Todo lo viejo vuelve a ser nuevo. Hace varios años, los equipos de ciberseguridad de todo el mundo, desde la NSA hasta pequeñas empresas emergentes de tecnología financiera, enfrentaron una nueva amenaza que parecía sacada directamente de la ciencia ficción.
Se está desarrollando una tecnología que hará que el cifrado que protege cada activo digital, desde su correo electrónico hasta sus datos bancarios, sea tan fácil de clasificar como un revoltijo de palabras en un menú infantil.
El mundo se unió y enfrentó esta amenaza, se desarrollaron nuevas formas de encriptación y aunque la tecnología en cuestión aún no se ha desarrollado los expertos del mundo están convencidos de que no existe ninguna amenaza.
Ese problema era la criptografía cuántica, algo de lo que se hablaba en toda la industria de la seguridad hace apenas unos años y que ahora es apenas un murmullo.
Co-CEO y Socio de CONCRYT
El surgimiento del modelo Claude Mithos de Anthropic ha puesto un nuevo tema en la agenda de todos aquellos que gestionan tecnología crítica para el negocio.
El modelo, lanzado bajo un programa restringido llamado Proyecto Glasswing, identificó miles de fallas de software de alta gravedad en todos los principales sistemas operativos y navegadores.
La propia estructura de la antropología era inusualmente rígida: las mismas capacidades que hicieron que el modelo fuera valioso para la defensa podrían causar graves daños a la economía y la seguridad pública si se extendieran más allá de manos confiables.
Desde proveedores de pagos hasta plataformas bancarias centrales, comerciantes que mueven grandes volúmenes de transacciones y empresas ubicadas en cualquier parte del ecosistema financiero, esta no es una preocupación abstracta.
Es una cuestión de la pila de software que ejecuta, los proveedores en los que confía y las suposiciones que hace sobre cuánto tiempo puede pasar sin descubrir una vulnerabilidad antes de que alguien la active. Es una historia que hemos escuchado antes y nos da una idea de cómo solucionarla.
¿Qué hay realmente nuevo aquí?
La investigación de la vulnerabilidad siempre ha sido un juego asimétrico. Los defensores tienen que tener razón en todas partes y los atacantes tienen que tener razón sólo una vez. A pesar de lo difícil que es, afortunadamente hay pocas filtraciones y exploits importantes, especialmente en la banca y las finanzas.
La IA de vanguardia (nuevos modelos que aún no se han implementado para el público general) podría cambiar la economía de la asimetría. Un modelo que puede leer, razonar y encadenar errores de código base a la velocidad de una máquina comprime el tiempo entre el descubrimiento y la explotación, y reduce el nivel de habilidad de cualquiera que quiera probarlo.
Ese cambio no pasó desapercibido para los responsables de las políticas. En la reunión de primavera del FMI y el Banco Mundial de este mes, altos funcionarios consideraron que el riesgo cibernético generado por la IA era una preocupación proactiva para la estabilidad financiera más que una preocupación futura.
La directora gerente del FMI, Kristalina Georgieva, dijo a CBS News que el mundo carece actualmente de las herramientas para proteger el sistema monetario internacional contra riesgos cibernéticos de esta escala y advirtió que los riesgos están creciendo exponencialmente.
Las implicaciones de la tecnología empresarial son sencillas. Los componentes heredados que permanecieron en producción durante una década o más estaban, de hecho, protegidos por la oscuridad y los altos costos de explotación.
Esa protección se está debilitando. La deuda técnica que era tolerable hace un año ahora es una exposición viva, especialmente cuando las organizaciones comparten proveedores de nube, bibliotecas de código abierto o estándares comunes.
El Quantum Playbook muestra que este problema tiene solución
Si la conversación sobre IA parece abrumadora, existe un precedente reciente que vale la pena estudiar. Varios años antes de que existieran las computadoras cuánticas a gran escala, el sector financiero comenzó a prepararse para ellas.
El Banco de Pagos Internacionales, en colaboración con la Banque de France y el Deutsche Bundesbank, lanzó el Proyecto Leap para probar si las comunicaciones del banco central pueden volver a cifrarse utilizando algoritmos poscuánticos.
Una fase posterior amplió el trabajo para incluir a SWIFT, el Banco de Italia y Nexi, implementando firmas resistentes a la cuántica dentro de un sistema de pago funcional. El contenido de Project Leap es importante, pero su forma es más importante.
Los bancos centrales, los operadores de redes de pago, los proveedores de infraestructura comercial y los organismos de normalización se han unido en torno a una amenaza que no se ha materializado y, según algunas estimaciones, no lo hará hasta dentro de una década o más.
Desarrollaron esquemas híbridos, probaron la interoperabilidad y publicaron sus resultados para que otras instituciones pudieran seguirlos. Se ha realizado un trabajo similar para estandarizar la criptografía poscuántica a través del NIST, que publicó sus primeros estándares PQC finales en 2024, brindando al resto de la industria un punto de referencia al que avanzar.
Hay dos lecciones aquí. La primera es que la infraestructura financiera es capaz de movilizarse en torno a una amenaza novedosa y preexistente cuando los argumentos están claramente expuestos y la base tecnológica se expone en público. La segunda es que la obra es lenta, vulgar y amenazadora años antes de comenzar.
Las empresas que esperen una ruptura cuántica definitiva antes de presupuestar la agilidad criptográfica estarán años detrás de la curva. Lo mismo se aplicará a las capacidades cibernéticas habilitadas por la IA, con una diferencia importante: el cronograma se mide en meses y trimestres, no en décadas.
Qué cambia esto para los líderes tecnológicos empresariales
La pregunta inmediata para los CIO y CISO es menos sobre los mitos que existen dentro de un programa de acceso controlado y más sobre lo que sucederá después.
Los antropólogos han sido inusualmente abiertos respecto del riesgo; Es posible que otros laboratorios no lo hagan, y es probable que capacidades de comando similares estén más disponibles durante el próximo año. La planificación debe anticipar que el lado invasivo de esta tecnología se expande antes de que las regulaciones se pongan al día.
De ese supuesto se derivan tres cambios prácticos. La gestión de vulnerabilidades se convierte en un proceso continuo asistido por IA en lugar de un ejercicio trimestral, ya que la aplicación de parches al ritmo humano no puede seguir el ritmo de los descubrimientos al ritmo de las máquinas.
Las evaluaciones de riesgos de terceros deben tener en cuenta las posturas de seguridad de los proveedores de modelos de IA y las plataformas que alojan, no sólo los proveedores de software tradicionales. Y las pruebas del equipo rojo deben incluir adversarios armados con una lógica de frontera en lugar de las herramientas sofisticadas de hace dieciocho meses.
Al mismo tiempo, el despliegue responsable de estos modelos en el lado defensivo es posiblemente la mayor oportunidad del sector en una década. Los socios del Proyecto Glasswing ya están utilizando Mythos para encontrar y corregir errores crónicos en código ampliamente implementado.
Este trabajo, a lo largo de toda la cadena de suministro financiero, puede inclinar la balanza hacia los defensores de una manera que las herramientas tradicionales nunca lograron.
La rendición de cuentas debe ir acompañada de asequibilidad
La lección definitiva del esfuerzo cuántico es cultural. Las organizaciones que lideraron el Proyecto Leap lo hicieron porque veían la resiliencia como una obligación compartida en lugar de un diferenciador competitivo. El momento de la IA exige el mismo instinto. La regulación llegará, y debería llegar, pero retrasará la capacidad en el futuro previsible.
Mientras tanto, las empresas que saldrán ilesas durante este período serán aquellas que se tomaron en serio la responsabilidad cuando se redactaron las reglas. Mucho potencial. La rendición de cuentas, por ahora, es un recurso escaso.
Hemos presentado la mejor protección contra ransomware.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
