PassGAN, el eficiente descifrador de contraseñas basado en IA

La compañía de ciberseguridad Home Security Heroes ha presentado un informe en el cual detalla que el descifrador de contraseñas PassGAN es capaz de conocer el 51% de las contraseñas más comunes de los usuarios en cuestión de segundos. Toda aquella credencial superior a 18 caracteres será la más segura frente a los crackers.

De igual modo, el 65% de las contraseñas más comunes pueden ser descifradas en menos de una hora, el 71% en menos de 24 horas y el 81% de las credenciales en aproximadamente un mes. De este modo, si la contraseña posee menos de siete caracteres, tardará menos de seis minutos en descifrarla.

PassGAN, que procede de la abreviatura Password (contraseña) y Generative Adversarial Networks, es decir, una herramienta que utiliza la red adversa generativa (GAN). Se encarga de aprender las contraseñas a partir de una serie de filtraciones ya existentes. Y todo ello lo consigue gracias a la aplicación de la inteligencia artificial, en lugar de emplear los métodos convencionales, algo que la convierte en una herramienta aterradora y alarmante.

Aunque la contraseña posee símbolos y números, PassGAN puede llegar a descifrarla en menos de seis minutos, poniendo en jaque la seguridad de usuarios y compañías. La clave del éxito de esta herramienta surgida en 2017 es que no se vale de métodos convencionales ideados por humanos, sino de un aprendizaje automático que se ejecuta en una red neuronal.

Su método de actuación

Todas las conjeturas de contraseñas generadas por los GAN se suceden después de aprender la distribución de las contraseñas de una base de datos concreta. Para adivinarlas, las herramientas de crackeo convencionales utilizan listas de palabras que suman miles de millones obtenidas de infracciones anteriores, siendo John the Ripper y Hashcat las más comunes. Posteriormente se aplican reglas de manipulación para establecerles variaciones y que contraseñas aparentemente complejas se vuelvan más sencillas e inteligibles.

Dichas reglas de manipulación se ejecutan en clústeres especializados en computación paralela, es decir, que realizan tareas repetitivas de un modo más rápido y eficiente que las CPU. De esta manera, podrán transformar una palabra de texto sin formato como ‘contraseña’ en un hash más largo en cuestión de segundos.

PassGAN se puede valer del ataque combinador, el cual combina dos o más palabras de la lista, o bien de la fuerza bruta. Este último se caracteriza por ser un cracking que prueba todas las combinaciones posibles para una contraseña de una longitud determinada, probando una a una.

La fuerza bruta de contraseñas de siete o más caracteres es más intensiva, ya que el espacio de claves es mayor y los crackers buscan hacerla manipulable. Se basa en el llamado ataque de Markov, que prioriza las conjeturas en función de su probabilidad.

Luego encontramos el ataque de máscara, que permite al cracker seleccionar qué caracteres figuran y en qué posiciones concretas. Si se tratase de una combinación de ataques de fuerza bruta con ataques de palabra hablaríamos de un ataque híbrido, agregando todas las cadenas posibles al final de cada palabra de la lista.

Su método generativo

PassGAN funciona como una red neuronal, ya que una red generativa profunda imita la distribución de las muestras y distingue entre el original y las muestras falsas. De este modo, se logrará filtrar la información relevante sobre los datos de entrenamiento y podrá generar nuevas conjeturas de contraseña. A pesar de todo, las posibilidades de que PassGAN llegase a reemplazar el descifrado convencional son ínfimas.

Los límites de PassGAN

En su análisis, Home Security Heroes analizó una muestra de 15.680.000 contraseñas comunes de Rockyou, tomando únicamente las que son de entre 4 y 18 caracteres. Si la contraseña fuese de más de 18 caracteres, y en este caso conformada exclusivamente por números, PassGAN tardaría una media de diez meses en descifrarla. Los tiempos incluso aumentarían si se combinan símbolos, números y letras (mayúsculas y minúsculas).

A partir de que la contraseña a descifrar posea doce caracteres, los ciberdelincuentes emplearán 25 segundos en conocerlo, llegando a tres minutos a partir de 13 cifras, 36 minutos con 14 cifras y 5 horas en el caso de una contraseña de 15 cifras. De este modo, la IA que aplica PassGAN será efectiva cuando se tratase de contraseñas escritas con letras minúsculas con siete o menos letras, ya que a partir de la décima tardaría una hora aproximadamente.

El método de protección más eficiente

Desde Home Security Heroes se recomienda utilizar credenciales con al menos 15 caracteres, combinando letras (mayúsculas y minúsculas), números y símbolos y evitando patrones de contraseñas comunes. También habrá que cambiar la contraseña cada tres-seis meses si se detectasen accesos no autorizados a la cuenta.

La entrada PassGAN, el eficiente descifrador de contraseñas basado en IA es original de MuySeguridad. Seguridad informática.