La encriptación cuántica, que en su día fue una teoría de ciencia ficción de vanguardia, junto con la potencia de cálculo que la impulsa, puede estar cerca de su implantación a gran escala. Cuando se ponga en marcha, todos los estándares criptográficos anteriores utilizados para proteger nuestros datos podrían esfumarse.
Toda herramienta que podría cambiar el mundo conlleva cuestiones de escala y despliegue masivo. ¿Está preparada para ser utilizada a gran escala? ¿Cómo deben prepararse los responsables de la seguridad de la información (CISO) para este gran cambio?
Cifrado cuántico 101
En pocas palabras, la computación cuántica nos permite hacer más en menos tiempo. La computación ya no es binaria entre ceros y unos; todo lo que está en medio es un juego justo. En lugar de bits, tenemos bits cuánticos, o qubits, que permiten realizar cálculos complejos y multidimensionales.
A efectos de encriptación, la computación cuántica permitiría a un atacante reducir el tiempo necesario para descifrar un código. Las agencias gubernamentales trabajan en la computación cuántica con este fin. Por lo tanto, a medida que salimos del espacio teórico, la cuestión que debe preocupar a los CISO es menos «si» y más «qué tengo que hacer y para cuándo».
Cómo prepararse para poner a prueba su negocio
¿Cómo pueden los CISO, los gestores de riesgos y todos los interesados proteger sus datos en el mundo post-cuántico?
La protección a prueba de cuántica debería estar en su radar a medio y largo plazo. Su longevidad a corto plazo como CISO probablemente dependerá de que su entorno sea seguro desde el punto de vista cuántico. Se esperan grandes cambios en los próximos tres a cinco años (aunque algunos sostienen que faltan 50 años). Es su decisión cómo colocar su apuesta.
Si está en medio de una transformación digital o se está preparando para ella y la mejora de sus estándares criptográficos no forma parte de su plan, cambie su plan para hacerlo. Si aún no lo ha hecho, empiece a identificar los datos en función de los estándares criptográficos en uso. Pronto descubrirá por qué es importante.
Soluciones resistentes al quantum en la actualidad
En algún momento de 2022, se espera que el Instituto Nacional de Normas y Tecnología (NIST) publique normas actualizadas sobre algoritmos. Una de las normas criptográficas existentes, la AES-256, podría proporcionar ya protección criptográfica post-cuántica. Hay que tomar decisiones de negocio y, con las nuevas normas que saldrán en breve, esperar esa lista. Se espera que salgan más en 2024, así que conozca nombres como CRYSTALS-Kyber y CRYSTALS-Dilithium como posibles algoritmos considerados seguros desde el punto de vista cuántico.
Además, algunas investigaciones demuestran que se necesitan 6.600 qubits lógicos con corrección de errores para romper el cifrado AES-256. En el momento de escribir este artículo, la industria probablemente se encuentre en el rango de los 1.000 qubits, pero la hoja de ruta cuántica de IBM indica que se necesitarán más de 4.000 qubits en 2025 y que se llegará a los 100.000 en 2026. ¿Realmente quieres invertir un montón de recursos en algo que podría ser obsoleto en tres o cuatro años?
Todavía estamos en 2022, así que no es que el típico actor de la web oscura haya puesto en marcha una serie de ordenadores cuánticos y esté en un frenesí de ataque. Si alguien está utilizando la computación cuántica como parte de un ataque, es probable que esté respaldado por un Estado-nación. Por lo tanto, tiene tiempo para investigar, revisar los nuevos resultados y planificar sabiamente para minimizar el riesgo de su negocio y mejorar la resistencia de su organización.
Pero no se deje engañar: esto está ocurriendo. Los gobiernos tienen la criptografía post-cuántica en el radar. En enero, la Casa Blanca emitió un memorando en el que ordenaba a las agencias federales que comenzaran a planificar la modernización de la seguridad cuántica.
¿Cómo es la preparación?
Hasta que descubra cómo es su plan de transformación a prueba de cuántica, hay dos tareas que puede llevar a cabo de inmediato:
- Comprender y etiquetar sus datos.
- Catalogar su criptografía actualmente en uso.
Como cuestión de buena ciber higiene, debe conocer y etiquetar sus datos. Los sistemas de registro mal gestionados son un eslabón débil en cualquier plan, cuántico o no. No hay nada llamativo en mantener actualizada una base de datos de gestión de la configuración o en clasificar correctamente sus datos. Sin embargo, si se toma en serio la mejora de su postura de ciberseguridad, limpie sus fuentes de datos.
Como parte de esa limpieza, cree un catálogo de sus estándares de criptografía desplegados. Examine los datos en tránsito y en reposo. Es posible que en algunos círculos se hable de esta catalogación como «inventario criptográfico». Saber qué normas tiene en vigor le ayudará a saber cuáles de sus fuentes de datos corren más riesgo de sufrir ataques cuánticos. Unas normas menos estrictas suponen un mayor riesgo.
Primeros pasos en un camino más largo
El etiquetado de los datos y la catalogación de su criptografía no pondrán fin a su viaje de seguridad cuántica, pero lo iniciarán correctamente. Además, tendrá la ventaja de mejorar su postura de ciberseguridad actual. Es una situación en la que todos ganan. Ponga estas tareas en primer lugar, proporcione los recursos adecuados detrás de ellas y ya estará en el camino de reducir su riesgo.
Fuente WEB | Editado por CambioDigital Online
