Redazione RHC : 16 julio 2025 17:39
En un nuevo análisis basado en 10 millones de contraseñas comprometidas, Specops ha demostrado la vulnerabilidad de las redes corporativas a los errores humanos. Todas las contraseñas se extrajeron de una lista de más de mil millones de contraseñas filtradas. Los resultados fueron alarmantes: solo el 1,5 % de todas las contraseñas analizadas se clasificaron como «seguras».
Los criterios para esta definición fueron estrictos: una contraseña se consideraba segura si tenía 15 caracteres y contenía al menos dos tipos diferentes de caracteres, como letras y números. Esta longitud se eligió por una razón: cada carácter adicional multiplica por mucho el número de combinaciones posibles.
Por ejemplo, una contraseña de 15 letras minúsculas tiene 1,7 trillones de combinaciones posibles. Añadir un carácter multiplica por casi 26 el número de combinaciones, y utilizando todos los caracteres válidos (letras, números y caracteres especiales), el número total de combinaciones alcanza los 2,25 trillones. Ni siquiera los ordenadores con las GPU más potentes podrán realizar esta tarea en un futuro próximo.
Map Heat: Longitud vs. Complejidad de la Contraseña (Specops)
Sin embargo, a pesar de estas perspectivas, los usuarios siguen optando por combinaciones cortas y sencillas. El tipo de contraseña más común es el de 8 caracteres, con dos tipos de caracteres (por ejemplo, letras y números), lo que representa el 7,9 % del total. Le siguen las contraseñas de la misma longitud, pero aún menos fiables: solo un tipo de carácter, que representan el 7,6 %. Las contraseñas de hasta 8 caracteres suelen ser la gran mayoría y pueden descifrarse en cuestión de horas. El análisis mostró que solo el 3,3 % del total de contraseñas superaba el límite de 15 caracteres. Esto sugiere que las políticas de contraseñas en las organizaciones no están reguladas o se ignoran. Al mismo tiempo, aumentar la longitud, incluso en unos pocos caracteres, aumenta drásticamente la resistencia a los ataques: una extensión de cuatro caracteres en una contraseña de 12 caracteres multiplica por 78 millones el esfuerzo necesario para un ataque de fuerza bruta.
El estudio presta especial atención a la tendencia hacia una complejidad insuficiente. Más de la mitad de las contraseñas analizadas incluían un máximo de dos tipos de caracteres. Y aunque las recomendaciones modernas (en particular las del NIST) se centran más en la longitud, añadir un tercer o cuarto tipo de carácter aumenta significativamente la seguridad. Sin embargo, la longitud sigue siendo el factor principal: entre 16 y 20 caracteres ofrecen mayor protección que las contraseñas cortas, aunque complejas.
Para aumentar la seguridad, se recomienda cambiar las contraseñas tradicionales por frases con significado. Frases largas pero fáciles de recordar como «SunsetCoffeeMaroonReview» son mucho más confiables y prácticas que conjuntos de caracteres como «!x9#A7b!». Este enfoque reduce la cantidad de errores tipográficos, las solicitudes de soporte técnico y la molestia de cambiar constantemente las contraseñas.
Las principales amenazas asociadas con las contraseñas débiles siguen siendo las mismas.
Al mismo tiempo, ni siquiera una buena implementación de hash protege contra la vulnerabilidad de la contraseña en sí: si se roba la base de datos y la contraseña se obtiene fácilmente por fuerza bruta, ni la sal ni los algoritmos servirán de nada.
Los hallazgos del estudio apuntan a una simple verdad: Las contraseñas débiles siguen siendo omnipresentes. Solo una política integral que incluya controles de longitud, complejidad, singularidad y actualizaciones oportunas puede proteger la infraestructura corporativa de los ataques más comunes. Y, como muestran las estadísticas, la mayoría de las empresas aún tienen mucho trabajo por hacer en este ámbito.
RedazioneEn el marco de las investigaciones llevadas a cabo por la Fiscalía de Roma y coordinadas por la Dirección Nacional Antimafia y Antiterrorista, la Policía Postal ha completado importante...
Las vulnerabilidades de día cero son uno de los mayores riesgos de ciberseguridad para las organizaciones. Se trata de vulnerabilidades desconocidas y sin parchear que los atacantes explotan para...
Las amenazas persistentes avanzadas (APT) son actores maliciosos que operan en la sombra de internet, llevando a cabo ataques altamente sofisticados y dirigidos. Estos grupos, a menudo asociados con e...
Los ataques de denegación de servicio distribuido (DDoS) son una de las amenazas más comunes para sitios web, servidores y otras infraestructuras en línea. En concreto, este tipo de ata...
Por Centro de Defensa Cibernética Maticmind (Andrea Mariucci, Riccardo Michetti, Federico Savastano, Ada Spinelli) El actor de amenazas Scattered Spider, UNC9344, apareció en 2022 con dos at...
Para más información: [email protected]
