Contraseñas complejas podrían ser descifradas en semanas con potentes tarjetas gráficas para consumidores, como las nuevas RTX 5090 de Nvidia.

Un análisis reciente de la firma de ciberseguridad Hive Systems ha revelado información relevante sobre la eficacia de las contraseñas frente a ataques de descifrado, utilizando como referencia una simulación que emplea 12 GPUs Nvidia RTX 5090. La conclusión principal es clara: las contraseñas cortas y simples son mucho más vulnerables a ser comprometidas, mientras que aquellas que son largas, únicas y compuestas por una combinación de letras, números y símbolos ofrecen una mayor seguridad.

La RTX 5090, considerada la GPU más potente de Nvidia hasta la fecha, ha mostrado un rendimiento notable en pruebas de descifrado de contraseñas. Un ejemplo ilustrativo es un hash que representa una contraseña de seis caracteres compuesta solamente por números y letras en minúsculas, la cual podría ser descifrada en aproximadamente 14 días mediante técnicas de fuerza bruta. En contraste, una contraseña de 18 caracteres que incluya letras en minúscula, mayúsculas, números y símbolos podría tardar alrededor de 463 quintillones de años en ser descifrada.

La investigación de Hive Systems se centra en un escenario extremo de ataques por fuerza bruta, donde un hacker ya ha conseguido acceso a una base de datos de contraseñas hasheadas y está utilizando hardware sofisticado para adivinar el hash correcto. Este estudio no aborda ataques más comunes como el phishing o la reutilización de contraseñas, pero subraya el riesgo que conlleva el uso de contraseñas breves.

Se destaca que el tiempo estimado para crackear contraseñas puede ser más corto de lo que las cifras sugieren, ya que el software puede encontrar la contraseña correcta antes de completar todo el proceso de prueba. El algoritmo Bcrypt, utilizado en este estudio para hashear contraseñas, es conocido por su eficacia en la ocultación de datos, aunque no puede ser revertido directamente. En su lugar, las contraseñas se pueden adivinar generando hashes a partir de millones o miles de millones de combinaciones posibles, una tarea en la que las GPUs sobresalen gracias a su capacidad de procesamiento paralelo.

Además, Hive Systems exploró el impacto de contar con una capacidad de procesamiento aún mayor, como la de 20,000 GPUs Nvidia A100, utilizadas para entrenar modelos avanzados como ChatGPT-4. Aun así, se observó que una contraseña compuesta únicamente por números de 18 caracteres aún requeriría cientos de años para ser descifrada.

La lección fundamental es clara: la longitud de las contraseñas y la variedad de caracteres, especialmente aquellos que son símbolos, son aspectos cruciales a considerar. Con el continuo avance en la velocidad de las GPUs de consumo, se recomienda utilizar un gestor de contraseñas y evitar contraseñas con menos de 12 caracteres.