Usar inteligencia artificial (IA) para generar tus contraseñas es una mala idea. Es probable que le des esa contraseña a un delincuente que luego puede usarla en un ataque de diccionario, que es cuando un atacante revisa una lista preparada de contraseñas probables (palabras, frases, patrones) con herramientas automatizadas hasta que una de ellas funciona, en lugar de probar todas las combinaciones posibles.
La empresa de ciberseguridad basada en IA Irregular probó ChatGPT, Claude y Gemini y descubrió que las contraseñas que generan son «muy predecibles» y no realmente aleatorias. Cuando probaron Claude, 50 indicaciones produjeron solo 23 contraseñas únicas. Una cadena apareció 10 veces, mientras que muchas otras compartían la misma estructura.
Esto podría convertirse en un problema.
Tradicionalmente, los atacantes crean o descargan listas de palabras compuestas por contraseñas comunes, filtraciones del mundo real y variantes con patrones (palabras más números y símbolos) para utilizarlas en ataques de diccionario. No requiere casi ningún esfuerzo añadir unas mil contraseñas que suelen proporcionar los chatbots de IA.
Los chatbots con IA están entrenados para proporcionar respuestas basadas en lo que han aprendido. Son buenos prediciendo lo que vendrá después basándose en lo que ya tienen, no en inventar algo completamente nuevo.
Como dicen los investigadores:
«Los LLM funcionan prediciendo el siguiente token más probable, lo cual es exactamente lo contrario de lo que requiere la generación segura de contraseñas: aleatoriedad uniforme e impredecible».
En el pasado, explicamos por qué los ordenadores no son muy buenos con la aleatoriedad. Los gestores de contraseñas sortean este problema utilizando generadores de números aleatorios criptográficos dedicados que mezclan entropía del mundo real, en lugar de la generación de texto basada en patrones que se ve en los LLM.
En otras palabras, un buen gestor de contraseñas no «inventa» tu contraseña como lo hace una IA. Solicita al sistema operativo bits aleatorios criptográficos y los convierte directamente en caracteres, por lo que no hay ningún patrón oculto que los atacantes puedan descubrir.
Un sitio web o plataforma en la que introduzcas dichas contraseñas puede indicarte que son seguras, pero se aplica el mismo razonamiento básico por el que no debes reutilizar contraseñas. ¿De qué sirve una contraseña segura si los ciberdelincuentes ya la tienen?
Como siempre, preferimos las claves de acceso a las contraseñas, pero somos conscientes de que no siempre es posible. Si tienes que usar una contraseña, no dejes que una IA la cree por ti. No es seguro. Y si ya lo has hecho, considera cambiarla y añadir la autenticación multifactorial (2FA) para que la cuenta sea más segura.
No nos limitamos a informar sobre la privacidad: le ofrecemos la opción de utilizarla.
Los riesgos Privacy nunca deben ir más allá de un titular. Mantenga su privacidad en línea utilizando Malwarebytes Privacy VPN.
