Nunca le pidas a una IA que te cree una contraseña: estos son los riesgos

La inteligencia artificial puede ayudarnos en muchos aspectos cotidianos, pero jamás debemos tenerla en cuenta para crear una contraseña. Una investigación puso en evidencia la vulnerabilidad a la que pueden quedar expuestas nuestras cuentas si optamos por esta opción.

Kaspersky, empresa de ciberseguridad, puso en evidencia cómo las claves generadas por modelos de IA no son realmente aleatorias ni seguras, cómo se puede pensar a primera vista.

A pesar de que modelos como ChatGPT, LLaMA y DeepSeek saben que una buena contraseña debe consistir en al menos 12 caracteres con una combinación de letras mayúsculas, minúsculas, números y símbolos, en la práctica, caen en patrones lingüísticos predecibles. Y esto puede ser un problema para nuestra seguridad.

Según la investigación, LLaMA y DeepSeek, por ejemplo, tienen la tendencia a generar contraseñas que contienen palabras del diccionario con modificaciones simples, como reemplazar letras por caracteres similares.

Ejemplos como B@n@n@7 o S1mP1eL1on son prueba de que las combinaciones no son tan robustas como deberían y pueden ser fácilmente comprometidas por herramientas de hacking que emplean algoritmos de fuerza bruta para descifrarlas.

Más preocupante aún es que estos modelos a menudo generan contraseñas usando variaciones de la palabra más popular de todas, “Password”. Con variaciones como P@ssw0rd, P@ssw0rd!23, o P@ssw0rdV, las contraseñas que generan no escapan al radar de los ciberdelincuentes, quienes conocen bien este tipo de trucos.

ChatGPT parecía poner un poco más de esfuerzo en generar contraseñas más complejas y menos predecibles. Las combinaciones de ChatGPT, aunque aparentemente complicadas como qLUx@^9Wp#YZ o YLU@x#Wp9q^Z, presentan patrones en la repetición de ciertos caracteres como ‘9’, ‘W’, ‘p’, ‘x’ y ‘L’.

Esta recurrencia genera vulnerabilidades. Un generador de contraseñas verdaderamente seguro debería distribuir caracteres de manera equitativa, algo que estos modelos actuales no logran ofrecer plenamente.

El problema central radica en que los algoritmos detrás de estas IA no crean auténtica aleatoriedad, sino que replican patrones ya establecidos. Esta característica se convierte en una herramienta que los atacantes pueden utilizar para anticipar y vulnerar contraseñas, pues estos mismos modelos pueden ser empleados para predecir y replicar las combinaciones generadas.

Aplicando herramientas de análisis sobre las 3.000 contraseñas generadas por los modelos de IA, se descubrió que el 88% de las contraseñas de DeepSeek, el 87% de LLaMA y el 33% de ChatGPT no eran lo suficientemente fuertes para resistir un ataque sofisticado.

Estos resultados revelan que, aunque las contraseñas puedan parecer complejas superficialmente, la realidad es que están a tiro de los ciberdelincuentes.

Parte de la debilidad de estas contraseñas radica en la falta de inclusión de caracteres especiales o números. Se encontró que el 26% de las contraseñas de ChatGPT, el 32% de LLaMA y el 29% de DeepSeek carecían de estos elementos cruciales, facilitando así su vulnerabilidad.

En un contexto donde las filtraciones de datos están a la orden del día, confiar en IA para la protección mediante contraseñas no es una estrategia segura. Estos modelos aún no han alcanzado el nivel de protección que los usuarios necesitan para sentirse realmente seguros en el entorno digital.

A pesar de los avances tecnológicos, los expertos aconsejan no depender de la inteligencia artificial para la creación de contraseñas. En su lugar, recomiendan utilizar software especializado en la gestión y generación de contraseñas, que emplean generadores criptográficamente seguros para garantizar una aleatoriedad verdadera sin patrones detectables.

Estos gestores de contraseñas ofrecen múltiples beneficios, como el almacenamiento seguro de todas las credenciales en una bóveda protegida por una sola contraseña maestra, eliminando así la necesidad de recordar múltiples contraseñas mientras se asegura cada cuenta de posibles filtraciones.

Además, cuentan con características adicionales como el autocompletado y la sincronización a través de dispositivos, agilizándose así el acceso sin comprometer la seguridad del usuario. También integran funciones de monitoreo de brechas que alertan a los usuarios si sus credenciales han sido expuestas en una filtración de datos.