A menos que sea totalmente nuevo en la conversación cuántica, ya sabe que la computación cuántica promete desbloquear avances revolucionarios en varias industrias. Por otra parte, los ordenadores cuánticos romperán los métodos modernos que utilizamos para cifrar la información - poniendo en peligro los datos sensibles de todas las organizaciones públicas y privadas.
Con la cuántica aún a años vista, la pregunta es: "¿Por qué prepararse ahora?".
Por supuesto, las organizaciones se enfrentan a problemas que parecen más críticos para el negocio o, en general, más urgentes. Pero mientras las empresas pueden esperar para empezar a prepararse, los hackers y los malos actores ya están moviendo ficha. Están robando cantidades ingentes de datos cifrados y almacenándolos hasta que se disponga de capacidades cuánticas que les permitan descifrarlos. Entre estos datos se incluyen detalles sensibles como información sobre clientes, datos financieros personales e información corporativa confidencial.
Las organizaciones no deben subestimar las posibles consecuencias de estos ataques "Cosecha ahora, descifra después" (Harvest Now, Decrypt Later, HNDL).
¿Quién roba qué?
Muchos expertos técnicos ven los ordenadores cuánticos al menos a una década vista. Incluso cuando lleguen, conseguir uno no será como sustituir el portátil. El funcionamiento de los ordenadores cuánticos será complejo y exigirá muchos recursos.
Lo más probable es que los ataques "Cosecha ahora, descifra después" sean obra de agentes estatales. Hasta que no se disponga de la computación cuántica, será difícil saber si estos ataques se están produciendo o se han producido. Sin embargo, en los últimos 10 años se han producido varios incidentes que se asemejan a un ataque HNDL.
- En 2016, se descubrió que el tráfico de Internet canadiense a Corea del Sur se desviaba a China. En 2019, se produjo un incidente similar en Europa en torno al tráfico de telefonía móvil.
- En 2020los datos de Google, Amazon, Facebook y más de otras 200 redes se redirigieron a través de Rusia. Rusia también ha desviado el tráfico de Internet desde Ucrania durante la guerra ruso-ucraniana.
Usted dirá: "Pero mi organización no tiene datos sobre acciones militares encubiertas ni esquemas de la próxima generación de aviones de combate". Puede que sea cierto, pero la línea que separa el espionaje de un Estado-nación del espionaje de una empresa es más difusa de lo que cree.
Un estudio realizado por Wolf Security de HP descubrió que, entre 2017 y 2020, alrededor de un tercio de los ciberataques llevados a cabo por estados-nación iban dirigidos a empresas. China y otras naciones roban con frecuencia tecnología y propiedad intelectual estadounidense, desde turbinas de GE a tecnología de autoconducción de Teslade productos químicos patentados de Huntsman hasta los últimos secretos de la IA.
Las grandes empresas trabajan en grandes cosas que influyen en las infraestructuras de las que depende la vida cotidiana de nuestra sociedad. Tanto si los atacantes extranjeros esperan robar estos secretos para beneficiar a su propio pueblo como para esgrimirlos contra sus enemigos, harán todo lo posible por obtenerlos.
¿Qué proteger y cómo?
Recuerde que los datos cifrados robados ahora permanecerán en la estantería durante al menos unos años. Muchos tipos de datos caducarán o serán irrelevantes para cuando puedan ser descifrados. Además, hay que tener en cuenta el gasto de recursos que supone descifrar los datos, lo que significa que los datos deben proporcionar un retorno de la inversión al atacante. En otras palabras, no todos los datos merecen la pena. Sin embargo, con HNDL, todos los datos que viajan por Internet se almacenan para su descifrado tardío y, por tanto, se verán en el futuro. El valor de esos datos puede no ser predecible en la actualidad.
Por el momento, los secretos comerciales, la inteligencia empresarial y las tecnologías emergentes son los datos de mayor riesgo. Las industrias con ciclos de producción largos y operaciones de I+D significativas deben tomar precauciones contra los ataques HNDL. Los coches autónomos y los nuevos desarrollos farmacéuticos son algunos ejemplos.
Pregúntese: ¿qué datos seguirán siendo sensibles dentro de cinco años?
Para protegerse contra HNDL, las organizaciones deben trabajar para ser más cripto-ágiles.
Para salir adelante, las organizaciones deben primero ponerse al día con respecto a su criptografía actual y su infraestructura de clave pública. Una PKI bien diseñada y gestionada facilitará el cambio a algoritmos resistentes a la cuántica cuando el NIST consolide las directrices sobre estos algoritmos.
- Asegúrate de que utilizas protocolos actuales y claves seguras.
- Obtenga visibilidad y permita la detección proactiva de todos los activos criptográficos.
- Reduzca la proliferación de PKI y centralice la gestión de certificados.
- Empiece a explorar herramientas que ya han adoptado el cifrado resistente a la cuántica, como Señal.
No se puede renunciar a la cuántica
Los ataques HNDL son sólo un ejemplo de cómo la computación cuántica puede afectar a todas las organizaciones, incluso a las que no tienen planes de innovar con ella.
Al igual que un maremoto, no puedes esperar a que llegue a tus costas para empezar a prepararte. Los riesgos van más allá de la integración y la compatibilidad del ecosistema. Por no hablar del reto humano que supone encontrar personas que entiendan lo que implica un mundo cuántico y mejorar las cualificaciones de las que ya tiene.
La mayoría de las organizaciones simplemente no están preparadas para adaptarse. Están atascadas en la fase previa de obtener visibilidad y control sobre los activos criptográficos, modernizar su PKI e impulsar políticas y procedimientos para toda la organización.
El mejor momento para empezar a prepararse fue hace cinco años. El siguiente mejor momento es ahora mismo.
