¿Es tu empresa segura desde el punto de vista cuántico? La respuesta a estas 6 preguntas pueden ser la clave

Cuando se trata de cifrar datos sensibles, los términos "post-cuántico" y "criptografía cuántica" se han convertido en palabras de moda. Sobre todo después de que el Instituto Nacional de Estándares y Tecnología (NIST), una división del Departamento de Comercio de Estados Unidos, anunciara cuatro nuevos algoritmos preparados para convertirse en nuevos estándares de cifrado en 2024.

A medida que se desarrollan los computadores cuánticos, los qubits de capacidad de los procesadores aumentan en número y se hacen más estables, preparándose para afrontar problemas complejos considerados insuperables para las máquinas clásicas. Pero a medida que la computación cuántica desarrolla todo su potencial, también corre el riesgo de descifrar los cifrados modernos, lo que podrían poner en peligro datos sensibles.

Ahí es donde entra en juego la criptografía a prueba de quantum, basada en las matemáticas de los entrelazamientos. A diferencia de las técnicas actuales de cifrado basadas en factores, como RSA, que se basa en la factorización de números complejos e inmensos, la criptografía cuántica trabaja con vectores, es decir, direcciones en una red estructurada.

La amenaza cuántica para el cifrado es tan grave que, en mayo de 2022, la Casa Blanca publicó un memorándum con el plan de la administración para asegurar los sistemas críticos frente a los futuros computadores cuánticos. A esto le siguió la publicación por parte de la Agencia de Seguridad Nacional (NSA) de un nuevo Conjunto de Algoritmos Comerciales de Seguridad Nacional (CNSA), en el que se detalla el uso de nuevos algoritmos seguros para la tecnología cuántica junto con un calendario para su sustitución.

El Foro Económico Mundial también estimó que en la próxima década o dos, más de 20 000 millones de dispositivos digitales tendrán que ser actualizados o sustituidos por estas nuevas formas de comunicación cifrada de seguridad cuántica.

Algunas industrias ya han empezado a planificar el cambio a protocolos seguros para la computación cuántica. La organización de telecomunicaciones GSMA creó en septiembre un grupo de trabajo sobre redes de telecomunicaciones postcuánticas, con IBM y Vodafone como miembros iniciales. El objetivo es ayudar a definir la política, la normativa y los procesos empresariales de los operadores para proteger a las compañías de telecomunicaciones de futuras amenazas cuánticas.

El grupo de trabajo ha publicado recientemente Post Quantum Telco Network Impact Assessment, un análisis en profundidad de las amenazas cuántica a la seguridad a las que se enfrenta el sector de las telecomunicaciones y una lista detallada de posibles soluciones para prepararse ante estas amenazas.

Aunque se ha hablado mucho de instar a las empresas a "volverse cuánticamente seguras", para una empresa normal esas palabras pueden plantear más preguntas que respuestas. En IBM, estamos abordándolas con una "hoja de ruta de seguridad cuántica" que lleva a las organizaciones a través de las fases de descubrimiento, observación y transformación.

He aquí las respuestas a seis preguntas clave para ayudar a que las empresas sean seguras desde el punto de vista cuántico.

Cada empresa tendrá sus propias prioridades a la hora de decidir qué migrar y cuándo. Para algunas, será necesario migrar para seguir vendiendo productos y servicios al gobierno federal estadounidense. Para otras, puede ser el riesgo de que un acontecimiento cuántico amenace el propio negocio, por ejemplo en el caso de una violación de datos. Así que, en primer lugar, es importante comprender dónde y cómo se utilizan los algoritmos antiguos y analizar los riesgos que entrañan. Esto se consigue idealmente ampliando el uso de conceptos de cadena de suministro de software seguro que también han sido objeto de una Orden Ejecutiva sobre la Mejora de la Ciberseguridad de la Nación.

Para ayudar a las organizaciones en esta fase inicial, IBM ha desarrollado una herramienta llamada Explorer, que explora el código fuente y el código objeto para sacar a la luz todos los artefactos criptográficamente relevantes, ubicarlos y descubrir sus componentes. Explorer genera un gráfico de llamadas que cataloga los artefactos criptográficos, produciendo una base de conocimientos que se organiza en una lista de materiales de criptografía (cryptography bill of materials, CBOM).

En la etapa de "observar", una organización toma lo que se ha descubierto y genera un inventario criptográfico para analizar el estado criptográfico de cumplimiento. Este inventario proporciona una lista de vulnerabilidades basada en las políticas de cumplimiento específicas del sector y en las prioridades empresariales para ayudar a las organizaciones a actualizar su infraestructura criptográfica.

Para esta etapa, desarrollamos una herramienta llamada Advisor. Se integra con los escáneres de red y seguridad del entorno de TI de una organización para consolidar y gestionar los CBOM y recopilar metadatos de otros componentes de la red para generar un inventario criptográfico completo. Con su enriquecimiento basado en políticas, Advisor genera una lista de activos en riesgo y flujos de datos en riesgo para analizar su postura y cumplimiento criptográfico.

Las empresas pueden ahorrar costes y esfuerzos alineando iniciativas estratégicas de modernización que simplifiquen la migración criptográfica y mejoren la seguridad. Una estrategia que combine el riesgo con la modernización estratégica de las aplicaciones es el mejor camino para convertirse en quantum-safe.

Depende de lo que se esté migrando. Un sistema heredado complejo puede ser muy difícil de migrar. La modernización de las aplicaciones es clave en el viaje hacia la seguridad cuántica.

Cuando una organización está preparada para "transformarse", disponemos de Remediator: una herramienta que permite a las empresas probar patrones de remediación quantum-safe para que comprendan el impacto potencial en sistemas y activos.

Remediator permite probar patrones de corrección quantum-safe que convenga a la organización en su transición hacia la seguridad cuántica. Permite a la organización trabajar con diferentes algoritmos, certificados y servicios de gestión de claves de seguridad cuántica. Y les permite adaptarse rápidamente a políticas y amenazas cambiantes sin implicaciones operativas o presupuestarias significativas. Remediator también admite un enfoque de implementación híbrido que permite a las organizaciones utilizar criptografía clásica y quantum-safe a medida que realiza la transición hacia algoritmos cuánticos seguros.

Con la concienciación adecuada y una gobernanza estratégica, es posible migrar gradualmente una empresa con un impacto mínimo. Tomemos por ejemplo las API que una empresa puede utilizar internamente u ofrecer externamente. Es muy sencillo utilizar componentes de infraestructura con seguridad cuántica que proporcionen acceso a estas API, protegidas con algoritmos de seguridad cuántica. IBM utilizó este enfoque para ofrecer una segunda pasarela o puerta de enlace quantum-safe a sus servicios IBM Cloud Key Protect.

La mejor manera de considerar estos algoritmos es como la próxima generación de algoritmos criptográficos. Ya han sido seleccionados para su futuro uso federal en EE. UU. y se incorporarán a las normativas de muchos otros países e industrias. Los algoritmos fueron desarrollados por consorcios externos de todo el mundo y presentados a un concurso organizado por el NIST. Este proceso de seis años dio lugar a un examen intenso y abierto de los algoritmos y a que el NIST seleccionara cuatro candidatos para su normalización en 2024.

No sabemos cuándo se desarrollará un computador cuántico criptográficamente relevante. Pero ya existe una nueva generación de criptografía para protegerse de ese futuro. La adopción de criptografía quantum-safe se está abriendo camino en la legislación y los ecosistemas, y la mayoría de las empresas tendrán que apoyarla.

Comenzar hoy este viaje mediante la concienciación de la necesidad de migrar a un nivel estratégico tiene muchas ventajas. Los pasos que simplifican la migración pueden añadirse a las iniciativas de seguridad existentes y a los programas de modernización de aplicaciones. Esto minimizará el esfuerzo y ahorrará costes a largo plazo. Esperar, por otro lado, significa que se está creando más legado en riesgo, lo que dificulta la migración final.

Por eso deberías iniciar hoy mismo el viaje hacia los algoritmos seguros desde el punto de vista cuántico.