Un informe de la empresa de ciberseguridad Hive Systems dio a conocer el rango de tiempo que le puede tomar a un ciberdelincuente saber la contraseña de un usuario mediante el método de fuerza bruta, que consiste en hacer un proceso de prueba y error hasta adivinar.
Hace diez años el tiempo estimado para una clave de 10 caracteres estaba sobre los 106 años, pero ahora para una contraseña de esa misma longitud la duración puede ser de apenas tres semanas.
Gran parte del avance de esta actividad se debe a apartados técnicos, como las mejoras en las tarjetas gráficas para los computadores que permiten acelerar el proceso, combinándolas con plataformas de servicio en la nube si los tiempos se hacen muy extensos.
Cuánto tarda un delincuente en saber una contraseña
Hay dos factores a considerar en este proceso y que son las armas de los usuarios para defenderse de los ataques: la cantidad y tipo de caracteres.
Los investigadores evaluaron contraseñas de entre 4 hasta 18 caracteres, con variantes de números, letras minúsculas y mayúsculas y símbolos. Tomando esto generaron un cuadro con el rango de tiempo que le podría tomar a un ciberdelincuente obtener la clave de un usuario.
Por ejemplo, usar entre 4 a 6 caracteres no representa ninguna barrera porque puede ser adivinada inmediatamente usando el método de fuerza bruta. No muy lejos quedan las contraseñas que tienen entre 7 y 9 caracteres, que tienen un rango de protección para ser obtenidas de entre 2 segundos hasta 2 días.
Del lado contrario están las claves con 16 y 18 caracteres, especialmente aquellas que combinan letras minúsculas y mayúsculas, números y símbolos, porque los delincuentes pueden tardar entre 92 billones de años y 438 trillones de años.
Estos números cada vez están siendo más pequeños, porque si en 2012 el tiempo de demora para obtener una clave de 10 caracteres con números, minúsculas y mayúsculas era de 106 años, para 2021 se redujo a siete meses y ya el año pasado quedó en tres semanas.
Las condiciones mínimas para tener una clave segura
Teniendo en cuenta el cuadro, hay varias características que se vuelven obligatorias para tener contraseñas en medio del crecimiento de los ataques y las mejoras técnicas para vulnerar las plataformas.
Lo primero es que toda contraseña debe tener una combinación de letras en minúsculas y mayúsculas, números y símbolos. Es innegociable.
Sobre la extensión se puede ser más flexible, aunque lo mínimo es que sean de 11 caracteres, para que los delincuentes tarden por lo menos 3 años en adivinar la contraseña usando la fuerza bruta como método de ataque.
Al ser una clave tan extensa, para algunos usuarios puede ser difícil recordarla, teniendo en cuenta que la mayoría contará con más de una para cada una de las plataformas en las que tiene una cuenta abierta, como redes sociales, comercios digitales y correos electrónicos. En este caso lo mejor es usar un gestor de contraseñas.
Además, es importante complementar esto con la autentificación en dos pasos, porque será una barrera adicional para los delincuentes, que en su mayoría son códigos temporales y llegan a una plataforma diferente como un correo electrónico o a través de mensaje de texto en el celular.