La potencia de cómputo está creciendo a un ritmo extraordinario. El auge de la IA ha impulsado una inversión masiva en GPUs y 'aceleradores' especializados, con fabricantes creando hardware cada vez más potente para entrenar modelos de lenguaje grandes. Para los profesionales de la ciberseguridad, esto plantea una pregunta interesante. Si la burbuja de la IA se enfría y este hardware termina inactivo, ¿podría ser reutilizado para el crackeo de contraseñas? Y si es así, ¿significa eso que las contraseñas están a punto de quedar obsoletas? Para explorar ese escenario, comparamos dos aceleradores de IA insignia, la **Nvidia H200** y la **AMD MI300X**, con la GPU de consumo de gama alta de **Nvidia**, la **RTX 5090**. El objetivo era simple: ver si una GPU de IA de $30,000 realmente tiene una ventaja al crackear contraseñas. ## Configuración de la prueba El equipo de investigación de **Specops** ha publicado previamente trabajos examinando cuánto tiempo tardan los atacantes en hacer fuerza bruta a contraseñas hasheadas. En pruebas separadas de MD5, bcrypt y SHA-256, medimos qué tan rápido se podía crackear cada algoritmo utilizando el mismo hardware. Para ver cómo las GPUs impactan este proceso, recurrimos a **Hashcat**, una de las herramientas de recuperación de contraseñas más utilizadas. **Hashcat** incluye capacidades de benchmarking que muestran qué tan rápido el hardware diferente puede computar hashes de contraseñas. Esto es importante porque el crackeo de contraseñas es, en última instancia, un juego de números. Cuanto más rápido un sistema puede generar hashes, más rápido puede probar suposiciones de contraseñas hasta encontrar la correcta. Para esta comparación, analizamos los resultados de benchmark de **Hashcat** para cinco algoritmos de hashing encontrados comúnmente: * MD5 * NTLM * bcrypt * SHA-256 * SHA-512 Estos cubren los algoritmos comunes que se encuentran en el **Active Directory** de una organización, desde hashes antiguos y rápidos que son relativamente fáciles de hacer fuerza bruta, hasta algoritmos modernos con criptografía mucho más fuerte. Eso proporciona una base realista para que nuestras tres GPUs de gama alta se enfrenten. Estos productos ocupan ampliamente un nivel de rendimiento similar en sus respectivos mercados, lo que los convierte en puntos de referencia útiles para comparar hardware de IA empresarial con GPUs de consumo. ## Resultados del crackeo de contraseñas con GPU | Algoritmo | Hashrate H200 | Hashrate MI300X | Hashrate RTX 5090 | | --------- | ------------- | --------------- | --------------- | | MD5 | 124.4 GH/s | 164.1 GH/s | 219.5 GH/s | | NTLM | 218.2 GH/s | 268.5 GH/s | 340.1 GH/s | | bcrypt | 375.3 kH/s | 142.3 kH/s | 304.8 kH/s | | SHA-256 | 15092.3 MH/s | 24673.6 MH/s | 27681.6 MH/s | | SHA-512 | 5173.6 MH/s | 8771.4 MH/s | 10014.2 MH/s | Lo que queda inmediatamente claro es que en todos los algoritmos probados, la **RTX 5090** supera a ambos aceleradores de IA en velocidad bruta de generación de hashes. En múltiples funciones, la **RTX 5090** hashea contraseñas a casi el doble de velocidad que la **H200**. La comparación de precio por rendimiento es impactante. Una sola **H200** cuesta al menos diez veces más que una **RTX 5090**, por lo que se podría esperar razonablemente un rendimiento mucho mayor del acelerador de IA en una comparación uno a uno. Ese simplemente no es el caso. A esto se suma que en 2017, **IBM** construyó un sistema de crackeo de contraseñas utilizando ocho **Nvidia GTX 1080s**, la GPU de consumo insignia de la época. Ese sistema logró una tasa de crackeo de hashes NTLM de 334 GH/s. En otras palabras, un rig de GPUs de consumo de nueve años ofrece un rendimiento similar o mejor en el crackeo de contraseñas que los aceleradores de IA insignia actuales. Entonces, al responder la pregunta, '¿es una GPU de $30,000 buena para crackear contraseñas?', la respuesta es clara: no. ## El riesgo real para las organizaciones El crackeo de contraseñas no requiere hardware exótico o especializado. Los crackers profesionales y los atacantes ya tienen acceso a toda la potencia de cómputo que necesitan para hacer fuerza bruta a contraseñas débiles. En nuestras pruebas de SHA-256, una contraseña que usaba números, letras mayúsculas y minúsculas, y símbolos podría ser crackeada en solo 21 horas. Es por eso que aplicar contraseñas más fuertes es esencial, y la defensa más efectiva es la longitud. Una contraseña de 15 caracteres que usa la misma mezcla de tipos de caracteres, hasheada con SHA-256, tardaría alrededor de 167 mil millones de años en ser crackeada, incluso con hardware de GPU potente. En ese punto, la fuerza bruta simplemente no es un ataque realista. El mayor riesgo son las contraseñas que ya han sido expuestas en brechas de datos. Esto a menudo sucede a través de la reutilización de contraseñas. Podrías exigir a los empleados que creen contraseñas largas y complejas de **Active Directory** y las almacenen de forma segura. Pero esa protección desaparece si la misma contraseña se reutiliza en dispositivos personales, sitios web o aplicaciones con controles de seguridad más débiles. Si los atacantes pueden vincular credenciales expuestas a un individuo específico, a menudo es sencillo identificar dónde trabajan e intentar la misma contraseña contra cuentas corporativas. Existe todo un mercado subterráneo de 'initial access brokers' que se especializan precisamente en este tipo de intrusión. Esto resalta la importancia de tener herramientas que puedan detectar contraseñas comprometidas dentro de su organización. Identificar credenciales expuestas tempranamente permite a los equipos de seguridad restablecer cuentas y bloquear atacantes antes de que esas contraseñas se utilicen para obtener acceso. ### Cómo ayuda Specops Herramientas como **Specops Password Policy** ayudan aquí de dos maneras cruciales: * **Gestión granular de políticas de contraseñas:** Nuestra solución permite a los equipos de seguridad implementar políticas de contraseñas detalladas que van mucho más allá de las incluidas en **Active Directory**. Esto incluye soporte para 'passphrases', así como plantillas de cumplimiento listas para usar para garantizar que su organización cumpla con los estándares necesarios. La retroalimentación dinámica guía a los usuarios a crear contraseñas fuertes que recuerdan pero que son difíciles de crackear. * **Escaneo continuo de contraseñas comprometidas:** La función Breached Password Protection escanea continuamente su **Active Directory** contra una base de datos de más de 5 mil millones de contraseñas comprometidas únicas. Mensajes personalizables alertan a los usuarios si su contraseña está comprometida.  En última instancia, las organizaciones no deberían depender de las contraseñas como la única línea de defensa. La autenticación multifactor (MFA) proporciona una barrera adicional que protege las cuentas incluso si una contraseña se recupera eventualmente. **Specops Secure Access** ofrece esa capa adicional de seguridad a las conexiones de Windows Logon, RDP y VPN.  Si usted está en