Hace unos días leí una noticia que fácilmente habrás podido pasar por alto: las nuevas tarjetas gráficas RTX4090 son capaces de descifrar contraseñas de 8 caracteres en menos de una hora.
¿Es esto verdad? ¿Así de fácil?
Lo aprendemos en un hilo 🧵
europapress.es/portaltic/ciberseguridad/noticia-descubren-gpu-geforce-4090-nvidia-capaz-descifrar-contrasena-caracteres-menos-hora-20221019120714.html
ATENCIÓN: En este hilo no vas a encontrar farragosas explicaciones técnicas y, de hecho, caeré en imprecisiones en muchas ocasiones. De lo que se trata es que todo el mundo comprenda cómo funciona y porqué es importante, independientemente de su nivel de conocimiento.
Como viene siendo habitual en prensa, el titular es bastante mas escandaloso que la noticia en sí.
Pero antes de meternos en jarana, y como para muchos esto es un tema inédito, empecemos por el principio: ¿qué es una tarjeta gráfica y para qué vale exactamente?
Una tarjeta gráfica es un componente interno de cualquier chisme con pantalla, y su función es la de convertir un montón de unos y ceros en imagen. Y que esa imagen sea la mejor posible
Muchas veces decimos "tarjeta gráfica" cuando en realidad queremos decir GPU.
Esto de llamarlo "tarjeta gráfica" es una costumbre. Yo diría que viene de cuando las GPU eran... justamente eso: unos tarjetones enormes llenos de chips.
Ésta es una tarjeta Hércules y, en 1984, costaba 499 dólares. Unos 1.425 dólares de ahora.
Vale pero ¿qué son exactamente?
Es un co-procesador. Un componente especializado que aligera la carga del procesador principal (CPU).
Así, mientras en la GPU se "dibujan" gráficos, la CPU puede dedicarse a otros menesteres.
Esta "delegación" hace mas estable el sistema.
Es como un segundo procesador que solo sabe hacer una cosa: calcular gráficos. Pero lo único que hace lo hace muy bien.
A día de hoy, algunas de las más potentes siguen siendo tarjetones, aunque no por razones... digamos técnicas.
xataka.com/componentes/nuevas-rtx-4090-nvidia-gigantescas-resulta-que-no-tenian-que-serlo
¿Recordáis a los "Cazadores de Mitos"? Yo fui un fan recalcitrante.
Ellos ya nos lo explicaron en 2009 de la forma más visual posible.
Es el vídeo de 1:30 minutos más didáctico que he visto en mi vida, merece la pena verlo porque lo resume todo.
Entonces sabemos que tenemos una CPU que se encarga de lo más genérico y una GPU que se encarga de las operaciones con gráficos.
Al estar las GPUs diseñadas para realizar un sólo trabajo, son altamente eficaces. A veces incluso más que la propia CPU
Y aquí empieza el juego
Toda la geometría gráfica que vemos en una pantalla es el resultado de un buen montón de operaciones aritméticas. Sobre todo si hablamos de gráficos 3D.
Esas operaciones se llaman "de coma flotante".
Seguro que habéis oído, aunque sea de pasada, la palabreja mágica: TERAFLOPS.
Pues un FLOPS no es otra cosa que la cantidad de operaciones de coma flotante que una GPU puede hacer por segundo. Es un acrónimo del inglés "floating point operations per second".
Una GPU de ultimísima generación como la RTX4090 del titular de la noticia del primer tweet, puede alcanzar los 100 Teraflops (haciendo alguna trampilla).
Eso es un billón de operaciones por segundo.
Con números: 1.000.000.000.000
Una pasada ¿verdad?
¿Podríamos usar toda esa potencia bruta para algo más que para calcular gráficos?
La respuesta es un rotundo si y, de hecho, se han estado usando GPUs para minería de criptomonedas desde el primer día. Aunque ya no tanto
Un día hablaremos de ello.
hardzone.es/noticias/tarjetas-graficas/mineria-via-gpu-motivos/
Y como pasa como con cualquier cosa, si se puede usar para hacer el bien, también se puede usar para hacer el mal.
Un ataque muy común cuando queremos "romper" la contraseña de una cuenta de correo, por ejemplo, es el llamado "ataque de fuerza bruta".
Consiste en usar una potencia de cálculo desmesurada para ir componiendo y probando UNA A UNA todas las combinaciones posibles de caracteres para formar una contraseña.
Potencia de cálculo desmesurada... ¿dónde podríamos encontrarla? Exacto, en una GPU
Seamos mas específicos: una contraseña que sabemos que es de 8 caracteres de longitud, contiene 75^8 posibilidades
- 75 son los caracteres posibles: números, letras y símbolos
- 8 es la longitud de la contraseña
Eso son 1.001.129.150.390.625 posibles contraseñas.
Pero normalmente no sabemos qué longitud tiene la contraseña que queremos romper, por lo que se nos acumulan las probabilidades.
Supongamos que la contraseña puede contener de 6 a 40 caracteres.
Eso sería 75^6 + 75^7 + 75^8 + ... + 75^40
Una auténtica barbaridad ¿verdad?
Pues bien, la noticia en sí dice que se necesitan 8 GPUs del modelo RTX4090 para descifrar una contraseña que sabemos que es de 8 caracteres. Y lo hace en 48 minutos.
8 GPUs. Y cada una de ellas cuesta unos 2.000€.
¿Veis el problema de dimensionamiento de la noticia?
Evidentemente es un hito que con sólo 8 GPUs de 100 Teraflops cada una, podamos romper una contraseña de 8 caracteres en 48 minutos.
Pero en la vida real existen contramedidas muy extendidas que invalidarían un ataque de este tipo. Y la primera es el precio de esas GPUs.
Es decir: el titular de la noticia es erróneo. Una sola GPU no es capaz de hacer lo que dice. Son necesarias 8 de esas GPUs y 48 minutos para conseguirlo.
Como veis, hay un mundo entre el titular y la realidad.
Entonces ¿qué es lo importante de un hallazgo así?
Para tu día a día, nada (por el momento).
Pero en lo técnico supone un hito que cambiará de aquí a unos años el concepto de seguridad informática, porque ya disponemos de GPUs comerciales con una potencia tal que, combinadas, pueden romper contraseñas en "poco" tiempo.
Saber discernir el calado de una noticia, identificando titulares alarmistas y comprendiendo el alcance de la novedad es digitalización.
Lo venimos comentando desde hace meses: entender como funcionan las cosas nos hace críticos ante "confusiones" como las de esta noticia.
La moraleja de este hilo es la de siempre:
- Utiliza contraseñas fuertes: largas y con números, letras y símbolos.
- No repitas contraseñas.
- Utiliza sistemas de autenticación de doble factor (2FA) si los hubiera.
La seguridad empieza en uno mismo.
La seguridad es un tema muy importante, y el mundo de las GPUs avanza cada vez mas rápido y es muy interesante.
Si te quedan dudas y te animas, te invito a seguir la conversación en mi canal de Telegram.
t.co/FOdwI8fSpB