Ni inteligencia artificial ni superordenadores: esta es la nueva arma de los hackers para hacerse con tus contraseñas

Mientras muchos se obsesionan con la IA, los hackers vuelven a lo básico para entrar en tus cuentas. Su arma secreta es leer lo que publicas en internet para adivinar tus claves.
Teniendo en cuenta que actualmente se usan contraseñas para todo, que estas usen mayúsculas, números y símbolos se ha vuelto algo de imperiosa necesidad. El problema es que ni siquiera esto te salva.
La realidad es que los hackers no necesitan grandes ordenadores para hacerse con tus claves. No necesitan una potencia de cálculo increíble si saben exactamente qué palabras usas en tu día a día. La IA ni es necesaria para adivinarlas porque, una vez más, los humanos son demasiado predecibles.
Cuando una empresa te obliga a cambiar la contraseña cada tres meses y te pone reglas de complejidad, te inventas algo aleatorio y, normalmente, buscas algo que tienes delante. Los atacantes lo saben y han empezado a usar herramientas que leen tu entorno antes de atacarte.
Aquí es donde entra en juego una herramienta que está en boca de todos los expertos en seguridad: CeWL. Es un programa de código abierto que se dedica a rastrear sitios web para absorber todas las palabras que aparecen.
En lugar de intentar adivinar tu contraseña probando 123456, este software crea una lista personalizada con los términos que tú y tu entorno usáis constantemente.
Una vez que tiene toda esa jerga corporativa, el hacker ya tiene el 90% del trabajo hecho. Ya no tiene que probar millones de combinaciones al azar; solo tiene que coger esas palabras y añadirles el típico 2026!, una mayúscula al principio o un símbolo de exclamación al final.
No hace falta IA u ordenadores de la NASA para adivinar tus contraseñas
Que esta técnica funcione no es gracias a la tecnología, sino a la relevancia, es decir, a las palabras que más usas en tu entorno. Los diccionarios de contraseñas de toda la vida se están quedando obsoletos porque la gente ya no usa password o admin tan a menudo.
Tras obtener toda esta lista, usan herramientas como Hashcat para aplicar reglas de mutación. Básicamente, consiste en coger la palabra Hospital, por ejemplo, y generar automáticamente miles de variantes: H0spital, hospital2026, Hospital#1.
Como los humanos siguen patrones predecibles para cumplir con las normas de seguridad, el software acaba encontrando la combinación correcta en cuestión de segundos una vez tiene la palabra base.
Este es el gran problema. La realidad es que todas esas se consideran contraseñas robustas porque cumplen con los requisitos.
El estándar NIST, que es como la biblia de la ciberseguridad, afirma que de nada sirve obligar a poner símbolos si no se prohíbe el uso de palabras relacionadas con el contexto del usuario. Si permites que tus empleados usen el nombre de la empresa o del software que venden en sus claves, les estás poniendo las cosas muy fáciles a los hackers que usan herramientas de rastreo.
Cómo protegerse de este escaneo de palabras que hacen los hackers
La solución no es poner reglas más raras, sino bloquear directamente las palabras que los hackers pueden sacar de tu web. Las empresas están empezando a usar diccionarios de exclusión personalizados. Básicamente, es una lista negra que le dice al usuario que no puede usar el nombre de X proyecto ni el de la marca como contraseña. Con esto se corta el problema de raíz.
Por supuesto, el gran consejo es que te pases a los gestores de contraseñas o, mejor aún, a las passkeys o llaves digitales. Si la clave la genera una máquina de forma aleatoria, no hay rastro web ni palabra corporativa que valga para adivinarla.


