Cuando hace más de tres lustros, fui testigo de una conversación entre tres profesores de Física sobre la importancia de la Mecánica Cuántica y el impacto que podría tener para las ciencias, tal vez, por mi desconocimiento del tema, no pude aquilatar la importancia de aquel intercambio, pues ya hoy se habla de computación cuántica y su desarrollo vertiginoso y de la necesidad de prepararse para una era postcuántica.
Por computación cuántica se entiende un cambio paradigmático, integrando principios de la física y las matemáticas para procesar información a una velocidad sin precedentes. Utiliza qubits, que a diferencia de los bits tradicionales que representan un estado binario, pueden existir simultáneamente en múltiples estados gracias a la superposición y el entrelazamiento cuántico. Este avance permite a las computadoras cuánticas realizar cálculos complejos a una velocidad exponencialmente mayor que las computadoras convencionales.
La capacidad de las computadoras cuánticas para procesar información de manera muy veloz, junto al hecho de que los qubits pueden estar en superposición, pudiendo representar tanto el 0 como el 1 simultáneamente, además de estar entrelazados, permite realizar cálculos de una manera exponencialmente superior respecto a las computadoras tradicionales.
Es plantea un riesgo potencial significativo para la ciberseguridad porque los algoritmos criptográficos actuales, que protegen datos sensibles, podrían ser vulnerables ante las potencialidades de estas máquinas.
Esta situación ha dado lugar al desarrollo de trabajos para desarrollar protocolos que resistan el impacto de este avance tecnológico, que para su ubicación temporal han sido llamados poscuánticos.
Las redes informáticas actuales se sustentan en protocolos criptográficos que se basan en complejas operaciones matemáticas, que pueden estar en peligro, porque pueden ser resueltas en pocos segundos a partir de la potencias de las computadoras cuánticas. Así la seguridad de los datos confidenciales muestra un alto riesgo de quedar expuesta.
Por tal motivo se plantea que la defensa efectiva al problema podría ser el cifrado cuántico para crear claves indescifrables, lo que depende de la agilidad criptográfica, que debe ser vista como “la capacidad de reaccionar rápidamente a las amenazas criptográficas mediante la implementación de métodos alternativos de cifrado”[4], lo que resulta un imperativo ante el uso de algoritmos probabilísticos de la computación cuántica.
En la publicación citada antes, se plantea que la tenencia de la agilidad criptográfica implica: permitir contar con un inventario de certificados y claves de las autoridades certificadoras emisoras, saber cómo se utilizan las claves, la capacidad de automatización de la gestión de almacenes de claves y sus servidores y dispositivos de ubicación, la actualización remota de claves y certificados, así como la garantía de certificados de llave pública con capacidad de migración a una nueva raíz de certificados resistentes a los nuevos algoritmos post-cuánticos.[6]
A partir del hecho de que lo que se vislumbra representa amenazas potencialmente críticas para los sistemas informáticos tradicionales es un imperativo el desarrollo de nuevas maneras para enfrentar el problema sin esperar a que este se haga presente.
En este sentido el Instituto Nacional de Estándares y Tecnología (NIST – National Institute of Standards and Technology) del Departamento de Comercio de Estados Unidos comenzó hace un tiempo la preparación en esta línea y para ello en 2022 seleccionó 4 algoritmos a partir de la evaluación de varias de decenas que fueron presentados a su convocatoria.[5]
Esta previsión permite demostrar la necesidad de trabajar desde la prevención este tema. Así se evita que las amenazas potenciales de hoy aprovechen la sorpresa y se conviertan en un impacto.
Las oportunidades deben ser vistas de manera especial en el campo de la expansión y globalización de los avances de la era postcuántica. Este será un mecanismo que propicie un nuevo despegue de la innovación en el entorno de las TIC. Para ello, se pudiera pensar que un CSIRT (siglas de Computer Security Incident Response Team en español Equipo de Respuesta ante Incidentes de Seguridad Informática). que integrara a sus funciones los trabajo para avanzar en la protección para la era poscuántica.
Esto impactará de manera positiva en una mayor seguridad a largo plazo en los protocolos de la computación cuántica que den solución a vulnerabilidades actuales y a los ataques de las computadoras cuánticas, lo que propicia un fortalecimiento de la confidencialidad e integridad de la información.
Para los gobiernos y organizaciones la protección de infraestructuras críticas y de los procesos esenciales de las cadenas productivas y de servicios, constituyen un aspecto en el que la adopción de resultados de la cuántica, será una contribución notable. Esto permitirá, entre otros aspectos, un aumento de la confianza en los procesos digitales para impulsar su introducción en nuevas esferas de la vida.
Por este motivo, es esencial que desde este mismo instante, se comiencen los trabajos de adaptación a las condiciones que potencialmente va imponiendo la computación cuántica y se establezca para ello, una ruta crítica desde la prevención, que solo es posible a partir de un cambio de mentalidad sustentada en la percepción del riesgo.
El proceso debe partir de la evaluación de los puntos del sistema donde puede impactar el problema de la debilidad de los algoritmos tradicionales ante los avances de la cuántica.
En esta línea de trabajo el paso inicial está en la evaluación del impacto de la computación cuántica en los protocolos criptográficos existentes (SSL/TLS, IPSec, SSH, WPA/WPA2/WPA3 y el VPN) identificando qué datos, sistemas, aplicaciones, algoritmos y esquemas de cifrado serían susceptibles de ser afectados por las computadoras cuánticas y de esta manera establecer las prioridades a partir del valor y el impacto para la organización.
La evaluación debe analizar si es viable el desarrollo de ataques a las estructuras de la organización a partir de la valoración de los recursos de computación cuántica requeridos para el proceso y el estado actual que presenta este avance tecnológico.
El segundo momento del proceso necesariamente tendrá que determinar el nivel de prioridad en la atención de los riesgos tomando en consideración el nivel de daño que pudiera implicar un impacto en los protocolos y aplicaciones de tipo criptográfico. En este paso se debe atender el impacto sobre los datos en custodia y su nivel de sensibilidad, su frecuencia de uso y los protocolos que se utilizan en su protección de manera puedan generarse alternativas que hagan posible el enfrentamiento a la computación cuántica.
La evaluación de los riesgos que se realice, tendrá necesariamente que establecer como un nuevo paso, el establecimiento de estrategias con medidas para mitigar el impacto de las amenazas que fueron identificadas, siendo esencial en este procesos la migración a protocolos criptográficos alternativos con resistencia a la cuántica y junto a ello será necesario el desarrollo de nuevas técnicas criptográficas cuántica junto a la implementación de medidas de seguridad en la red.
El proceso en cuestión, debe seguir la filosofía de establecer un abanico de medidas de control que permitan avanzar en el tiempo según pautas establecidas, tomando como esencial, la posibilidad de la adopción de la cuántica como vía para desarrollar la ciberseguridad, junto a la proactividad como núcleo duro de la gestión sustentada en la educación y concienciación del capital humano ante las potenciales amenazas a las que pudiera enfrentarse la organización.
En el proceso de deben atender los riesgos de manera concienzuda, de manera que se pueda determinar cuando incurrir en gastos para lograr la eliminación, la reducción, la mitigación o la transferencia a terceros de los riesgos, de manera que, la estrategia establecida en la organización sea lógica y viable. En este momento del proceso, será esencial la comunicación de toda la información necesaria para comprender el sustento de las decisiones tomadas y las opciones posibles a considerar a todos los niveles.
Para cumplir este cometido es una necesidad la inversión en el desarrollo de investigaciones que propicien el conocimiento de los algoritmos y protocolos resistentes a la computación cuántica.
En este punto del proceso, es vital que el capital humano de la organización y en especial, los decisores, funcionen como un monolito para lograr la adopción de prácticas y soluciones seguras y colegiadas que puedan servir de referencia a otras entidades o sectores de la vida social.
De hecho, el proceso que se ha descrito, no presenta diferencias esenciales respecto a la manera en que se desarrolla en la era actual la gestión de riesgos. Por tanto, es esencial el estudio de debilidades, amenazas, fortalezas y oportunidades, en una matriz que permitirá desarrollar un modelo de Planificar – Hacer – Verificar – Actuar.
La referencia al modelo de gestión “cíclica” de los sistemas de gestión de seguridad de la información no es un capricho. Es conocido que la creación de las medidas de control y la creación de algoritmos y protocolos criptográficos postcuánticos requieren de un monitoreo continuo de lo que se ha propuesto y de las posibles amenazas que puedan aparecer y el necesario proceso de actualización de las evaluaciones de riesgos.
El desarrollo de la comunicación con la sociedad permite generar conciencia sobre los riesgos de la computación cuántica y fomentar el desarrollo de buenas prácticas en ese entorno.
Es importante destacar que las nuevas maneras de hacer están en esencia en la forma de actuar con activos, protocolos y procesos sobre los que incide la cuántica y no en la lógica que los sustenta desde la ciberseguridad.
El trabajo debe continuar desde el enfoque basado en la gestión de riesgos como punto de partida para el desarrollo de la gestión del cambio, como la forma en que se implementan las medidas en el entorno de seguridad de la información, que incluye las modificaciones que requieren los nuevos riesgos cuánticos, que desembocan en la mejora continua del sistema de gestión de seguridad de la información, sustentado en la revisión y actualización de sus evaluaciones de riesgos cuánticos a medida que evoluciona la amenaza cuántica.
Fuentes consultadas:
1. Ciberseguridad. El impacto de la computación cuántica en la ciberseguridad. en https://ciberseguridad.com/guias/nuevas-tecnologias/computacion-cuantica/
2. Pérez, M. (2023): ¿Es la computación cuántica la criptonita de la ciberseguridad? KPMG Tendencias. En https://www.tendencias.kpmg.es/2023/02/computacion-cuantica-criptonita-ciberseguridad/
3. Procesia (2024). El impacto de la computación cuántica en la ciberseguridad: ¿Están nuestras claves en riesgo? En https://procesia.com/impacto-computacion-cuantica-en-ciberseguridad/
4. Thales. Agilidad criptográfica poscuántica. En https://cpl.thalesgroup.com/es/encryption/post-quantum-crypto-agility
5. IT. Digital Security.(2022). El NIST aprueba los primeros algoritmos de cifrado resistentes a la computación cuántica. En https://www.itdigitalsecurity.es/actualidad/2022/07/el-nist-aprueba-los-primeros-algoritmos-de-cifrado-resistentes-a-la-computacion-cuantica
6. Fundación Innovación BankInter (2023). El futuro de la ciberseguridad: Criptografía Post-Cuántica (PQC). En https://www.fundacionbankinter.org/noticias/criptografia-post-cuantica/
7. Gerhardt, N. (2024) Tendencias ciberseguridad 2024: Criptografía postcuántica, IA y sostenibilidad. en https://observatorioblockchain.com/ciberseguridad/tendencias-ciberseguridad-2024-criptografia-postcuantica-e-ia/