Una IA podría descifrar tu contraseña de forma instantánea: ¿es suficiente para que nuestras cuentas estén en peligro?

La investigación de Home Security Heroes reveló que el 51% de las contraseñas comunes pueden ser descifradas de forma instantánea por una IA que han desarrollado: PassGAN. Esto abarca las claves que tienen de 4 a 11 caracteres. Es decir, la mayoría de contraseñas de los usuarios pueden caer en manos de cibercriminales que utilizan inteligencia artificial para forzar el acceso a una cuenta, incluyendo las bancarias.

LEE TAMBIÉN: ¿Por qué algunas apps no permiten eliminar nuestras cuentas y qué debemos hacer en estos casos?

PassGAN utiliza la Red adversa generativa (GAN) para “aprender de forma autónoma la distribución de contraseñas reales a partir de filtraciones de contraseñas reales”. Es decir, de esta manera se elimina la necesidad de un análisis manual de contraseñas. Por ello, el descifrado de contraseñas es mucho más rápido y eficiente, pero a la vez es una amenaza para la seguridad en línea. Esto se obtiene gracias a que la IA utiliza las redes neuronales para obtener la información.

“Las redes neuronales son sistemas que entrenan máquinas para interpretar y analizar datos como la mente humana. Las redes neuronales de GAN están diseñadas para registrar una variedad de propiedades y estructuras”, afirma el informe. De esta manera, la inteligencia artificial actúa como lo haría un humano, pero sin la necesidad de descansar o distraerse. ¿Qué pasaría si cae en manos de cibercriminales?

MIRA: IBM presenta una nueva herramienta para proteger a los usuarios de ciberataques con IA

De acuerdo con Diana Robles, líder de IBM Security para Perú, Colombia, Ecuador, Venezuela y Región Caribe, los cibercriminales siempre aprovecharán la tecnología actual. “Los ciberatacantes están mejorando cada vez más sus técnicas y aprovechando también nuevas tecnologías para crear ataques más sofisticados. Con ese panorama creciente de ataques cibernéticos, se hace cada vez más importante que las personas seamos conscientes de que el primer filtro o puerta de seguridad somos nosotros mismos”, asegura en conversación con El Comercio.

"En el Perú crearon en promedio 17 cuentas digitales nuevas durante la pandemia y el 85% reutilizó contraseñas en varias de sus cuentas"

Debido a que creamos cuentas para casi todo lo que usamos, solemos repetir las contraseñas. “Hace un par de años, IBM reveló un estudio que mostraba que las personas en el Perú crearon en promedio 17 cuentas digitales nuevas durante la pandemia y el 85% reutilizó contraseñas en varias de sus cuentas. Si sumamos la cantidad de información personal que entregamos, con el agotamiento actual para generar nuevas o diferentes contraseñas, encontramos una combinación riesgosa para nuestra seguridad cibernética”, agrega.

MIRA: Ciberseguridad: ¿qué saben de ti las redes sociales y para qué lo usan?

Además, debido a que las contraseñas son datos personales y, en algunos casos, sensibles, los cibercriminales también estarán detrás de estas. “Hoy en día, en un mundo tan digital, todo lo que sea datos, será blanco de los ciberatacantes. Están todo el tiempo observando qué pueden ‘pescar’, desde datos de tarjetas de crédito hasta grandes volúmenes de información de empresas”, señala Robles.

"Hoy en día, en un mundo tan digital, todo lo que sean datos, será blanco de los ciberatacantes. Están todo el tiempo observando qué pueden ‘pescar’, desde datos de tarjetas de crédito hasta grandes volúmenes de información de empresas"

Esta información puede valer mucho o poco dinero, dependiendo qué tan importante sea. “Un reciente estudio de IBM reveló que los ciberdelincuentes venden los accesos de las llamadas puertas traseras o backdoors hasta por US$10.000, mientras que los datos de tarjetas de crédito robados se venden por menos de US$10”, añade.

Por ello, si bien una IA como PassGAN puede descifrar una contraseña fácilmente, dependiendo de a quién o qué entidad le pertenezca, el interés de los ciberdelincuentes será mayor o menor de acuerdo a lo qu esté buscando. Esto no significa que no podamos ser el blanco de un ataque, pues en muchos casos no solo buscan vaciar una cuenta bancaria, por ejemplo, sino también comprar con una tarjeta de crédito, obtener información confidencial en un correo para luego pedir un rescate, entre otros tipos de ciberataques.

A esto se le debe agregar que no todas las contraseñas eran descifradas de forma inmediata por la IA. La más difícil, una de 18 caracteres, con números, símbolos, y letras mayúsculas y minúsculas, le tomaría 6 trillones de años. Es decir, no sería eficiente para esos casos y también generaría un gasto considerable de recursos para los ciberdelincuentes.

MIRA: Amenaza: un router de segunda mano puede mantener los datos de su antiguo propietario

Según Jhonatan Luján Taipe, líder de la auditoría de ciberseguridad del BCP y Credicorp, que un cibercriminal conozca nuestra contraseña no es determinante para que nuestras cuentas bancarias estén expuestas. “No es suficiente en primera instancia. Actualmente, los procesos de onboarding digital, la autenticación de clientes y las operaciones financieras se realizan empleando las plataformas digitales que las entidades bancarias ponen a disposición. Estas solicitan dos o más factores de autenticación, en cumplimiento de las buenas prácticas y regulaciones asociadas a la identificación de sus clientes”, asegura en entrevista con este Diario.

Estos otros factores ayudan a que existan más de una sola capa de ciberseguridad, como lo sería una contraseña de un correo, por ejemplo. “Como lo describe el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST), los factores empleados en la autenticación incluyen: algo que usted sabe (por ejemplo, contraseñas, número de identificación personal o PIN, claves de acceso a las plataformas digitales); algo usted tiene (como un dispositivo de identificación criptográfica, códigos de un solo uso u OTP, o códigos token dinámicos); o algo que demuestre quién es usted (como los datos biométricos generados instantáneamente)”, añade el experto.

El primer factor de autenticación será más seguro si es cambiado de forma frecuente. “El código o factor de autenticación ‘algo que usted tiene’, el cual trabaja generando códigos aleatorios de uso único y que cambian en periodos cortos, conforman una capa adicional de control que ayuda en la mitigación de ataques informáticos de suplantación de identidad y ante operaciones financieras no autorizadas. Claro está, solo si el método de generación y obtención de estos códigos no ha sido comprometido”, asegura.

A ello se le suma que existen protocolos que evitan que terceros puedan usar nuestras cuentas bancarias, así como un proceso posterior en caso ocurra. “El onboarding y autenticación digital en el sector financiero es regulado y ha de garantizar la seguridad de la identidad del cliente frente a acciones y consecuencias por ataques de robo de credenciales, suplantación, fraude informático, entre otros; aplicando el procedimiento KYC (Conoce a tu cliente)”, afirma Luján.

MIRA: Así opera el ‘carding’, método por el cual se roban los datos de tarjetas bancarias para realizar acciones ilegales

Si el cibercriminal obtiene la clave de nuestra tarjeta física, tampoco le es suficiente, pues necesitaría de esta y documentos adicionales. “En el caso de canales alternativos como cajeros y agentes corresponsables, la obtención de una contraseña requerirá adicionalmente de conseguir la tarjeta asociada a la víctima, si es que el delincuente va a extraer dinero de las cuentas asociadas. No obstante, para ello deberá pasar exitosamente por los canales físicos o presenciales de la entidad que incluirán la solicitud de su documento de identidad físico y la comprobación biométrica de la identidad de acuerdo a los procedimientos de la entidad”, señala.

"En el caso de canales alternativos como cajeros y agentes corresponsables, la obtención de una contraseña requerirá adicionalmente de conseguir la tarjeta asociada a la víctima, si es que el delincuente va a extraer dinero de las cuentas asociadas"

Por su parte, Robles asegura que, para empresas, ya existen programas que permiten incluso prevenir ciberataques, lo que genera una capa más de seguridad. “Existen herramientas sencillas como la autenticación multifactor o la biometría que permiten sumar capas de seguridad, pero también herramientas más avanzadas con inteligencia artificial en empresas, que ayudan a detectar ciberataques antes de que ocurran”, indica.

Esto se debe a que así como los ciberdelicuentes aprovechan las nuevas tecnologías, los usuarios y las empresas también pueden protegerse con estas. “Así como los atacantes se sofistican, también las personas y las empresas pueden contrarrestar los riesgos con acciones conscientes de seguridad, mediante el uso de tecnologías”, agrega.

MIRA: Destacan la efectividad del modo aislamiento de iOS 16 para detectar y bloquear el software espía

Robles recomienda la prevención como principal método de protección. “Utilicemos la autenticación multifactor o, como mínimo, una aplicación de verificación de dos pasos para que los clientes aseguren mejor sus propias cuentas utilizando los dispositivos que ya tienen”, afirma.

Asimismo, debemos aprovecha las nuevas tecnologías que utilizan información que no puede ser robada tan fácilmente. “Implementemos la autenticación biométrica. La identificación facial y la huella dactilar son las más populares y muchos clientes optan por usarlas a través de sus dispositivos personales”, añade.

Además, los usuarios debemos estar atentos e informarnos de las nuevas tácticas que utilizan los cibercriminales. “Desconfiemos de los mensajes que tienen sentido de ‘urgencia’. Educarse y aprender sobre el phishing, las estafas y los delitos cibernéticos es fundamental para entrenarse en la detección de contactos falsos”, asegura.

MIRA: Apple ahora es vulnerable a LockBit, un malware que secuestra tus datos

Por su parte, Luján señala que existen varios pasos que debemos seguir en caso nuestras contraseñas que otorgan acceso a nuestras cuentas bancarias han caído en manos de un cibercriminal. Si bien cambiar de clave es el primer movimiento que debemos hacer, no es suficiente en la actualidad.

• Una acción siempre recomendable es revisar y monitorear los movimientos de nuestras cuentas bancarias y de nuestras tarjetas.
• Si la víctima es consciente o tiene las sospechas de movimientos inusuales, debe ponerse en contacto lo antes posible con su entidad financiera para bloquear la cuenta y generar una nueva tarjeta, a la cual deberá generar una nueva clave.
• Asegurarse también de crear contraseñas o PIN (número de identificación personal) seguros no asociados a datos personales como fechas de cumpleaños, números consecutivos o patrones fáciles de deducir.

• Si ha sido víctima de un robo de su teléfono móvil, donde también contaba con accesos a los canales digitales de su entidad financiera, también debe solicitar el bloqueo y cambio de tarjetas asociadas a sus cuentas.
• También se debe bloquear la tarjeta SIM llamando a la compañía proveedora de servicio telefónico para evitar acciones de suplantación. Un bloqueo de tarjeta SIM evita que el dispositivo se use en cualquier otra red que no sea la suya.
• Seleccionar entidades financieras que ofrezcan una protección integral de nuestras cuentas con la exigencia de factores de autenticación adicionales que confirmen la identidad de sus clientes.