Antonio Villalón, CSO de S2Grupo.
Mientras que en la informática convencional un valor binario es 0 o 1, en la informática cuántica un bit cuántico (cúbit) puede estar en superposición de 0 y 1.
Esto es muy útil para el procesamiento de datos y puede acelerar exponencialmente las tareas computacionales. Una de estas aplicaciones es en el campo de la seguridad de la información, para proteger tanto el almacenamiento como la transmisión y el procesamiento de información confidencial mediante algoritmos de cifrado.
El cifrado convencional se basa en la complejidad de cálculos matemáticos específicos para proteger los datos. Simplificando, romper un algoritmo de cifrado robusto con una clave robusta en un ordenador convencional llevaría miles de millones de años. Sin embargo, con los ordenadores cuánticos, este problema podría resolverse en días o incluso en horas. Esto significa que los datos cifrados de forma convencional podrían descifrarse y exponerse al público. En el caso de la información bancaria o médica, esto supone un grave problema, pero en el caso de los datos clasificados, representaría una cuestión de seguridad nacional.
Por ejemplo, toda la información cifrada con la que tratamos a diario, todos los algoritmos de autenticación, todas las comunicaciones seguras con hospitales, bancos o gobiernos, todos los datos sensibles que gestionan las empresas privadas o las instituciones públicas, e incluso nuestras identidades digitales, utilizadas para la autenticación, se verían descifrados y expuestos.
Todos sabíamos que el problema del efecto 2000 iba a irrumpir el 1 de enero de 2000. De este modo, todos pudimos prepararnos para afrontarlo adecuadamente. Sin embargo, no sabemos cuándo surgirá la computación cuántica. Ese día, conocido como Y2Q o Q-Day, puede llegar dentro de unas décadas... o dentro de unos años. Hoy en día, muchas empresas, y sin duda muchos gobiernos, están realizando esfuerzos para construir un ordenador cuántico real. Tenemos que estar preparados para ese día, y la forma de estarlo es adoptando la criptografía poscuántica (PQC).
La PQC es el conjunto de algoritmos de cifrado resistentes tanto a los ordenadores convencionales como a los cuánticos. A diferencia de la criptografía convencional, basada en la factorización de números grandes, estos algoritmos se basan en retos matemáticos que serían difíciles de resolver tanto para los ordenadores convencionales como para los cuánticos.
Aunque no sabemos cuándo la computación cuántica supondrá una amenaza real para la información, es importante implementar la PQC en las organizaciones lo antes posible. Cuando llegue ese momento, toda la información cifrada de forma convencional quedará desprotegida. Además, hay información tan relevante que se supone que será valiosa cuando llegue el Q-Day, por lo que la estrategia de vigilancia es "recoger ahora, descifrar después": adquirir información confidencial cifrada para que sea legible el Q-Day.
En resumen, el PQC es una amenaza futura, pero las contramedidas deben aplicarse hoy en día. Si esperamos hasta el Q-Day, será demasiado tarde. Para mitigar esta amenaza, deben ponerse en marcha algunas iniciativas:
La primera es conocer la magnitud del problema en su organización y, para ello, es imprescindible realizar un inventario criptográfico: es decir, la identificación de los repositorios de datos cifrados y los algoritmos, tanto activos como inactivos.
Este inventario debe incluir tanto los activos criptográficos de software como los de hardware y permite a las organizaciones darse cuenta de qué información es particularmente relevante y dónde y cómo está cifrada, estableciendo así la base para futuras evaluaciones de riesgos o estrategias de migración PQC.
Estas evaluaciones de riesgos son el segundo paso para conocer la situación de su organización. Tras identificar los recursos criptográficos (aplicaciones, algoritmos, claves, agilidad, etc.), los repositorios de datos sensibles y los terceros relevantes para la criptografía, se debe realizar un análisis para identificar el grado de vulnerabilidad PQC de la organización. Este análisis debe considerarse desde una perspectiva global (económica, reputacional, etc.) y su objetivo es permitir a las organizaciones priorizar las contramedidas para mitigar los riesgos PQC.
Una vez identificada la situación actual relacionada con la criptografía en su organización, en particular su grado de vulnerabilidad, es el momento de definir un plan de migración PQC, identificando y definiendo las prioridades y las limitaciones técnicas o comerciales, los presupuestos estimados, las estrategias de ejecución y las cuestiones técnicas relacionadas con los algoritmos y los protocolos. Esto definirá el camino hacia una implementación PQC óptima en su organización, estableciendo tanto las limitaciones como los plazos adecuados para minimizar los riesgos PQC.
Y... ¡voilà! En este punto, solo es cuestión de ejecución. ¡Comience su migración PQC ahora mismo!
***Antonio Villalón, CSO de S2Grupo