Los ataques de fuerza bruta para obtener contraseñas se han trasladado de las CPU a las GPU, mejorando su eficacia al verificar más de un millón de claves por segundo.
• Las contraseñas ahora necesitan nuevos requisitos para ser verdaderamente seguras: un número mínimo de 12 caracteres, el uso de letras mayúsculas y minúsculas, números y caracteres especiales.
Bogotá, mayo de 2023. – Check Point Software Technologies hace llegar un recordatorio sobre la importancia de dedicar un cuidado especial a las contraseñas, ya que son una de las principales barreras contra delincuentes cibernéticos
Las contraseñas son utilizadas por miles de millones de usuarios en todo el mundo, pero a pesar de su enorme importancia, todavía existe un elevado número de malas prácticas a la hora de gestionarlas y crearlas. En 2019, el Centro Nacional de Seguridad Cibernética del Reino Unido reveló que 23 millones de personas en todo el mundo continúan usando contraseñas inseguras como "123456", lo que demuestra que muchos usuarios aún desconocen los peligros potenciales.
Pero este no es el único problema al que nos enfrentamos. Los incesantes avances tecnológicos no solo benefician a los usuarios, sino que también brindan a los ciberdelincuentes nuevas herramientas para llevar a cabo sus ataques. Lo que alguna vez se consideró contraseñas seguras ahora se está volviendo obsoleto, creando nuevas vulnerabilidades.
La llegada de nuevas tarjetas gráficas con memoria virtual (VRAM) ha abierto la puerta para que estos dispositivos de hardware procesen datos a alta velocidad, de la misma manera que se utiliza en la minería de criptomonedas. Sin embargo, también se pueden utilizar en ciberataques de fuerza bruta para obtener contraseñas, siendo los modelos más nuevos capaces de realizar más de un millón de comprobaciones en tan solo un segundo, mucho más rápido que lo que antes conseguían las unidades centrales de procesamiento (CPU). Esto quiere decir que si tenemos una contraseña de menos de 12 caracteres basada exclusivamente en el uso de letras y números, esta podría ser violada en tan solo unos días.
Según el último informe de Hive Systems, que compartió los tiempos aproximados en los que los ciberdelincuentes podrían “descifrar” nuestras contraseñas, van desde un mínimo esfuerzo y tiempos casi instantáneos para las contraseñas más inseguras, hasta 438 billones de años para las claves más robustas. En cuestión de tan solo un año, estas mismas cifras han visto recortadas hasta en un 90% sus posibles tiempos de vulnerabilidad que, con la entrada de nuevos agentes como los servicios en la nube o la inteligencia artificial, podrían reducirse aún más en los próximos años.
El objetivo y los motivos son claros, pero ¿qué necesita una contraseña para ser segura y sólida? Check Point Software da las claves definitivas para conseguirlo:
• Cuanto más largo y variado, mejor: debe tener al menos 14-16 caracteres y constar de diferentes letras, combinando mayúsculas y minúsculas, símbolos y números. Sin embargo, se ha observado que simplemente aumentando la contraseña hasta 18 caracteres combinados, se puede construir una clave completamente indescifrable. Esta creencia se basa en el número de intentos que requiere la práctica de fuerza bruta, donde el número total de combinaciones es igual al número de caracteres multiplicado por su longitud.
• Fácil de recordar, complejo de adivinar: debe ser una combinación que solo el usuario conozca, por lo que se recomienda no utilizar datos personales como fechas de aniversarios o cumpleaños, o nombres de familiares, ya que pueden ser más fáciles de averiguar. Una forma sencilla de crear contraseñas que cualquiera pueda recordar es usar oraciones completas, ya sea usando escenarios comunes o absurdos, con ejemplos como 'meryhadalittlelamb', o su equivalente aún más seguro con diferentes caracteres '#M3ryHad@L1ttleL4m8'.
• Única e irrepetible: cree una nueva contraseña cada vez que acceda a un servicio y evite utilizar la misma contraseña para diferentes plataformas y aplicaciones. Esto garantiza que, en caso de que se infrinja una contraseña, el daño será mínimo y se reparará más fácil y rápidamente. Según una encuesta de Google, al menos el 65 % de los encuestados reutilizan sus contraseñas en múltiples cuentas y servicios web, lo que aumenta las posibilidades de que se vulneren múltiples plataformas o aplicaciones.
• Siempre privado: una premisa que puede parecer básica pero que es importante recordar. Una contraseña no debe compartirse con nadie, y es especialmente recomendable no escribirla en ningún lugar cerca de la computadora o incluso en un archivo en ella. Para esta tarea, puedes usar herramientas como los administradores de contraseñas, que hacen el mismo trabajo, pero de una manera más segura.
• La seguridad real está a solo 'dos pasos' de distancia: además de tener una contraseña fuerte y segura, actualizar sus aplicaciones críticas para que requieran autenticación de dos factores (2FA) es una importante mejora de seguridad. De esta forma, cada vez que un atacante o una persona no autorizada quiera acceder a la cuenta de otra persona, el titular de la cuenta recibirá una notificación en su teléfono móvil para conceder o denegar el acceso.
• Cambiarlo periódicamente: en ocasiones, incluso después de seguir todas estas prácticas, ocurren incidentes fuera de nuestro alcance, como filtraciones de las bases de datos de la empresa. Por ello, es recomendable comprobar periódicamente si un correo electrónico ha sido víctima de una vulnerabilidad de un tercero, así como intentar rastrear las cuentas que puedan haber sido comprometidas. Para ello, existen herramientas de acceso público como la web Have I Been Pwned, que intentan recopilar información básica sobre estas filtraciones para ofrecer soporte y ayuda a los usuarios. Del mismo modo, incluso si no se han violado, siempre se recomienda actualizar las contraseñas cada pocos meses.
Todos los días, los ciberdelincuentes crean nuevos ataques destinados a robar las contraseñas de los usuarios. "Técnicas como el phishing han logrado violar miles de servicios mediante el robo de credenciales. Este riesgo se puede remediar fácilmente estableciendo contraseñas seguras, haciendo mucho más difícil que los ciberdelincuentes adivinen estas combinaciones, garantizando el máximo nivel de seguridad para nuestros dispositivos", afirma Manuel Rodríguez, Gerente de Ingeniería de Seguridad para el Norte de América Latina de Check Point Software.
Fuente de redaccion Check Point Software Technologies Ltd.