En los últimos años la capacidad de cómputo ha subido a una velocidad vertiginosa: la explosión de la inteligencia artificial ha empujado enormes inversiones en GPUs y aceleradores específicos, y los fabricantes compiten por ofrecer chips cada vez más potentes para entrenar modelos de lenguaje gigante. Frente a ese crecimiento surge una pregunta legítima para los equipos de seguridad: si esa ola de IA se enfría y esas tarjetas quedan infrautilizadas, ¿podrían los atacantes reorientarlas para romper contraseñas? Y, en caso afirmativo, ¿significa eso que las contraseñas están condenadas a desaparecer?
Para abordar esa hipótesis hicimos una comparación práctica entre dos aceleradores de centro de datos y una tarjeta de consumo de alta gama: la Nvidia H200 y la AMD MI300X frente a una GPU de consumo de máxima gama (mencionada en las pruebas como RTX 5090). La prueba fue sencilla: medir la velocidad con la que cada tarjeta puede calcular hashes de contraseñas utilizando Hashcat, la herramienta más extendida para recuperación y auditoría de contraseñas (hashcat.net), y usar ese dato como proxy de su capacidad para probar millones o miles de millones de candidatos por segundo.
Hashcat incorpora un modo benchmark que permite comparar el rendimiento raw de diferentes dispositivos en distintos algoritmos de hash. Elegimos algoritmos que siguen presentes en entornos corporativos: MD5 y NTLM como ejemplos de funciones antiguas y rápidas, bcrypt como representante de funciones diseñadas para ser costosas, y SHA-256 y SHA-512 como familias de hash modernas que aún se encuentran en muchos sistemas. El razonamiento es simple: la eficacia de un ataque por fuerza bruta depende de la cantidad de hashes que la máquina pueda generar y comprobar por segundo.
Los resultados fueron reveladores. En todas las pruebas la tarjeta de consumo superó a los aceleradores de centro de datos en velocidad de generación de hashes. En términos prácticos, la GPU de consumo marcó tasas de hash superiores —en algunos casos casi el doble— frente a la H200 y la MI300X. Si además se compara el coste, la diferencia se vuelve aún más llamativa: las tarjetas de centro de datos pueden costar una fracción muy elevada más que una GPU de consumo, sin que eso se traduzca en una ventaja proporcional a la hora de romper hashes.
Este hallazgo no es completamente sorprendente si se considera cómo se diseñan estas familias de procesadores: los aceleradores de IA están optimizados para cómputos de punto flotante y tamaños de lote y memoria específicos de entrenamiento de modelos, mientras que las rutinas de hashing masivo que usan herramientas como Hashcat aprovechan tipos de operaciones y arquitecturas de memoria que en muchos casos están mejor aprovechadas por las GPUs de consumo. Esa diferencia arquitectónica se traduce en el rendimiento observado.
Un dato histórico ayuda a ponerlo en perspectiva: en 2017 IBM montó un rig con ocho Nvidia GTX 1080 —la GPU de consumo puntera de entonces— que logró tasas de cracking en NTLM comparables a las que alcanzan hoy aceleradores mucho más caros (artículo de IBM). Eso demuestra que no hacen falta chips exóticos para obtener capacidad real para romper contraseñas: hardware de consumo bien ensamblado sigue siendo muy eficiente para esa tarea.
¿Qué implica esto para las defensas de una organización? Primero, que la amenaza real no es necesariamente la llegada de un acelerador de IA a manos de atacantes, sino la existencia de contraseñas débiles y la reutilización de credenciales. Un ataque por fuerza bruta es, al final, un problema de volumen: a mayor velocidad de hashes por segundo, más rápido se exploran combinaciones. En pruebas prácticas, contraseñas cortas y previsibles siguen siendo recuperables en tiempos relativamente cortos con hardware disponible hoy.
Por eso, más que temer a un hipotético reinicio masivo de aceleradores para cracking, conviene centrarse en medidas probadas: incentivar la longitud por encima de la complejidad aparente y adoptar passphrases. Las guías de referencia como el estándar NIST recomiendan priorizar la longitud y permitir frases de contraseña que sean memorables para los usuarios (NIST SP 800-63B), porque una contraseña de 15 caracteres bien elegida multiplica exponencialmente el tiempo necesario para romperla hasta escalas imprácticas incluso con hardware potente.
Otro riesgo mayor que el brute force puro es el de las credenciales ya expuestas en brechas anteriores y la reutilización de contraseñas. Informes como el Verizon Data Breach Investigations Report muestran que las credenciales robadas participan en una fracción sustancial de intrusiones. Si un atacante vincula credenciales filtradas a una persona concreta, es sencillo intentar esas mismas combinaciones contra sistemas corporativos; existen mercados y actores especializados en vender y usar ese tipo de accesos iniciales.
En la práctica, eso hace que la detección temprana y la prevención de uso de contraseñas comprometidas sea tan importante como la exigencia de longitud. Herramientas que comparan las contraseñas en uso con bases de datos de credenciales filtradas y que obligan a los usuarios a cambiar si su contraseña aparece en esas listas acaban bloqueando vías de ataque muy frecuentes y eficaces.
Por supuesto, las contraseñas no deben ser la única barrera. La adopción generalizada de la autenticación multifactor (MFA) reduce dramáticamente el impacto de una contraseña comprometida, porque añade un factor adicional que el atacante no tendrá simplemente por conocer la clave. Implementaciones que extienden MFA a inicios de sesión remotos, RDP y VPN cierran vectores que siguen siendo explotados habitualmente.
Para organizaciones que buscan soluciones concretas, existen productos que abordan tanto la política de contraseñas como la protección contra credenciales comprometidas y la integración con controles de acceso. Un ejemplo es Specops Password Policy, que permite imponer reglas más granularmente que las de Active Directory y ofrecer retroalimentación a los usuarios para crear contraseñas robustas; su módulo de protección contra contraseñas filtradas compara continuamente las cuentas con grandes repositorios de contraseñas comprometidas (Specops Password Policy). Complementos como Specops Secure Access añaden capas de protección para accesos remotos (Specops Secure Access).
En resumen, la lección práctica es doble: por un lado, el temor a que aceleradores de IA caros conviertan las contraseñas en obsoletas está, por ahora, exagerado; el hardware de consumo ya ofrece la capacidad que necesitan los atacantes para explotar contraseñas débiles. Por otro lado, la defensa efectiva depende menos de preocuparse por qué GPU podría usar un atacante y más de políticas robustas: contraseñas largas o passphrases, detección de credenciales comprometidas y despliegue de MFA. Esas medidas son las que realmente empujan el coste de un ataque a niveles en los que dejará de ser rentable.
Si su organización aún confía en reglas de complejidad antiguas o en contraseñas cortas, el momento de revisar la estrategia es ahora: reforzar la higiene de credenciales y añadir capas de verificación es lo que de verdad hará que las cuentas sean seguras frente a los recursos computacionales que hoy están (y estarán) disponibles a los atacantes.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...