Demostrar el uso excesivo e inadecuado de datos personales en las contraseñas. Con este objetivo el equipo técnico de Sofistic, la unidad de ciberseguridad de Cuatroochenta, ha desarrollado una herramienta que permite comprobar si la información personal publicada en las redes sociales supone un riesgo para la ciberseguridad. Esa primera idea que rondaba por la cabeza de los analistas de seguridad, se transformó en AIPassYou. Se trata de una solución open source, que genera un diccionario de contraseñas a partir de los datos y palabras clave extraídas de los perfiles públicos de las redes sociales.
«La herramienta nos proporciona información muy precisa, por lo que consigue predecir en un 40% las credenciales de los usuarios.»
El pasado mes de agosto el CIO de Cuatroochenta, Ángel López, presentó e hizo una demostración de esta solución en la Black Hat USA 2024 de las Vegas, la conferencia técnica de ciberseguridad más importante del mundo. Allí mostró cómo esta herramienta de inteligencia de código abierto (OSINT) es capaz de predecir las contraseñas de los usuarios, a partir de datos personales que aparecen publicados en sus perfiles de redes sociales.
La solución no solo se fija en los datos personales, también en gustos o aficiones que aparecen asociadas en esos perfiles. En definitiva, esta solución permite certificar la debilidad de muchas de las contraseñas que se están utilizando. Muchos usuarios utilizan datos personales en sus claves, como nombres propios, poblaciones o fechas y esos datos pueden encontrarse fácilmente en internet, sin que los usuarios sean conscientes de los riesgos que acarrea. Además, lo más preocupante es que este tipo de tecnología, basada en los modelos de procesamiento del lenguaje puede ser utilizadas por los ciberdelincuentes, abriéndoles la puerta y el acceso a muchos servicios.
¿Cómo funciona AIPassYou?
Extrae información pública del perfil de redes sociales.
Identifica palabras clave y asociadas con la ayuda de la IA.
Permite introducir reglas y requisitos.
Genera un listado de posibles contraseñas.
Comprueba con datos filtrados.
Resultado: 40% de acierto.
La herramienta parte de la información que los usuarios publican en sus perfiles. Para ello se recopilan todos los posts publicados en una red social. A partir de esa información y, con la ayuda de sistemas de inteligencia artificial como ChatGPT, se identifican las palabras clave asociadas a ese usuario o usuaria. Se fijan unas reglas de permutación como, por ejemplo, que aparezcan caracteres especiales, sustituya las vocales por arroba o incluya un rango de posibles fechas o números.
Seguidamente, el sistema genera un diccionario de contraseñas, es decir, un listado de posibles claves. Es capaz de crear entre un millón y 10 millones de passwords. Para verificar la efectividad de la herramienta, se probó con cuentas filtradas en violaciones de datos públicas. De este modo, se comprobó como en el 40% de las cuentas, el sistema adivina las contraseñas utilizadas correctamente. Una tasa muy alta de éxito, si se compara con el 10% de acierto que tienen otras herramientas referentes en hacking ético como rocktyou.txt, que incluso cuenta con un mayor número de palabras clave.
Casos de uso
Este tipo de soluciones son muy útiles para los analistas de seguridad que se encargan de realizar auditorías de seguridad o pentest, es decir, ataques de fuerza bruta contra una cuenta o sistema a partir de combinaciones de contraseñas. Imaginemos que hay que comprobar la seguridad de una página web. Esta herramienta ayudaría a predecir las credenciales de inicio de sesión para intentar acceder al sistema o servidor y lanzar un ataque. Es importante tener en cuenta que estos ataques son simulaciones que forman parte de las pruebas de seguridad que se realizan a organizaciones, para detectar vulnerabilidades y aflorar fallos antes de que lo hagan los ciberdelincuentes.
«Además de tener una herramienta valiosa de pentest, esta solución nos permite alertar de la necesidad de utilizar contraseñas robustas y concienciar a la población sobre el uso de datos personales en las credenciales.»
