La seguridad informática en la era de los ordenadores cuánticos

Los ordenadores cuánticos ya no son ciencia ficción. Mientras Europa, Estados Unidos y China compiten a brazo partido por desarrollar el primer superordenador del siglo XXI, los servicios secretos ya trabajan en prototipos para descifrar algoritmos seguros.

Aunque los ordenadores cuánticos no sustituirán a los convencionales, su uso se presta a tareas científicas y otras tareas complejas. Por ejemplo, los ordenadores cuánticos contribuyen a aumentar considerablemente el rendimiento y la eficacia de las previsiones meteorológicas o el cálculo de los flujos de tráfico. Pero las nuevas posibilidades también crean nuevos peligros para la seguridad informática.

En unos años, los ordenadores cuánticos serán lo bastante potentes para descifrar métodos de cifrado que se utilizan miles de millones de veces al día. En primer lugar, el algoritmo RSA, que se utiliza en el sector privado para transferencias bancarias, pagos con tarjeta, ventas en línea y cifrado de correo electrónico.

En el entorno corporativo, se ven afectadas aplicaciones en la nube muy extendidas, como Office 365, Salesforce y sistemas propios basados en la nube. En el futuro, podría ser fácil para los hackers acceder a datos críticos para la empresa o manipular actualizaciones de software a través de la red con la ayuda de ordenadores cuánticos, incluso hasta el punto de hacerse con el control de todo el sistema informático.

"Ya hoy tenemos que buscar alternativas"

apela Michele Mosca, matemático de la Universidad de Waterloo (Canadá), a los responsables de seguridad informática.

Dado que hoy en día un ordenador cuántico también puede hacer que los datos cifrados sean legibles retroactivamente, las empresas y organizaciones deberían empezar a proteger sus datos con nuevos métodos de cifrado en una fase temprana.

La criptografía poscuántica (PQC) ofrece una vía para lograrlo. Institutos científicos, universidades y empresas de todo el mundo trabajan ya febrilmente en el desarrollo de soluciones adecuadas, y en Alemania la TU Darmstadt desempeña un papel pionero.

Los llamados métodos de cifrado basados en celosía, multivariante, código y hash, que surgieron hace varios años y que ni siquiera pueden aprovechar los ordenadores cuánticos, se consideran candidatos prometedores.

Entre los métodos basados en cuadrículas, cabe mencionar Ring-Tesla, Lara-CPA y Lara-CCA2, que ofrecen una seguridad significativamente mayor en comparación con el algoritmo RSA.

Dado que estos procedimientos también permiten acortar los tiempos de ejecución durante el cifrado y el descifrado o durante la firma y el descifrado de firmas, también contribuyen a aumentar el rendimiento de la aplicación.

Aunque los nuevos métodos de PQC ya se utilizan cada vez más en aplicaciones de código abierto, la situación sigue siendo diferente en el entorno comercial. Pero, ¿qué pueden hacer las empresas para proteger sus datos de un uso indebido en la próxima era de la computación cuántica y, al mismo tiempo, cumplir las cada vez más estrictas leyes de protección de datos -palabra clave EU-DSGVO?

Una solución la ofrecen las pasarelas de cifrado con gestión de claves del cliente, en las que pueden integrarse a voluntad los algoritmos PQC orientados al futuro.

Las empresas usuarias se benefician del hecho de que pueden seleccionar exactamente el procedimiento PQC que mejor se adapte a sus necesidades. Esto se debe a que, a diferencia del algoritmo RSA, que funciona de forma comparativamente sencilla, los nuevos procedimientos PQC tienen una serie de parámetros que hay que tener en cuenta en cada caso concreto.

Otra ventaja es que la gestión de claves y accesos queda completamente en manos de la empresa usuaria cuando se utilizan pasarelas de cifrado.

Todos los datos que salen de la empresa para ser procesados o almacenados en la nube están cifrados y no pueden ser leídos ni siquiera por accesos no autorizados, ni por los proveedores de las aplicaciones que hay que proteger ni por los propios proveedores de servicios en la nube.