Elcomsoft se especializa en la creación de software que puede recuperar contraseñas de los documentos de Adobe. El software es utilizado por las empresas para abrir los documentos después de que los empleados hayan olvidado sus contraseñas, así como por los servicios de las fuerzas de seguridad durante la práctica de sus investigaciones.

Para sus productos Reader 9 y Acrobat 9, Adobe ha implementado la encriptación AES de 256 bits (Advanced Encryption Standard; Estándar de Encriptación Avanzada), lo que significa una mejora en comparación con la encriptación AES de 128 bits utilizada en los anteriores productos Acrobat.

La encriptación original de 128 bits es fuerte, y en algunos casos sería preciso emplear varios años para probar todas las posibles claves con el objeto de recuperar la contraseña, tal y como indica Dmitry Sklyarov, analista de seguridad de información en Elcomsoft.

Sin embargo, Elcomsoft ha indicado que el cambio sobre el algoritmo subyacente para Acrobat 9 hace que resulte hasta 100 veces más sencillo romper una contraseña débil (especialmente una contraseña corta en la que sólo se utilicen letras minúsculas o mayúsculas) en comparación con Acrobat 8. Pese a utilizar una encriptación de 256 bits, el cambio en el algoritmo debilita la seguridad del documento.

Adobe ha reconocido el cambio en el algoritmo de encriptación en su blog de seguridad. La compañía indica que los intentos por fuerza bruta, en los que se prueban millones de combinaciones de contraseñas con la esperanza de desbloquear el documento, pueden acabar dando con la contraseña con mayor rapidez utilizando menos ciclos de procesador.

Los cambios se han realizado para aumentar el rendimiento, tal y como ha indicado adobe. Pero Sklyarov ha indicado que incluso con el algoritmo de encriptación de 128 bits empleado en Acrobat 8, la aplicación respondía con rapidez tanto en las entradas de contraseñas correctas como erróneas.

Más allá del cambio, no existe un modo de mantener los documentos seguros: cuando se define una contraseña, los usuarios deben utilizar una combinación de letras mayúsculas y minúsculas así como otra serie de caracteres especiales, como por ejemplo las comillas, según dice Sklyarov. Si se utilizan caracteres especiales, entonces la contraseña no debe utilizar menos de ocho caracteres. Si sólo se utilizan letras, la contraseña debería tener un mínimo de 10 o 12 caracteres, según Sklyarov.