(KASPERSKY) – Un estudio realizado por expertos de Kaspersky revela que casi la mitad de las contraseñas pueden ser adivinadas por los ciberdelincuentes en menos de un minuto. Las conclusiones del informe, que examina 193 millones de contraseñas disponibles en la Dark Web, pirateadas por ladrones de información, por fuerza bruta o mediante algoritmos inteligentes, son edificantes.
Según los resultados de una investigación realizada por los expertos de Kaspersky, los ciberdelincuentes pueden adivinar el 45% de las contraseñas analizadas (87 millones) en un minuto. Los investigadores también identificaron las combinaciones de caracteres más utilizadas al crear contraseñas. Sólo el 23% de las combinaciones (44 millones) resultaron lo suficientemente difíciles de descifrar como para frustrar los intentos de los estafadores, que tardaron más de un año en lograrse.
Los datos de telemetría de Kaspersky revelan que más de 32 millones de intentos de ladrón de contraseñas se dirigieron a personas en 2023, cifras que subrayan la importancia crucial de una buena higiene digital y la implementación de una estrategia de contraseñas proactiva.
En junio de 2024, Kaspersky analizó 193 millones de contraseñas encontradas en el dominio público en varios recursos de la Dark Web. Los resultados indican que la mayoría de las contraseñas examinadas no son lo suficientemente seguras y pueden verse comprometidas fácilmente mediante algoritmos inteligentes.
La velocidad de vulneración de contraseñas se desglosa de la siguiente manera:
- – 45% (87 millones) en menos de un minuto.
- – 14% (27 millones) entre 1 minuto y 1 hora.
- – 8% (15 millones) entre 1 hora y 1 día.
- – 6% (12 millones) entre 1 día y 1 mes.
- – 4% (8 millones) entre 1 mes a 1 año.
Los expertos identificaron sólo el 23% (44 millones) de las contraseñas como persistentes, lo que significa que tardarían más de un año en verse comprometidas.
La mayoría de las contraseñas examinadas (57%) contienen una palabra del diccionario, lo que reduce significativamente la seguridad de una contraseña. Entre las secuencias de vocabulario más utilizadas se pueden distinguir varios grupos:
- – Nombres propios: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”.
- – Palabras populares: “forever”, “love”, “google”, “hacker”, “gamer”.
- – Palabras de contraseña estándar: «contraseña», «qwerty12345», «admin», «12345», «equipo».
El análisis mostró que solo el 19% de las contraseñas contienen signos de una combinación fuerte y difícil de descifrar, como una palabra que no está en el diccionario, letras minúsculas y mayúsculas, así como números y símbolos, y ninguna palabra del diccionario estándar. Al mismo tiempo, el estudio encontró que el 39% de estas contraseñas se pueden adivinar en menos de una hora utilizando algoritmos inteligentes.
Quizás el punto más preocupante es que los atacantes no necesitan amplios conocimientos ni equipos costosos para descifrar contraseñas. Un procesador de portátil estándar de alto rendimiento podrá encontrar la combinación correcta de una contraseña de 8 letras minúsculas o números mediante fuerza bruta en tan solo 7 minutos. Las tarjetas gráficas recientes pueden incluso completar la tarea en 17 segundos. Además, los algoritmos inteligentes de adivinación de contraseñas descifran fácilmente los reemplazos de caracteres como “e” por “3”, “1” por “!” ” o “a” con “@”, así como secuencias populares como “qwerty”, “12345”, “asdfg”.
“Inconscientemente, los seres humanos crean contraseñas “humanas”, que contienen palabras del diccionario en su idioma nativo, nombres, números, etc., todos elementos que son fáciles de memorizar para nuestro ya ocupado cerebro. Incluso las combinaciones aparentemente fuertes rara vez son completamente aleatorias y, por lo tanto, pueden adivinarse mediante algoritmos. En estas condiciones, la solución más fiable es generar contraseñas completamente aleatorias mediante administradores de contraseñas. Estas aplicaciones pueden almacenar de forma segura grandes volúmenes de datos, proporcionando una protección integral y sólida de los datos del usuario”. comenta Yuliya Novikova, jefa del equipo de Inteligencia de Huella Digital de Kaspersky.
Más información sobre el estudio en SecureList y en el blog de Kaspersky.
Sobre el estudio
El estudio se realizó sobre la base de 193 millones de contraseñas encontradas en varios recursos públicos de la Dark Web. Como parte de su investigación, los investigadores de Kaspersky utilizaron los siguientes algoritmos para adivinar contraseñas:
- – Fuerza bruta – la fuerza bruta es un método para adivinar una contraseña que implica probar sistemáticamente todas las combinaciones posibles de caracteres hasta encontrar la correcta.
- – Zxcvbn – Este es un algoritmo de puntuación avanzado disponible en GitHub. Para una contraseña existente, el algoritmo determina su patrón. A continuación, el algoritmo cuenta el número de iteraciones de búsqueda necesarias para cada elemento del esquema. Entonces, si la contraseña contiene una palabra, su búsqueda tomará un número de iteraciones igual a la longitud del diccionario. Al tener el tiempo de búsqueda de cada elemento del patrón, podemos calcular la seguridad de la contraseña.
- – Algoritmo de adivinación inteligente – este es un algoritmo de aprendizaje. Según las contraseñas de todos los usuarios, puede calcular la frecuencia de diferentes combinaciones de caracteres. Luego puede generar pruebas desde las variantes más frecuentes y su combinación hasta las menos frecuentes.
Noticias globales hacia adelante
){kind=link}