Usar la inteligencia artificial para generar contraseñas es mala idea. Es probable que esa contraseña ya esté en manos de un atacante, listo para usarla en un ataque de diccionario, que consiste en recorrer automáticamente una lista de contraseñas probables hasta dar con la correcta, sin necesidad de probar todas las combinaciones posibles.

La empresa de ciberseguridad Irregular probó ChatGPT, Claude y Gemini y concluyó que las contraseñas que generan son "altamente predecibles" y no verdaderamente aleatorias. En las pruebas con Claude, 50 prompts produjeron solo 23 contraseñas únicas; una cadena apareció 10 veces y muchas otras compartían la misma estructura. Esto representa un problema real. Tradicionalmente, los atacantes construyen o descargan listas de palabras compuestas por contraseñas comunes, filtraciones reales y variantes con patrones (palabras seguidas de números y símbolos) para usarlas en sus ataques. Añadir a esas listas las contraseñas típicas de los chatbots de IA requiere un esfuerzo mínimo.

El motivo de fondo es conceptual: los modelos de lenguaje están entrenados para predecir lo que viene a continuación basándose en lo que ya conocen. Son buenos anticipando patrones, no inventando algo completamente nuevo. Como señalan los investigadores de Irregular: "los LLMs funcionan prediciendo el token más probable, que es exactamente lo contrario de lo que requiere la generación segura de contraseñas: aleatoriedad uniforme e impredecible".

Los gestores de contraseñas abordan este problema de manera diferente: utilizan generadores de números aleatorios criptográficos que incorporan entropía del mundo real, en lugar de la generación de texto basada en patrones propia de los LLMs. En otras palabras, un buen gestor de contraseñas no "inventa" tu contraseña como lo hace una IA; solicita bits aleatorios criptográficos al sistema operativo y los convierte directamente en caracteres, sin ningún patrón oculto que los atacantes puedan aprender. Un sitio web puede decirte que una contraseña generada por IA es fuerte, pero el mismo razonamiento que desaconseja reutilizar contraseñas aplica aquí: ¿de qué sirve una contraseña robusta si los cibercriminales ya la tienen? Si ya usaste una IA para generar alguna contraseña, considera cambiarla y activa la autenticación multifactor (2FA) para reforzar la seguridad de esa cuenta.

Fuente: Malwarebytes Blog, Pieter Arntz, 19 de febrero de 2026