Especialistas en ciberseguridad y estudios académicos advirtieron que el uso de inteligencia artificial para crear contraseñas puede generar una falsa sensación de protección y exponer a usuarios y empresas a riesgos inesperados.
Herramientas como ChatGPT, Claude y Gemini han popularizado la generación automática de claves robustas. Sin embargo, investigaciones recientes señalan que estos sistemas tienden a producir patrones repetitivos y predecibles, lo que reduce la verdadera entropía criptográfica.
Patrones detectables y repetición de claves
Un estudio publicado en arXiv evaluó la capacidad de grandes modelos de lenguaje (LLM) para generar o predecir contraseñas. Los resultados mostraron limitaciones importantes en tareas que requieren seguridad criptográfica real, reforzando la idea de que estos modelos no están diseñados como generadores aleatorios seguros.
De forma complementaria, una investigación difundida en Journal of Information Security and Applications concluyó que los modelos de lenguaje suelen seguir configuraciones lingüísticas repetitivas. Esto implica que, aunque las claves aparenten complejidad, pueden compartir estructuras similares que facilitan su descifrado.
La firma de ciberseguridad Irregular detectó que, en una muestra de 50 contraseñas generadas por IA, solo 23 eran únicas. Algunas combinaciones se repetían con ligeras variaciones, evidenciando falta de verdadera aleatoriedad. El hallazgo fue verificado de forma independiente por Sky News.
Falsa sensación de seguridad
Uno de los riesgos señalados es que los verificadores de contraseñas en línea suelen evaluar la longitud y mezcla de caracteres, pero no identifican patrones estructurales repetidos. Esto puede llevar a que una clave sea calificada como “extremadamente segura”, cuando en realidad comparte una lógica de construcción similar a miles de otras generadas por el mismo modelo.
Según Dan Lahav, cofundador de Irregular, incluso computadoras antiguas podrían descifrar con relativa rapidez contraseñas creadas mediante modelos de lenguaje si estos patrones son explotados adecuadamente.
El problema también alcanza a desarrolladores que integran claves sugeridas por IA en código de aplicaciones y servicios reales, ampliando el alcance del riesgo.
Recomendaciones de los expertos
Ante este escenario, especialistas recomiendan:
-
Evitar el uso directo de IA para generar contraseñas críticas.
-
Utilizar gestores de contraseñas con generadores criptográficamente seguros.
-
Optar por métodos más robustos como las passkeys (huella digital o reconocimiento facial) cuando estén disponibles.
-
Crear frases largas y memorables sin recurrir a asistentes de IA.
Los expertos coinciden en que la inteligencia artificial es una herramienta poderosa, pero no sustituye a los sistemas diseñados específicamente para generar números aleatorios seguros. En materia de ciberseguridad, la apariencia de complejidad no siempre equivale a verdadera protección.
