A la hora de escoger las contraseñas, y pese a las recomendaciones de los expertos, el usuario medio opta por fórmulas sencillas de recordar, como “123456” o “password”.
Si se utilizaran siempre sofisticadas combinaciones de caracteres, resultaría más complejopara los hackers acceder a una cuenta, pero también para el propio usuario.
Esta debilidad fue puesta en evidencia por un sistema creado por unos investigadores que adivina la gran mayoría de las contraseñas conociendo algunos datos de su víctima.
Investigadores de las universidades Lancaster, Peking y la Fujian Normal University trabajaron de forma coordinada para dar con un sistema que es capaz de acertar las contraseñas con un 73% de posibilidades de éxito.
Este sistema fue bautizado como TarGuess y basa su eficacia en llevar de manera automatizada la investigación de la actividad de su víctima en la red.
Por ejemplo, cómo se llaman sus familiares, su mascota, dónde pasaron sus vacaciones…
Combinando estos datos comienza el juego de las adivinaciones y con él se elevan las posibilidades de acertar.
El equipo replicó este sistema empleando modelos matemáticos con los que se ponen cifras a su eficacia: 73% de éxito en contraseñas convencionales, y un 32% en aquellos casos en los que el usuario se esforzó por lograr una contraseña sofisticada.
El gran reto al que se enfrentó el equipo fue lograr dar con las combinaciones adecuadasantes de que el servidor bloquee la cuenta (como medida de seguridad ante los ataques por fuerza bruta).
Aquí entran en juego los algoritmos de TarGuess: el sistema trabaja con escenarios en los que se repiten los patrones y hasta siete modelos matemáticos que emplean a su vez la información de la que se dispone de la víctima.
Los investigadores trabajaron además con los datos filtrados en los ataques a servicios comoYahoo para luego dejar a TarGuess poner a prueba su efectividad en otros sitios.
La principal conclusión de este proyecto por parte del equipo es que los sistemas de seguridad empleados en la actualidad no son suficientes ante un ataque organizado basado en algoritmos y esperan concienciar a los usuarios acerca de la importancia de escoger contraseñas sofisticadas.