Hay una práctica que se está extendiendo por Internet y parece razonable a primera vista.
Alguien necesita una nueva contraseña, no quiere volver a usar el nombre de su perro ni molestarse con los administradores de contraseñas y las estadísticas: ¿por qué no preguntarle a ChatGPT?
El artículo continúa a continuación.
Pero no es tan poderoso como parece. Y la investigación lo respalda.
La IA no es aleatoria. Simplemente se ve como es
Un estudio del año pasado probó 1.000 contraseñas generadas por modelos líderes de inteligencia artificial, incluidos ChatGPT, DeepSeek y Llama. Los resultados son bastante buenos.
El 88 por ciento de las contraseñas de Dipsik y el 87 por ciento de Llama no lograron prevenir ataques. ChatGPT funcionó mejor, pero aun así generó contraseñas que podían descifrarse en aproximadamente un tercio del tiempo, menos de una hora.
La misma arquitectura que hace que la IA sea útil la hace inapropiada en este caso.
Los modelos de lenguaje de IA funcionan prediciendo lo que sucederá a continuación en función de patrones en sus datos de entrenamiento. Esto es lo que los hace tan útiles para escribir, resumir, traducir y, de hecho, cualquier tarea en la que el reconocimiento de patrones sea el objetivo.
Pero generar certificados verdaderamente aleatorios requiere algo que la IA no puede hacer: generar resultados que no tengan nada que ver con nada anterior.
En cambio, lo que obtienes es la apariencia de aleatoriedad. El resultado parece caótico, pero a nivel estadístico, se agrupa. Ubicación de las letras, elección de la longitud, relación letra-símbolo. Estas tendencias están incorporadas y los equipos de craqueo modernos están diseñados específicamente para explotar este tipo de regularidad.
Hay otra dimensión que se está pasando por alto. Si usted y un colega pidieran de forma independiente a ChatGPT que generara una contraseña segura hoy, los resultados no serían idénticos, pero probablemente compartirían huellas digitales estructurales.
De hecho, el conjunto de productos individuales es menor de lo que la mayoría piensa. Amplíe eso a millones de personas que realizan la misma solicitud y la “singularidad” de su contraseña generada por IA comenzará a parecer mucho menos única.
¿Cuál es el mensaje en sí?
La calidad de la producción es sólo la mitad del problema. La otra mitad es la que te entregas con solo pedirla.
En los niveles gratuitos orientados al consumidor de la mayoría de las principales plataformas de IA, las indicaciones se pueden utilizar como datos de entrenamiento para futuras versiones del modelo. Esta es una práctica estándar y se expresa en términos de servicio que la mayoría de la gente no lee.
Básicamente, el contexto de su conversación (lo que quería, para qué servicio era, cualquier otra cosa que haya dicho en esa sesión) puede no ser personal.
Este es un perfil de riesgo diferente del acceso a nivel empresarial o empresarial, donde los términos de gestión de datos suelen ser más restrictivos. ¿Pero para la persona promedio que usa ChatGPT en su teléfono para elegir contraseñas de aplicaciones bancarias? Vale la pena saberlo.
El punto más amplio es que en el momento en que una contraseña, incluso una recién generada, ingresa a una conversación pública de IA, usted se encuentra en una postura de seguridad diferente a la que tenía antes de abrir esa pestaña. No es necesariamente una violación. Pero este es un evento de seguridad y la mayoría de la gente no lo ve de esa manera.
Que usar en su lugar
La solución no es complicada. Las credenciales deben generarse mediante herramientas diseñadas específicamente para ese propósito; los administradores de contraseñas existen desde hace años y resuelven esto adecuadamente.
El requisito clave es la aleatorización criptográficamente segura: resultados que no tienen relación estadística entre sí ni patrones que un atacante pueda captar.
El almacenamiento es tan importante como la generación. Si no elimina sus registros de chat de IA, todas las contraseñas que LLM generó para usted serán visibles para cualquiera que acceda a su cuenta.
Y dado que ChatGPT, Claude y otros LLM importantes manejan la persistencia de la sesión del navegador (lo que significa que no es necesario volver a iniciar sesión después de cerrar la sesión inicial, a diferencia de una cuenta bancaria), esto agrega una vulnerabilidad significativa.
La objeción habitual es la conveniencia. Las herramientas de IA ya están abiertas, ya se conocen. La tensión entre seguridad y comodidad es tan antigua como el arte mismo. La pregunta es si la fricción que estás evitando realmente te protege.
Valores predeterminados inteligentes
La IA es una herramienta habilitadora. Esto no es correcto para esta tarea. El reconocimiento de patrones es lo que lo hace útil para escribir e investigar; Esto lo hace inadecuado para crear certificados que deban ser realmente impredecibles. Utilice un administrador de contraseñas para las contraseñas. Utilice la IA para todo lo demás.
La mayoría de las fallas de ciberseguridad no se deben a ataques externos o a la sofisticación. Se reducen a pequeños hábitos y decisiones cotidianos que se acumulan en una postura de seguridad segura o vulnerable. Saber qué herramientas recurrir y por qué es donde comienza una buena seguridad.
Hemos calificado los mejores administradores de contraseñas comerciales.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
