La criptografía funciona porque se supone que, para ser práctica, es computacional y económicamente costosa. Este concepto se encuentra detrás de TLS, certificados, software firmado, servicios VPN y sistemas de identidad en las redes empresariales.
Cuando ese costo baja lo suficiente, la protección se estanca. Es por eso que dos artículos recientes y consecutivos de investigadores de Google y Caltech sobre computación cuántica son importantes para los líderes empresariales y de seguridad de todo el mundo.
Cofundador y ejecutivo de QuSecure.
Estos artículos de investigación recientes sugieren que los recursos necesarios para romper la criptografía tradicional utilizada en Internet y con las criptomonedas ahora pueden ser sustancialmente menores de lo estimado anteriormente.
El artículo continúa a continuación.
Todavía existen muchos factores contradictorios: el cronograma exacto aún es incierto, todavía existe una gran brecha entre los trabajos de investigación y las capacidades del mundo real, y no se garantizan mayores avances.
Sin embargo, hasta ahora la tendencia apunta sólo a acelerar el crecimiento de las capacidades de las computadoras cuánticas y su presencia en riesgo para la seguridad de Internet.
Ya se han escrito muchos artículos sobre estos anuncios recientes, pero después de años de educar a las organizaciones e implementar estos algoritmos en entornos empresariales, hay dos puntos muy importantes en los que alentaría a los líderes a centrarse hoy.
Cuestiones prácticas
La primera es que la cuestión de la viabilidad de los ataques cuánticos está en gran medida resuelta. Muchos líderes han oído hablar de ataques especiales (como cosechar-ahora-descifrar-más tarde o confiar-no-forjar-más tarde) que podrían ser posibles mediante computadoras cuánticas suficientemente potentes, pero todavía hay mucho escepticismo sobre su capacidad para ejecutarse realmente.
Estos nuevos artículos muestran que ya no se puede ignorar la posibilidad de ataques cuánticos. De hecho, ahora está ascendiendo al nivel de política organizacional en lugares como Google, donde han movido su cronograma de transición cuántica segura al 2029, con otros actores y verticales importantes a seguir.
Riesgo de ejecución
El segundo es el riesgo de ejecución. La mayoría de las organizaciones todavía hablan de la migración poscuántica como si fuera un ciclo de actualización normal. No lo es. La criptografía está enterrada en más lugares de lo que la mayoría de los equipos creen, incluidas pilas TLS, VPN, PKI, firma de software, SSH, gestión de identidades, sistemas integrados, integración de socios y productos de proveedores que pueden tener o no una hoja de ruta.
Ahí es donde el problema se hace evidente. Aunque el NIST ha estandarizado algoritmos resistentes a los cuánticos en 2024, la cuestión de cómo implementar y utilizar realmente estos algoritmos (especialmente con la heterogeneidad y escala de una empresa) sigue siendo una cuestión abierta.
La Unión Europea y Estados Unidos han elaborado hojas de ruta cuyo primer plazo entrará en vigor a finales de este año. En este punto, Blocker no se pregunta si la industria sabe adónde ir. El obstáculo es si las organizaciones pueden llegar a tiempo.
Plan de migración normal
El plan de migración típico parece razonable en papel: inventariar el entorno, encontrar dependencias, trabajar con proveedores, probar, validar e implementar en fases. En una gran empresa, ese proceso puede llevar años.
Un inventario criptográfico completo puede ser un programa importante por sí solo. Luego vienen los ciclos de adquisición, las pruebas de laboratorio, las ventanas de gestión del mantenimiento, los cambios de control y la implementación en entornos que nunca fueron diseñados para la agilidad de los algoritmos.
Por eso, esperar un plan de migración perfecto es arriesgado. Muchos equipos asumen que primero obtendrán visibilidad total y luego seguridad. En la práctica, esa secuencia puede ser muy lenta.
Lo que las organizaciones necesitan ahora es una forma práctica de comenzar a gastar deuda tecnológica y reducir la exposición mientras continúa la larga transición. Comienza con una visibilidad continua. Si no sabe dónde se implementa la criptografía débil, no podrá determinar el alcance del problema, priorizarlo o medir el progreso.
También requiere formas creativas de ser más ágiles en la gestión de la criptografía (la llamada “criptoagilidad”). Si cada cambio de algoritmo se convierte en una reescritura de aplicaciones, una actualización de hardware o un ciclo largo de proveedores, su cronograma probablemente se extenderá hasta 2030 o más allá.
Esto significa tratar con entornos reales tal como existen hoy, no como se verían en una arquitectura limpia. La mayoría de los equipos operan en infraestructuras de TI heterogéneas, sistemas heredados, dependencias de terceros y limitaciones operativas que hacen que una transición limpia no sea práctica en el corto plazo.
Ahora vale la pena plantearse la pregunta.
Si está liderando esto internamente, hay algunas preguntas que debe hacerse ahora mismo.
1. ¿Realmente tiene visibilidad criptográfica completa más allá de la lista de certificados? Necesita saber dónde aparecen los algoritmos RSA y ECC vulnerables (o incluso obsoletos) en la seguridad del transporte, la autenticación, la firma, el firmware y la integración de terceros.
2. ¿Es su sistema realmente criptointeligente? ¿O cambiar una primitiva, un protocolo o un algoritmo aún requiere cambios de código, intervención del proveedor y un largo ciclo de validación cada vez?
3. ¿Y cómo se compara su plan de migración con el cronograma en el que está trabajando? Ya sea que el impulsor sea CNSA 2.0, los requisitos del cliente o la gestión interna de riesgos, la respuesta debe basarse en el tiempo de ejecución, no en el optimismo.
El mayor error en este momento es asumir que todavía hay mucho tiempo porque una computadora cuántica criptográficamente relevante aún no está en producción.
Las transiciones empresariales de este tamaño casi siempre toman más tiempo de lo esperado y muchas veces los líderes organizacionales descubren que sus equipos e infraestructura están menos preparados de lo que esperaban.
En resumen, estos nuevos artículos dejan claro que la preparación poscuántica es ahora un problema funcional a corto plazo. Las empresas que gestionen bien esto comenzarán a presupuestar y reducir la exposición de forma proactiva para este año.
Hemos clasificado el mejor software de cifrado..
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
