La irrupción de la inteligencia artificial en el ámbito de la ciberseguridad ha transformado las prácticas de protección de datos y la forma en que usuarios y empresas gestionan su información sensible. Herramientas como ChatGPT, Claude y Gemini han popularizado la generación automática de contraseñas, prometiendo mayor robustez y eficiencia frente a los métodos tradicionales. Sin embargo, el avance tecnológico también abre la puerta a nuevas vulnerabilidades y desafíos para la seguridad digital.
Este contexto ha motivado una serie de advertencias recientes por parte de expertos en la materia, quienes han detectado riesgos significativos en el uso de contraseñas generadas por inteligencia artificial.
Estos especialistas advirtieron que millones de contraseñas generadas por inteligencia artificial, presentan patrones tan predecibles que hasta computadoras antiguas pueden descifrarlas con rapidez.
Un análisis académico publicado en ArXiv evaluó la capacidad de grandes modelos de lenguaje para generar o predecir contraseñas y encontró que los modelos probados consiguieron menos del 1 % de precisión en la predicción de contraseñas correctas, evidenciando limitaciones inherentes en su uso para tareas que requieren verdadera seguridad criptográfica. Esta investigación respalda la idea de que la generación de contraseñas por modelos de IA no garantiza entropía real ni protección frente a ataques sofisticados.
Esta vulnerabilidad también fue identificada en una investigación de la firma Irregular y verificada de forma independiente por el canal británico Sky News, y expone a usuarios y desarrolladores a riesgos inesperados y pone en entredicho la confianza en las herramientas de IA para proteger información crítica.
De forma complementaria, una publicación en la revista Journal of Information Security and Applications analizó la utilización de modelos de lenguaje para generar contraseñas y patrones relacionados como “honeywords” y concluyó que estos modelos suelen seguir configuraciones lingüísticas repetitivas y no equivalentes a entropía criptográfica real, lo que implica que su output puede ser anticipado o explotado más fácilmente si no se incorpora dentro de un marco de seguridad robusto con generadores aleatorios específicos.
El análisis de Irregular determinó que los principales modelos de lenguaje generan contraseñas que brindan una falsa sensación de seguridad. Aunque aparentan complejidad, sus patrones resultan lo suficientemente repetitivos como para detectarse incluso a simple vista.
En una muestra de 50 contraseñas, solo 23 eran únicas. Una de las claves, K9#mPx$vL2nQ8wR, se repitió en 10 ocasiones. Variantes como K9#mP2$vL5nQ8@xR y K9$mP2vL#nX5qR@j también fueron frecuentes, lo que ejemplifica la ausencia de verdadera aleatoriedad.
Al replicar el experimento, Sky News obtuvo una primera contraseña notablemente similar: K9#mPx@4vLp2Qn8R. Si bien otros modelos ofrecieron opciones algo menos repetitivas, igualmente exhibieron patrones que disminuyen su fortaleza.
Incluso un sistema de generación de imágenes de contraseñas presentó el mismo defecto al crear ilustraciones de notas adhesivas con contraseñas.
Dan Lahav, cofundador de Irregular, recomendó a quienes hayan utilizado inteligencia artificial para crear sus claves que las sustituyan de inmediato: “Debes dejar de hacerlo de inmediato. Y si ya lo hiciste, cambia tu contraseña inmediatamente. No creemos que este problema sea suficientemente conocido”, afirmó a Sky News.
Herramientas en línea que verifican la seguridad de contraseñas, al analizar estas combinaciones, suelen calificarlas como extremadamente seguras. Por ejemplo, un comprobador concluyó que una clave creada por una de ellas no podría resolverse en 129 millones de billones de años por una computadora. Sin embargo, estos sistemas no identifican los patrones subyacentes, lo que vuelve a las claves mucho más débiles de lo que aparentan.
Según Lahav, “la mejor estimación es que, actualmente, si utilizas LLM para generar tus contraseñas, hasta computadoras antiguas pueden descifrarlas en poco tiempo”.
La preocupación también afecta a los desarrolladores. Cada vez más programadores incorporan contraseñas sugeridas por IA en el código de aplicaciones, programas y sitios web. Una búsqueda en GitHub del prefijo K9#mP arrojó 113 coincidencias en código, mientras que la secuencia k9#vL apareció en 14 resultados. En ocasiones, las contraseñas figuran en fragmentos orientados a buenas prácticas de seguridad o como marcadores de posición, pero la investigación detectó ejemplos insertados en servidores y servicios reales.
Algunas personas pueden estar expuestas a este problema sin saberlo, solo por haber delegado a la IA una tarea compleja, advirtió Lahav, quien instó a las empresas de inteligencia artificial a implementar generadores aleatorios auténticos, similares a los que elegiría una persona a través de una herramienta especializada.
Graeme Stewart, responsable del sector público en la firma de ciberseguridad Check Point, consideró que se trata de uno de los pocos problemas de seguridad con una solución sencilla y calificó la situación como “evitable”, aunque de alto impacto si se materializa el riesgo.
Otros especialistas subrayan que el problema de fondo radica en las propias contraseñas. Robert Hann, vicepresidente global de soluciones técnicas en Entrust, recomendó optar por métodos más robustos como las passkeys —identificación facial o huellas digitales— siempre que sea posible, en lugar de recurrir a claves alfanuméricas. Si las passkeys no están disponibles, la recomendación general es elegir una frase larga y memorable, sin solicitar ayuda de la inteligencia artificial.