Mientras muchos equipos de TI se centran en evolucionar su infraestructura de seguridad para combatir la nueva ola de ataques basados en inteligencia artificial (IA), existe otra tecnología emergente que está lista para provocar una disrupción significativa en los próximos años: la criptografía post-cuántica.
La inminente comercialización de la computación cuántica —y las implicaciones criptográficas que esto conlleva— podría representar un serio peligro para los profesionales de la ciberseguridad si no se toman medidas defensivas con la suficiente antelación. Pero, ¿está esta tecnología cerca de convertirse en una herramienta viable para los actores maliciosos? ¿Y cómo deberían las empresas proteger sus redes y datos para prepararse de cara al futuro?
Índice de temas
Comprender el riesgo cuántico
En su función principal, la computación cuántica puede resolver problemas matemáticos que resultan demasiado complejos para los ordenadores tradicionales, como la factorización de grandes números. Sin embargo, esta misma capacidad también significa que la computación cuántica podrá romper muchos de los algoritmos criptográficos modernos que se utilizan de forma ubicua en diversas plataformas de TI para cifrar comunicaciones, proteger datos o crear firmas digitales.
Los ordenadores cuánticos que representan una amenaza para la criptografía moderna aún no están disponibles comercialmente. Sin embargo, la criptografía post-cuántica debería ser vista como una preocupación estratégica a nivel organizacional por dos razones clave.
Primero, existe un riesgo muy real de ataques retrospectivos. Las tecnologías criptográficas se han vuelto tan ubicuas e integradas en los procesos empresariales que la mayoría de los datos se cifran digitalmente tanto en reposo como en tránsito para minimizar el riesgo. Pero los ataques retrospectivos, también conocidos como “cosechar ahora y descifrar después”, permiten a los atacantes recolectar datos cifrados que actualmente no pueden descifrar con ordenadores tradicionales y almacenarlos hasta que estén disponibles ordenadores cuánticos lo suficientemente potentes. Aunque los datos tengan algunos años cuando finalmente se descifren, podrían seguir siendo sensibles y causar daños a empresas, empleados y clientes si se divulgan.
La segunda razón clave para la preocupación entre los directivos es la magnitud de la inversión de capital y la carga operativa necesaria para actualizar o reemplazar sistemas de TI heredados que utilizan cifrado vulnerable a los ordenadores cuánticos. Migrar desde sistemas antiguos a versiones nuevas conlleva muchos riesgos, tanto financieros como de seguridad. Aunque hoy no existan ordenadores cuánticos capaces de romper la criptografía tradicional, grandes empresas privadas y gobiernos están realizando importantes inversiones en este campo. Se espera que estemos a pocos años de este avance. Para aliviar la carga financiera, las empresas deberían comenzar a actualizar sus sistemas de forma incremental, en lugar de esperar a la irrupción de la computación cuántica y verse obligadas a realizar inversiones masivas o arriesgarse a quedarse atrás frente a la competencia.
Comprender el plazo de actuación
Aunque no hay consenso sobre cuándo estarán disponibles los ordenadores cuánticos comerciales, la mayoría de los científicos coinciden en que no será antes de 3 a 5 años. Sin embargo, los gobiernos ya están emitiendo recomendaciones para que las empresas comiencen a prepararse para la transición hacia la criptografía cuántica desde ahora.
Por ejemplo, la agencia nacional de ciberseguridad del Reino Unido, el National Cyber Security Centre (NCSC), ha publicado recientemente una guía que alienta a las empresas a prepararse desde ahora para permitir una migración más fluida y controlada, reduciendo el riesgo de implementaciones apresuradas y brechas de seguridad. Como parte de esto, el NCSC insta a las organizaciones a invertir en visibilidad, para entender qué sistemas tienen y qué necesita ser actualizado antes de la migración.
Comprender el próximo paso
Aunque la amenaza tangible de la computación cuántica desde una perspectiva de ciberseguridad aún esté a unos años de distancia, los riesgos que plantea son lo suficientemente significativos como para justificar medidas proactivas hoy. Las empresas deben comenzar a prepararse comprendiendo sus sistemas actuales y planificando actualizaciones incrementales para garantizar una transición fluida hacia la criptografía post-cuántica. Así podrán mitigar el riesgo de ataques retrospectivos y evitar la presión financiera y operativa de implementaciones apresuradas.
En última instancia, la clave del éxito futuro radica en la previsión y la planificación estratégica. Al abordar el riesgo cuántico, las empresas pueden asegurarse de que su infraestructura de seguridad siga siendo sólida y resiliente frente a las amenazas tecnológicas emergentes.
