Un estudio publicado en Science recoge las posibilidades de este sistema para desvelar las claves secretas pero, a la vez, la forma de hacerlas más seguras
Un grupo de científicos ha detectado un resquicio por el que la amada/temida inteligencia artificial (pero inevitable en cualquier caso) puede comprometer algo tan vital como la seguridad de nuestras contraseñas en los dispositivos electrónicos. Pero también la forma en la que puede ser utilizada para estar más seguros.
Estos expertos recurrieron al poder de la inteligencia artificial (IA) para intentar averiguar las contraseñas de 43 millones de perfiles de Linkedin, y tuvieron éxito en una cuarta parte de los casos, generalmente aquellos en los que los usuarios habían sido menos precavidos.
Sin embargo, la información obtenida en este mismo trabajo -publicado en la revista Science- puede utilizarse a su vez para hacer más seguras las contraseñas y calibrar la fortaleza de sus códigos de seguridad, así como utilizar "contraseñas señuelo" de mucha utilidad para detectar posibles brechas.
Los programas de adivinación de contraseñas más potentes que utilizan los piratas informáticos se basan en varias técnicas, entre ellas una tan simple como desplegar muchas combinaciones hasta dar con la correcta. Pero otros métodos más sofisticados filtran previamente las opciones y emplean cálculos de probabilidad para adivinar la fórmula oculta. En algunos casos, el porcentaje de acierto es del 90%, extraordinariamente alto.
En el nuevo estudio, investigadores del Stevens Institute of Technology de Hoboken, Nueva Jersey (Estados Unidos) aplicaron un sistema conocido como red generativa de confrontación, o GAN, que comprende dos redes neuronales artificiales. Un "generador" intenta producir salidas artificiales (como imágenes) que se asemejan a ejemplos reales (fotos reales), mientras que un "discriminador" trata de detectar el real del falso. De esta manera, ayudan a perfeccionarse entre sí hasta que el generador se convierte en un falsificador experto.
Giuseppe Ateniese, informático del Stevens Institute y coautor de estudio, compara el generador y el discriminador con un agente de policía encargado de dibujar un retrato robot y un testigo ocular que le facilita la descripción del sospechoso, respectivamente. El artista del bosquejo está intentando producir algo que puede pasar como retrato exacto del criminal a partir de la descripción que le aportan.
Hasta ahora, los GAN se han utilizado para hacer imágenes realistas, pero no se han aplicado mucho al texto. El equipo de Stevens creó un GAN llamado PassGAN y lo comparó con dos versiones de programas empleados por hackers profesionales. Después, alimentó cada herramienta con decenas de millones de contraseñas filtradas de un sitio de juego llamado RockYou, y les pidieron que generaran cientos de millones de nuevas contraseñas por su cuenta. A continuación, contaron cuántas de estas nuevas contraseñas coincidían con un conjunto de contraseñas filtradas de LinkedIn.
Por su propia iniciativa, PassGAN generó el 12% de las contraseñas en el conjunto de LinkedIn, mientras que sus tres competidores generaron entre 6% y 23%. Pero el mejor rendimiento provino de combinar PassGAN y uno de los sistemas de pirateo empleados, hashCat. Juntos, fueron capaces de dar con el 27% de las contraseñas en el conjunto de LinkedIn.
Según Ateniese, el sistema PassGan, que inventa sus propias reglas, puede crear contraseñas indefinidamente. "Está generando millones de contraseñas mientras hablamos", dice. En su opinión, PassGAN mejorará con más capas en las redes neuronales y entrenando en muchos más fugas de contraseñas.
Este experto compara PassGAN con AlphaGo, el programa de Google DeepMind que recientemente venció a un campeón humano en el juego de mesa. "AlphaGo estaba ideando nuevas estrategias que los expertos nunca habían visto antes", dice Ateniese. "Si se dan suficientes datos a PassGAN, será capaz de llegar a las reglas que los seres humanos no pueden pensar.", concluye.
Claro que siempre hay un atajo mucho más sencillo que todo esto. Ya sabe, haga sus contraseñas lo más sofisticadas, largas y variables que le sea posible. Lo del día de cumpleaños ya está muy visto.
