Redazione RHC : 16 julio 2025 17:39
En un nuevo análisis basado en 10 millones de contraseñas comprometidas, Specops ha demostrado la vulnerabilidad de las redes corporativas a los errores humanos. Todas las contraseñas se extrajeron de una lista de más de mil millones de contraseñas filtradas. Los resultados fueron alarmantes: solo el 1,5 % de todas las contraseñas analizadas se clasificaron como «seguras».
Los criterios para esta definición fueron estrictos: una contraseña se consideraba segura si tenía 15 caracteres y contenía al menos dos tipos diferentes de caracteres, como letras y números. Esta longitud se eligió por una razón: cada carácter adicional multiplica por mucho el número de combinaciones posibles.
Por ejemplo, una contraseña de 15 letras minúsculas tiene 1,7 trillones de combinaciones posibles. Añadir un carácter multiplica por casi 26 el número de combinaciones, y utilizando todos los caracteres válidos (letras, números y caracteres especiales), el número total de combinaciones alcanza los 2,25 trillones. Ni siquiera los ordenadores con las GPU más potentes podrán realizar esta tarea en un futuro próximo.
Map Heat: Longitud vs. Complejidad de la Contraseña (Specops)
Sin embargo, a pesar de estas perspectivas, los usuarios siguen optando por combinaciones cortas y sencillas. El tipo de contraseña más común es el de 8 caracteres, con dos tipos de caracteres (por ejemplo, letras y números), lo que representa el 7,9 % del total. Le siguen las contraseñas de la misma longitud, pero aún menos fiables: solo un tipo de carácter, que representan el 7,6 %. Las contraseñas de hasta 8 caracteres suelen ser la gran mayoría y pueden descifrarse en cuestión de horas. El análisis mostró que solo el 3,3 % del total de contraseñas superaba el límite de 15 caracteres. Esto sugiere que las políticas de contraseñas en las organizaciones no están reguladas o se ignoran. Al mismo tiempo, aumentar la longitud, incluso en unos pocos caracteres, aumenta drásticamente la resistencia a los ataques: una extensión de cuatro caracteres en una contraseña de 12 caracteres multiplica por 78 millones el esfuerzo necesario para un ataque de fuerza bruta.
El estudio presta especial atención a la tendencia hacia una complejidad insuficiente. Más de la mitad de las contraseñas analizadas incluían un máximo de dos tipos de caracteres. Y aunque las recomendaciones modernas (en particular las del NIST) se centran más en la longitud, añadir un tercer o cuarto tipo de carácter aumenta significativamente la seguridad. Sin embargo, la longitud sigue siendo el factor principal: entre 16 y 20 caracteres ofrecen mayor protección que las contraseñas cortas, aunque complejas.
Para aumentar la seguridad, se recomienda cambiar las contraseñas tradicionales por frases con significado. Frases largas pero fáciles de recordar como «SunsetCoffeeMaroonReview» son mucho más confiables y prácticas que conjuntos de caracteres como «!x9#A7b!». Este enfoque reduce la cantidad de errores tipográficos, las solicitudes de soporte técnico y la molestia de cambiar constantemente las contraseñas.
Las principales amenazas asociadas con las contraseñas débiles siguen siendo las mismas.
Al mismo tiempo, ni siquiera una buena implementación de hash protege contra la vulnerabilidad de la contraseña en sí: si se roba la base de datos y la contraseña se obtiene fácilmente por fuerza bruta, ni la sal ni los algoritmos servirán de nada.
Los hallazgos del estudio apuntan a una simple verdad: Las contraseñas débiles siguen siendo omnipresentes. Solo una política integral que incluya controles de longitud, complejidad, singularidad y actualizaciones oportunas puede proteger la infraestructura corporativa de los ataques más comunes. Y, como muestran las estadísticas, la mayoría de las empresas aún tienen mucho trabajo por hacer en este ámbito.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...