Por Rajesh Ganesan, Presidente de ManageEngine
En los últimos años, la aceleración frenética de la digitalización y el avance de la IA generativa han despertado la curiosidad y planteado muchas preocupaciones con respecto a la seguridad de los datos. Sin embargo, si bien los especialistas en ciberseguridad utilizan predominantemente la IA para reducir el error humano, eliminar tareas que consumen mucho tiempo y detectar problemas de seguridad, los actores maliciosos están utilizando la IA, específicamente la IA generativa, para impulsar su juego de piratería.
Las contraseñas suelen ser la primera línea de defensa que se viola cuando las infraestructuras de ciberseguridad se ven comprometidas. Hay varias herramientas de descifrado de contraseñas que los actores maliciosos emplean para violar las infraestructuras de seguridad, que van desde aquellas que usan modelos de datos básicos hasta aquellas que usan redes adversarias generativas (GAN) para descifrar contraseñas de manera más rápida y efectiva, como PassGAN, una herramienta de descifrado de contraseñas que actualmente está creando ondas en internet.
Para mantener la integridad y la seguridad de los datos, todos, desde las personas hasta las organizaciones, deben estar al día con las tendencias actuales de seguridad de TI que evolucionan rápidamente. Esta idea se vuelve particularmente relevante para América Latina, ya que se encuentra constantemente entre las regiones más afectadas por ciberataques.
Según el Barómetro de Riesgos Allianz 2023, las ciberamenazas encabezan el ranking de riesgos en Latinoamérica este año, definido por una gran preocupación en la fuga de datos y seguida de los ataques de ransomware. Dada la rapidez con la que la IA generativa avanza en su capacidad para facilitar el robo de identidad, es aún más importante mitigar los efectos mediante la implementación de una sólida rutina de higiene de contraseñas.
¿Qué es PassGAN?
Un acrónimo de la palabra “Password” («contraseña») y el acrónimo «GAN», es el tipo de herramienta más nueva que utiliza IA para descifrar contraseñas rápidamente. Según un estudio de Home Security Heroes, PassGAN podría descifrar el 51% de las contraseñas populares en menos de un minuto. Las contraseñas complejas toman un poco más de tiempo, pero no mucho, con un 65 % descifrado en menos de una hora, un 71 % descifrado en menos de un día y un 81 % descifrado en menos de un mes. El estudio también encontró que las contraseñas que incorporan tanto la longitud perfecta (más de ocho caracteres) como la complejidad (caracteres especiales) resultaron ser las más seguras. La mayoría del software para descifrar contraseñas emplea modelos de datos sencillos y presunciones con respecto a los patrones de contraseñas. Por el contrario, PassGAN tiene la capacidad de evaluar y aprender de los datos para ser cada vez más inteligente.
¿Nuestros datos están realmente en peligro?
Vale la pena señalar que herramientas similares para descifrar contraseñas han estado circulando desde 2017. Contrariamente a la creencia popular, no es una herramienta innovadora desarrollada a la altura de la IA generativa, a pesar de que parece emplear tecnología de punta para descifrar contraseñas.
Solo cuando hay una violación de datos se pueden usar estas herramientas para descifrar contraseñas. Los hackers no obtienen acceso inmediato a los detalles de la contraseña en el momento en que un sitio web se ve comprometido; solo podrán acceder al «hash» encriptado de las contraseñas, que no es lo mismo que acceder a las cuentas directamente. Además, tendrían que comprometer un servidor para acceder a las cuentas y violar la red de manera efectiva.
La alternativa ideal: una protección de contraseña más fuerte
Aunque las alternativas sin contraseña y la biometría se han puesto de moda recientemente, no están libres de errores o sesgos. Por el momento, las contraseñas continúan siendo el método principal y más fácil de autenticación. La forma en que podemos defendernos a nosotros mismos y la integridad de nuestros datos es mediante el uso de una higiene de contraseñas adecuada.
Implementar un conjunto de procedimientos básicos de higiene de la seguridad, como garantizar y hacer cumplir políticas estrictas de contraseñas, cumplir con las regulaciones de NIST y GDPR, incorporar controles de MFA, escanear periódicamente vulnerabilidades y aplicar parches a puntos finales, cambiar contraseñas con regularidad y nunca usar la misma contraseña, puede hacer la diferencia.
