VOLVER A NOTICIAS
InvestigaciónAlto

Contraseñas Generadas por IA Muestran Patrones Predecibles y Riesgos de Seguridad

4 min de lecturaFuente: Schneier on Security

Un estudio revela vulnerabilidades en contraseñas creadas por modelos de lenguaje (LLM), con patrones predecibles y falta de aleatoriedad real, exponiendo riesgos críticos.

Las Contraseñas Generadas por IA Exhiben Aleatoriedad Defectuosa, Advierten Investigadores

Un estudio reciente ha expuesto vulnerabilidades significativas en las contraseñas generadas por modelos de lenguaje grandes (LLM, por sus siglas en inglés), demostrando que las credenciales producidas por IA siguen patrones predecibles y carecen de verdadera aleatoriedad. Los hallazgos, publicados por Irregular Security, destacan preocupaciones críticas de seguridad a medida que los sistemas autónomos de IA manejan cada vez más la creación de cuentas y la autenticación.

Hallazgos Clave y Análisis Técnico

Los investigadores analizaron 50 contraseñas generadas por Claude, un LLM desarrollado por Anthropic, e identificaron varias tendencias alarmantes:

  • Formato Consistente: Todas las contraseñas comenzaban con una letra mayúscula, predominantemente la "G", seguida del dígito "7" en casi todos los casos.
  • Distribución Sesgada de Caracteres: Caracteres como "L", "9", "m", "2", "$" y "#" aparecieron en las 50 contraseñas, mientras que otros (por ejemplo, "5", "@") rara vez se utilizaron. La mayoría de las letras del alfabeto estuvieron completamente ausentes.
  • Sin Caracteres Repetidos: A pesar de la improbabilidad estadística en contraseñas verdaderamente aleatorias, Claude evitó repetir caracteres, probablemente debido a una preferencia algorítmica por una aleatoriedad percibida.
  • Evitación de Símbolos: El asterisco ("*") fue omitido, posiblemente debido a su significado especial en Markdown, el formato de salida utilizado por Claude.
  • Alta Tasa de Repetición: Solo se generaron 30 contraseñas únicas en 50 intentos. La contraseña G7$kL9#mQ2&xP4!w apareció 18 veces, lo que le otorga una probabilidad del 36% en el conjunto de pruebas, muy superior a la probabilidad esperada de 2<sup>-100</sup> para una contraseña de 100 bits.

"Este resultado no es sorprendente", señaló el experto en ciberseguridad Bruce Schneier. "La generación de contraseñas parece ser precisamente lo que los LLM no deberían hacer bien. Pero si los agentes de IA operan de manera autónoma, crearán cuentas, y esto se convierte en un problema serio".

Impacto y Repercusiones Más Amplias

El estudio subraya una limitación fundamental de los LLM en aplicaciones críticas para la seguridad. Aunque las contraseñas generadas por IA pueden parecer fuertes debido a su longitud y complejidad, sus patrones predecibles las hacen susceptibles a ataques de fuerza bruta. Por ejemplo, un atacante consciente de estos sesgos podría reducir significativamente el tiempo y los recursos computacionales necesarios para descifrar dichas contraseñas.

Los riesgos van más allá de la generación de contraseñas. A medida que los sistemas de IA realizan tareas de manera autónoma —como gestionar servicios en la nube, APIs o dispositivos IoT—, su capacidad para manejar la autenticación de manera segura se vuelve primordial. Las fallas actuales en las credenciales generadas por LLM podrían llevar a vulnerabilidades generalizadas si no se abordan.

Recomendaciones para Profesionales de la Seguridad

Para mitigar estos riesgos, las organizaciones y desarrolladores deberían:

  1. Evitar Depender de los LLM para la Generación de Contraseñas: Utilizar bibliotecas criptográficas establecidas (por ejemplo, OpenSSL, libsodium) o gestores de contraseñas dedicados para generar contraseñas de alta entropía.
  2. Implementar Autenticación Multifactor (MFA): Incluso si las contraseñas se ven comprometidas, MFA añade una capa adicional de seguridad para las cuentas gestionadas por IA.
  3. Monitorear Patrones de Credenciales Generadas por IA: Los equipos de seguridad deben estar al tanto de los sesgos identificados en este estudio y monitorear patrones similares en sus entornos.
  4. Educar a los Desarrolladores sobre las Limitaciones de la IA: Asegurar que los equipos comprendan los riesgos de usar LLM para tareas sensibles a la seguridad, incluyendo la autenticación y la gestión de credenciales.
  5. Abogar por Estándares de Seguridad Específicos para IA: A medida que crece la adopción de IA, se necesitan urgentemente directrices a nivel industrial para la autenticación segura impulsada por IA.

Conclusión

El estudio sirve como un recordatorio crítico de que, aunque los LLM destacan en muchas áreas, aún no están equipados para manejar funciones críticas de seguridad, como la generación de contraseñas. A medida que los sistemas de IA se vuelven más autónomos, abordar estas limitaciones será esencial para prevenir brechas de seguridad a gran escala. Por ahora, la supervisión humana y los métodos criptográficos tradicionales siguen siendo indispensables para una autenticación segura.

Investigación original: Irregular Security. Cobertura de noticias: Gizmodo, Slashdot.

Compartir

TwitterLinkedIn