Hoy en día, una clave verdaderamente segura debe superar los 16 caracteres y combinar todos los elementos tipográficos de forma absolutamente aleatoria, sin seguir ningún tipo de lógica humana.

Para lograrlo, es indispensable el uso de generadores de contraseñas y gestores de credenciales. Estas herramientas de software almacenan toda la información en bóvedas cifradas protegidas por una única clave maestra robusta. Además, facilitan la sincronización entre dispositivos y abren la puerta a tecnologías de autenticación más modernas y resistentes al robo, como las passkeys y la verificación en dos factores (2FA).

Características del dispositivo de descifrado de hardware

Para comprender la magnitud de la amenaza y la velocidad a la que operan los ciberdelincuentes, es fundamental observar el hardware utilizado en las pruebas de resistencia del estudio. Los tiempos de descifrado en menos de una hora se lograron utilizando una única tarjeta gráfica de última generación. A continuación, se detallan las especificaciones técnicas operativas de la GPU RTX 5090 empleada en estos ataques por fuerza bruta:

• Arquitectura de procesamiento: Núcleos de procesamiento paralelo masivo diseñados para ejecutar millones de cálculos de algoritmos criptográficos (como MD5 o SHA-256) por segundo.
• Memoria de video (VRAM): Módulos de memoria de ultra alta velocidad (GDDR7) que permiten cargar listas de diccionarios masivos y tablas arcoíris (rainbow tables) sin cuellos de botella en la transferencia de datos.
• Aceleración por inteligencia artificial: Integración de núcleos tensoriales (Tensor Cores) que optimizan la predicción de patrones de contraseñas basados en el aprendizaje automático de filtraciones previas.
• Consumo y escalabilidad: Arquitectura de alto consumo energético que, en escenarios reales de ciberdelincuencia, se despliega en granjas de servidores o clústeres combinando múltiples tarjetas gráficas para multiplicar exponencialmente la velocidad de descifrado.