Cifrado cuántico, un futuro a planificar desde hoy

Las organizaciones pronto necesitarán hacer la transición al cifrado cuántico de seguridad para hacer frente a las nuevas ciberamenazas.

Por Michael Colina | Original de IDGN

 

Los expertos en seguridad y los científicos predicen que las computadoras cuánticas algún día podrán descifrar los métodos de encriptación comúnmente utilizados. 

Esto permitirá que: 

• El correo electrónico
• La banca segura
• Las criptomonedas 
• Y que los sistemas de comunicaciones sean vulnerables a importantes amenazas de ciberseguridad.  

Por lo tanto, pronto se requerirá que las organizaciones, los proveedores de tecnología y los estándares de Internet hagan la transición al cifrado cuántico seguro.  

En este contexto, la OTAN ha comenzado a probar soluciones cuánticas seguras para investigar la viabilidad y la practicidad de dicha tecnología para implementaciones en el mundo real, mientras que el Instituto Nacional de Estándares y Tecnología (NIST) lanzó una competencia para identificar y estandarizar algoritmos de cifrado cuánticos seguros.

Amenazas significativas planteadas por la computación cuántica

Las amenazas potenciales que plantea un futuro cuántico son considerables, suponiendo que las computadoras cuánticas alcancen su potencial estimado.  

“La principal amenaza es el cifrado de clave pública, que se basa en ciertas funciones matemáticas unidireccionales: fáciles de calcular en un sentido, pero muy difíciles de resolver en el otro sentido”, señala el experto en seguridad cibernética y profesor invitado del Departamento de Ciencias de la Computación de la Universidad de Surrey, Alan Woodward. 

El especialista recuerda que esto es posible gracias a un algoritmo publicado por primera vez por Peter Shor.

“Desde entonces, el algoritmo de Shor se ha generalizado y se ha demostrado que se aplica a cualquiera de los problemas matemáticos conocidos como problemas de subconjuntos ocultos”, explicó.

Con esto está de acuerdo  Andersen Cheng, director ejecutivo de la empresa de tecnología con sede en el Reino Unido, Post-quantum, empresa cuya VPN híbrida fue utilizada con éxito por el Centro de Seguridad Cibernética de la OTAN para probar los flujos de comunicación post-cuánticos seguros,  

Cheng agrega que las computadoras cuánticas son una “mega amenaza”, por lo que las organizaciones y  los equipos de ciberseguridad deben prestar atención.

“Se ha demostrado teóricamente que, a medida que se desarrollen las computadoras cuánticas, podrán romper los estándares de cifrado actuales (RSA/Curva elíptica), los cuales protegen prácticamente todos los datos que fluyen a través de las redes”, explicó Andersen Cheng.

Cheng subraya que esto representa una amenaza existencial para el comercio digital, las comunicaciones seguras y el acceso remoto. 

“Cuando llegue el día en que las computadoras cuánticas maduren hasta el punto en que sean más poderosas que las computadoras clásicas (a menudo denominadas Y2Q), los datos de todos estarán en riesgo de robo y expoliación, con consecuencias potencialmente nefastas e inimaginables. 

Piense en: 

• El apagado de redes eléctricas enteras  
• Y el vaciado de billeteras bitcoin

“Incluso, antes de que llegue Y2Q, se sabe que algunos malos actores ya están recolectando datos para  descifrarlos más tarde cuando la computación cuántica haya avanzado más”, afirmó.

Clave de cifrado de seguridad para hacer frente a las amenazas cuánticas

El cifrado de seguridad cuántica es clave para abordar las amenazas de seguridad cibernética basadas en computación cuántica. 

Woodward predice que, eventualmente, surgirá un candidato NIST como el nuevo estándar utilizado para proteger prácticamente todas las comunicaciones que fluyen a través de Internet, incluidos los navegadores que usan TLS.  

“Google ya ha probado experimentos con esto usando en Chrome un esquema llamado New Hope”, dice.

El propio algoritmo de cifrado de Post-Quantum, NTS-KEM (ahora conocido como Classic McEliece), es el único finalista que queda en la competencia NIST basada en código. 

“Muchos han esperado que surgiera el estándar del NIST antes de tomar medidas sobre el cifrado cuántico, pero la realidad ahora es que esto podría estar más cerca de lo que la gente piensa, y la última indicación es que podría ser en el próximo mes”, señala Cheng.  

Muy pronto, las empresas deberán comenzar a actualizar su infraestructura criptográfica para integrar estos nuevos algoritmos, lo que, en su opinión, podría llevar más de una década. 

“Brian LaMacchia de Microsoft, uno de los criptógrafos más respetados del mundo, ha resumido sucintamente que la migración cuántica será un desafío mucho mayor que las actualizaciones anteriores de Windows”.

Avanzando en la carrera del cifrado cuántico seguro

A la espera de la decisión del NIST sobre qué algoritmos se convertirán en el nuevo estándar, hay cosas que las organizaciones pueden y deben hacer para salir adelante.  

Para Woodward, un buen punto de partida es comprender qué datos tienen la vida más larga y, si es necesario, buscar asesoramiento sobre cómo esto podría estar en riesgo en una fecha futura.

Cheng se hace eco de sentimientos similares y agrega que, si las empresas tienen dificultades para saber por dónde empezar, deberían centrarse en la identidad. 

“Puede asegurar todo su cifrado pero, si alguien puede acceder a su sistema de identidad, entonces no importa qué más haga. Sus sistemas pensarán que es la persona adecuada, por lo que pueden obtener acceso “legítimo” a sus sistemas e infraestructura”, precisó.

Cheng aconseja configurar la migración Y2Q como un proyecto personalizado y darle la potencia de fuego que necesita ya que, como cualquier gran programa de TI, migrar a un mundo poscuántico requerirá un equipo y recursos dedicados para garantizar tanto el éxito como una transición sin problemas.  

Considera que este equipo deberá hacer un balance de dónde se implementa la criptografía hoy en día en toda la organización y trazar una ruta de migración que priorice los activos de alto valor, al mismo tiempo que identifica cualquier impacto esperado en los sistemas operativos.  

“También deberá asegurar contar a bordo con las habilidades necesarias para ejecutar la migración cuántica”. A partir de ahí, las empresas deben adoptar un enfoque “cripto-ágil” al pensar en cualquier revisión de la infraestructura.  

“Practicar la criptoagilidad significa que las organizaciones usan soluciones que mantienen la criptografía clásica probada que usamos hoy en día junto con uno o más algoritmos poscuánticos, lo cual ofrece una mayor seguridad contra los ataques tradicionales y las amenazas futuras”, concluyó Cheng.