En junio de 2024, los expertos de Kaspersky realizaron un estudio a gran escala sobre la resistencia de 193 millones de contraseñas, comprometidas por programas de robo de información y disponibles en la darknet, ante ataques de fuerza bruta, Zxcvbn y algoritmos de adivinanza inteligente. Según los resultados de la investigación, el 45% de todas las contraseñas analizadas pueden ser adivinadas por parte de los estafadores en menos de un minuto.
Más de 32 millones de intentos de atacar a usuarios con programas de robo de contraseñas en 2023. Estas cifras muestran la importancia de la higiene digital y de políticas de contraseñas adecuadas. Estos resultados demuestran que la mayoría de las contraseñas revisadas no eran lo suficientemente fuertes y podían ser fácilmente comprometidas usando algoritmos de adivinanza inteligente. Los analistas indican además la rapidez con la que los ciberataques permiten obtener las contraseñas:
- El 45% (87 millones) en menos de 1 minuto.
- El 14% (27 millones) de 1 minuto a 1 hora.
- El 8% (15 millones) de 1 hora a 1 día.
- El 6% (12 millones) de 1 día a 1 mes.
- El 4% (8 millones) de 1 mes a 1 año.
Solo el 19% de todas las contraseñas contienen los elementos básicos para conseguir una combinación robusta
Los expertos identificaron que solo el 23% de las contraseñas resultaron ser resistentes (44 millones), puesto que comprometerlas les llevaría más de un año. Además, el 57% de las contraseñas examinadas contiene una palabra del diccionario, lo que reduce significativamente su seguridad. Entre las secuencias de vocabulario más populares, se pueden distinguir varios grupos:
- Nombres:“hmed”, “nguyen”, “kumar”, “kevin”, “daniel”.
- Palabras populares: “forever” (“siempre”), “love” (“amor”), “google”, “hacker”, “gamer” (“jugador”).
- Contraseñas estándar: “password” (“contraseña”), “qwerty12345”, “admin” (“administrador”), “12345”, “team” (“equipo”).
En este sentido, el análisis mostró que solo el 19% de todas las contraseñas contienen los elementos básicos para conseguir una combinación robusta: una palabra que no esté en el diccionario y una combinación de letras minúsculas y mayúsculas, así como números y símbolos. A su vez, el estudio reveló que el 39% de estas también podrían ser adivinadas en menos de una hora usando algoritmos inteligentes.
Según los expertos de Kaspersky, los atacantes no requieren conocimientos profundos ni equipos costosos para descifrar contraseñas. Por ejemplo, un potente procesador de ordenador portátil es capaz de encontrar la combinación correcta para una contraseña de 8 letras minúsculas o dígitos utilizando la fuerza bruta en sólo siete minutos, y las tarjetas de vídeo actuales, en 17 segundos. Además, los algoritmos inteligentes para adivinar contraseñas tienen en cuenta la sustitución de caracteres (“e” por “3”, “1” por “!” o “a” por “@”) y secuencias populares (“qwerty”, “12345”, “asdfg”).