Esto es lo que tarda un experto en descubrir tu contraseña usando fuerza bruta
- 3 minutos de lectura'
La empresa de ciberseguridad Hive Systems analiza, desde hace años, el tiempo que lleva descubrir una contraseña por fuerza bruta, es decir, no usando la inventiva y la ingeniería social para efectivamente saber cuál es la contraseña que usamos para bloquear el acceso a un servicio o aplicación, sino probando todas las combinaciones posibles (empezando, claro, por las más comunes). Es como si en un candado de cuatro cifras, en vez de probar con una fecha de cumpleaños, una dirección postal o número de teléfono, probáramos con todas las combinaciones posibles entre 0000 y 9999.
Los ataques de fuerza bruta dependen de la celeridad con la que se pueden probar las contraseñas; por eso muchos dispositivos están diseñados para demorar la reposición de la puerta de acceso digital cada vez que ingresamos una clave en forma errónea, o se bloquean en forma temporal si alcanzamos un número de pruebas equivocadas (cinco, diez, etcétera). Es para disuadir este tipo de ataques: lo que podría hacerse rapidísimo se vuelve impracticable. Los smartphones de Android y el iPhone, por ejemplo, funcionan así.
Pero también influye la capacidad de los sistemas “atacantes”, y de la sofisticación de las herramientas en uso, para probar claves, y usar el conocimiento que se tiene hoy de cómo las personas generan contraseñas, para privilegiar primero la prueba con las más populares y luego con el resto.
¿Qué dice, entonces, el estudio de Hive Systems, que es de marzo último, pero que se viralizó ahora? Que si se trata de una contraseña con 6 números o caracteres (o una combinación) hoy los sistemas dedicados a estos menesteres las podrán averiguar en forma instantánea. Pero una contraseña de 8 posiciones que combine letras, números y símbolos (un uso muy habitual hoy) sólo exige un esfuerzo mínimo: 39 minutos, según la compañía. Si son 12 números (y sólo números), por ejemplo, le toma 2 segundos. Si es una combinación de doce letras minúsculas, son 2 días; combinando letras mayúsculas y minúsculas, ya sube a 24 años. En la medida en que se suma una mayor complejidad (es decir, que para cada posición puede haber números, letras mayúsculas, minúsculas o caracteres) el crecimiento es exponencial.
La lección, por supuesto, es que para ser medianamente segura, la contraseña de un servicio digital debe ser de más de 8 caracteres, y debe combinar letras, números y símbolos: requerirá 5 meses de prueba continua para descular una contraseña de 10 posiciones, y 34 años para 11 posiciones. Pero hay que tener en cuenta que a medida que mejora la capacidad y velocidad de las computadoras, también decrece el tiempo que necesitan para probar las combinaciones.
Así, notan en Gizmodo que descubrir una contraseña con una combinación de 10 números y letras mayúsculas y minúsculas tomaba 106 años de cómputo en 2012, pero hoy toma 3 semanas; una clave de 12 posiciones en 2012 hubiera requerido 108.000 años, y hoy son “solo” 200 años. Esto, para repensar la idea de que una contraseña hoy es tan larga y compleja que siempre será inviolable, y que es muy recomendable, donde se pueda, activar la autenticación de dos pasos, una opción que dificulta muchísimo acceder a un sistema ajeno, incluso cuando se usa ingeniería social en vez de fuerza bruta.