Actualmente, es una práctica común delegar numerosas tareas a la IA. Si bien esto presenta ventajas significativas en muchos campos, en lo que respecta a la inteligencia artificial y seguridad de contraseñas conviene ser prudente.
Como tu mentor de la ciberseguridad, puedo decirte que la IA no está diseñada para generar aleatoriedad criptográfica, por lo que no debería ser la herramienta principal para crear contraseñas seguras ni sustituir a generadores especializados. El uso de la IA en ciberseguridad tiene enormes beneficios, pero también limitaciones que debemos conocer.
Por Qué No es Seguro Generar Contraseñas con IA
No es recomendable generar contraseñas con IA porque los modelos de lenguaje (LLM) no están diseñados para crear aleatoriedad criptográfica. En su lugar, producen resultados predecibles y con patrones, lo que reduce la entropía y debilita la seguridad de las contraseñas, haciéndolas más vulnerables a ciertos ataques.
Una percepción extendida es considerar a la IA como una herramienta omnipotente capaz de resolver cualquier problema. No obstante, debido a su naturaleza intrínseca, existen tareas para las cuales resulta ineficaz. Si valoras tu seguridad, no solicites a una IA que genere una contraseña para ti.
La empresa de ciberseguridad Irregular analizó contraseñas generadas por distintos modelos de IA y observó patrones repetitivos y cierta previsibilidad en los resultados. Aunque este tipo de pruebas depende del contexto y del prompt utilizado, pone de relieve una limitación relevante: los modelos de lenguaje no están diseñados para producir aleatoriedad criptográfica.
«Los individuos y los agentes de codificación no deben confiar en los LLM (Modelos de Lenguaje Grandes) para generar contraseñas[…]
Las contraseñas generadas por LLMs son fundamentalmente débiles, y esto no puede ser corregido mediante ajustes de temperatura o prompts: los LLMs están optimizados para producir resultados predecibles y plausibles, lo cual es incompatible con la generación de contraseñas robustas».
Señala el informe de Irregular.
De acuerdo con el informe, los expertos solicitaron a distintas soluciones de IA la generación de contraseñas cortas con requisitos de complejidad. Se detectaron patrones repetitivos e incluso resultados similares entre solicitudes, lo que refuerza la idea de que la longitud y la entropía real siguen siendo factores determinantes en la seguridad de contraseñas.
Los Peligros Ocultos de Usar ChatGPT para Contraseñas
Todas las contraseñas generadas por Claude comenzaban con una letra, normalmente G. El segundo carácter era casi siempre un 7. Además, las 50 claves que generó contenían los caracteres L, 9, m, 2, $ y #.
Las demás IA mostraron un comportamiento análogo. El problema de usar ChatGPT para contraseñas es similar: iniciaba casi todas sus claves con la letra v, y casi la mitad de ellas tenían la letra Q como segundo dígito.
Gemini, por su parte, inicia una buena parte de sus contraseñas con la letra k y, como segundo carácter, utiliza #, P o 9. Desde la perspectiva de un experto en seguridad, estas contraseñas son muy débiles y más fáciles de vulnerar que las contraseñas completamente aleatorias.
El problema es que parecen seguras para los usuarios porque no están familiarizados con estos patrones. Estos son algunos de los principales riesgos de contraseñas con IA.
En escenarios donde existan patrones previsibles, una contraseña puede resultar más susceptible a un ataque de fuerza bruta o a estrategias de reducción del espacio de búsqueda. La razón de esta limitación reside en el funcionamiento probabilístico de los modelos de lenguaje, que priorizan resultados plausibles en lugar de aleatoriedad criptográfica real.
La aleatoriedad, o entropía, es un factor crucial en una contraseña, y estos patrones predecibles de la IA reducen dicha entropía, tal y como se detalla en guías técnicas como la de autenticación de OWASP.
Por lo tanto, aunque puedan parecer complejas, las contraseñas generadas directamente por IA no ofrecen garantías de aleatoriedad criptográfica. Si necesitas una contraseña segura, lo más recomendable es utilizar generadores especializados integrados en gestores de contraseñas.
Alternativas Seguras: Gestores y Frases de Contraseña
Si la IA no es la respuesta, el camino correcto sigue siendo el que los expertos recomendamos. No se trata de complicarse, sino de usar las herramientas adecuadas y seguir buenas prácticas para saber cómo elegir una contraseña segura.
- Utiliza un Gestor de Contraseñas: Esta es la solución principal. Un gestor de contraseñas seguro como Bitwarden, 1Password o los integrados en navegadores están diseñados para una tarea: generar contraseñas con un altísimo nivel de aleatoriedad. Ellos crearán y recordarán claves complejas y únicas por ti. Puedes ver un ejemplo de un generador seguro en la web de Bitwarden.
- Activa siempre la Autenticación de Dos Factores (2FA): Piensa en el 2FA como el cerrojo de tu puerta. Incluso si un ladrón consigue tu contraseña, no podrá entrar sin ese segundo paso, que suele ser un código en tu teléfono. Es la capa de seguridad más efectiva que puedes añadir a tus cuentas.
- Prioriza la Longitud sobre la Complejidad: Si necesitas crear una contraseña memorable sin un gestor, opta por frases de contraseña seguras (idealmente 16 caracteres o más). Es más fácil recordar algo como “
MiGatoNeronComePescadoEnLaPlaya!” que “N$p26!gT#9x“, y para un atacante la primera opción es exponencialmente más difícil de romper. Esta práctica está recomendada por agencias como CISA.
