Las noticias constantes sobre hackeos a redes corporativas pueden hacer que te preguntes, «¿cuánto tiempo se tarda en descifrar una contraseña?», «¿Son mis contraseñas de ID de Google y Apple lo suficientemente seguras?» Los detalles pueden sorprenderte.

Si tienes una contraseña débil, los hackers pueden descifrarla en segundos. Ni siquiera necesitan una supercomputadora para lograrlo. Esta es la conclusión de Hive Systems, una firma estadounidense de ciberseguridad.

Expertos en la materia ejecutaron una serie de pruebas para ver cuánto tiempo podían resistir las contraseñas de varios grados de seguridad contra los intentos de piratería. El primer informe se publicó en 2020 y Hive actualizó recientemente los resultados en 2022.

Una tabla que muestra la duración con respecto a cuánto se tarda en descifrar una contraseña de diferentes fortalezas
Resultados de descifrado de contraseñas de Hive System. Imagen: Sistema Hive

Como regla general, una contraseña débil es corta y usa ocho letras minúsculas o menos. Una contraseña segura tiene al menos once caracteres y contiene letras mayúsculas y minúsculas, números y caracteres especiales como * o &.

Hash

Para producir los resultados anteriores, Hive System imitó cómo un pirata informático normal intentaría descifrar una contraseña si obtuviera su «hash».

Hashing es una técnica de seguridad en la que el proveedor de servicios toma su contraseña y utiliza un algoritmo para transformarla en otra cadena aleatoria. Para el mismo algoritmo, este código es único para cada contraseña.

El proveedor no necesita almacenar tu contraseña para verificarla. Cuando registra una cuenta, solo se guarda el valor hash de la contraseña. Durante el proceso de inicio de sesión, el servidor lo comparará con el valor hash de la contraseña que acaba de ingresar. Si coinciden, significa que ha proporcionado las credenciales correctas.

La gente crea este mecanismo para evitar el escenario en el que los piratas informáticos obtienen una base de datos de contraseñas en texto sin formato. Estas infracciones ocurren regularmente. Pero gracias al hashing, los piratas informáticos tendrían que «descifrarlos» para conocer las contraseñas reales.

Las funciones hash están diseñadas para hacer que este proceso sea imposible o al menos extremadamente lento. Sin embargo, el tiempo real que lleva revertir un hash también depende de muchos factores. Si el pirata informático tiene suerte, puede descifrar su contraseña en unas pocas horas o incluso menos.

Para empezar, no todos los algoritmos hash son iguales. Algunos son más débiles que otros, lo que significa que las contraseñas cifradas por ellos son más propensas a los intentos de piratería.

MD5 y SHA-1 son ejemplos infames. Sus creadores diseñaron estas funciones criptográficas hace mucho tiempo, allá por los años 90. El hardware moderno los ha vuelto anticuados para codificar cualquier cosa que requiera protección contra la piratería.

Sin embargo, muchos todavía los usan para aplicaciones de seguridad, incluido el hash de contraseñas. En 2012 , los piratas informáticos lograron ingresar a la red de LinkedIn y robaron millones de contraseñas cifradas. Dado que LinkedIn solo usó SHA-1 para cifrarlos, la mayoría de ellos podrían descifrarse rápidamente en 72 horas.

Descifrar contraseñas hash

En su informe, Hive System revisó varias violaciones de datos y notó que muchos sistemas, como restaurantes y foros, todavía usan SHA-1 y MD5.

Usando ataques de fuerza bruta , una tarjeta gráfica de consumo de gama alta puede descifrar contraseñas complejas de 8 caracteres cifradas por MD5 en 5 horas. Para contraseñas simples que contienen solo números o letras minúsculas, los resultados fueron casi instantáneos.

Mientras tanto, el mismo sistema necesitaría 400 años para decodificarlos si se utilizan funciones de hash más fuertes como bcrypt. Para una contraseña compleja de 12 caracteres, la duración estimada de Hive es de 14 mil millones de años.