¿Crees que tu contraseña es segura? Este es el tiempo que un hacker tarda en descubrirla, según su complejidad

Una de las condenas de la vida tecnológica es el uso de contraseñas. Necesarias, pero un verdadero engorro cuando se acumulan credenciales de productos y plataformas en Internet. Un informe de NordPass, gestor de contraseñas desarrollado por el equipo de NordVPN, de 2023 estima que una persona gestiona de media 100 contraseñas distintas. Tener que crearlas y que cumplan con los requisitos (número de caracteres, símbolos y otros) de cada sitio web requiere un esfuerzo considerable (a menos que se use un software de gestión de contraseñas) que pocos realizan, pero hay una buena razón para que tenga que ser así. Y es que, a mayor complejidad, más tiempo le llevará a un hacker descifrarla.

¿Cuánto? Eso nos lo aclara la firma de ciberseguridad Hive Systems, que ha publicado la tabla de contraseñas que actualiza cada año desde 2020 y que muestra la velocidad con la que un hacker puede descifrar una contraseña mediante ataques de fuerza bruta, según su complejidad.

Ataque de fuerza bruta con 12 RTX 5090 de Nvidia

Un ataque de fuerza bruta es una técnica utilizada por los ciberdelincuentes para descifrar contraseñas, claves o información cifrada mediante la prueba de todas las combinaciones posibles hasta encontrar la correcta, algo que se hace de forma automatizada mediante software.

En el análisis, Hive Systems establece la fortaleza de una contraseña cifrada (hashed) frente a un intento de ataque, considerando la longitud, la complejidad, el algoritmo de cifrado utilizado por la víctima y el hardware del atacante. Para el nuevo informe, el ‘atacante’ contaba a su disposición con 12 GPU RTX 5090, la más potente de Nvidia para el consumidor tecnológico.

La tabla de contraseñas de 2025

En 2025, cualquier contraseña de solo 4 caracteres, independientemente de lo que contenga, puede ser descifrada al instante en este escenario. Una de 5 caracteres que incluya números, letras mayúsculas y minúsculas podría ser descubierta por un hacker en solo 2 horas. Sin embargo, una contraseña de 18 caracteres que use números, símbolos, letras mayúsculas y minúsculas tardaría 463 quintillones de años en ser descifrada.

Si nos vamos al estándar más comúnmente solicitado en Internet (8 caracteres que incluyan números, letras con mayúsculas y minúsculas y símbolos), el hacker tardaría 164 años.

La tabla se basa en la premisa de que el hacker trabaja en una situación de ‘caja negra’, es decir, partiendo desde cero para intentar descifrar la contraseña. Según Hive Systems, la mayoría de los hackers priorizan primero cadenas de caracteres comunes y contraseñas previamente filtradas, mediante ataques de diccionario, hashes robados o las llamadas tablas arcoíris.

Estas son bases de datos que contienen millones de combinaciones de contraseñas y sus respectivos valores hash. Cuando una contraseña se guarda en un sistema, no se almacena en texto plano, sino como un valor cifrado generado por una función hash (usando cifrado SHA-1 o MD5). Este valor es irreversible: no se puede obtener la contraseña original directamente desde el hash.

Sin embargo, si un atacante tiene acceso a una base de datos de contraseñas hash, puede utilizar una tabla arcoíris para comparar esos valores con millones de hashes ya conocidos, sin necesidad de calcularlos en tiempo real. Si encuentra una coincidencia, obtiene la contraseña original asociada a ese hash.

Si tu contraseña ha sido parte de una filtración previa o contiene palabras que aparecen en un diccionario, un hacker podría descifrarla al instante, sin importar cuántos caracteres, símbolos o números incluya, explica Hive Systems. Cabe señalar que las estimaciones de la tabla asumen que la contraseña no ha sido filtrada anteriormente.