Logo Computerhoy.com

¿Cuántos caracteres tiene tu contraseña? Si tiene 8, esto es lo que se tarda en hackearla

Andrea Núñez-Torrón Stock

contraseña mala

Resulta una obviedad que qwerty, 123456 o la fecha de tu cumpleaños no son opciones idóneas para elaborar tu contraseña -pese a que sean claves muy usadas por los españoles-. Desdeñar las credenciales débiles y optar por combinaciones lo suficientemente largas -los expertos recomiendan al menos entre 12 y 14 caracteres-, carentes de significado y de referencias personales, robustas y que no se repitan en los diferentes servicios digitales, así como ricas en mayúsculas, minúsculas, números y símbolos parece de sentido común a la hora de reforzar tu seguridad online.

Pero muchos usuarios optan por una extensión de contraseña bastante escueta, escogiendo por pereza o comodidad –o dificultad a la hora de rerenerla en la memoria– la longitud mínima exigida, de ocho caracteres. Para todos ellos, tenemos una mala noticia: sus claves pueden ser descifradas en un plazo menor a dos horas y en gran parte de los casos, en tan solo unos minutos. 

Desde Panda Security nos hablan de HashCat, una herramienta de código abierto originalmente concebida para la recuperación de claves pero que puede emplearse también con el propósito de descifrar contraseñas hash de ocho caracteres de Windows NTLM en menos de dos horas y media. 

Estos son los mejores antivirus gratis para Windows de 2019

NTLM es un antiguo protocolo de autenticación de Microsoft que ya ha sido reemplazado por Kerberos, pero de todos modos ha sembrado dudas en todas las compañías que dependen de Windows y Active Directory.

En un hilo publicado en Twitter, los responsables del proyecto de software apuntaron a que la versión 6.0.0 beta de HashCat superaba el punto de referencia de velocidad de cracking NTLM de 100GH/s (gigahashes por segundo), gracias a que utiliza ocho GPUs Nvidia GTX 2080Ti. Llegando a dicha velocidad de computación es posible probar diversas combinaciones de caracteres por segundo y conseguir cualquier credencial de ocho caracteres en horas o minutos.

Según los datos de HashCat, si tienes una contraseña de ocho caracteres totalmente aleatoria con mayúsculas, minúsculas, números y símbolos, la herramienta la descifrará en el promedio de una hora y quince minutos. Si eliges palabras o nombres con la primera letra en mayúscula y un número al final -un esquema habitual que repiten muchos usuarios-, se identificará de forma instantánea.

La moraleja de esta historia es la importancia de ampliar la extensión de las contraseñas. De hecho, las propias agencias reguladoras deberán corregir su perspectiva. Organismos como el Instituto Nacional de Estándares y Tecnología de EEUU lo aconsejaban, lo que ha derivado en miles de compañías recomendando esa política.

A partir de ahora, opta por extensiones superiores a 12 caracteres -y si puedes a 15-, recuerda emplear gestores de contraseña, grupos de palabras sin conexión aparente y símbolos, números, mayúsculas y minúsculas. Es fundamental activar siempre la autenticación en dos pasos.

Conoce cómo trabajamos en Computerhoy.

Etiquetas: seguridad