El auge de los modelos de lenguaje grandes (LLMs) ha traído consigo nuevas formas de automatizar tareas, pero también ha revelado riesgos inesperados, especialmente en lo que respecta a la seguridad. Este artículo de Irregular.com advierte sobre el uso de LLMs para generar contraseñas, una práctica que, aunque aparentemente segura, resulta ser fundamentalmente insegura.
¿Por qué es importante? La generación de contraseñas seguras es un aspecto crucial de la ciberseguridad. Tradicionalmente, se utilizan generadores de contraseñas basados en CSPRNGs (Generadores de Números Pseudoaleatorios Criptográficamente Seguros), que producen secuencias de caracteres impredecibles y distribuidas uniformemente. Los LLMs, por el contrario, están diseñados para predecir tokens (unidades de texto), lo que implica que su salida no es aleatoria ni uniforme, sino influenciada por patrones aprendidos durante el entrenamiento. Esto los hace inherentemente inadecuados para generar contraseñas robustas.
¿Cómo funciona el problema? Los LLMs, como GPT, Claude y Gemini, al generar contraseñas, no están creando secuencias aleatorias. Están iterativamente prediciendo el siguiente token basándose en su entrenamiento previo. Esto resulta en contraseñas que, aunque puedan parecer complejas a simple vista (incluyendo mayúsculas, minúsculas, números y símbolos), exhiben patrones predecibles. Los investigadores de Irregular.com encontraron que las contraseñas generadas por estos modelos a menudo comienzan con una letra específica, siguen un patrón de caracteres limitado y, lo más preocupante, se repiten con frecuencia. En un conjunto de 50 contraseñas generadas por Claude Opus 4.6, se encontraron patrones claros y una repetición significativa de contraseñas, lo que reduce drásticamente su entropía real (una medida de la impredecibilidad). Incluso con una apariencia de alta entropía (calculada inicialmente por herramientas como KeePass), el análisis reveló una entropía mucho menor y una alta probabilidad de que una contraseña se repita.
¿Para quién es relevante? Este problema afecta a varios grupos: usuarios finales que confían en LLMs para generar contraseñas, desarrolladores que utilizan agentes de codificación que pueden generar contraseñas de forma automática (a menudo sin revisión), y laboratorios de IA que deben asegurar que sus modelos no introduzcan vulnerabilidades de seguridad. La creciente popularidad de las herramientas de “vibe-coding” (donde los desarrolladores confían en agentes de IA para generar código sin una revisión exhaustiva) agrava el problema, ya que las contraseñas generadas por LLMs pueden pasar desapercibidas.
Consideraciones importantes: Si bien los LLMs pueden generar contraseñas que parecen fuertes, su falta de aleatoriedad real las hace vulnerables a ataques de fuerza bruta y otros métodos de descifrado. La alternativa segura es utilizar generadores de contraseñas tradicionales basados en CSPRNGs, como los que se encuentran en los administradores de contraseñas. Además, es crucial que los desarrolladores revisen el código generado por los agentes de IA y que los laboratorios de IA prioricen la seguridad en el diseño de sus modelos.