La computación cuántica, hasta hace no tanto un concepto teórico, se está convirtiendo rápidamente en una realidad. Las potentes computadoras cuánticas tienen potencial para resolver problemas inasequibles a los ordenadores tradicionales, haciendo uso de la mecánica cuántica para abordar retos que sobrepasan la capacidad de la tecnología actual.
En su informe anual de 2024, el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido acierta al apuntar la necesidad de que las organizaciones empiecen a prepararse desde ya para las posibilidades transformadoras —y potencialmente disruptivas— de la era cuántica. ¿Cuáles son las implicaciones para los responsables de seguridad?
La revolución que podrían suponer los ordenadores cuánticos, si son lo suficientemente potentes, plantea un grave riesgo para los sistemas criptográficos que protegen nuestras comunicaciones a través de internet y nuestros datos sensibles. En malas manos, la computación cuántica podría comprometer la privacidad y la seguridad de las comunicaciones digitales en todos los sectores.
De hecho, los actores maliciosos ya están acumulando datos cifrados, a la espera de que la tecnología cuántica madure lo suficiente. Un ordenador cuántico lo bastante potente podría desencriptar los secretos que contienen esos datos, poniendo en peligro el fluido vital de las organizaciones: la propiedad intelectual, los secretos comerciales y las comunicaciones confidenciales.
La solución no es otra que la criptografía postcuántica (PQC), una serie de sistemas criptográficos alternativos diseñados para resistir los ataques cuánticos. En Google, empezamos a hacer pruebas de PQC en 2016 y, desde 2022, la utilizamos para proteger las comunicaciones internas.
El verano pasado, el Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST) publicó unas normas criptográficas a prueba de computación cuántica y en noviembre ya sugirió un calendario de transición, con plazos para retirar algunos de los actuales sistemas de criptografía asimétrica de aquí a 2030 (y como muy tarde en 2035).
Cómo abordar el riesgo cuántico
Aunque las amenazas cuánticas no parezcan algo inminente, esperamos nueva normativa en varios sectores, por lo que tampoco hay tiempo que perder.
Cualquiera que quiera reducir los riesgos, mejorar la resiliencia y garantizar que su organización entre con buen pie en la era cuántica, debería dar los siguientes pasos.
Desarrollar un plan claro de seguridad a prueba de ataques cuánticos
La transición a la PQC no es algo que haya que hacer de golpe. A la vista de experiencias pasadas, las migraciones criptográficas pueden llevar años. Como primer paso, los CISO, CIO y CTO deben colaborar en el desarrollo de una hoja de ruta para implantar una criptografía resistente a ataques cuánticos. Ese plan debe buscar un equilibrio entre costes, riesgos y usabilidad, garantizando a la vez que los nuevos algoritmos se integren sin problemas con los sistemas existentes.
También es muy importante ganar experiencia, para ser capaces de distinguir entre exageraciones y avances reales en computación cuántica. Para mantenerse informados, lo más aconsejable es consultar las buenas prácticas del sector, la investigación científica más reciente y recursos fiables.
Identificar y proteger los datos más sensibles
Lo primero es evaluar cuáles son los datos y sistemas más expuestos a las amenazas cuánticas. Entre ellos están todos los sistemas que utilizan cifrado asimétrico e intercambio de claves, ya que se prestan a ataques del tipo “almacena hoy y descifra más adelante”, los sistemas que utilizan firmas digitales, como la infraestructura PKI, las firmas de software/firmware, los mecanismos de autenticación y algunos otros. El análisis de amenazas cuánticas de Google puede servir de ejemplo para determinar qué cambios deben abordarse en primer lugar.
Anticipar el efecto dominó en el resto del sistema
Adoptar la criptografía postcuántica puede tener efectos en otros sistemas asociados. Por ejemplo, para utilizar firmas criptográficas más grandes puede ser necesario hacer una puesta al día importante en las bases de datos, el software y las aplicaciones. El desafío puede verse como algo parecido al efecto 2000, en el que los cambios estructurales que fueron necesarios para adaptarse a los nuevos formatos de datos tuvieron repercusiones muy amplias. Si estas dependencias se identifican con antelación, las implantaciones serán más ágiles y se evitarán turbulencias.
Aprender de experiencias pasadas
Estudia cómo se abordaron en tu organización retos anteriores relacionados con la criptografía, como la vulnerabilidad Heartbleed en el protocolo TLS o la retirada del uso de SHA1. Entender qué cosas funcionaron bien (y dónde hay margen de mejora) puede ser de ayuda para orientar la adopción de la PQC. Puede ser interesante hacer un ejercicio teórico con los distintos equipos directivos, para simular la complejidad de migrar los sistemas criptográficos y esbozar los pasos necesarios.
Conclusión
No se sabe cuánto tardará en producirse un gran avance cuántico. Quizá estemos hablando de cinco años, de diez o de quince. Sin embargo, es necesario prepararse para ello, sin prisa pero sin pausa. Ahora que el NIST ha publicado nuevas normas sobre PQC, es probable que los reguladores, las administraciones públicas, los clientes y los auditores empiecen a preguntar cuáles son los planes de tu organización al respecto. Actuar de forma temprana es la mejor garantía para una transición suave a una criptografía resistente a la computación cuántica, y para estar por delante de las expectativas.
*Phil Venables es CISO en Google Cloud
