Su violación de datos más grave ya ocurrió, pero aún no ha sentido el impacto.
Los datos cifrados robados hace años no pierden su valor. A medida que avanzan las capacidades cuánticas, esos datos pueden volverse legibles, convirtiendo eventos históricos (y olvidados) en pasivos futuros.
Chris Harris es vicepresidente técnico asociado de productos de seguridad de datos de EMEA en Thales
Las amenazas que plantea la computación cuántica todavía se articulan ampliamente en un contexto especulativo y futurista. Esta suposición ya está obsoleta. Los riesgos no están ligados a un avance lejano, sino que tienen su origen en la forma en que se exponen y gestionan los datos hoy en día.
Lo que distingue a Quantum de amenazas anteriores a la ciberseguridad no es solo su poder, sino cómo cambia fundamentalmente el ciclo de vida de una infracción. Los datos robados hoy ya no necesitan ser descifrados
Puede recopilarse, almacenarse y desbloquearse años más tarde, convirtiendo lo que parece ser un evento subyacente en una exposición retrasada y potencialmente mucho más dañina en el futuro.
El pensamiento de seguridad tradicional supone que una vez que se detecta y contiene una infracción, el riesgo disminuye con el tiempo. Quantum invierte esa lógica. En algunos casos, el verdadero impacto de una infracción puede surgir años después del evento.
Aparición de una infracción retrasada
Quantum introduce un tipo diferente de exposición: “cosechar ahora, descifrar después” (HNDL). Los atacantes no tienen que romper el cifrado hoy en día. Necesitan acceso a datos que serán valiosos en el futuro.
Según el Informe sobre amenazas de datos de Thales, no sorprende que el 61% de las organizaciones clasifiquen este como su principal riesgo relacionado con la cuántica. Esto refleja un cambio en la forma en que las organizaciones piensan sobre el impacto de las infracciones. La historia del robo de datos no tiene fin; Este es el comienzo de una ventana de exposición prolongada.
Para las organizaciones que gestionan datos de larga duración, las implicaciones son importantes. La propiedad intelectual, los registros financieros, los datos de los clientes y las comunicaciones estratégicas a menudo conservan su valor durante años, incluso décadas. Si esos datos se ven comprometidos hoy, es posible que no se puedan utilizar de inmediato, pero su valor (y riesgo) a largo plazo permanecen intactos.
Y este riesgo está lejos de ser teórico. El 67% de las organizaciones ya informan de un aumento del robo de credenciales, una señal de que los atacantes ya están obteniendo acceso a datos confidenciales. No funciona con computación cuántica, pero amplía el conjunto de datos que se pueden descifrar en el futuro.
A medida que las capacidades cuánticas maduran, algunos de esos datos pueden volverse legibles mucho después de que se olvide, investigue y cierre la infracción original. Esto crea un riesgo a largo plazo que muchas organizaciones aún subestiman.
No puedes proteger lo que no puedes ver
Al mismo tiempo, muchas organizaciones luchan contra una vulnerabilidad más inmediata: la visibilidad limitada de sus datos. Solo el 34% de las organizaciones informan tener pleno conocimiento de dónde se almacenan sus datos y menos de la mitad de los datos confidenciales en la nube están cifrados.
Estos no son intervalos marginales. Representan una exposición sistémica a cómo se controlan y protegen los datos.
Sin una visión clara de qué datos existen, dónde residen y cómo se protegen, resulta difícil evaluar la exposición, no sólo hoy, sino durante toda la vida de esos datos.
El cifrado a menudo se considera una red de seguridad, pero por defecto no está preparado para el futuro. Su eficacia depende enteramente de la solidez y longevidad de la criptografía subyacente, y de cuánto tiempo protege los datos para que permanezcan confidenciales.
Si las organizaciones no entienden qué estándares criptográficos se utilizan y dónde se implementan, no pueden evaluar si estarán protegidos.
El desafío es sencillo: no se puede proteger lo que no se puede ver y, en un contexto cuántico, esa brecha de visibilidad se convierte en un riesgo estratégico.
Los exámenes no equivalen a preparación
Hay signos alentadores de progreso. Aproximadamente seis de cada diez organizaciones ya están experimentando con la criptografía poscuántica, lo que indica que la concienciación se está traduciendo en acciones tempranas.
Sin embargo, las pruebas por sí solas no son suficientes. La criptografía está profundamente arraigada en los entornos de TI modernos, desde sistemas heredados hasta aplicaciones nativas de la nube, a menudo sin una supervisión central. Para fortalecerla es necesario comprender dónde existe la criptografía, cómo se utiliza y durante cuánto tiempo la mantiene segura.
Sin esa base, las organizaciones corren el riesgo de centrar sus esfuerzos en los sistemas equivocados o proteger los datos durante el período de tiempo equivocado, exponiendo activos de alto valor.
La verdadera preparación requiere desarrollar criptoagilidad: la capacidad de adaptar los métodos criptográficos a medida que evolucionan los estándares. Esto significa modernizar la gestión de claves y mapear dependencias criptográficas en entornos distribuidos cada vez más complejos.
Sin ellos, incluso los esfuerzos proactivos fracasarán.
La ventana de actuación está abierta de par en par.
El riesgo cuántico no es un escenario descabellado. Ya está dando forma a las consecuencias de las violaciones de datos del mañana, lo admitan o no las organizaciones. Una vez que los datos confidenciales quedan expuestos, no se pueden “volver a proteger” años más tarde, cuando surjan las capacidades cuánticas. La ventana operativa se define por cuánto tiempo los datos siguen siendo valiosos, no por cuándo la computación cuántica alcanza la madurez.
Los líderes deben ir más allá de las auditorías y analizar detenidamente dónde residen sus datos, cómo se protegen y durante cuánto tiempo deben protegerse. Esto significa identificar dependencias criptográficas, priorizar datos de alto valor e incorporar la criptoagilidad en la estructura de su entorno.
Porque en la era cuántica, la brecha más importante no se puede detectar hoy. Es algo que ya ha sucedido y que espera silenciosamente ser comprendido.
Hemos presentado el mejor software de seguridad para terminales
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: