Después de décadas de desarrollo, la computación cuántica está cada vez más disponible para uso científico y comercial avanzado. Las maravillas potenciales van desde acelerar el descubrimiento de fármacos y la ciencia de materiales hasta optimizar la logística compleja y los modelos financieros.
Pero hay una paradoja en esta tendencia: la computación cuántica también representa una amenaza creciente para la seguridad de los datos.
El riesgo es que los algoritmos y protocolos que se utilizan actualmente para proteger dispositivos, aplicaciones y sistemas informáticos puedan eventualmente ser violados por actores maliciosos que utilicen la computación cuántica, comprometiendo incluso las medidas de seguridad más estrictas. Según algunas estimaciones, los estándares de cifrado ampliamente utilizados, como RSA y ECC, podrían ser descifrados por computadoras cuánticas ya en 2029, un día apocalíptico conocido como “Q-Day”, cuando los estándares de seguridad actuales quedarían ineficaces debido a la destreza de cálculo numérico de la computación cuántica.
La posibilidad de que la computación cuántica pueda romper los protocolos de protección de datos actuales está llevando a los directores de seguridad y de tecnología a intensificar las contramedidas. Lo están haciendo con la criptografía poscuántica (PQC), un área de nicho de la ciberseguridad cuya prioridad está aumentando en todo el mundo empresarial. La falta de preparación podría resultar costosa, con un informe situando el costo económico potencial de un ataque cuántico en Estados Unidos en más de 3 billones de dólares. Incluso antes de esa posible calamidad, el costo promedio actual de una violación de datos es superior a $10 millonesy ese número sólo aumentará proporcionalmente a la escala de una brecha inducida por cuántica.
Por eso la amenaza cuántica no debería ser tratada como una preocupación exclusiva de los ejecutivos con visión de futuro. Debe convertirse en una cuestión a nivel de las juntas directivas de todas las empresas. Las organizaciones deberían lanzar una iniciativa integral de PQC que genere conciencia en toda la empresa y actualice los sistemas digitales y los activos de datos para que sean resistentes a los ataques cuánticos.
Esperar hasta el Día Q sería un error porque la gente no sabrá cuándo ocurrirá. Probablemente no llegará con comunicados de prensa ni anuncios de productos. En cambio, esto puede desarrollarse silenciosamente a medida que los atacantes intentan maximizar lo que pueden robar antes de que alguien se dé cuenta. La realidad es que los datos confidenciales ya corren el riesgo de ser robados y almacenados para poder decodificarlos (un ataque denominado “cosechar ahora, descifrar después”) cuando el Q-Day sea una realidad. Los profesionales de la seguridad deben prestar atención inmediata a esta cuestión, incluso si la amenaza definitiva parece estar dentro de unos años.
Datos de prueba cuántica a escala
Los equipos de seguridad suelen centrarse en las amenazas inmediatas, pero todavía tienen una ventana de oportunidad para prepararse para el Q-Day, siempre que empiecen ahora.
Una medida provisional en marcha es la transición a versiones más robustas de los certificados y claves digitales que ya son omnipresentes en los negocios y la vida cotidiana. Estos certificados, que actúan como credenciales de identidad, se utilizan para autenticar miles de millones de usuarios, dispositivos, documentos y otras formas de comunicaciones y puntos finales. Los certificados contienen claves criptográficas. Los equipos de seguridad están introduciendo gradualmente “claves de 47 días”, que están diseñadas para caducar y ser reemplazadas en 47 días, con mucha más frecuencia que la generación actual. Es un paso en la dirección correcta, pero no suficiente.
Establecer una defensa PQC reforzada requiere mucho más que un parche de software estándar o una actualización de la infraestructura de clave pública (PKI) utilizada en la mayoría de los lugares para administrar certificados digitales y cifrar datos. Se debe adoptar e implementar a escala una estrategia de PQC para toda la empresa.
Consideremos el rápido aumento de la IA agente, donde las organizaciones pueden necesitar asignar identidades digitales a miles o incluso millones de agentes de IA. Eso requerirá un nivel de autenticación que vaya mucho más allá de la infraestructura existente.
Estos proyectos serán dirigidos por el CISO, pero la planificación y ejecución deben incluir a otros líderes empresariales porque la seguridad poscuántica debe llegar a todas las partes del entorno digital de la organización. Las juntas directivas también deben participar, dados los riesgos de gobernanza y la importante inversión de capital requerida.
Desarrollar una estrategia plurianual y multifacética
Las organizaciones de industrias reguladas (banca, atención médica y gobierno, por ejemplo) generalmente están un paso adelante en la preparación para la amenaza poscuántica. Sin embargo, independientemente de la industria, pocos están completamente preparados porque la preparación requiere una imagen detallada del panorama de seguridad y datos de extremo a extremo de una organización.
En mi experiencia, esa visión holística es una rareza. Para los CISO y sus colegas de línea de negocio, un buen punto de partida es crear un inventario completo de sistemas y datos en toda la empresa y luego priorizar lo que se debe proteger.
Otro paso importante es comenzar a probar y adoptar los últimos algoritmos y protocolos resistentes a los cuánticos que han sido estandarizados por el NIST. Una gama cada vez mayor de productos y plataformas PKI admiten esas especificaciones. Esto es esencial porque la única forma en que las empresas podrán orquestar, monitorear y gestionar el alcance de la implementación es a través de la automatización.
Estas actualizaciones son vitales, pero no se trata simplemente de reemplazar las especificaciones precuánticas por otras más nuevas. Debido a que PQC será una tarea de varios años, las organizaciones deben cerrar la brecha entre lo antiguo y lo nuevo. La mejor estrategia para algunos será un enfoque híbrido que combine la criptografía clásica y los algoritmos de próxima generación, aunque la estandarización sigue siendo un trabajo en progreso. Otras organizaciones están avanzando hacia un modelo poscuántico “puro” o no combinado.
En cuanto a esos ataques de recolección, la mejor defensa es sencilla: cifrar sus datos más confidenciales y de larga duración con algoritmos resistentes a los cuánticos lo antes posible.
PQC es una responsabilidad compartida
Desafortunadamente, no hay una línea de meta en la carrera hacia la seguridad de la era cuántica. E incluso si una organización bloquea sus sistemas contra amenazas emergentes, no hay garantía de que los clientes y socios comerciales hagan lo mismo.
Aún persistirán muchas vulnerabilidades, razón por la cual el argumento comercial para PQC incluye proteger los datos de los clientes y salvaguardar la reputación y la confianza en la marca a medida que las amenazas digitales evolucionan rápidamente. Incluso hoy en día, una infracción importante puede costar millones y causar daños duraderos a una marca corporativa.
La computación cuántica promete aportar muchas capacidades nuevas a las empresas y la sociedad, desde transformar la optimización de la cadena de suministro y el análisis de riesgos hasta permitir descubrimientos revolucionarios en medicina y ciencia climática. Pero los riesgos potenciales son igualmente sustanciales. Después de años de observar y esperar la tecnología cuántica, los líderes empresariales no tienen más remedio que tomar medidas.
Chris Hickman es el director de seguridad de Keyfactor, un proveedor líder de soluciones de seguridad cuánticas.
