La gestión de la criptografía ha sido tradicionalmente una cuestión compleja y poco gestionada. En general, las empresas no pueden modificar rápidamente sus algoritmos criptográficos.
El impacto de la computación cuántica en la criptografía plantea una grave amenaza para la sostenibilidad de una sociedad digital segura. Este riesgo podría materializarse cuando exista una computadora cuántica suficientemente potente, estimada para la década de 2030 si no se acelera el desarrollo; o antes, debido a la aparición de vulnerabilidades no identificadas previamente, o mejoras en el criptoanálisis clásico.
Existe un gran esfuerzo global por estandarizar y adoptar la criptografía segura frente a la computación cuántica, así como por mejorar la gestión de la criptografía en las organizaciones. Este esfuerzo también se refleja en diversas normativas, que establecen en 2025 los primeros hitos de mejora y transición.
"Lo que tenemos que hacer es prepararnos para cambiar la criptografía que va a ser vulnerable frente a los ordenadores cuánticos por una criptografía que podamos utilizar con nuestros ordenadores igual que hacemos hoy pero que sea segura frente a los computadores cuánticos; eso se llama criptografía postcuántica", explica Jaime Gómez, responsable de Tecnologías Cuánticas de Banco Santander.
Un problema muy ligado a la ciberseguridad, por lo que se trabaja conjuntamente para evolucionar hacia una criptografía segura frente a la computación cuántica. Una tarea en la que están involucrados todas las grandes entidades y organismos del mundo porque, recuerda Gómez, "esto no es una cuestión competitiva, sino que afecta a toda la sociedad digital en su conjunto".
¿Cual es el riesgo?
La sociedad digital puede operar de forma segura en Internet gracias al uso generalizado de técnicas criptográficas. Cada compra que hacemos, cada mensaje que enviamos, cada transacción bancaria que realizamos está protegida por criptografía. La criptografía proporciona garantías de autenticación, integridad y confidencialidad en nuestras comunicaciones y procesos digitales.
El desarrollo de ordenadores cuánticos, que pueden aportar enormes ventajas en numerosos campos, supone una amenaza para la criptografía. Se espera que a lo largo de la década de 2030, si no antes, pueda haber un ordenador cuántico capaz de romper algoritmos fundamentales de la criptografía utilizada hoy en día para asegurar nuestras comunicaciones, nuestra privacidad y la sociedad digital en general.
Este riesgo ha llevado a la búsqueda de alternativas criptográficas seguras a la computación cuántica para reemplazar algoritmos vulnerables. La principal línea de trabajo en este sentido es la estandarización de la criptografía poscuántica liderada por el NIST (National Institute of Standards and Technology, EE.UU.). Este proceso, iniciado en 2016, publicará a mediados de 2024 nuevos estándares criptográficos que sustituirán a los actuales.
Pero la existencia de normas de sustitución es sólo una parte de la solución. Algunos de los principales desafíos para la adopción de los nuevos estándares son:
- Complejidad: Reemplazar algoritmos criptográficos es una tarea extremadamente compleja que tradicionalmente ha tardado años o incluso décadas en completarse. Es fácil encontrar algoritmos criptográficos obsoletos que se utilizan en numerosas industrias.
- Plazos: El camino crítico del proyecto de transición está marcado no solo por la duración del proceso de migración, sino también por el tiempo durante el cual se debe mantener segura la información. Por ejemplo, los chips que se instalan en un automóvil que puede estar circulando dentro de 15 años deberían considerar el riesgo de la computación cuántica actual.
- Inacción: La percepción de que se trata de un riesgo que se materializará en el largo plazo puede retrasar la adopción de medidas decisivas para abordarlo a tiempo. Sin embargo, la realidad es muy diferente: varios requisitos regulatorios exigen acciones concretas para 2025.
¿Cuáles son las principales acciones globales?
El gobierno estadounidense ha tomado medidas muy decididas para liderar el futuro de la tecnología cuántica y proteger la ciberseguridad:
- Lidera la estandarización de la criptografía poscuántica.
- Ha tomado acciones ejecutivas para mejorar la gestión de criptografía en sus agencias de inmediato (NSM-10, M-23–02)
- Ha diseñado un plan muy agresivo para la transición de sus agencias a criptografía segura (CSNA2)
La nueva política CSNA2 exige que las agencias gubernamentales utilicen la criptografía por defecto desde 2025 y hayan abandonado el uso de la criptografía clásica en 2033. Esto es una demostración de que no se trata de una tarea a largo plazo, sino de un proyecto complejo que debe iniciarse de inmediato.
Los gobiernos de Canadá, Alemania, Reino Unido, Francia y Países Bajos también son muy activos en el desarrollo de recomendaciones, principalmente dirigidas a facilitar el proceso de transición.
En España, el Centro Criptológico Nacional ha publicado una guía de recomendaciones para la transición.
En Europa, la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA) y la Autoridad Europea de Valores y Mercados (ESMA) han presentado recientemente a la Comisión propuestas de normas técnicas en el marco de DORA que, entre otras medidas, buscan mejorar la gestión criptográfica en el sector financiero.
El WEF ha publicado varias recomendaciones basadas en consultas con expertos globales, incluidos los del Grupo Santander: "Quantum Security for the Financial Sector: Informing Global Regulatory Approaches" (1/2024), "Quantum Readiness Toolkit: Building a Quantum-Secure Economy" (6/2023) y "Transición a una economía cuántica segura" (9/2022).
El estándar de seguridad de la información de la industria de tarjetas de pago, PCI-DSS 4.0 (requisito 12.3.3), requiere la implementación de procesos mejorados de gestión de criptografía para principios de 2025.
Los proyecto actuales parten de la premisa de que "los ordenadores cuánticos actuales son demasiados pequeños para realizar cálculos útiles para los científicos y las empresas, son muy frágiles porque cualquier influencia del entorno destruye la información cuántica, y además la conectividad entre los cúbits que los forman es muy limitada", explica Muñoz. Por eso, la investigación pretende desbloquear esta situación estudiando sistemas alternativos a los actuales, lo que, espera, "permita reducir el tiempo y los recursos computacionales necesarios para hacer los cálculos".
Fuente: Be-Tech - Santander