Un análisis de la empresa de ciberseguridad Irregular descubrió que una gran cantidad de chatbots de IA populares, incluidos ChatGPT , Claude y Google Gemini, producían contraseñas altamente predecibles y por ello expertos en ciberseguridad han advertido contra el uso de IA para generar contraseñas después de que una investigación descubriera fallos de seguridad evidentes.
Un factor clave detrás de esto, señaló el estudio, es que los modelos de lenguaje grandes (LLM) generan contraseñas basadas en patrones reconocibles, en lugar de la manera aleatoria recomendada por los expertos en seguridad.
Las pruebas de Claude, por ejemplo, generaron 50 contraseñas, de estas, solo se generaron 30 únicas, mientras que una (G7$kL9#mQ2&xP4!w) se repitió 18 veces y según los investigadores, GPT-5.2 tuvo un desempeño similar y sus resultados mostraron “fuertes regularidades”; casi todas las contraseñas empiezan por av, y de ellas, casi la mitad continúan con Q, afirmó Irregular en una entrada de blog “la selección de caracteres es igualmente limitada y desigual, con solo un pequeño subconjunto de símbolos que aparecen con cierta frecuencia”.
Por su lado, Gemini 3 Pro emitió una advertencia de seguridad cuando se le solicitó generar contraseñas sugeridas, instando a los usuarios a no usarlas “la razón que da el modelo no es que la contraseña sea débil, sino que la contraseña es ‘procesada a través de servidores’”, lo que, advirtió Irregular, tergiversa el riesgo potencial que corren los usuarios.
Cómo se mide la fortaleza de la contraseña
La seguridad de las contraseñas se ha basado tradicionalmente en su previsibilidad o imprevisibilidad y se ha medido en «bits de entropía», esto se utiliza para medir cuántas veces se necesitarían intentos para descifrar la contraseña por fuerza bruta.
Es decir, cuanto mayor sea la entropía, más fuerte será la contraseña “una contraseña con solo 20 bits de entropía, por ejemplo, necesitaría alrededor de 2²⁰ intentos, o aproximadamente un millón de intentos, lo que podría hacerse en cuestión de segundos”, explicaron los investigadores, “sin embargo, una contraseña con 100 bits de entropía necesitaría aproximadamente 2¹⁰⁰ intentos de descifrarla: un número de 31 dígitos, que requeriría billones de años para descifrarse”.
Usar IA para generar contraseñas no es aconsejable
Kevin Curran, miembro senior del IEEE y profesor de ciberseguridad en la Universidad del Ulster, dijo que usar IA para generar contraseñas es una “práctica riesgosa” e instó a los usuarios a no confiar en los chatbots para este propósito, “estos modelos a menudo producen cadenas que parecen fuertes y complejas, pero en realidad son altamente predecibles y presentan patrones repetitivos o estructuras familiares extraídas de sus datos de entrenamiento”.
“Este enfoque es una práctica de seguridad deficiente porque los modelos de lenguaje grandes no generan una aleatoriedad verdadera; se basan en probabilidades estadísticas obtenidas de grandes conjuntos de datos”.
Curran agregó que las contraseñas generadas por IA “carecen de la alta entropía” necesaria para garantizar una protección sólida y también podrían ser vulnerables a herramientas de descifrado automático.
De hecho, Irregular señaló que una contraseña típica de 16 caracteres debería tener aproximadamente 98 bits de entropía, mientras que los resultados generados por IA solo tenían un estimado de 27 bits, lo que los hacía muy susceptibles a ser descifrados “esta es la diferencia entre tardar miles de millones de años en descifrar una contraseña, incluso con una supercomputadora potente, y tardar segundos con una computadora estándar”.
A pesar de los evidentes riesgos, los investigadores observaron que las contraseñas generadas por IA están apareciendo en el mundo real a un ritmo alarmante, la compañía recomendó a los usuarios que se apegaran a los métodos tradicionales de generación de contraseñas.
Curran señaló que las empresas necesitan erradicar estas prácticas de raíz e informar al personal sobre los riesgos potenciales “las organizaciones deben tomar medidas proactivas para evitar que el personal dependa de la IA para la creación de contraseñas estableciendo políticas claras que prohíban el uso de chatbots públicos para tareas sensibles de seguridad y, en su lugar, exijan administradores de contraseñas aprobados equipados con generadores de números aleatorios criptográficamente seguros”, dijo.
“Los programas de capacitación regular pueden generar conciencia sobre estas limitaciones y, al mismo tiempo, alentar la adopción de alternativas más sólidas, como claves de acceso o autenticación multifactor , para reducir la dependencia general de las contraseñas tradicionales”.
