Contraseñas generadas por IA: ¿son realmente seguras?
La era de la inteligencia artificial (IA) ofrece grandes promesas para la ciberseguridad, pero también plantea retos. Los sitios web y las aplicaciones vibe coding (técnica de programación dependiente de IA) ya han sido señalados como el origen de fallos de seguridad que han dejado a diferentes plataformas vulnerables a ataques. Ahora empezamos a ver cómo la generación de contraseñas vía vibe coding puede también suponer un riesgo.
En concreto, una nueva investigación realizada por analistas especializados en seguridad de sistemas de inteligencia artificial ha revelado que las contraseñas generadas por modelos extensos de lenguaje (LLM) son “fundamentalmente inseguras”. Y sorprendentemente fáciles de adivinar.
Pruebas de seguridad en los modelos de lenguaje
Para determinar la capacidad de los modelos de IA más populares para actuar como generadores de claves, pusieron a prueba a Claude, ChatGPT y Gemini. Debían generar contraseñas seguras de 16 caracteres que incluyeran caracteres especiales, números y letras. Y, en algunos casos, frases.
Los modelos fueron capaces de generar cadenas de caracteres que parecen cualquier contraseña generada automáticamente por un gestor de contraseñas profesional o por herramientas de integradas. Sin embargo, éstas resultaron sorprendentemente fáciles de descifrar. Esto se debe a que los LLM no tienen una especial capacidad de aleatorización.
Por ejemplo, cuando los investigadores pidieron al modelo Claude Opus 4.6 de Anthropic que generara 50 contraseñas únicas, este utilizó en realidad un patrón muy predecible. Muchas de las contraseñas que generó empezaban por la misma letra y el segundo caracter era casi siempre el mismo dígito. Algunos caracteres aparecían en todas las contraseñas, y la mayor parte del alfabeto no aparecía en ninguna.
Otros modelos presentaban problemas similares. ChatGPT, de OpenAI, comenzaba casi todas las contraseñas con la misma letra y casi la mitad de ellas utilizaban la ‘Q’ como segundo caracter. Al igual que Claude, ChatGPT se limitaba a un subconjunto reducido de caracteres a la hora de generar una contraseña. En lugar de utilizar todo el alfabeto. Gemini, de Google, presentaba patrones de repetición similares.
Limitaciones de la aleatoriedad en LLM
Los investigadores señalaron incluso que los LLM parecían tomar decisiones que hacían que las contraseñas tuvieran apariencia de ser aleatorias. Pero que en realidad revelaban precisamente la falta de aleatoriedad. Los investigadores observaron que no había ningún caso de repetición de caracteres en las contraseñas generadas. Aunque eso hace que, a simple vista, los resultados parezcan más aleatorios, los autores señalaron que “desde el punto de vista probabilístico, esto sería muy improbable si las contraseñas fueran verdaderamente aleatorias”.
¿Cómo se valora la seguridad de una contraseña?
La seguridad de una contraseña se mide generalmente en bits de entropía, indicativo de cuántos intentos se necesitarían para descifrarla. Cuanto mayor sea la variedad de opciones para cada caracter de la contraseña, más bits de entropía se generan, lo que dificulta que cedan a un ataque de fuerza bruta. Una contraseña con 20 bits de entropía genera alrededor de un millón de posibilidades. Lo que significa que puede descifrarse en cuestión de segundos, si el atacante utiliza GPU modernas de gama alta para generar un gran número de conjeturas. Por el contrario, una contraseña con 100 bits de entropía tardaría billones de años en descifrarse.
Según los investigadores, mientras que una contraseña verdaderamente segura generaría 6,13 bits de entropía por carácter, los resultados generados por los modelos extensos de lenguaje se sitúan cerca de los 2,08 bits de entropía. Si una contraseña estándar de 16 caracteres verdaderamente segura tendría unos 98 bits de entropía, los LLM solo fueron capaces de generar contraseñas con unos 27 bits. Lo que las hace extremadamente vulnerables a los ataques de fuerza bruta.
Los investigadores también afirmaron que pudieron encontrar patrones comunes creados por LLM en entornos reales actualmente aplicados en Internet. Lo que significa que hay aplicaciones y servicios protegidos con contraseñas que pueden ser vulnerables. Y tampoco creen que este sea un problema que pueda resolverse con una simple actualización. “Los LLM están optimizados para producir resultados predecibles y plausibles, lo cual es incompatible con la generación de contraseñas seguras”, concluyen.
