Desafíos de la criptografía postcuántica para las organizaciones

En el ámbito de la tecnología, la interacción entre innovación y vulnerabilidades es constante y vertiginosa. La llegada de la computación cuántica es una prueba más de eso, ya que promete tanto una potencia de cálculo sin precedentes como una nueva amenaza para la criptografía clásica. En base a las recomendaciones iniciales realizadas recientemente por los principales organismos de seguridad y estandarización de los Estados Unidos, este post se adentra en el ámbito de la preparación cuántica, examinando el imperativo de que las organizaciones planifiquen de forma proactiva la migración a estándares criptográficos post-cuánticos (PQC).

La cuestión cuántica y la criptografía

En el panorama tecnológico actual, en rápida evolución, el campo de la ciberseguridad se enfrenta a un reto sin precedentes: la aparición de capacidades de computación cuántica. En el corazón de la revolución se encuentra el enigma de los “bits cuánticos” o cúbits, estos poseen la capacidad de existir en múltiples estados simultáneamente. Aprovechando esta superposición y el entrelazamiento cuántico, las computadoras cuánticas tienen el potencial de resolver problemas complejos a velocidades que podrían revolucionar sectores que van desde el descubrimiento de fármacos a la modelización de sistemas complejos. Estas proezas plantean un grave desafío a la criptografía clásica.

Los algoritmos y sistemas de clave pública empleados actualmente, como RSA, Curva Elíptica de Diffie-Hellman (ECDH) y Algoritmo de Firma Digital de Curva Elíptica (ECDSA), tienen la particularidad de que su fortaleza depende de la “intratabilidad” de los problemas matemáticos. Por otro lado los algoritmos cuánticos, como el algoritmo de Shor, podrían desarmar estos problemas con una sencillez desconcertante, dejando vulnerables los datos cifrados con dichos algoritmos. Esta amenaza obliga a hacer evolucionar los paradigmas criptográficos para evitar una posible crisis digital.

En Estado Unidos, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), en colaboración con la Agencia de Seguridad Nacional (NSA) y el Instituto Nacional de Normas y Tecnología (NIST), reconocen la necesidad de que las organizaciones, en particular las que prestan apoyo a Infraestructuras Críticas, se preparen para los posibles impactos de la computación cuántica en la seguridad criptográfica.

Accionables para las empresas

En respuesta a la inminente amenaza, la comunidad criptográfica mundial se ha embarcado en la búsqueda de soluciones cuánticamente resistentes, dando origen a la criptografía postcuántica. Para esto, los investigadores están ideando algoritmos de cifrado que siguen siendo seguros incluso en presencia de adversarios con capacidades de computación enormes. Estos algoritmos criptográficos postcuánticos generan problemas matemáticos de mayor complejidad para su resolución, lo que para ofrecer garantías de seguridad que trascienden el ámbito cuántico.

Aunque se prevé que el marco concreto de las normas PQC surja en torno a 2024, las organizaciones están invitadas a iniciar las medidas de preparación, con un plan propuesto por los organismos antes mencionados, este incluye 5 ámbitos de trabajo y se explican a continuación.

La preparación cuántica no es un esfuerzo solitario, sino que exige un enfoque multidisciplinar. Las organizaciones deben reunir equipos interfuncionales formados por expertos en criptografía, arquitectos de sistemas y especialistas en gestión de riesgos. Estos equipos pueden forjar una hoja de ruta de preparación que esboza la trayectoria para migrar a las normas PQC. Esta hoja de ruta general servirá como guía, orientando a la organización a través de la transición.

El núcleo de este mapa reside en la comprensión exhaustiva de los sistemas criptográficos que actualmente sustentan la infraestructura de la organización, lo que implica una evaluación de los algoritmos, protocolos y sistemas que son vulnerables a los ataques cuánticos. Los expertos en criptografía desempeñan un papel clave a la hora de identificar los puntos débiles y de proponer alternativas resistentes a dichos ataques. Una vez identificadas las áreas vulnerables, la colaboración entre estos y los ingenieros de software será el paso natural. El equipo debe trabajar para investigar, desarrollar y probar algoritmos criptográficos post-cuánticos que puedan sustituir a los métodos actuales. Un análisis y validación rigurosos permitirán garantizar la eficacia y la seguridad de estos nuevos algoritmos frente a adversarios tanto clásicos como cuánticos.

En paralelo, los arquitectos de sistemas y especialistas en gestión de riesgos trabajarán para integrar estos nuevos métodos criptográficos en la infraestructura, lo que requiere una evaluación de las implicaciones de la implementación, garantizando que estos nuevos algoritmos se integren en los sistemas existentes, sin comprometer el rendimiento. El plan debe además incluir hitos para la selección de algoritmos, el diseño, la implementación, las pruebas y el despliegue. También debe abarcar una fase de supervisión y actualización continuas, reconociendo que el panorama es dinámico y evolutivo, y se debe ser flexible como para admitir retos y avances imprevistos. Este primer gran paso representa el esfuerzo colectivo de diversos equipos hacia el objetivo de la resiliencia criptográfica, para un futuro no muy lejano en el que los activos digitales permanezcan seguros, incluso frente a ataques impulsados por las tecnologías cuánticas.

La creación de un inventario de tecnologías vulnerables a la cuántica dista de ser un ítem de verificación del checklist; es más bien un movimiento estratégico. Este repositorio criptográfico potencia la preparación en múltiples frentes. En primer lugar, identifica las vulnerabilidades, lo que permite a las organizaciones obtener visibilidad y centrar sus esfuerzos en reforzar los puntos débiles. En segundo lugar, orienta la transición hacia una arquitectura “Zero Trust”, garantizando que los posibles puntos de acceso estén fortificados contra los adversarios. En tercer lugar, mejora la comprensión del acceso a datos externos, lo que permite adoptar medidas proactivas para proteger estos puntos de entrada. Por último, el inventario ayuda a anticipar posibles objetivos de datos, facilitando la adopción de medidas proactivas.

Las herramientas de descubrimiento (discovery) criptográfico se requieren para identificación de vulnerabilidades en las distintas capas del conjunto de tecnologías, desde los protocolos de red hasta los sistemas de usuario final, y dependencias en el código fuente. Vale mencionar que las herramientas de descubrimiento pueden no ser capaces de identificar los elementos integrados internamente en los productos, lo que dificulta el proceso. Dicho inventario criptográfico habilita la evaluación estratégica de riesgos y la asignación de recursos, y se debe asegurar de correlacionarlo con los inventarios disponibles de los programas y tecnologías existentes, tales como el inventario de activos de información, sistemas de IAM (Identity, Credential, and Access Management), sistemas de EDR (Endpoint Detection and Response) y demás, para proporcionar una visión panorámica del estado de la organización, reforzando la evaluación de los riesgos. La identificación de las áreas en las que los datos sensibles corren un mayor riesgo informa las estrategias, mientras que el tratamiento de los elementos vulnerables en los procesos críticos mejora la resistencia. En última instancia, el papel del inventario se extiende a informar directamente las evaluaciones de riesgos, garantizando la adopción oportuna de normas de criptografía post cuántica (PQC).

A partir de lo anterior, queda en evidencia que un plan y una hoja de ruta bien elaborados deben describir cómo tienen previstos los proveedores actuales de la organización migrar a soluciones PQC, con plazos suficientes para llegar a probar los algoritmos, y su integración en los productos. Esto se aplica a los productos comerciales estándar, llamados también COTS (commercial-off-the-shelf) tanto para entornos locales (on premise) como a los basados en la nube. Lo ideal sería que los proveedores publicaran su propia hoja de ruta del PQC, en la que enmarquen su compromiso con la implantación de la criptografía post cuántica. Por su parte, los organismos de estandarización, reguladores y agencias deben instar a las organizaciones a planificar de forma proactiva los cambios necesarios en los contratos existentes y futuros. Deben tenerse en cuenta consideraciones para garantizar que los nuevos productos se entreguen con PQC incorporado, y que los productos más antiguos se actualicen con PQC para cumplir los plazos de transición.

La resiliencia cuántica es un esfuerzo colectivo que va más allá de los límites organizativos. Entablar un diálogo con los proveedores de tecnología fomenta un entendimiento compartido de las estrategias de preparación. Las organizaciones deben indagar no solo en los plazos, sino también en mecanismos de integración de los proveedores, y esta exploración es especialmente pertinente para los sistemas críticos y las aplicaciones heredadas.

La intrincada red de las cadenas de suministro modernas amplifica la amenaza. Las organizaciones deben poder navegar este laberinto trazando las dependencias de la criptografía vulnerable a la cuántica dentro de sus sistemas y entre sus socios e interesados a través de toda la cadena. Forjar asociaciones de colaboración con los proveedores, en particular para los servicios basados en la nube, garantiza la alineación con los principios de preparación. Esto requiere priorizar los sistemas de alto impacto, los sistemas de control industrial (ICS) y los sistemas con necesidades de mayor nivel de confidencialidad a largo plazo. Una vez identificados los riesgos en los elementos y componentes criptográficos, se puede pasar a identificar el riesgo para los datos o funciones que dependen de esas tecnologías.

Es posible que todo esto genere costos adicionales, que no han tenido que ser tomados en cuenta hasta el momento, pero deben ser incluidos en la gestión del riesgo, tanto técnico como operacional, y de todos los aspectos del negocio.

Como se mencionó, la odisea de la preparación cuántica se extiende a los proveedores de tecnología, que desempeñan un papel fundamental en la protección del panorama digital. Gracias a los conocimientos adquiridos con las normas preliminares del PQC, los proveedores pueden recalibrar sus productos para adaptarlos a la inminente realidad. Este enfoque proactivo, unido a los principios de seguridad por diseño (secure by design) fortalece la esfera digital frente a las vulnerabilidades de origen cuántico.

En efecto, es un momento de la historia en que los fabricantes y vendedores de tecnología y servicios tienen la oportunidad de erigirse como innovadores y promotores del cambio. Este proceso no es un mero esfuerzo técnico, sino que encarna el compromiso de fortalecer las defensas digitales contra las nuevas amenazas. Aunque el horizonte cuántico está caracterizado por la incertidumbre, el calendario de acción es cada vez más discernible, y es más conveniente subirse al barco temprano, que tarde, pues el costo puede ser demasiado alto.

Conclusiones

En la narrativa en desarrollo de la era cuántica, las organizaciones deben estar a la altura de las circunstancias y fortificar su protección digital contra los desafíos que se avecinan. La criptografía resistente a la computación cuántica emerge como respuesta en medio de un panorama de amenazas que evoluciona a gran velocidad. Al embarcarse los pasos señalados, las empresas pueden comenzar a construir defensas contra los adversarios del futuro. Siendo que la cuenta atrás para la presentación de las normas PQC del NIST está en marcha, las organizaciones están naturalmente invitadas a embarcarse en el viaje preparatorio. En una era en la que las fronteras entre los mundos clásico y cuántico se empiezan a difuminar, las empresas tienen la oportunidad de hacer la diferencia desde el inicio. El futuro toca la puerta, y la llamada a una ciberseguridad preparada para afrontar estos desafíos es cada día más necesario.