Este contenido presenta el caso de Bojta Lepenye, un joven creador que dedicó cuatro años de su vida (desde los 14 hasta los 18 años) a dominar el cracking de contraseñas offline utilizando Hashcat, la herramienta más completa y capaz para este propósito según su experiencia. El proyecto culminó en la publicación de un libro que busca llenar un vacío en la literatura existente sobre seguridad de contraseñas.
Hashcat es un programa especializado en recoverable contraseñas mediante ataques de fuerza bruta y diccionarios. A diferencia del cracking online, el método offline permite intentar millones de combinaciones sin restricciones temporales, ya que se trabaja directamente sobre archivos de hash obtenidos previamente. El libro aborda temas fundamentales como los algoritmos de hash de contraseñas (Argon2, bcrypt, SHA-256), las propiedades de seguridad de las funciones de hash, técnicas avanzadas de cracking, análisis de contraseñas y optimización de ataques. Un capítulo destacado menciona la introducción del soporte GPU para Argon2 y otros algoritmos memory-hard, que cambió significativamente los flujos de trabajo de cracking.
La motivación inicial del autor provino de una prueba de penetración ética realizada en su escuela con autorización completa. Durante su investigación, descubrió que no existía una fuente única y exhaustiva que explicara todo lo necesario sobre cracking offline: foros, artículos académicos, videos y blogs estaban dispersos, lo que dificultaba el aprendizaje estructurado.
Este libro está orientado tanto a principiantes como a profesionales experimentados en ciberseguridad que buscan profundizar en auditoría de contraseñas. También es útil para administradores de sistemas que desean entender cómo proteger mejor sus sistemas, evaluando la fortaleza de los hash almacenados.
Como consideración importante, el cracking de contraseñas debe realizarse únicamente con autorización legal. Aunque la herramienta tiene propósitos legítimos de auditoría y pentesting, su uso malicioso constituye un delito penal. Las alternativas incluyen gestores de contraseñas seguros y autenticación multifactor.