El reloj cuántico avanza más rápido de lo que pensamos.
La inteligencia artificial domina los titulares porque la tecnología puede remodelar la sociedad y potencialmente desestabilizarla. Pero mientras los formuladores de políticas y los grupos de seguridad debaten la ética de la IA, una fuerza potencialmente más disruptiva avanza en relativo silencio: la computación cuántica.
El artículo continúa a continuación.
La ansiedad no es especulativa. La acelerada transformación de la IA, la computación en la nube y las primeras capacidades cuánticas ya está remodelando el panorama de amenazas de maneras para las que la mayoría de las organizaciones no están preparadas.
El resultado es un “reloj cuántico” cada vez mayor que se cierne sobre las empresas estadounidenses, funcionando más rápido que los modelos de seguridad heredados. Esto significa una mayor presión sobre las organizaciones para que implementen sistemas cuánticos seguros ahora, no más tarde.
¿Por qué la seguridad cuántica cambia la ecuación?
En esencia, el problema es el cifrado. Casi toda la seguridad digital moderna (desde transacciones financieras y registros sanitarios hasta comunicaciones gubernamentales) se basa en métodos criptográficos que suponen que los atacantes están limitados por la potencia informática clásica.
Las computadoras cuánticas, una vez lo suficientemente maduras, rompen esa suposición por completo. Algoritmos que a las supercomputadoras más rápidas de hoy les llevaría miles de años descifrar podrían, en teoría, resolverse en minutos.
Lo que hace que esto sea particularmente urgente es que los adversarios no estén esperando la madurez cuántica. Los actores del Estado-nación ya están llevando a cabo campañas de “cosechar ahora, descifrar después”, interceptando y acaparando datos cifrados hoy, confiando en descifrar los sistemas cuánticos del mañana.
Las agencias de inteligencia han advertido que los datos confidenciales con una larga vida útil (secretos comerciales, comunicaciones de defensa, registros de pacientes) ya podrían verse comprometidos, años antes de que una computadora cuántica los toque.
Una base de incumplimiento se enfrenta a amenazas futuras
La infraestructura digital actual ya es porosa. Años de filtraciones, robo de credenciales y compromisos de la cadena de suministro significan que los atacantes habitualmente comienzan desde entornos internos.
Cuando el descifrado cuántico se vuelva práctico, no llegará en el vacío: aterrizará en un ecosistema que ya está plagado de entradas ocultas y puntos de apoyo inactivos.
Este riesgo se ve agravado por el funcionamiento real de la informática moderna.
Nadie puede ver completamente el tejido digital
La mayoría de las organizaciones ya no utilizan una generación de tecnología. En cambio, gestionan una combinación compleja de sistemas heredados, aplicaciones en contenedores, funciones sin servidor y, cada vez más, agentes de IA que se ejecutan de forma autónoma en todos los entornos.
Estas cargas de trabajo abarcan múltiples proveedores de nube, infraestructura local y cientos de plataformas SaaS integradas por API, identidades y conexiones de red que pocas organizaciones comprenden por completo.
Este entorno de nube interconectado es una red de dependencias, permisos y flujos de datos en constante cambio.
Los fallos de seguridad rara vez ocurren porque un sistema sea inseguro; Ocurren en las costuras; los incidentes recientes lo ilustran: una deriva de la integración de SaaS que expone silenciosamente los datos de los clientes a través de límites de confianza, o una vulnerabilidad de la plataforma de automatización que permite a los atacantes el movimiento lateral a través de los flujos de trabajo de orquestación.
No son especulativos. Sus adversarios utilizan lagunas jurídicas todos los días.
Los reguladores se han dado cuenta. Marcos como el Zero Trust Maturity Model 2.0 de CISA ahora exigen pruebas en tiempo de ejecución de implementaciones de confianza cero, no solo documentación de políticas.
Las directivas DORA y NIS2 de la UE exigen partición y cifrado de ruta completa. Estos no son objetivos aspiracionales: son plazos de cumplimiento que la mayoría de los entornos multinube no están preparados para cumplir.
La IA acelera la superficie de ataque
La IA acelera esta fragilidad. Las herramientas autónomas de IA ahora atraviesan sistemas a la velocidad de la máquina, trabajando juntas a través de bases de datos, API y servicios en segundos.
Un agente comprometido, ya sea mediante credenciales robadas, indicaciones manipuladas o datos de entrenamiento envenenados, puede escalar privilegios y filtrar datos a través de los límites de la nube antes de que un analista humano pueda siquiera clasificar la primera alerta.
Aquí es donde se derrumba el modelo mental tradicional del arte.
El perímetro ha desaparecido, pero la seguridad no está atrapada.
Durante décadas, la ciberseguridad se ha organizado en torno al concepto de perímetro: sistemas confiables en el interior, amenazas en el exterior. Pero en entornos de nube y multinube esos límites ya no existen.
Cada carga de trabajo está potencialmente expuesta ya que las amenazas residen dentro de la estructura de la red dentro de esa carga de trabajo. Cada conexión es una ruta de ataque potencial. Incluso la infraestructura diseñada para hacer cumplir las fronteras (VPN, puertas de enlace, dispositivos de borde) se ha convertido cada vez más en objetivos principales de explotación.
En un mundo post-perímetro, los eslóganes sobre “confianza cero” ya no son suficientes. El concepto debe pasar de una declaración de política a una arquitectura ejecutable, que se aplique no sólo al iniciar sesión, sino de forma continua, a nivel de carga de trabajo, en todos los entornos.
Del eslogan a la arquitectura de implementación
Este cambio requiere dos cambios fundamentales.
En primer lugar, las organizaciones necesitan obtener una visibilidad real del tráfico de este a oeste: el movimiento lateral entre cargas de trabajo que los atacantes utilizan para aprovechar y alcanzar activos de alto valor.
La mayoría de las herramientas de seguridad todavía se centran en el tráfico norte-sur (el que entra y sale del entorno), pasando por alto las rutas internas donde realmente se manifiestan las infracciones.
En segundo lugar, la intención de seguridad debe expresarse en términos que reflejen cómo operan los sistemas modernos. Los controles estáticos creados en torno a direcciones IP e infraestructura fija fallan en entornos afectados por cargas de trabajo transitorias y escalamiento dinámico.
En cambio, las decisiones de acceso deben estar vinculadas a la identidad, función y comportamiento de la carga de trabajo, independientemente de dónde se ejecute la carga de trabajo.
En conjunto, estas capacidades definen lo que la industria está empezando a llamar un tejido de seguridad nativo de la nube: una capa unificada que proporciona visibilidad continua del tráfico de este a oeste, aplica políticas consistentes en cada nube y centro de datos y limita el movimiento lateral, sin requerir que las organizaciones eliminen y reemplacen su infraestructura existente.
Cuando se combina con políticas de confianza cero aplicadas directamente a las cargas de trabajo (no solo a los usuarios), este modelo proporciona una forma de contener las infracciones incluso antes de que los atacantes se afiancen tempranamente.
Preparándose para la cuántica en lugar de esperarla
Nada de esto elimina la amenaza cuántica. Pero cambia la ecuación.
La computación cuántica podría eventualmente romper el cifrado actual. Sin embargo, la complejidad ya está traspasando las defensas actuales. Las empresas que esperan estándares de criptografía cuántica segura mientras ignoran las vulnerabilidades arquitectónicas corren el riesgo de comprometer las computadoras cuánticas mucho antes de que alcancen la madurez.
En agosto de 2024, el NIST finalizó sus primeros tres estándares de cifrado poscuánticos, un paso histórico. Las organizaciones deberían comenzar a planificar su migración criptográfica. Pero no basta con adoptar nuevos algoritmos. La complejidad ya está traspasando las defensas actuales.
Las organizaciones que buscan criptografía cuántica segura e ignoran las vulnerabilidades arquitectónicas subyacentes están fortaleciendo las paredes de un edificio con cimientos en ruinas.
El riesgo no es repentino: es acumulativo
El peligro real no es un “apocalipsis cuántico” de la noche a la mañana. Es un fracaso lento, en el que los datos acumulados, el movimiento lateral sin control y los sistemas de inteligencia artificial mal administrados se convierten en una crisis de seguridad que sólo de repente se siente en retrospectiva.
El camino a seguir comienza ahora: audite su postura de cifrado, mapee rutas laterales a través de su entorno de nube y comience a migrar a estándares de seguridad cuántica.
Pero no se limite a la criptografía.
Las organizaciones que resistirán la transición cuántica son aquellas que incorporan seguridad en el tejido de la red, donde la confianza se aplica de manera consistente, a nivel de carga de trabajo, en todos los entornos.
Dado que la IA puede cambiar la forma en que trabajamos, la computación cuántica puede cambiar si se puede confiar en nuestras bases digitales.
Contamos con la mejor protección de endpoints
Este artículo se creó como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
