No generes tus contraseñas con IA: expertos revelan que son mucho más débiles de lo que parecen (y qué usar en su lugar)
- ChatGPT, Claude y Gemini generan claves con patrones predecibles
- Un experimento pidió 50 y 18 fueron exactamente la misma
Investigadores de ciberseguridad acaban de demostrar que las contraseñas creadas por inteligencias artificiales como ChatGPT, Claude o Gemini son un peligro. Aunque a simple vista parecen indescifrables, están diseñadas de una forma predecible que permite a los piratas informáticos romperlas en cuestión de segundos en condiciones favorables para el atacante.
El problema de fondo está en cómo funciona realmente la inteligencia artificial. Los modelos de lenguaje no están programados para ser aleatorios, sino para adivinar y predecir cuál es la siguiente palabra o carácter más probable basándose en su entrenamiento.
Cuando le pides una contraseña a la IA, no elige símbolos al azar como lo haría un gestor de contraseñas tradicional. En su lugar, tira de memoria y repite sus patrones favoritos, dejando unas “huellas digitales” muy fáciles de rastrear para los ciberdelincuentes.
El experimento que delata a la IA
Para comprobar esta vulnerabilidad, los investigadores de la firma Irregular le pidieron a la IA de Claude (en concreto al modelo Opus 4.6) que generara una contraseña 50 veces seguidas. Los resultados encendieron todas las alarmas por su evidente falta de originalidad.
- Solo generó 30 claves únicas en 50 intentos.
- La contraseña “G7$kL9#mQ2&xP4!w” se repitió exactamente 18 veces.
- Todas las claves empezaban por una letra, casi siempre la “G” mayúscula seguida del número 7.
La trampa de los medidores de contraseñas
Si pasas esa contraseña repetida por un medidor de seguridad clásico, la herramienta te dirá que es excelente. Estos verificadores estiman que tardarías siglos en hackear una combinación así, otorgándole unos 100 bits de entropía (una medida matemática que calcula la imprevisibilidad de una clave).
Sin embargo, la realidad es muy distinta. Al conocer los sesgos y las manías de la IA, esa entropía cae en picado a apenas 27 bits. Esto significa que un ordenador normal podría descifrarla rápidamente sin apenas esfuerzo.
| Método de creación | Nivel de imprevisibilidad (entropía) | Tiempo real estimado de hackeo |
|---|---|---|
| Gestor de contraseñas clásico | Muy alta (+100 bits) | Siglos |
| Inteligencia Artificial (LLM) | Muy baja (unos 27 bits) | Segundos |
El riesgo invisible en el desarrollo de software
El peligro no es solo que un usuario de a pie use un chatbot para crear la clave de su correo. El mayor riesgo actual está en los programadores que utilizan asistentes de código basados en IA para trabajar más rápido.
Herramientas y agentes virtuales están insertando estas contraseñas débiles en bases de datos y configuraciones de servidores de forma totalmente automática. Muchas veces, el desarrollador humano ni siquiera se da cuenta de que la IA ha camuflado una clave predecible en las entrañas de su programa.
La solución es más sencilla de lo que parece
La recomendación de los expertos en ciberseguridad es rotunda: nunca delegues la creación de contraseñas a una inteligencia artificial. Da igual el modelo o la empresa tecnológica que esté detrás, su diseño base no sirve para esto.
Usa siempre gestores de contraseñas tradicionales o herramientas de tu sistema operativo que sí utilizan generadores de números aleatorios matemáticamente seguros. La IA es fantástica para redactar textos o resumir documentos, pero es pésima a la hora de guardar tus secretos.
Fuente de la imagen principal: Freepik
Últimas noticias
Comentarios
