Internet

La Inteligencia Artificial Puede Adivinar Todas Tus Contraseñas, ¡Toma Precauciones!

La semana pasada, la agencia Equifax anunció que los hackers habían filtrado la información personal de 143 millones de personas en su sistema. Eso es motivo de preocupación, por supuesto, pero si un hacker quiere acceder a sus datos en línea simplemente adivinando su contraseña, probablemente estará tostado en menos de una hora.

Ahora, hay más malas noticias: los científicos han aprovechado el poder de la inteligencia artificial (IA) para crear un programa que, combinado con las herramientas existentes, ha figurado más de una cuarta parte de las contraseñas de un conjunto de más de 43 millones de perfiles de LinkedIn. Sin embargo, los investigadores dicen que la tecnología también puede ser usada para vencer a los malos en su propio juego.

El trabajo podría ayudar a los usuarios y a las empresas a medir la solidez de las contraseñas, dice Thomas Ristenpart, un informático que estudia seguridad informática en Cornell Tech en la ciudad de Nueva York, pero que no participó en el estudio. “La nueva técnica también podría ser potencialmente usada para generar contraseñas falsas para ayudar a detectar brechas.”

inteligencia artificial puede adivinar contraseñas

Los programas de adivinación de contraseñas más potentes, John the Ripper y hashCat, utilizan varias técnicas. Uno es la simple fuerza bruta, en la que aleatoriamente prueban muchas combinaciones de caracteres hasta que consiguen el correcto.

Pero otros enfoques implican extrapolar a partir de contraseñas previamente filtradas y métodos probabilísticos para adivinar cada carácter en una contraseña basada en lo que venía antes. En algunos sitios, estos programas han adivinado más del 90% de las contraseñas. Pero han necesitado muchos años de codificación manual para construir sus planes de ataque.

El nuevo estudio tenía como objetivo acelerar este proceso mediante la aplicación del aprendizaje profundo, un enfoque inspirado en el cerebro en la vanguardia de la IA. Investigadores del Instituto Stevens de Tecnología en Hoboken, Nueva Jersey, comenzaron con una llamada red generativa adversarial, o GAN, que comprende dos redes neuronales artificiales.

Un “generador” intenta producir salidas artificiales (como imágenes) que se asemejan a ejemplos reales (fotos reales), mientras que un “discriminador” trata de detectar lo real a partir de lo falso. Ayudan a perfeccionarse entre sí hasta que el generador se convierte en un experto falsificador.

Giuseppe Ateniese, informático de Stevens y coautor de papel, compara el generador y el discriminador con un dibujante de la policía y un testigo ocular, respectivamente; el dibujante está tratando de producir algo que pueda pasar como un retrato preciso del criminal. Las GANs se han utilizado para crear imágenes realistas, pero no se han aplicado mucho al texto.

El equipo de Stevens creó un GAN llamado PassGAN y lo comparó con dos versiones de hashCat y una versión de John the Ripper. Los científicos alimentaron a cada herramienta con decenas de millones de contraseñas filtradas de un sitio de juegos llamado RockYou, y les pidieron que generaran cientos de millones de nuevas contraseñas por su cuenta. Luego contaron cuántas de estas nuevas contraseñas coincidían con un conjunto de contraseñas filtradas de LinkedIn, como una medida del éxito que tendrían al descifrarlas.

Por sí sola, PassGAN generó el 12% de las contraseñas del conjunto LinkedIn, mientras que sus tres competidores generaron entre el 6% y el 23%. Pero el mejor resultado fue la combinación de PassGAN y hashCat. Juntos, fueron capaces de descifrar el 27% de las contraseñas en el conjunto de LinkedIn, informaron los investigadores este mes en un borrador de documento publicado en arXiv. Incluso las contraseñas fallidas de PassGAN parecían bastante realistas: saddracula, santazone, coolarse18.

Usar GAN para ayudar a adivinar las contraseñas es “novedoso”, dice Martin Arjovsky, un informático que estudia la tecnología en la Universidad de Nueva York. El documento “confirma que existen problemas claros e importantes en los que la aplicación de soluciones sencillas de aprendizaje de máquinas puede aportar una ventaja crucial”, afirma.

Sin embargo, Ristenpart dice:”No me queda claro si uno necesita la maquinaria pesada de las GAN para lograr tales ganancias”, pero quizás incluso técnicas de aprendizaje más sencillas podrían haber ayudado tanto a hashCat, dice. (Arjovsky está de acuerdo.) De hecho, una eficiente red neuronal producida por la Universidad Carnegie Mellon en Pittsburgh, Pennsylavania, recientemente mostró ser prometedora, y Ateniese planea compararla directamente con PassGAN antes de presentar su trabajo para su revisión por pares.

Ateniese dice que aunque en esta demostración piloto PassGAN le dio asistencia a hashCat, está “seguro” de que futuras iteraciones podrían superar a hashCat. Esto se debe en parte a que hashCat utiliza reglas fijas y no ha sido capaz de producir por sí solo más de 650 millones de contraseñas. PassGan, que inventa sus propias reglas, puede crear contraseñas indefinidamente. Está generando millones de contraseñas mientras hablamos “, dice. Ateniese también dice que PassGAN mejorará con más capas en las redes neuronales y entrenando en muchas más contraseñas filtradas.

Compara PassGAN con AlphaGo, el programa Google DeepMind que recientemente venció a un campeón humano en el juego de mesa Go usando algoritmos de aprendizaje profundo. AlphaGo estaba diseñando nuevas estrategias que los expertos nunca habían visto antes “, dice Ateniese. “Personalmente creo que si le das suficientes datos a PassGAN, será capaz de crear reglas que los humanos no pueden pensar.”

Y si está preocupado por su propia seguridad, los expertos le sugieren maneras de crear contraseñas seguras, por ejemplo, haciéndolas largas (pero fáciles de recordar) y utilizando la autenticación en dos pasos.

También te puede interesar:

Deja un comentario

Haz click para dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Suscríbete a Despierta!

Introduce tu correo electrónico para suscribirte al blog y recibir notificaciones de nuevas entradas.