Da igual cuántas cifras y símbolos incluyas en tus contraseñas: los humanos somos muy predecibles.
Y las máquinas lo saben.
Jaime Sánchez y Pablo Caro son dos jóvenes hackers españoles. Trabajan en Telefónica, el propio Caro en un grupo independiente que trata de forzar y fortalecer la propia seguridad de la organización. Ambos han presentado una ponencia titulada I Know Your P4$$w0rd (And If I Don’t, I Will Guess It…).
Su traducción al español es sucinta y contundente: sé cuál es tu contraseña, y si no, la adivinaré. Lo han hecho en las jornadas de ciberseguridad que organiza este mes el Equipo de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, el CCN-CERT, una entidad dependiente del CNI.
Ante un abarrotado auditorio en los cines Kinépolis de Madrid, Sánchez y Caro han dado varios detalles de la herramienta que alumbraron este 2019, Kaonashi. Se trata de una herramienta que conjuga diccionarios —repositorios informáticos de palabras o frases con sus respectivos hashes, códigos encriptados—, filtraciones de millones de contraseñas reales y la inteligencia colectiva fruto de herramientas open source.
Todas las contraseñas han sido recopiladas de empresas que han visto su seguridad comprometida, como es el caso de Uber, AOL, Bank of America, eBay, Ashley Madison, Tumblr o PlayStation Network.
Por qué los patrones con los que se confeccionan las contraseñas delatan a sus usuarios…
A la hora de crear una contraseña, todos los usuarios siguen unas pautas concretas. Pautas que pueden variar en función del lenguaje que utilicen —no es lo mismo hablar en castellano que hablar en inglés o en chino, donde entra en liza otra escritura—.
Así, Sánchez y Caro han detectado mediante un análisis de todas las claves que la longitud media de las mismas es de entre 7 y 9 caracteres, y que incluso hay diferencias entre las contraseñas diseñadas por mujeres y las diseñadas por hombres: las primeras suelen emplear nombres de allegados mientras que los segundos apelan a hobbys.
Además, cuando la contraseña lleva un símbolo, los más habituales a encontrar son el símbolo del dólar ($) o la almohadilla (#). Si hay varios números en la clave, estos suelen ser progresivos —de uno a dos, de dos a tres, etc—.
La herramienta de Sánchez y Caro recibe el nombre de Kaonashi, como el popular personaje de El viaje de Chihiro, un espíritu al que le gusta comer y conforme se alimenta crece y crece. La similitud radica en que el Kaonashi informático se alimenta de contraseñas filtradas y de hashes, los códigos alfanuméricos fruto de la encriptación de contraseñas —o de cualquier texto que se registre—.
Evidentemente, además de contraseñas españolas, el Kaonashi también accedió a contraseñas de usuarios rusos o chinos, motivo por el cual los dos especialistas españoles encontraron otras curiosidades. Por ejemplo, en el gigante asiático una de las claves más habituales es esta sucesión numérica: 5201314. El motivo es que si se lee cada número en chino, la expresión resultante es fonéticamente similar a decir en el idioma asiático “te querré para siempre”.
Leer más: Por qué deberías utilizar espacios en tus contraseñas, según varios expertos en ciberseguridad
Otro de los patrones que los usuarios siguen a la hora de confeccionar una contraseña es la concatenación de teclas. Así, en Kaonashi 14m, la herramienta con más de 14 millones de claves, algunas de las passwords más populares son 121212 o qwertyuiop. El motivo es evidente: son teclas cercanas las unas de las otras, y progresivas. Fáciles de recordar, pero completamente inseguras.
La ingeniería social —usar como clave ciudades que hemos visitado o el nombre de familiares o amigos cercanos— o las reglas de conversión —convertir la palabra banana en b4n4n4!— son otras de las pautas que los usuarios siguen a la hora de idear sus claves de acceso.
…y ponen en riesgo la seguridad de sus cuentas
Un hacker no es un delincuente. Los hackers éticos son aquellos que persiguen detectar las vulnerabilidades en la seguridad de organizaciones y aplicaciones con el objetivo de preservar el custodio de los datos de los usuarios. En cambio, un cracker es aquel pirata informático con intereses ilícitos. Como el acceder a una contraseña, sea atendiendo a los patrones antes descritos o incluso por la fuerza bruta.
En su ponencia, Sánchez y Caro abundan en que en español hay más de 60 trillones de posibles combinaciones mezclando distintos caracteres. Entran en los cálculos las letras mayúsculas, las minúsculas, los números, los signos ortográficos, etc. Por ejemplo, para ‘reventar’ una contraseña generada arbitrariamente con un programa informático y que sea de 10 caracteres, se puede intentar atacar con fuerza bruta.
Con otras palabras, sería obligar al ordenador a probar una y cada una de todas esas posibles combinaciones. El problema es que ante una contraseña de esa magnitud podría tardar hasta cinco años de hacerlo, y cerca de 350.000 dólares por el alquiler de la tecnología en la nube.
De las 14 millones de contraseñas a las que tenía acceso Kaonashi, Sánchez y Caro explicaron en su ponencia que comenzaron a experimentar con el primer millón. Lo hicieron además aplicando una red neuronal artificial que propusiese muchas de las transformaciones que viven las contraseñas. Así, los dos hackers pudieron ‘jugar’ a crear desde nuevas claves a incluso nuevos términos parecidos a palabras españolas, como campilleto o parbondalista.
Así, con el primer millón de las contraseñas que tenía Kaonashi, propusieron al programa que generase claves a partir de las analizadas. El programa propuso más de 100.000 claves, y al menos 15.000 coincidieron con contraseñas reales.
Cómo hacer contraseñas más seguras
Si los crackers acechan las claves por ingeniería social o patrones de conversión, lo más evidente es entonces crear claves formadas por varias palabras que no tengan nada que ver con el propio usuario.
Nada de nombres propios, ni de ciudades, personas o mascotas, ni de efemérides o fechas claves. Arbitrariedad máxima.
Por si fuera poco, siempre se puede acudir a un tercero para que sea el programa informático quien proponga contraseñas arbitrarias formadas por códigos alfanuméricos.
Otras recomendaciones habituales a la hora de proteger la seguridad de las cuentas de usuario es la de utilizar contraseñas distintas en cada servicio, a fin de que si se compromete una, no se comprometan todas.