La industria de la ciberseguridad lleva mucho tiempo trabajando en cómo prepararse para las amenazas que se avecinan, y pocas han llamado tanto la atención como la computación cuántica. La viabilidad de la tecnología cuántica para descifrar el cifrado más difícil de la actualidad ha inspirado una serie de informes y notas de asesoramiento.
La orientación oficial de organizaciones como el NCSC ha hecho que la tecnología cuántica ocupe un lugar más alto en la agenda y, como resultado, a los CISO se les hace cada vez más la misma pregunta: ¿Estamos preparados para un futuro cuántico?
CEO y cofundador de ThreatAware.
Es una pregunta justa, porque la computación cuántica eventualmente forzará un cambio fundamental en la forma en que protegemos los datos confidenciales. Pero finalmente las palabras clave. Las estimaciones más creíbles sitúan ese momento entre principios y mediados de la década de 2030.
El artículo continúa a continuación.
Si bien la tecnología cuántica es una amenaza que llama la atención, también es la última de una tendencia constante en la que corremos el riesgo de pasar por alto los fundamentos de seguridad actuales en favor de centrarnos en las amenazas del mañana.
Es cierto que no podemos ignorar por completo las amenazas futuras, pero eso no puede ocurrir a expensas de distraernos de violaciones reales y muy evitables que están ocurriendo en este momento.
Después de todo, casi todos los ataques cibernéticos importantes de la última década han tenido una cosa en común: en algún punto de la cadena de ataque ha habido una brecha en la higiene cibernética básica.
Separar las amenazas reales de las distracciones brillantes
La computación cuántica es una consideración seria a largo plazo. Y en la superficie, una reunión sobre amenazas cuánticas teóricas ciertamente puede resultar más interesante que una que cubra cuestiones más rutinarias como la implementación de EDR y la mejora del uso de MFA.
La industria de la ciberseguridad, y la industria tecnológica en general, deben estar siempre atentas a la próxima gran novedad. Los macrodatos dominaron la agenda hace unos años; por ejemplo, la IA ha pasado a ocupar un lugar central y la tecnología cuántica está en el horizonte.
Anticipar lo que sigue es importante, pero no puede lograrse a expensas de eclipsar los desafíos que enfrentan las organizaciones ahora.
La madurez estratégica no se trata de reacciones en los titulares; Se trata de clasificar el riesgo proporcionalmente.
Antes de debatir cómo defenderse contra una máquina que aún no existe a escala, las organizaciones deberían hacerse una pregunta simple: ¿Estamos seguros de haber cerrado las puertas por las que los atacantes pasan todos los días?
Los delincuentes de hoy están explotando fallas de seguridad fundamentales.
La amenaza inminente no debe ignorarse por completo; la mayoría de las empresas no deberían centrarse en ella por encima del resto de sus prioridades de seguridad. Por ejemplo, más del 97% de los ataques a la identidad se basarán en contraseñas en 2025, y los ataques basados en la identidad aumentarán en la primera mitad del año.
El actor de amenazas promedio aprovecha credenciales débiles, parches faltantes y fallas de configuración de rutina para lanzar ataques exitosos. Simplemente buscarán puertas abiertas que proporcionen raíz, ya sea una mala aplicación de la MFA, una falta de EDR o un proceso de parcheo lento.
Del mismo modo, la ingeniería social sigue siendo muy eficaz porque funciona, y llevará mucho más tiempo destruir el cifrado con una supercomputadora que manipular un servicio de asistencia técnica para restablecer una contraseña.
La mala higiene cibernética es inmediata, mensurable y explotable proactivamente, por lo que cerrar estas brechas debe ser una prioridad hoy.
La ilusión de seguridad y por qué los fundamentos siguen fallando
Entonces, si estas amenazas son tan familiares, ¿por qué siguen teniendo éxito?
El mayor problema es que muchas organizaciones todavía no tienen claridad sobre qué tan seguro es realmente su entorno. Los paneles de seguridad pueden informar una alta cobertura para la detección de terminales o la autenticación multifactor, pero pocos equipos pueden decir con seguridad cuántos dispositivos o identidades deben protegerse en primer lugar.
“No se puede proteger lo que no se puede ver” es una frase muy usada en la industria de la seguridad, pero sigue siendo dolorosamente relevante.
Por ejemplo, cuando evaluamos por primera vez un entorno de TI, es común ver que los agentes de punto final están marcados como activos aunque hayan fallado silenciosamente. Los parches se retrasan debido a otras prioridades operativas y se otorgan excepciones de acceso al personal superior para el beneficio.
Estos pequeños compromisos se acumulan en la exposición sistémica.
El resultado es una peligrosa ilusión de seguridad: un patrimonio que parece estar bien regulado sobre el papel pero que contiene dispositivos mal administrados, cuentas inactivas y configuraciones erróneas debajo de la superficie.
Dónde debería centrarse el CISO
Si los líderes de seguridad quieren reducir el riesgo del mundo real, el punto de partida no es la hipotética criptografía poscuántica, sino la ejecución ordenada de controles que ya sabemos que previenen las infracciones.
La primera prioridad es hacer que la prevención de infracciones sea mensurable. Cada organización debería poder decir, con evidencia, si se ha aplicado MFA en todas las cuentas de usuario, si se ha implementado la detección de puntos finales en todos los dispositivos dentro del alcance y si se han aplicado parches críticos dentro de los plazos definidos.
Si no se puede medir correctamente, no se puede gestionar de forma eficaz.
En segundo lugar, elimine los puntos ciegos. Los inventarios de activos deben reflejar qué dispositivos están conectados y acceden a los sistemas corporativos de manera continua, no lo que se registró durante la última auditoría, cuando se debe verificar que los controles sean funcionales, no solo instalados.
Un solo dispositivo no administrado o una cuenta obsoleta pueden costar millones de libras gastadas en herramientas avanzadas.
Por último, es necesario elevar la prevención al nivel de la junta directiva. Las juntas directivas deberían preguntarse no sólo con qué rapidez se detectan los incidentes, sino también con qué coherencia se reducen las exposiciones. El desempeño de la prevención debe informarse con el mismo rigor que las métricas financieras.
Sólo una vez que estos cimientos estén firmemente establecidos tendrá sentido prestar mucha atención a la próxima ola de cambios criptográficos.
Planifica el futuro pero no pierdas el foco
Nada de esto es un argumento para ignorar los riesgos futuros. La preparación inteligente es esencial y hay varios pasos a seguir hoy.
Las organizaciones deben identificar dónde está integrada la criptografía en sus sistemas, comprender los plazos de retención de datos y monitorear la orientación de los organismos de normalización y las agencias gubernamentales.
La planificación del descubrimiento y la hoja de ruta ahora hará que la transición final sea más fluida, y estos pasos también mejorarán la protección contra las amenazas actuales.
El liderazgo en materia de seguridad tiene que ver, en última instancia, con la proporcionalidad. Si bien los actores avanzados que se preparan para las capacidades cuánticas están preocupados por la estrategia de “cosechar ahora, descifrar después”, todavía están recopilando datos utilizando las mismas técnicas familiares.
Es lógico; Están explotando cuentas desatendidas, puntos finales desprotegidos y fallas de procesos básicos. Las posteriores oleadas de violaciones en los meses y años venideros son mucho más probables que los riesgos visibles, mensurables y prevenibles.
Hemos presentado el mejor software antivirus.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
