Redazione RHC : 16 julio 2025 17:39
En un nuevo análisis basado en 10 millones de contraseñas comprometidas, Specops ha demostrado la vulnerabilidad de las redes corporativas a los errores humanos. Todas las contraseñas se extrajeron de una lista de más de mil millones de contraseñas filtradas. Los resultados fueron alarmantes: solo el 1,5 % de todas las contraseñas analizadas se clasificaron como «seguras».
Los criterios para esta definición fueron estrictos: una contraseña se consideraba segura si tenía 15 caracteres y contenía al menos dos tipos diferentes de caracteres, como letras y números. Esta longitud se eligió por una razón: cada carácter adicional multiplica por mucho el número de combinaciones posibles.
Por ejemplo, una contraseña de 15 letras minúsculas tiene 1,7 trillones de combinaciones posibles. Añadir un carácter multiplica por casi 26 el número de combinaciones, y utilizando todos los caracteres válidos (letras, números y caracteres especiales), el número total de combinaciones alcanza los 2,25 trillones. Ni siquiera los ordenadores con las GPU más potentes podrán realizar esta tarea en un futuro próximo.
Map Heat: Longitud vs. Complejidad de la Contraseña (Specops)
Sin embargo, a pesar de estas perspectivas, los usuarios siguen optando por combinaciones cortas y sencillas. El tipo de contraseña más común es el de 8 caracteres, con dos tipos de caracteres (por ejemplo, letras y números), lo que representa el 7,9 % del total. Le siguen las contraseñas de la misma longitud, pero aún menos fiables: solo un tipo de carácter, que representan el 7,6 %. Las contraseñas de hasta 8 caracteres suelen ser la gran mayoría y pueden descifrarse en cuestión de horas. El análisis mostró que solo el 3,3 % del total de contraseñas superaba el límite de 15 caracteres. Esto sugiere que las políticas de contraseñas en las organizaciones no están reguladas o se ignoran. Al mismo tiempo, aumentar la longitud, incluso en unos pocos caracteres, aumenta drásticamente la resistencia a los ataques: una extensión de cuatro caracteres en una contraseña de 12 caracteres multiplica por 78 millones el esfuerzo necesario para un ataque de fuerza bruta.
El estudio presta especial atención a la tendencia hacia una complejidad insuficiente. Más de la mitad de las contraseñas analizadas incluían un máximo de dos tipos de caracteres. Y aunque las recomendaciones modernas (en particular las del NIST) se centran más en la longitud, añadir un tercer o cuarto tipo de carácter aumenta significativamente la seguridad. Sin embargo, la longitud sigue siendo el factor principal: entre 16 y 20 caracteres ofrecen mayor protección que las contraseñas cortas, aunque complejas.
Para aumentar la seguridad, se recomienda cambiar las contraseñas tradicionales por frases con significado. Frases largas pero fáciles de recordar como «SunsetCoffeeMaroonReview» son mucho más confiables y prácticas que conjuntos de caracteres como «!x9#A7b!». Este enfoque reduce la cantidad de errores tipográficos, las solicitudes de soporte técnico y la molestia de cambiar constantemente las contraseñas.
Las principales amenazas asociadas con las contraseñas débiles siguen siendo las mismas.
Al mismo tiempo, ni siquiera una buena implementación de hash protege contra la vulnerabilidad de la contraseña en sí: si se roba la base de datos y la contraseña se obtiene fácilmente por fuerza bruta, ni la sal ni los algoritmos servirán de nada.
Los hallazgos del estudio apuntan a una simple verdad: Las contraseñas débiles siguen siendo omnipresentes. Solo una política integral que incluya controles de longitud, complejidad, singularidad y actualizaciones oportunas puede proteger la infraestructura corporativa de los ataques más comunes. Y, como muestran las estadísticas, la mayoría de las empresas aún tienen mucho trabajo por hacer en este ámbito.
RedazioneSe ha descubierto una falla de seguridad crítica en implementaciones híbridas de Microsoft Exchange Server. Esta vulnerabilidad (CWE-287) permite a los atacantes con acceso administrativo lo...
Se han descubierto vulnerabilidades críticas en el servidor de inferencia Triton de NVIDIA, que amenazan la seguridad de la infraestructura de IA en Windows y Linux. Esta solución de có...
Una publicación en un foro en línea del 26 de julio de 2025 nos llamó la atención: un usuario llamado «Bucad» anunciaba la venta de un exploit de día cero para RCE d...
Un nuevo estudio de Microsoft ofrece una perspectiva sorprendente (y perturbadora) sobre cómo la IA generativa está transformando la fuerza laboral global. Contrariamente a la creencia popul...
La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero. Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien des...
