Nueva herramienta para crear ciberataques y robar contraseñas en segundos, dejando atrás a la IA

En el ecosistema de la ciberseguridad, una herramienta de código abierto ha revolucionado la forma en que los atacantes logran acceder a cuentas protegidas por contraseñas supuestamente seguras, incluso con una efectivdad igual o superior a la inteligencia artificial o los mejores computadores.

Se trata de CeWL, conocida entre los especialistas como un generador de listas personalizadas, que ha puesto en jaque las tradicionales defensas basadas en complejidad, obligando a repensar tanto la protección de datos como las recomendaciones para usuarios y empresas.

Cómo funciona esta herramienta para robar contraseñas

Lejos de depender solo de superordenadores o inteligencia artificial, los hackers están apostando cada vez más por estrategias basadas en la observación del entorno digital de sus víctimas. El principal secreto: explotar la información pública que los propios usuarios y organizaciones comparten en sus sitios web y redes sociales.

CeWL es un programa desarrollado en Ruby que rastrea páginas web y recopila todas las palabras relevantes que encuentra en ellas, creando de forma automática un diccionario adaptado al contexto de la empresa o individuo objetivo.

Esta herramienta, disponible en GitHub y preinstalada en distribuciones como Kali Linux, resulta sencilla de utilizar: basta con indicar la página de interés y en segundos se obtiene un listado con términos y jergas específicas del entorno digital del objetivo.

Pentesters y equipos de auditoría de seguridad han adoptado CeWL como un recurso imprescindible, pues permite demostrar a empresas y usuarios lo fácil que pueden vulnerarse sus sistemas si se repiten patrones humanos al crear contraseñas.

El programa explora hasta dos niveles de profundidad en los enlaces de la web objetivo, extrayendo nombres propios, conceptos clave del sector e incluso modismos, todo ello susceptible de ser utilizado a la hora de crear combinaciones de claves.

Tras la recopilación de palabras, los atacantes emplean programas como Hashcat para aplicar reglas de mutación y generar miles de variantes de cada término detectado.

De este modo, una palabra extraída del entorno digital, como el nombre de una empresa o un término habitual del sector, puede transformarse en contraseñas como “Hospital2026!”, “FarmLife#1” u “H0spital#1”, sumando mayúsculas, números o símbolos para cumplir con las normas tradicionales de robustez.

Los profesionales de la seguridad han comprobado en numerosas ocasiones que estas listas personalizadas permiten descifrar contraseñas en cuestión de segundos. El motivo principal: la tendencia humana a recurrir a nombres conocidos, fechas relevantes y jerga habitual a la hora de crear contraseñas, incluso cuando se exige complejidad por reglamento.

Cómo protegerse ante los ataques basados en CeWL

Frente a este panorama, las recomendaciones de los expertos se han adaptado a la nueva realidad. La solución no reside en endurecer las reglas tradicionales, sino en bloquear activamente las palabras que pueden ser extraídas del entorno digital.

Las empresas han comenzado a implementar diccionarios de exclusión personalizados: listas negras que impiden el uso de nombres de la marca, proyectos internos o palabras clave sectoriales en las contraseñas de sus empleados. Esta medida dificulta de raíz la labor de los atacantes que dependen de herramientas automatizadas como CeWL.

Además, el uso de gestores de contraseñas se ha posicionado como una de las mejores prácticas para usuarios individuales y organizaciones. Estos programas generan y almacenan claves aleatorias, imposibles de deducir a partir de información pública o patrones conocidos.

Incluso se recomienda el salto a las passkeys o llaves digitales, sistemas en los que la autenticación se realiza sin contraseñas, reduciendo aún más la superficie de ataque.

En paralelo, los equipos de seguridad aconsejan limitar la exposición de información sensible en sitios web y redes sociales corporativas, evitando publicar detalles que puedan convertirse en materia prima para ataques personalizados.