Los asistentes basados en modelos de lenguaje pueden crear contraseñas que aparentan ser seguras, pero a menudo esconden regularidades que las hacen vulnerables. Saber distinguir entre “parece aleatoria” y “es realmente aleatoria” puede marcar la diferencia entre una cuenta a salvo o comprometida.
Qué pasa realmente
Los grandes modelos no generan caracteres al azar: buscan secuencias plausibles según lo que aprendieron. Cuando se les pide una contraseña, suelen aplicar atajos aprendidos —por ejemplo, colocar números Esos hábitos reducen la entropía efectiva de la contraseña y facilitan ataques dirigidos.
Una cadena de 16 caracteres creada por un modelo de lenguaje podría ofrecer solo 20–27 bits de entropía práctica, muy lejos de los ~98–120 bits que aporta una cadena verdaderamente aleatoria.
Patrones emergentes y su impacto
Si pides varias contraseñas, notarás variaciones del mismo esquema en lugar de combinaciones imprevisibles. Un atacante puede explotar esa previsibilidad para priorizar intentos y acelerar una ruptura por fuerza bruta basada en probabilidades reales, no en longitud o variedad superficial de caracteres.
Por qué los comprobadores comunes fallan
Los medidores públicos tienden a valorar la complejidad superficial —mayúsculas, minúsculas, números, símbolos— sin evaluar la probabilidad estadística de la secuencia. De ese modo, contraseñas con patrones aprendidos por modelos obtienen puntuaciones altas y generan una falsa sensación de seguridad.
Riesgos adicionales: exposición y reutilización
Otra amenaza real proviene de la práctica de insertar credenciales generadas por IA en documentación, ejemplos de código o repositorios.
Eso facilita su indexación y descubrimiento por atacantes. Además, la reutilización de contraseñas multiplica el daño cuando una sola credencial se filtra.
Qué hacer: recomendaciones prácticas
– No pidas ni almacenes contraseñas en chats con asistentes de lenguaje. – Usa generadores que empleen aleatoriedad criptográfica (CSPRNG) para crear claves y frases de paso. – Confía en gestores de contraseñas reconocidos y APIs de claves que ofrezcan entropía comprobable, rotación automática y auditoría. – Activa autenticación multifactor en cuentas sensibles.
– Cambia cualquier credencial que se haya creado con ayuda de IA. – Audita el código, scripts y documentación para localizar y rotar secretos expuestos. – Incorpora análisis de entropía basado en probabilidades (no solo reglas superficiales) para detectar patrones aprendidos por modelos.
Perspectiva empresarial y ESG
La seguridad digital es un componente de la resiliencia empresarial: fallos en controles criptográficos afectan la confianza de clientes e inversores y generan riesgos reputacionales y financieros. Exigir CSPRNG, gestión centralizada de secretos y formación continua no es solo buena práctica técnica; también protege el valor de la empresa y puede convertirse en una ventaja competitiva.
Hoja de ruta rápida (implementación inmediata)
1. Inventario: localiza credenciales en repositorios, documentación y pipelines. 2. Rotación: cambia todas las contraseñas creadas por IA y cualquier secreto expuesto. 3. Sustitución: reemplaza generadores improvisados por soluciones CSPRNG y gestores certificados. 4. Controles: añade análisis de entropía probabilística y reglas de bloqueo para patrones predecibles. 5. Formación: capacita a desarrolladores y equipos para evitar pegar contraseñas en chats o ejemplos públicos. 6. Supervisión: programa auditorías periódicas y revisiones de secretos.
Conclusión práctica
Los asistentes de lenguaje son herramientas útiles, pero no deben usarse para generar credenciales. Adoptando generadores criptográficos, gestores fiables, MFA y revisiones continuas, minimizas exposición y conviertes la seguridad en una fortaleza real, no en una ilusión.
