Asegurarse de que nuestros empleados cuentan, tanto en el ámbito corporativo como fuera de él, con contraseñas complejas y variadas en todas las cuentas que utilizan en sus dispositivos es de vital importancia. No en vano, multitud de datos confidenciales podrían estar en riesgo por culpa de credenciales frágiles, obvias o repetidas hasta la saciedad.
Para demostrar la necesidad de una protección adecuada que, además, permita gestionar muchas y muy distintas contraseñas, un grupo de investigadores han creado un ‘software’ capaz de averiguar claves con un escaso número de intentos. En concreto, y conociendo algo de información personal de la víctima, la herramienta podría dar con la contraseña correcta probando menos de 100 posibilidades.
Su nombre es TarGuess y ha sido creada por investigadores de las universidades chinas de Pekín y Fujian y la británica de Lancaster. Según su estudio, un atacante con suficiente información personal de la víctima (el nombre del usuario, el de su mascota, los de sus familiares más cercanos, su fecha de nacimiento o el lugar de sus últimas vacaciones) tiene una posibilidad entre cinco de adivinar su contraseña en menos de un centenar de intentos.
Lo único que han hecho con TarGuess es automatizar estas tentativas con una herramienta que se encarga de buscar la información personal en redes sociales para luego probar por su cuenta.
Con esta herramienta, los investigadores han logrado un 20% de éxito al averiguar las contraseñas de los participantes en la investigación con solo 100 intentos. Además, ese porcentaje de aciertos aumenta proporcionalmente: así, TarGuess obtiene un 25% de las contraseñas con 1.000 intentos y asciende hasta un 50% en caso de probar con un millón de conjeturas.
Más allá de las polémicas filtraciones de datos de plataformas como Yahoo o Dropbox, la principal conclusión del estudio es que muchas de las contraseñas utilizadas por los usuarios no son lo suficientemente robustas como para resistir un ataque de este tipo. Por si fuera poco, estas filtraciones han puesto de manifiesto otro riesgo: TarGuess habría detectado que muchas de estas credenciales se utilizan también en otros servicios o que, en el mejor de los casos, tienen cierta similitud (constituyendo lo que denominan como “contraseñas hermanas”).
Además, esta investigación permite hacer hincapié en la necesidad de controlar qué tipo de información se publica en las redes sociales. Un empleado que comparte todos los momentos de su vida podría estar facilitando, sin saberlo, que un ciberatacante descubra su contraseña, lo que pondría en peligro tus datos corporativos.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
