Expertos alertan: las contraseñas creadas por IA pueden ser más frágiles de lo que parecen
La expansión de herramientas de inteligencia artificial como ChatGPT, Claude y Gemini instaló una práctica cada vez más común: pedirle a estos sistemas que generen contraseñas “seguras”. A simple vista, las combinaciones parecen complejas, con letras, números y símbolos mezclados. Sin embargo, especialistas en ciberseguridad advierten que esa complejidad no siempre equivale a verdadera fortaleza criptográfica.
¡Mantenete al tanto de las últimas noticias de San Nicolás y el país!
Unite a nuestro CANAL DE WHATSAPP y recibí las novedades directamente en tu teléfono.
📲 Click AQUÍ El problema no radica en la longitud o en el uso de caracteres especiales, sino en la forma en que estos modelos producen resultados: siguen patrones lingüísticos y estadísticos aprendidos, lo que puede derivar en estructuras repetitivas y predecibles.
Estudios académicos y análisis técnicos
Una investigación publicada en arXiv evaluó la capacidad de grandes modelos de lenguaje para generar o anticipar contraseñas. El resultado fue contundente: los sistemas ensayados lograron menos del 1 % de precisión al intentar predecir claves correctas. Esto expone limitaciones estructurales cuando se les exige generar entropía real, es decir, aleatoriedad criptográficamente sólida.
En la misma línea, la revista Journal of Information Security and Applications analizó el uso de modelos de lenguaje para producir contraseñas y “honeywords” (claves señuelo utilizadas para detectar intrusiones). La conclusión fue que estos modelos tienden a repetir configuraciones y no alcanzan niveles equivalentes a los generadores aleatorios diseñados específicamente para seguridad informática.
El experimento que encendió las alarmas
La firma de ciberseguridad Irregular examinó 50 contraseñas generadas por modelos de IA. El hallazgo fue llamativo: solo 23 eran realmente únicas. Una clave, K9#mPx$vL2nQ8wR, apareció 10 veces. Otras variantes similares también se repitieron con frecuencia.
El canal británico Sky News replicó el experimento y obtuvo resultados casi idénticos. Incluso en sistemas que generaban imágenes simulando notas adhesivas con contraseñas, los patrones volvieron a repetirse.
Para Dan Lahav, cofundador de Irregular, la advertencia es directa: “Debes dejar de hacerlo de inmediato. Y si ya lo hiciste, cambia tu contraseña inmediatamente. No creemos que este problema sea suficientemente conocido”, afirmó a Sky News.
Según agregó el especialista, “la mejor estimación es que, actualmente, si utilizas LLM para generar tus contraseñas, hasta computadoras antiguas pueden descifrarlas en poco tiempo”.
Falsa sensación de seguridad
Paradójicamente, muchas de estas contraseñas superan sin inconvenientes los verificadores online, que las califican como extremadamente robustas e incluso estiman que tardarían millones de años en descifrarse. El inconveniente es que estos medidores no detectan patrones estructurales repetidos entre múltiples generaciones, lo que reduce drásticamente la resistencia frente a ataques automatizados.
La preocupación también alcanza a desarrolladores que integran contraseñas sugeridas por IA en código de aplicaciones y servicios. En repositorios como GitHub se detectaron coincidencias exactas y prefijos repetidos en distintos proyectos, lo que demuestra que el problema no es teórico.
¿Cuál es la alternativa?
Graeme Stewart, de la compañía Check Point, sostuvo que se trata de un riesgo “evitable” si se aplican buenas prácticas.
Por su parte, Robert Hann, de Entrust, recomendó migrar hacia métodos más robustos como las passkeys (autenticación biométrica mediante rostro o huella digital) siempre que estén disponibles. Cuando no lo estén, la sugerencia es optar por frases largas y memorables creadas sin asistencia de IA, o utilizar administradores de contraseñas con generadores criptográficamente seguros.
En síntesis, la inteligencia artificial no fue diseñada como generador criptográfico, y utilizarla con ese fin puede exponer datos sensibles a riesgos innecesarios.
Lectura rápida: preguntas y respuestas
¿Las contraseñas creadas por inteligencia artificial son realmente seguras?
No necesariamente. Aunque parecen complejas, pueden seguir patrones repetitivos que reducen su nivel real de protección.
¿Qué descubrieron las investigaciones?
Que muchos modelos generan claves con estructuras previsibles y con baja entropía criptográfica, lo que facilita su descifrado.
¿Por qué los verificadores online no detectan el problema?
Porque evalúan longitud y combinación de caracteres, pero no analizan patrones repetidos entre múltiples contraseñas generadas por el mismo modelo.
¿Qué recomiendan los expertos?
Cambiar las claves creadas con IA, usar generadores aleatorios diseñados para seguridad informática o adoptar passkeys cuando sea posible.
¿El riesgo es solo para usuarios comunes?
No. También afecta a desarrolladores que incorporan contraseñas sugeridas por IA en aplicaciones y servicios reales.
