Criptografía cuántica: arma de doble filo en la ciberseguridad empresarial
La criptografía post cuántica se impone como una medida de seguridad para las empresas contra futuros ciberataques.
Recientemente, el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos presentó borradores de estándares que marcarán un hito en la protección contra futuros ciberataques cuánticos. Los proyectos incluyen estándares para algoritmos de cifrado como CRYSTALS-KYBER, CRYSTALS-DILITHIUM y SPHINCS+, los cuales están sujetos a un periodo de comentarios de 90 días a partir del 24 de agosto de 2023.
Esta es una medida esencial para resguardar la seguridad en la era de las computadoras cuánticas. Después de haber seleccionado cuatro algoritmos capaces de resistir los ataques de estas futuras máquinas, el NIST ha iniciado el proceso de estandarización, último paso antes de poner a disposición de organizaciones en todo el mundo estas herramientas matemáticas para integrarlas en sus infraestructuras de cifrado. A su vez, el NIST hace un llamado a la comunidad criptográfica global para proporcionar retroalimentación sobre estos proyectos provisionales hasta el 22 de noviembre de 2023.
Dustin Moody, matemático del NIST y líder del proyecto, señaló: "Estamos cerca de ver la luz al final del túnel, donde las personas tendrán estándares que podrán usar en la práctica. Por el momento, estamos solicitando comentarios sobre los borradores. ¿Es necesario realizar cambios? ¿Hemos omitido algo?", se lee en el comunicado.
Uniendo fuerzas con el NIST y el Grupo de Trabajo de Ingeniería de Internet (IETF), DigiCert ha asumido un papel crucial en la validación y revisión activa de estos estándares de criptografía post cuántica. La visión de DigiCert es clara: estos nuevos algoritmos deben ser incorporados en protocolos esenciales como TLS/SSL, S/MIME y SSH, para fortalecer la seguridad en un futuro donde las computadoras cuánticas podrían amenazar la protección actual de los datos.
Estos protocolos desempeñan un papel crucial al garantizar la seguridad y confidencialidad de la información en entornos digitales. Permiten la protección de la comunicación, transacciones y acceso a sistemas, asegurando que la información sensible esté resguardada ante posibles amenazas y ataques.
El proceso de desarrollo de algoritmos resistentes a la computación cuántica comenzó en 2016, cuando el NIST convocó a expertos criptográficos de todo el mundo para presentar candidatos para el Proyecto de Estandarización de Criptografía Post Cuántica. Las publicaciones actuales corresponden a borradores de Estándares Federales de Procesamiento de Información (FIPS) sobre tres de los cuatro algoritmos seleccionados en julio de 2022:
- CRYSTALS-Kyber, diseñado para propósitos generales de encriptación como la creación de sitios web seguros, se encuentra en FIPS 203.
- CRYSTALS-Dilithium, diseñado para proteger las firmas digitales utilizadas en la firma remota de documentos, se encuentra en FIPS 204.
- SPHINCS+, también diseñado para firmas digitales, se encuentra en FIPS 205.
- FALCON, también diseñado para firmas digitales, tendrá su propio borrador FIPS en 2024.
Después de un meticuloso proceso de siete años, el NIST ha presentado borradores de estándares que marcarán un hito en la protección contra futuros ciberataques cuánticos, en un contexto donde el valor del mercado de la seguridad cuántica va en aumento.
Según cifras de Statista, el mercado de la seguridad cuántica estaba valorado en poco menos de 500 millones de dólares estadounidenses en 2022, y las previsiones sugieren que es probable que aumente a 9,800 millones de dólares hacia 2030. La mayor parte de los ingresos de la seguridad cuántica se generan por la seguridad post cuántica o criptografía.
Sin embargo, esta evolución tecnológica también trae consigo desafíos. La implementación de algoritmos post cuánticos seguros es ya una necesidad, debido a que la llegada de las computadoras cuánticas podría exponer la vulnerabilidad de los sistemas criptográficos actuales. Los ciberdelincuentes podrían anticipar este punto y recopilar datos cifrados con la intención de descifrarlos más tarde, aprovechando la potencia de las computadoras cuánticas.
La seguridad cuántica abarca la aplicación de principios y técnicas de la mecánica cuántica para proteger la información y las comunicaciones en un entorno en el que la computación cuántica puede representar una amenaza para los sistemas criptográficos clásicos. La seguridad cuántica busca desarrollar métodos y protocolos que sean resistentes a los ataques realizados con la potencia de cálculo de las computadoras cuánticas.
En el mes de julio, por ejemplo, el European Policy Center hizo un llamado a la Unión Europea a prepararse para los ciberataques cuánticos con un plan de acción coordinado debido a las amenazas a la seguridad de las actividades en línea que implica el desarrollo de los avances en computación cuántica.
El documento plantea cómo dichos avances plantean una amenaza para la ciberseguridad de Europa, ya que vuelven obsoletos los sistemas de cifrado actuales y presentan nuevos desafíos en esta área, según lo expuesto por Andrea Rodríguez, investigadora principal para la agenda digital europea en el think tank belga European Policy Centre.
Los expertos anticipan que esta situación podría materializarse en los próximos cinco a diez años, lo que potencialmente dejaría expuesta toda la información digital a posibles acciones maliciosas debido a las debilidades en los protocolos de cifrado actuales. Para que Europa aborde seriamente sus objetivos en términos de ciberseguridad, Rodríguez argumenta que es esencial establecer una agenda para la ciberseguridad cuántica.
La urgencia de esta situación ha llevado a que empresas como Google replanteen sus estrategias de seguridad, como recientemente lo hizo con el desarrollo de un nuevo algoritmo de encriptación resistente a la computación cuántica, que tiene como objetivo fortalecer la seguridad del estándar industrial FIDO2, que es un conjunto de estándares respaldado por empresas líderes en tecnología como Google y Microsoft, y que promueve la autenticación segura en línea sin depender de contraseñas convencionales. Aunque FIDO2 es altamente seguro, enfrenta una posible amenaza a largo plazo de la computación cuántica, que podría comprometer los sistemas criptográficos actuales.
El nuevo algoritmo “Dilithium”, desarrollado por Google es una forma de encriptación resistente a la computación cuántica, diseñada para proteger las claves de seguridad utilizadas en FIDO2. Estas claves son elementos fundamentales en la autenticación sin contraseña, como las passkeys. La encriptación resistente a la computación cuántica busca prevenir futuros ataques de sistemas cuánticos sobre la criptografía actualmente segura.
Aunque los ataques cuánticos todavía son una amenaza lejana, Google reconoce la importancia de implementar medidas de seguridad resilientes cuanto antes. Dado que la implementación a escala de internet es un proceso desafiante, Google destaca la necesidad de adelantarse a los posibles riesgos. El proceso de transición hacia la criptografía post cuántica (PQC, por sus siglas en inglés) será gradual, ya que los usuarios deberán adquirir nuevas claves de seguridad compatibles con los cambios realizados en FIDO2.
A pesar de que la criptografía cuántica promete ser una llave maestra en la ciberseguridad futura, su adopción también exige un cambio de paradigma para las empresas. La necesidad de prepararse para el momento en que las computadoras cuánticas podrían poner en peligro los sistemas criptográficos actuales, se vuelve más urgente que nunca.
