Las contraseñas generadas por IA siguen patrones que los hackers pueden estudiar
Una complejidad superficial esconde una previsibilidad estadística por debajo. Las brechas de entropía en las contraseñas de IA exponen debilidades estructurales en los inicios de sesión con IA.
Los modelos de lenguaje grande (LLM) pueden producir contraseñas que parecen complejas, pero pruebas recientes sugieren que esas cadenas de caracteres están lejos de ser aleatorias.
Un estudio de la firma Irregular examinó contraseñas generadas por sistemas de IA como Claude, ChatGPT y Gemini. Se les pidió a cada uno que generase contraseñas de 16 caracteres con símbolos, números y letras en mayúsculas y minúsculas.
A primera vista, los resultados parecían robustos y pasaban los tests de fortaleza comunes en línea. Algunos verificadores estimaban que descifrarlas llevaría siglos. Pero una mirada más cercana a estas contraseñas contaba una historia distinta.
Las contraseñas de LLM muestran repetición y patrones estadísticos adivinables
Cuando los investigadores analizaron 50 contraseñas generadas en sesiones separadas, muchas eran duplicadas y varias seguían patrones estructurales casi idénticos.
La mayoría comenzaban y terminaban con tipos de caracteres similares, y ninguna contenía caracteres repetidos. Esta ausencia de repetición puede parecer tranquilizadora, pero en realidad señala que la salida sigue convenciones aprendidas, no un verdadero azar.
Usando cálculos de entropía basados en estadísticas de caracteres y probabilidades del modelo, los investigadores estimaron que estas contraseñas generadas por IA tenían entre 20 y 27 bits de entropía.
Una contraseña de 16 caracteres genuinamente aleatoria mediría, típicamente, entre 98 y 120 bits con los mismos métodos.
La brecha es sustancial. En términos prácticos, esto podría significar que dichas contraseñas son vulnerables a ataques de fuerza bruta en cuestión de horas, incluso en hardware obsoleto.
Los medidores de fortaleza de contraseñas en línea evalúan la complejidad superficial, no los patrones estadísticos ocultos detrás de una cadena. Y como no tienen en cuenta cómo generan texto las herramientas de IA, pueden clasificar salidas predecibles como seguras.
Los atacantes que comprendan esos patrones podrían refinar sus estrategias de adivinanza, reduciendo el espacio de búsqueda dramáticamente.
El estudio también encontró que secuencias similares aparecen en repositorios de código y documentación pública, lo que sugiere que las contraseñas generadas por IA ya podrían estar circulando ampliamente.
Si los desarrolladores confían en estas salidas durante pruebas o implementaciones, el riesgo se acumula con el tiempo. De hecho, incluso los propios sistemas de IA que generan estas contraseñas no confían plenamente en ellas y pueden emitir advertencias si se les presiona.
Gemini 3 Pro, por ejemplo, devolvió sugerencias de contraseñas junto con una advertencia de que las credenciales generadas en un chat no deberían usarse para cuentas sensibles. En su lugar, recomendó usar frases de contraseña y aconsejó a los usuarios que dependan de un gestor de contraseñas dedicado.
Un generador de contraseñas integrado en dichas herramientas se basa en aleatoriedad criptográfica, no en predicción de lenguaje.
En términos simples, los LLM están entrenados para producir texto plausible y repetible, no secuencias impredecibles. Por lo tanto, la preocupación más amplia es estructural.
Los principios de diseño detrás de las contraseñas generadas por LLM entran en conflicto con los requisitos de una autenticación segura. Así que ofrecen una protección con lagunas.
"Las personas y los agentes de programación no deberían confiar en los LLM para generar contraseñas", dijo Irregular. "Las contraseñas generadas a través de la salida directa de un LLM son fundamentalmente débiles, y esto no se puede arreglar ajustando la instrucción o la temperatura: los LLM están optimizados para producir resultados predecibles y plausibles, lo cual es incompatible con la generación segura de contraseñas".
Vía The Register.