En febrero de 2025, se aborda la creciente preocupación sobre la amenaza que la computación cuántica representa para la criptografía actual, la cual es esencial para mantener la seguridad de la información y sistemas de tecnología de la información (TI) frente a actores maliciosos. Aunque en la actualidad no existen computadoras cuánticas lo suficientemente poderosas como para descifrar información criptografiada, se anticipa que para la década de 2030 podría surgir tal capacidad. Por tanto, las organizaciones deben prepararse para actualizar sus sistemas de TI y protegerse contra esta amenaza emergente.
La seguridad cibernética depende de dos aspectos fundamentales de la criptografía: el cifrado y la autenticación. El cifrado es vital para proteger la confidencialidad de los datos, ya que los actores de amenazas podrían almacenar información cifrada hoy en día y descifrarla en el futuro con computadoras cuánticas. Esto plantea un riesgo especial para la información que tiene una larga vida útil, creando la amenaza conocida como “cosecha ahora, descifrar más tarde”.
La autenticación, por otro lado, garantiza la integridad de la información, asegurando que no haya sido alterada y que provenga de una fuente confiable. Con el desarrollo de computadoras cuánticas potentes, los actores maliciosos podrían suplantar sistemas de confianza para distribuir software falso o obtener acceso no autorizado a sistemas.
Para mitigar estos riesgos, se sugiere la transición a soluciones de criptografía post-cuántica (PQC), diseñadas específicamente para ser resistentes a los ataques mediados por computadoras cuánticas, aunque puedan ejecutarse en sistemas convencionales. La PQC incluye algoritmos que se utilizan para establecer claves de cifrado y esquemas de firma digital. Se prevé que muchos proveedores de software y servicios en la nube integren soporte para PQC en sus productos. Sin embargo, antes de implementarse, deben estandarizarse y validarse estos algoritmos por entidades como el Instituto Nacional de Estándares y Tecnología (NIST), que ya ha publicado un set inicial de estándares para PQC en agosto de 2024.
Las organizaciones deben tomar varios pasos para gestionar los riesgos asociados con la computación cuántica. Entre ellos se incluyen:
-
Inventario Criptográfico: Identificar todos los sistemas, aplicaciones y componentes de seguridad que requieren transición a métodos criptográficos más seguros.
-
Manejo de Sistemas Legados: Establecer un enfoque para proteger sistemas más antiguos que no puedan ser actualizados.
-
Evaluación de Información Sensible: Realizar evaluaciones de riesgo para identificar información crítica que necesita protección a largo plazo.
-
Planificación del Ciclo de Vida de TI: Preparar planes para la transición a sistemas PQC tan pronto como estén disponibles, incluyendo presupuestos para actualizaciones.
-
Educación sobre Amenazas Cuánticas: Incrementar la conciencia sobre las amenazas emergentes de computación cuántica y los avances en tecnología.
-
Consulta a Proveedores: Verificar los planes de implementación de PQC con sus proveedores de sistemas.
- Garantía Criptográfica Estándar: Asegurarse de que los proveedores utilicen criptografía estandarizada validada.
Además de la PQC, se mencionan soluciones alternativas como el Establecimiento de Clave Simétrica (SKE) y la Distribución de Clave Cuántica (QKD), que, a pesar de ofrecer garantías adicionales, pueden conllevar complejidades y costos elevados.
Por último, el Centro Cibernético de Canadá está tomando medidas para asesorar a los gobiernos y sectores críticos sobre la amenaza cuántica y colaborar en la implementación de PQC en los sistemas de TI gubernamentales, además de participar en la consulta con organismos de estándares internacionales para asegurar la protección de la seguridad y privacidad de los canadienses.