{"id":3113,"date":"2024-05-21T07:16:11","date_gmt":"2024-05-21T13:16:11","guid":{"rendered":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=3113"},"modified":"2024-05-23T07:07:13","modified_gmt":"2024-05-23T13:07:13","slug":"la-prevencion-como-premisa-ante-lo-que-se-espera-de-la-era-poscuantica-en-ciberseguridad","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=3113","title":{"rendered":"La prevenci\u00f3n como premisa ante lo que se espera de la era poscu\u00e1ntica en ciberseguridad."},"content":{"rendered":"
\"Protocolos

Impacto de la cu\u00e1ntica en la ciberseguridad.
Creada con herramienta de inteligencia artificial.<\/p><\/div>\n

Cuando hace m\u00e1s de tres lustros, fui testigo de una conversaci\u00f3n entre tres profesores de F\u00edsica sobre la importancia de la Mec\u00e1nica Cu\u00e1ntica y el impacto que podr\u00eda tener para las ciencias, tal vez, por mi desconocimiento del tema, no pude aquilatar la importancia de aquel intercambio, pues ya hoy se habla de computaci\u00f3n cu\u00e1ntica y su desarrollo vertiginoso y de la necesidad de prepararse para una era postcu\u00e1ntica.<\/p>\n

Por computaci\u00f3n cu\u00e1ntica se entiende un cambio paradigm\u00e1tico, integrando principios de la f\u00edsica y las matem\u00e1ticas para procesar informaci\u00f3n a una velocidad sin precedentes. Utiliza qubits, que a diferencia de los bits tradicionales que representan un estado binario, pueden existir simult\u00e1neamente en m\u00faltiples estados gracias a la superposici\u00f3n y el entrelazamiento cu\u00e1ntico. Este avance permite a las computadoras cu\u00e1nticas realizar c\u00e1lculos complejos a una velocidad exponencialmente mayor que las computadoras convencionales.<\/p>\n

<\/p>\n

La capacidad de las computadoras cu\u00e1nticas para procesar informaci\u00f3n de manera muy veloz, junto al hecho de que los qubits pueden estar en superposici\u00f3n, pudiendo representar tanto el 0 como el 1 simult\u00e1neamente, adem\u00e1s de estar entrelazados, permite realizar c\u00e1lculos de una manera exponencialmente superior respecto a las computadoras tradicionales. <\/p>\n

Es plantea un riesgo potencial significativo para la ciberseguridad porque los algoritmos criptogr\u00e1ficos actuales, que protegen datos sensibles, podr\u00edan ser vulnerables ante las potencialidades de estas m\u00e1quinas. <\/p>\n

Esta situaci\u00f3n ha dado lugar al desarrollo de trabajos para desarrollar protocolos que resistan el impacto de este avance tecnol\u00f3gico, que para su ubicaci\u00f3n temporal han sido llamados poscu\u00e1nticos.<\/p>\n

Las redes inform\u00e1ticas actuales se sustentan en protocolos criptogr\u00e1ficos que se basan en complejas operaciones matem\u00e1ticas, que pueden estar en peligro, porque pueden ser resueltas en pocos segundos a partir de la potencias de las computadoras cu\u00e1nticas. As\u00ed la seguridad de los datos confidenciales muestra un alto riesgo de quedar expuesta.<\/p>\n

Por tal motivo se plantea que la defensa efectiva al problema podr\u00eda ser el cifrado cu\u00e1ntico para crear claves indescifrables, lo que depende de la agilidad criptogr\u00e1fica, que debe ser vista como \u201cla capacidad de reaccionar r\u00e1pidamente a las amenazas criptogr\u00e1ficas mediante la implementaci\u00f3n de m\u00e9todos alternativos de cifrado\u201d[4], lo que resulta un imperativo ante el uso de algoritmos probabil\u00edsticos de la computaci\u00f3n cu\u00e1ntica.<\/p>\n

En la publicaci\u00f3n citada antes, se plantea que la tenencia de la agilidad criptogr\u00e1fica implica: permitir contar con un inventario de certificados y claves de las autoridades certificadoras emisoras, saber c\u00f3mo se utilizan las claves, la capacidad de automatizaci\u00f3n de la gesti\u00f3n de almacenes de claves y sus servidores y dispositivos de ubicaci\u00f3n, la actualizaci\u00f3n remota de claves y certificados, as\u00ed como la garant\u00eda de certificados de llave p\u00fablica con capacidad de migraci\u00f3n a una nueva ra\u00edz de certificados resistentes a los nuevos algoritmos post-cu\u00e1nticos.[6]<\/p>\n

A partir del hecho de que lo que se vislumbra representa amenazas potencialmente cr\u00edticas para los sistemas inform\u00e1ticos tradicionales es un imperativo el desarrollo de nuevas maneras para enfrentar el problema sin esperar a que este se haga presente.<\/p>\n

En este sentido el Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda (NIST – National Institute of Standards and Technology) del Departamento de Comercio de Estados Unidos comenz\u00f3 hace un tiempo la preparaci\u00f3n en esta l\u00ednea y para ello en 2022 seleccion\u00f3 4 algoritmos a partir de la evaluaci\u00f3n de varias de decenas que fueron presentados a su convocatoria.[5]<\/p>\n

Esta previsi\u00f3n permite demostrar la necesidad de trabajar desde la prevenci\u00f3n este tema. As\u00ed se evita que las amenazas potenciales de hoy aprovechen la sorpresa y se conviertan en un impacto.<\/p>\n

Las oportunidades deben ser vistas de manera especial en el campo de la expansi\u00f3n y globalizaci\u00f3n de los avances de la era postcu\u00e1ntica. Este ser\u00e1 un mecanismo que propicie un nuevo despegue de la innovaci\u00f3n en el entorno de las TIC. Para ello, se pudiera pensar que un CSIRT (siglas de Computer Security Incident Response Team en espa\u00f1ol Equipo de Respuesta ante Incidentes de Seguridad Inform\u00e1tica). que integrara a sus funciones los trabajo para avanzar en la protecci\u00f3n para la era poscu\u00e1ntica.<\/p>\n

Esto impactar\u00e1 de manera positiva en una mayor seguridad a largo plazo en los protocolos de la computaci\u00f3n cu\u00e1ntica que den soluci\u00f3n a vulnerabilidades actuales y a los ataques de las computadoras cu\u00e1nticas, lo que propicia un fortalecimiento de la confidencialidad e integridad de la informaci\u00f3n.<\/p>\n

Para los gobiernos y organizaciones la protecci\u00f3n de infraestructuras cr\u00edticas y de los procesos esenciales de las cadenas productivas y de servicios, constituyen un aspecto en el que la adopci\u00f3n de resultados de la cu\u00e1ntica, ser\u00e1 una contribuci\u00f3n notable. Esto permitir\u00e1, entre otros aspectos, un aumento de la confianza en los procesos digitales para impulsar su introducci\u00f3n en nuevas esferas de la vida.<\/p>\n

Por este motivo, es esencial que desde este mismo instante, se comiencen los trabajos de adaptaci\u00f3n a las condiciones que potencialmente va imponiendo la computaci\u00f3n cu\u00e1ntica y se establezca para ello, una ruta cr\u00edtica desde la prevenci\u00f3n, que solo es posible a partir de un cambio de mentalidad sustentada en la percepci\u00f3n del riesgo.<\/p>\n

El proceso debe partir de la evaluaci\u00f3n de los puntos del sistema donde puede impactar el problema de la debilidad de los algoritmos tradicionales ante los avances de la cu\u00e1ntica. <\/p>\n

En esta l\u00ednea de trabajo el paso inicial est\u00e1 en la evaluaci\u00f3n del impacto de la computaci\u00f3n cu\u00e1ntica en los protocolos criptogr\u00e1ficos existentes (SSL\/TLS, IPSec, SSH, WPA\/WPA2\/WPA3 y el VPN) identificando qu\u00e9 datos, sistemas, aplicaciones, algoritmos y esquemas de cifrado ser\u00edan susceptibles de ser afectados por las computadoras cu\u00e1nticas y de esta manera establecer las prioridades a partir del valor y el impacto para la organizaci\u00f3n.<\/p>\n

La evaluaci\u00f3n debe analizar si es viable el desarrollo de ataques a las estructuras de la organizaci\u00f3n a partir de la valoraci\u00f3n de los recursos de computaci\u00f3n cu\u00e1ntica requeridos para el proceso y el estado actual que presenta este avance tecnol\u00f3gico. <\/p>\n

El segundo momento del proceso necesariamente tendr\u00e1 que determinar el nivel de prioridad en la atenci\u00f3n de los riesgos tomando en consideraci\u00f3n el nivel de da\u00f1o que pudiera implicar un impacto en los protocolos y aplicaciones de tipo criptogr\u00e1fico. En este paso se debe atender el impacto sobre los datos en custodia y su nivel de sensibilidad, su frecuencia de uso y los protocolos que se utilizan en su protecci\u00f3n de manera puedan generarse alternativas que hagan posible el enfrentamiento a la computaci\u00f3n cu\u00e1ntica.<\/p>\n

La evaluaci\u00f3n de los riesgos que se realice, tendr\u00e1 necesariamente que establecer como un nuevo paso, el establecimiento de estrategias con medidas para mitigar el impacto de las amenazas que fueron identificadas, siendo esencial en este procesos la migraci\u00f3n a protocolos criptogr\u00e1ficos alternativos con resistencia a la cu\u00e1ntica y junto a ello ser\u00e1 necesario el desarrollo de nuevas t\u00e9cnicas criptogr\u00e1ficas cu\u00e1ntica junto a la implementaci\u00f3n de medidas de seguridad en la red.<\/p>\n

El proceso en cuesti\u00f3n, debe seguir la filosof\u00eda de establecer un abanico de medidas de control que permitan avanzar en el tiempo seg\u00fan pautas establecidas, tomando como esencial, la posibilidad de la adopci\u00f3n de la cu\u00e1ntica como v\u00eda para desarrollar la ciberseguridad, junto a la proactividad como n\u00facleo duro de la gesti\u00f3n sustentada en la educaci\u00f3n y concienciaci\u00f3n del capital humano ante las potenciales amenazas a las que pudiera enfrentarse la organizaci\u00f3n.<\/p>\n

En el proceso de deben atender los riesgos de manera concienzuda, de manera que se pueda determinar cuando incurrir en gastos para lograr la eliminaci\u00f3n, la reducci\u00f3n, la mitigaci\u00f3n o la transferencia a terceros de los riesgos, de manera que, la estrategia establecida en la organizaci\u00f3n sea l\u00f3gica y viable. En este momento del proceso, ser\u00e1 esencial la comunicaci\u00f3n de toda la informaci\u00f3n necesaria para comprender el sustento de las decisiones tomadas y las opciones posibles a considerar a todos los niveles.<\/p>\n

Para cumplir este cometido es una necesidad la inversi\u00f3n en el desarrollo de investigaciones que propicien el conocimiento de los algoritmos y protocolos resistentes a la computaci\u00f3n cu\u00e1ntica.<\/p>\n

En este punto del proceso, es vital que el capital humano de la organizaci\u00f3n y en especial, los decisores, funcionen como un monolito para lograr la adopci\u00f3n de pr\u00e1cticas y soluciones seguras y colegiadas que puedan servir de referencia a otras entidades o sectores de la vida social.<\/p>\n

De hecho, el proceso que se ha descrito, no presenta diferencias esenciales respecto a la manera en que se desarrolla en la era actual la gesti\u00f3n de riesgos. Por tanto, es esencial el estudio de debilidades, amenazas, fortalezas y oportunidades, en una matriz que permitir\u00e1 desarrollar un modelo de Planificar \u2013 Hacer \u2013 Verificar \u2013 Actuar.<\/p>\n

La referencia al modelo de gesti\u00f3n \u201cc\u00edclica\u201d de los sistemas de gesti\u00f3n de seguridad de la informaci\u00f3n no es un capricho. Es conocido que la creaci\u00f3n de las medidas de control y la creaci\u00f3n de algoritmos y protocolos criptogr\u00e1ficos postcu\u00e1nticos requieren de un monitoreo continuo de lo que se ha propuesto y de las posibles amenazas que puedan aparecer y el necesario proceso de actualizaci\u00f3n de las evaluaciones de riesgos.<\/p>\n

El desarrollo de la comunicaci\u00f3n con la sociedad permite generar conciencia sobre los riesgos de la computaci\u00f3n cu\u00e1ntica y fomentar el desarrollo de buenas pr\u00e1cticas en ese entorno.<\/p>\n

Es importante destacar que las nuevas maneras de hacer est\u00e1n en esencia en la forma de actuar con activos, protocolos y procesos sobre los que incide la cu\u00e1ntica y no en la l\u00f3gica que los sustenta desde la ciberseguridad. <\/p>\n

El trabajo debe continuar desde el enfoque basado en la gesti\u00f3n de riesgos como punto de partida para el desarrollo de la gesti\u00f3n del cambio, como la forma en que se implementan las medidas en el entorno de seguridad de la informaci\u00f3n, que incluye las modificaciones que requieren los nuevos riesgos cu\u00e1nticos, que desembocan en la mejora continua del sistema de gesti\u00f3n de seguridad de la informaci\u00f3n, sustentado en la revisi\u00f3n y actualizaci\u00f3n de sus evaluaciones de riesgos cu\u00e1nticos a medida que evoluciona la amenaza cu\u00e1ntica.<\/p>\n

Fuentes consultadas:<\/strong><\/p>\n

1. Ciberseguridad. El impacto de la computaci\u00f3n cu\u00e1ntica en la ciberseguridad. en https:\/\/ciberseguridad.com\/guias\/nuevas-tecnologias\/computacion-cuantica\/<\/a><\/p>\n

2. P\u00e9rez, M. (2023): \u00bfEs la computaci\u00f3n cu\u00e1ntica la criptonita de la ciberseguridad? KPMG Tendencias. En https:\/\/www.tendencias.kpmg.es\/2023\/02\/computacion-cuantica-criptonita-ciberseguridad\/<\/a><\/p>\n

3. Procesia (2024). El impacto de la computaci\u00f3n cu\u00e1ntica en la ciberseguridad: \u00bfEst\u00e1n nuestras claves en riesgo? En https:\/\/procesia.com\/impacto-computacion-cuantica-en-ciberseguridad\/<\/a><\/p>\n

4. Thales. Agilidad criptogr\u00e1fica poscu\u00e1ntica. En https:\/\/cpl.thalesgroup.com\/es\/encryption\/post-quantum-crypto-agility<\/a><\/p>\n

5. IT. Digital Security.(2022). El NIST aprueba los primeros algoritmos de cifrado resistentes a la computaci\u00f3n cu\u00e1ntica. En https:\/\/www.itdigitalsecurity.es\/actualidad\/2022\/07\/el-nist-aprueba-los-primeros-algoritmos-de-cifrado-resistentes-a-la-computacion-cuantica<\/a><\/p>\n

6. Fundaci\u00f3n Innovaci\u00f3n BankInter (2023). El futuro de la ciberseguridad: Criptograf\u00eda Post-Cu\u00e1ntica (PQC). En https:\/\/www.fundacionbankinter.org\/noticias\/criptografia-post-cuantica\/<\/a><\/p>\n

7. Gerhardt, N. (2024) Tendencias ciberseguridad 2024: Criptograf\u00eda postcu\u00e1ntica, IA y sostenibilidad. en https:\/\/observatorioblockchain.com\/ciberseguridad\/tendencias-ciberseguridad-2024-criptografia-postcuantica-e-ia\/<\/a> <\/p>\n

Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"

Cuando hace m\u00e1s de tres lustros, fui testigo de una conversaci\u00f3n entre tres profesores de F\u00edsica sobre la importancia de la Mec\u00e1nica Cu\u00e1ntica y el impacto que podr\u00eda tener para las ciencias, tal vez, por mi desconocimiento del tema, no … Sigue leyendo →<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2,3,56,67,57,14,19,24],"tags":[],"class_list":["post-3113","post","type-post","status-publish","format-standard","hentry","category-amenazas","category-analisis-de-riesgos","category-buenas-practicas","category-ciberseguridad","category-educacion-de-usuarios","category-incidentes","category-percepcion-de-riesgo","category-prevencion"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/3113","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3113"}],"version-history":[{"count":18,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/3113\/revisions"}],"predecessor-version":[{"id":3133,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/3113\/revisions\/3133"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3113"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3113"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3113"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}