El Q-Day se acerca: cómo mantenerse seguro en la era postcuántica

Aunque los informáticos crean que el Q-Day (el día en que los ordenadores cuánticos podrán superar los sistemas de cifrado clásicos) tardará aún cuatro o cinco años en llegar, ignorar el problema no es buena idea. Los actores maliciosos, que trabajan tanto para el crimen organizado como para gobiernos hostiles, ya están recopilando datos, claves de API y propiedad intelectual corporativa sensible con el objetivo de descifrarlos una vez que las computadoras cuánticas maduren.

La computación cuántica va a hacer posible descifrar en cuestión de horas lo que a un ordenador clásico le costaría miles de años. Y esto no es ciencia ficción. En un mundo hiperconectado como el actual, es muy probable que numerosos actores puedan disponer de ordenadores cuánticos de alta capacidad a principios de la próxima década.

En esta realidad no es conveniente dejarse engañar pensando que hay problemas de seguridad más urgentes que abordar, o que actualizar la criptografía es un problema técnico que podrá ser gestionado por los proveedores de IT o los integradores de sistemas. Prepararse para el Q-Day debería ser una prioridad estratégica para cualquier empresa pública o privada, ya que adoptar algoritmos resistentes a la tecnología cuántica para proteger los datos confidenciales va a ser fundamental para poder seguir manteniendo la confianza de los clientes y ciudadanos.

En la práctica, esto significa tener que realizar una transición integral a la criptografía postcuántica (PQC). En 2024, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. concluyó el proceso de estandarización de tres algoritmos PQC, diseñados específicamente para resistir ataques de ordenadores cuánticos. Al mismo tiempo, Gartner ya ha incluido a la criptografía postcuántica como una tendencia tecnológica estratégica tras pronosticar que los ordenadores cuánticos podrían comprometer el cifrado de clave pública existente en 2029.

Esperar no es una estrategia viable

En algunos sectores, como el de los servicios financieros, muchas empresas parecen estar esperando a que los reguladores les digan qué hacer. Pero la preparación para el Q-Day va mucho más allá de un problema de cumplimiento normativo; es un problema de reputación y de continuidad del negocio: un ataque informático importante podría paralizar una organización y empujar a clientes y stakeholders a buscar la salida.

Si las organizaciones no se preparan a tiempo, el Q-Day podría incluso provocar un colapso de la confianza. Aunque pueda parecer una exageración, las computadoras cuánticas podrían utilizarse para descifrar comunicaciones confidenciales, falsificar certificados y eludir firmas digitales, causando estragos generalizados. Por ejemplo, un estafador podría crear un certificado falso capaz de engañar al navegador del usuario, haciéndole creer que está visitando un sitio web de comercio electrónico legítimo, para luego incitarle a introducir los datos de su tarjeta. La falsificación de certificados digitales también facilitaría a los actores maliciosos la distribución de malware capaz de eludir las defensas antivirus o de facilitar una suplantación de identidad.

Lamentablemente, la transición a la criptografía postcuántica no es sencilla y única. Como señala Gartner, prepararse para PQC requerirá más trabajo que el que se hizo para superar el Y2K. Esta transición necesitará una planificación cuidadosa, pruebas y, en última instancia, agilidad criptográfica: la capacidad de adoptar rápidamente nuevos algoritmos criptográficos según sea necesario. Dado que el cambio se verá agravado por la preocupante escasez de profesionales especializados en esta materia, existe el peligro real de que muchas organizaciones no consigan estar preparadas para el Q-Day.

La criptografía está en todas partes

Uno de los mayores desafíos es la fragmentación del ecosistema cripto: la mayoría de las organizaciones utilizan criptografía de diferentes proveedores en diversos lugares, abarcando tanto servidores on-premises como servicios en la nube y sistemas de producción y preproducción/pruebas. En grandes empresas, fruto de fusiones y adquisiciones, la fragmentación de este ecosistema puede ser particularmente grave.

Además, lo anterior es un problema que afecta a los sistemas IT de la organización y a los dispositivos que conectan. Si bien la mayoría de los navegadores ya soportan PQC, muchos dispositivos IoT, lectores de tarjetas inteligentes y otros sistemas de acceso aún no. Es también posible que algunos de estos dispositivos no admitan actualizaciones OTA (Over-the-Air).

En la mayoría de los casos, los desarrolladores han implementado la criptografía de forma ad hoc; no existe un registro central que indique qué sistemas se utilizan y dónde. Además, los certificados digitales suelen estar codificados directamente en una aplicación o dispositivo de software, lo que dificulta su modificación. Estos problemas se ven agravados por el hecho de que los equipos DevSecOps generalmente no comprenden la criptografía, mientras que los ingenieros con más experiencia ya se han jubilado o están muy ocupados dando soporte a sistemas heredados.

¿Por dónde empezar y qué priorizar?

¿Cómo empezar a prepararse para el Q‑Day? El primer paso es formar un equipo dedicado a crear un inventario criptográfico que registre las bibliotecas, certificados y claves que utilizan todos los sistemas. Lamentablemente, gran parte de este trabajo deberá hacerse manualmente, ya que no existen herramientas automatizadas capaces de auditar por completo la criptografía de una organización. Una gran empresa debería prever hasta un año para construir este inventario criptográfico.

La preparación para el Q-Day va mucho más allá de un problema de cumplimiento normativo; es un problema de reputación y de continuidad del negocio

Al implementar PQC es importante comenzar protegiendo las aplicaciones de misión crítica y los datos con un largo periodo de cobertura: datos que seguirán siendo sensibles y, por lo tanto, valiosos para los hackers después de 2029. Algunos datos, como los historiales médicos, podrían tener un periodo de cobertura indefinido, mientras que otros, como los números de tarjetas de crédito, podrían tener un periodo de cobertura de unos pocos años.

También se deben priorizar las plataformas heredadas, como aquellas que no son compatibles con TLS 1.3, la versión más segura de este protocolo y necesaria para habilitar los cifrados PQC. Asimismo, es importante que los desarrolladores integren una sólida gestión del ciclo de vida de los certificados y agilidad criptográfica en sus procesos de integración/entrega continua.

En organizaciones con recursos muy limitados, como las del sector público, la criptografía postcuántica podría implementarse simultáneamente con otras actualizaciones de IT. Por ejemplo, si se está actualizando la aplicación web y la protección de API (WAAP) o los sistemas de gestión de identidades y acceso, sería posible actualizar simultáneamente el cifrado PQC correspondiente.

Prepararse para el Q-Day es una prioridad estratégica y un ejercicio que requiere mucho tiempo y recursos, pero que es mejor no posponer. Cuanto antes se empiece, mayores serán las posibilidades de proteger la reputación de la organización.

David Warburton, director de F5 Labs