‘Con la aparición de la computación cuántica la infraestructura debe evolucionar para proteger las claves criptográficas’ (Utimaco)

Cuando se habla de computación cuántica puede parecer que se trata de ciencia ficción, pero la realidad es todo lo contrario, pues en los últimos años esta disciplina ha sumado notables avances y son cada vez más las compañías que se suben al tren del I+D+i en esta materia. De hecho, los investigadores anticipan que el mercado de la criptografía cuántica alcanzará un valor de 291,9 millones de dólares en 2026 a medida que más organizaciones busquen o inviertan para protegerse contra futuras amenazas cuánticas. Pero ¿qué implicaciones tiene esto para la seguridad? De ello hablamos con Nils Gerhardt, Chief Technology Officer for Utimaco.

Este contenido forma parte del tema de portada de Septiembre de la revista IT Digital Security. Si quieres verla completa descárgatela aquí.

Hace unas semanas el NIST aprobó los primeros algoritmos de encriptación resistentes a la computación cuántica. ¿Cómo valora el alcance de esta noticia?

El Instituto Nacional de Estándares y Tecnología (NIST) del Departamento de Comercio de EE.UU. ha anunciado que, tras seis años, ha establecido cuatro algoritmos diferentes que podrán resistir los ordenadores cuánticos que se están desarrollando. Aunque se cree que los cuatro algoritmos identificados por el NIST son seguros desde el punto de vista cuántico, dado que aún no se han desarrollado ordenadores cuánticos a gran escala, existe la posibilidad de que las pruebas en el mundo real demuestren que no lo son. También hay que tener en cuenta que va a haber más fases de evaluación, por lo que algunos de los cuatro pueden ser eliminados o añadidos en la siguiente ronda. Esto supone un reto para los profesionales de la seguridad que se ocupan de la migración a la criptografía resistente a la tecnología cuántica, ya que podrían apostar por migrar a un algoritmo que se demuestre que no es seguro en las pruebas posteriores o en las pruebas con ordenadores cuánticos reales. Por lo tanto, es importante que las organizaciones hagan el cambio para convertirse en "cripto ágiles", es decir, se vuelvan capaces de cambiar los sistemas criptográficos que utilizan cuando sea necesario.

En general, ¿cuáles son los retos que la computación cuántica puede generar en la ciberseguridad?

Los nuevos dispositivos son un atractivo blanco para los ciberataques, lo que se traduce en un mayor riesgo para las organizaciones. Con la aparición de la computación cuántica la infraestructura debe evolucionar para proteger las claves criptográficas, los algoritmos y los protocolos que a su vez protegen la infraestructura. El sector de la ciberseguridad debe dar prioridad al hardware y al software criptográfico para garantizar la existencia de medidas, protecciones y comportamientos actualizados contra amenazas y vulnerabilidades cada vez más innovadoras, ahora y en el futuro.

En cuanto a las empresas, todas tendrán que adaptarse a la seguridad en la era de la computación cuántica. Una vez que los ordenadores cuánticos sean lo suficientemente potentes como para romper el cifrado que se utiliza hoy en día, no sólo se podrán revelar los datos futuros de las empresas, sino también los datos pasados que hayan sido interceptados y almacenados por los atacantes. Los contratos firmados digitalmente podrían reescribirse, y también podría ser posible robar datos hoy y descifrarlos más tarde, cuando la tecnología esté disponible.

Hace tiempo que se plantea el impacto que tendrá la computación cuántica en los métodos de cifrado que se utilizan actualmente. ¿Qué cree que veremos cuando la computación cuántica sea accesible a los ciberdelincuentes? ¿Cómo será posible proteger en el futuro los archivos cifrados con los métodos actuales?

Las empresas tendrán que entender qué datos necesitan ser protegidos durante largos periodos de tiempo y cuáles carecerán de valor para los ciberdelincuentes para determinar dónde se puede utilizar la criptografía post-cuántica (PQC) y la criptografía convencional. Una vez hecho esto, se puede crear una prueba de concepto que utilice PQC o métodos híbridos para proteger los datos y extenderla a todos los activos digitales de una empresa. En el caso de algunos sistemas, bastará con pasar de un método a otro, mientras que los sistemas heredados podrían tener que ser actualizados o sustituidos de forma significativa.

Por lo tanto, las empresas deben prepararse ya para la seguridad post-cuántica, introduciendo una cripto-agilidad que permita cambiar la tecnología de encriptación por la más adecuada en un escenario determinado. Los HSM son un ejemplo de cómo la resistencia cuántica está disponible hoy en día. Si se combinan con un conocimiento profundo de lo que es y no es resistente frente a la tecnología cuántica en la infraestructura de una empresa, las organizaciones pueden asegurar sus datos mucho antes de que la computación cuántica entre en la corriente principal.

¿Qué es la criptografía cuántica y cómo afectará al entorno empresarial?

La criptografía cuántica se define como un método de encriptación que utiliza las propiedades naturales de la mecánica cuántica para asegurar y transmitir datos de forma que no puedan ser pirateados.

Se diferencia de los sistemas criptográficos tradicionales en que se basa en la física y no en las matemáticas. Aunque la criptografía cuántica permite a los usuarios comunicarse de forma más segura que la criptografía tradicional, este método de criptografía aún no se ha desarrollado plenamente más allá de las implementaciones de investigación.

Para el entorno empresarial, y concretamente para prepararse contra la amenaza de que los ordenadores cuánticos rompan la criptografía actual que garantiza la seguridad de los datos, las empresas tienen que recurrir a la criptografía poscuántica, es decir, a los algoritmos criptográficos (normalmente de clave pública) que se consideran seguros contra un ataque de un ordenador cuántico, como los que ahora ha seleccionado el NIST.

¿Dónde están las empresas y organizaciones en cuanto al desarrollo de la seguridad en la encriptación cuántica? ¿Se está invirtiendo en ello? ¿Cuál es la situación en España?

Algunos sectores, como el de la automoción, ya han empezado a utilizar la seguridad post-cuántica, mientras que otros, como el de la defensa y el de la energía, es probable que ya hayan realizado el cambio para convertirse en "criptoagentes", es decir, capaces de cambiar los sistemas criptográficos que utilizan cuando sea necesario.

¿Cómo deben prepararse las empresas para el futuro?

Hay múltiples pasos que puede dar ahora para preparar su negocio para un futuro PQ y evitar desafíos imprevistos. Algunos de los factores importantes de la criptoagilidad y las preguntas clave que debe hacerse al preparar su negocio para un futuro PQ son:

Considere la velocidad de ejecución: Considere cuánto tiempo le llevará a su empresa migrar los protocolos de encriptación actuales a la nueva encriptación post-cuántica. Asegúrese de que piensa en el futuro y no en el presente: ¿cómo podrá proteger sus sistemas dentro de 20 años? Como es sabido, la solución inmediata es el enemigo exitoso de la estratégica. A la hora de considerar el PQC, no podemos considerar duraderas las soluciones inmediatas, ni siquiera las que protegerán a las empresas durante los próximos 10 años.

Examine el ciclo de vida de su producto: Si el ciclo de vida de su producto tiene más de cinco años desde el diseño hasta la comercialización, está en problemas. Sectores como el de la automoción, la medición inteligente, la administración pública, las infraestructuras críticas y el IoT industrial tardan entre 2 y 4 años en diseñar productos que permanezcan en el mercado durante 7 años o más. Para prepararse para la computación cuántica, es imperativo diseñar medidas de seguridad cuántica en el ADN de los productos de hoy en día para garantizar que sean seguros de usar en un mundo PQ. Para ello, empiece por preguntarse qué requisitos exactos necesita su empresa. ¿Dónde están sus llaves? ¿Para qué las utiliza?

Planificar el coste: La implementación de un firmware seguro para el quantum o el desarrollo y ejecución de algoritmos seguros para el quantum es posible, pero con un gran coste y esfuerzo. Es importante empezar a planificar estos costes ahora para ahorrarle a su empresa dolores de cabeza en el futuro.