La batalla por la seguridad: cómo prepararse eficazmente para la era de la computación post-cuántica

Uno de los mayores temores asociados con la computación cuántica es su capacidad para romper fácilmente los algoritmos de cifrado modernos. Incluso los estándares criptográficos más sólidos, que han protegido los datos durante décadas, podrían quedar obsoletos en un instante, lo que preocupa profundamente a los especialistas en seguridad.

Aunque las empresas no deben alarmarse aún por las tecnologías cuánticas, es probable que falten entre cinco y diez años para que el escenario de ataques descrito se haga realidad. Considerando los riesgos potenciales, el presidente de los Estados Unidos, Joe Biden, ya firmó dos directivas sobre computación cuántica en 2022 , señalando que ha llegado el momento de entender cómo manejar esta tecnología.

Las directivas presidenciales instaron a las organizaciones del sector a desarrollar estándares criptográficos resistentes a la computación cuántica, una tarea cuyos resultados el Instituto Nacional de Estándares y Tecnología (NIST) presentó en agosto de 2024 tras varios años de esfuerzos. Ahora, las agencias federales comienzan a prepararse activamente para adoptar los futuros estándares.

«La culminación del trabajo realizado por el NIST es el disparo de salida para la transición hacia la criptografía post-cuántica (PQC)», declaró Colin Soutar, director general de Deloitte, una corporación internacional de auditoría y consultoría.

Preocupaciones sobre la seguridad cuántica

La principal inquietud relacionada con la computación cuántica radica en cuán fácilmente podrá romper algoritmos de cifrado de transmisión de datos. Por ejemplo, el algoritmo RSA, basado en la factorización de números enteros y considerado seguro en computadoras clásicas, podría ser vulnerado rápidamente por computadoras cuánticas.

Los atacantes son conscientes de este problema y ya han comenzado a realizar lo que se conoce como "data scraping", recolectando datos cifrados con la esperanza de que sean útiles en el futuro. Como almacenar datos se ha vuelto barato, los atacantes recogen información cifrada ahora para romperla cuando la computación cuántica esté más desarrollada.

La computación post-cuántica también pone de manifiesto un problema persistente: los sistemas y dispositivos obsoletos, explicó John France, CISO del Consorcio Internacional de Certificación de Seguridad de Sistemas de Información (ISC2).

Cómo prepararse para la seguridad PQC

Las organizaciones deben anticipar que la transición completa hacia la criptografía post-cuántica llevará varios años. Esto se debe al gran número de servicios que necesitan ser actualizados y a la complejidad inherente a cada uno, además de la dependencia en la implementación de PQC por parte de terceros en sus sistemas para garantizar la seguridad de toda la cadena de suministro.

Para prepararse para la migración, ahora que el PQC está estandarizado, las empresas deberían considerar los siguientes pasos:

1. Inventario y clasificación de datos

Es esencial realizar un análisis de la información corporativa para determinar cuál se considera confidencial. Esto incluye identificar qué datos posee la empresa, clasificarlos y evaluar cuáles requieren protección criptográfica.

Los datos que merecen especial atención incluyen secretos corporativos o comerciales y otra información crítica para el negocio. Las empresas deben tomar medidas para proteger estos datos ahora y en el futuro.

2. Comprensión de riesgos futuros

Después del inventario, las empresas deben evaluar cómo protegerán la información vulnerable frente a amenazas emergentes. Esto incluye analizar sus vulnerabilidades actuales y cuánto dependen de criptografía incrustada en herramientas de terceros o implementaciones propietarias.

La comprensión de los riesgos permite planificar la adopción de PQC de manera más eficiente. Además, se recomienda designar a un responsable de liderar la migración y comunicar su importancia a los ejecutivos.

3. Desarrollo de estrategias para mitigar riesgos

Tras identificar riesgos, el siguiente paso es implementar estrategias para reducirlos y formar un equipo especializado en la gestión de estos procesos. Este equipo debería encargarse de las políticas de seguridad, planes de respuesta a incidentes y recuperación empresarial.

Se recomienda analizar si los datos críticos actuales requieren niveles adicionales de cifrado para protegerlos. Para ello, NIST sugiere emplear algoritmos como AES-192 o AES-256 para el almacenamiento seguro de datos.

Los datos en tránsito siguen siendo vulnerables, lo que exige la sustitución de algoritmos asimétricos por estándares PQC, promoviendo una "flexibilidad criptográfica".

Opciones de implementación de PQC

En agosto de 2024, el NIST seleccionó tres algoritmos PQC:

• Kyber : criptografía basada en rejillas para cifrado y generación de claves.
• Dilithium : firma digital basada en rejillas.
• SPHINCS+ : firma digital basada en funciones hash.

El NIST continúa evaluando otros algoritmos, como Falcon, para garantizar que existan alternativas seguras.

Conclusión

La era de la computación cuántica marca no solo un avance tecnológico, sino un cambio fundamental en el paradigma de la seguridad de la información. Las organizaciones de todos los tamaños y sectores están al borde de una nueva realidad, donde los métodos tradicionales de protección de datos podrían quedar inservibles ante la potencia de los algoritmos cuánticos.

Prepararse para este futuro no es solo una tarea técnica, sino un imperativo estratégico. Las empresas que actúen ahora estarán sentando las bases de su resiliencia y competitividad a largo plazo. Realizar un inventario de datos, evaluar riesgos y desarrollar estrategias para la transición hacia la criptografía post-cuántica son pasos que requieren tiempo, recursos y, sobre todo, visión por parte de la dirección.

Es importante entender que la transición hacia sistemas resistentes a la computación cuántica no es un evento puntual, sino un proceso continuo. A medida que las tecnologías cuánticas evolucionen, surgirán nuevas amenazas y soluciones. Por lo tanto, la "flexibilidad criptográfica" será una cualidad esencial para adaptarse a los estándares y requisitos de seguridad en constante cambio.