El uso de la inteligencia artificial para mejorar nuestra seguridad en línea —como pedirle a un chatbot que nos cree contraseñas “ultra seguras”— parece ser el siguiente paso en la protección digital. Sin embargo, en la práctica, esto implica más riesgos de los que se pensaba inicialmente.
Esa es, al menos, la conclusión a la que llegó Kaspersky. De acuerdo con Alexey Antonov, líder del equipo de ciencia de datos de la compañía, pedirle a una IA que genere contraseñas no garantiza un nivel adicional de seguridad o complejidad. Aunque a simple vista estas claves parecen aleatorias —por sus combinaciones de letras, números y símbolos— en realidad no son tan confiables como aparentan, ya que siguen patrones predecibles.
Las contraseñas hechas con IA
Para verificar la seguridad de las contraseñas generadas por inteligencias artificiales como ChatGPT y otros modelos de lenguaje (LLM), Antonov y su equipo generaron mil contraseñas con cada uno de los modelos ChatGPT, LLaMA y DeepSeek, lo que dio un total de 3,000 claves. El objetivo fue analizar cómo eran creadas y detectar posibles vulnerabilidades.
El equipo reconoció que, en general, los modelos conocen las buenas prácticas para generar contraseñas, como incluir al menos una docena de caracteres con mayúsculas, minúsculas, números y símbolos. Sin embargo, LLaMA y DeepSeek tendían a producir contraseñas que incluían palabras del diccionario con modificaciones predecibles, como sustituir letras por caracteres similares. Ejemplos de esto fueron combinaciones como B@n@n@7 o S1mP1eL1on.
Además, ambos modelos mostraron una clara tendencia a usar la palabra “Password“, generando variaciones como P@ssw0rd, P@ssw0rd!23, P@ssw0rd1 o P@ssw0rdV. Este tipo de combinaciones son especialmente inseguras, ya que son bien conocidas por los algoritmos de fuerza bruta utilizados para vulnerar cuentas.
Entre los modelos analizados, ChatGPT mostró un mejor desempeño en la generación de contraseñas aparentemente más complejas. Algunos ejemplos fueron:
- qLUx@^9Wp#YZ
- LU#@^9WpYqxZ
- YLU@x#Wp9q^Z
- P@zq^XWLY#v9
- v#@LqYXW^9pz
No obstante, incluso estas claves mostraban patrones recurrentes. Por ejemplo, los caracteres 9, W, p, x y L se repetían con mayor frecuencia que otros, lo que puede comprometer la aleatoriedad esperada en contraseñas seguras.
Unas contraseñas aún inseguras
Según el equipo de Kaspersky, las tendencias eran claras: en las contraseñas generadas por ChatGPT predominaban las letras x y P; en las de LLaMA, el símbolo # y la letra p; y en las de DeepSeek, las letras t y w. Esto representa una “debilidad” importante, ya que un generador verdaderamente aleatorio debería distribuir todos los caracteres de manera equitativa para evitar patrones predecibles.
Además, las IAs replicaron un comportamiento común entre los usuarios humanos: olvidar incluir caracteres especiales o números. Se detectó la ausencia de estos elementos en el 26 % de las claves generadas por ChatGPT, 32 % en las de LLaMA y 29 % en las de DeepSeek, lo que representa un riesgo adicional frente a intentos de intrusión.
Los caracteres más repetidos por cada IA
El resultado fue concluyente: Kaspersky utilizó una herramienta de análisis previamente aplicada en otro estudio para evaluar la fortaleza de las contraseñas. Así, determinó que el 88 % de las creadas con DeepSeek, el 87 % de las de LLaMA y el 33 % de las generadas por ChatGPT no eran lo suficientemente seguras. La principal causa es que los LLM no generan una distribución verdaderamente aleatoria de caracteres, lo que facilita su predicción y posible hackeo.
La solución, según Kaspersky
La recomendación de la compañía es clara: utilizar servicios especializados en la generación de contraseñas, con características criptográficas que eviten patrones detectables. Además, se sugiere almacenar las credenciales en un lugar seguro, protegido con una única contraseña maestra.
Si se emplea un gestor de contraseñas, también se pueden aprovechar funciones como el autocompletado y la sincronización entre dispositivos, lo que agiliza el inicio de sesión sin comprometer la seguridad.
En conclusión, afirma Kaspersky, “aunque la IA puede asistir en muchas tareas, la generación de contraseñas no es una de ellas”, principalmente por los patrones y la previsibilidad de los caracteres usados por los modelos de lenguaje, que los hacen más vulnerables a ser descifrados.
Cortesía de Xataka
Dejanos un comentario: