En un post anterior ya hablamos de las potencialidades disruptivas de la computación cuántica, y de cómo estaban empezando a resolverse algunos de los problemas de esta tecnología en aspectos cruciales como la consistencia en la realización de cálculos sin errores, para lo que estaban suponiendo una gran aportación proyectos como el que dirige el murciano Darío Gil, a la cabeza del laboratorio de IBM Research, o el de Microsoft que busca crear cúbits más estables a partir de cuasi-partículas con propiedades especiales.
En esta misma publicación aludimos también a los riesgos de ciberseguridad que supone la irrupción de la computación cuántica, así como a las soluciones que esta misma puede aportar para remediarlos, pero no nos extendimos en profundidad sobre la materia, algo que hemos querido hacer en esta ocasión, dado que los avances en la referida estabilidad de los cúbits o en el desarrollo de sistemas con corrección de errores nativa puede hacer que más pronto que tarde surja una nueva generación de superordenadores cuánticos, con todo lo que ello supondría.
Retos de ciberseguridad que plantea la computación cuántica
Como sabemos, la computación cuántica tiene el potencial de redimensionar infinidad de ámbitos esenciales, y por eso ante el horizonte de transformaciones que perfila está considerada una tecnología de alto impacto, al igual que otras como la Inteligencia Artificial.
Dadas las altas capacidades derivadas de la operativa de múltiples cúbits en cadena los sistemas cuánticos podrán resolver problemas y sortear barreras que hasta ahora eran insalvables para la computación convencional, sustentada en bits.
Entre las barreras susceptibles de poder ser franqueadas están las de muchos sistemas criptográficos que se utilizan en la actualidad para cifrar contraseñas de acceso o para encriptar datos sensibles.
Por ello, la computación cuántica supone una amenaza a múltiples niveles:
1-Integridad de sistemas de cifrado de clave pública
La criptografía de clave pública basada en protocolos predominantes en la actualidad como RSA y ECC está sustentada en problemas matemáticos que las computadoras convencionales por sus capacidades no pueden resolver, pero sí sería factible hacerlo con algoritmos cuánticos.
Así, quedó demostrado al menos sobre el papel con el algoritmo de factorización del matemático Peter Shor, quien ya en una fecha tan remota como 1994 mostró la posibilidad de que un sistema de computación cuántica pudiese descomponer rápidamente números grandes en sus factores primos, para romper la barrera seguridad de sistemas criptográficos cimentados en la complejidad de esta tarea para las computadoras clásicas.
2-Amenazas a la autenticación
El algoritmo de Shor aplicado por un sistema de computación cuántica también podría calcular los logaritmos en los que se basan protocolos de encriptación de firma como DSA o ElGamal.
Esto significa que una computadora cuántica podría falsificar firmas digitales, o hacerse con la clave privada de alguien a través de su clave pública.
3-Amenazas a la integridad de datos
Asimismo, la eficiencia del algoritmo de Shor en el cálculo logarítmico supone también una amenaza para las funciones hash, que se emplean para asegurar la inalterabilidad de una cadena de datos, y que son de hecho uno de los componentes clave de la tecnología de Blockchain, que entre otras aplicaciones es el soporte de la garantía de inmutabilidad de las transacciones con criptomonedas.
Igualmente, también resultaría vulnerable a las computadoras cuánticas un protocolo de intercambio de claves que está muy estandarizado como el Diffie-Hellman o alguna de sus variantes, que permite a dos partes compartir información secreta en un canal abierto y potencialmente inseguro, sin que un tercero pueda averiguarla aunque observe todo el proceso de comunicación.
Esto implica una amenaza a la confidencialidad de las conversaciones en aplicaciones de mensajería como WhatsApp, a protocolos de inicio de sesión segura, conexiones SSL/TLS en la web, o el cifrado de redes VPN y sistemas de correo electrónico seguros, entre otros.
4-Eficacia de ciberataques
Teniendo en cuenta todo lo que acabamos de señalar, los sistemas de computación cuántica propiciarían también un descifrado mucho más rápido de la información necesaria para sortear las barreras de protección de una infraestructura TI, para lograr así infiltrarse sin dar tiempo a orquestar una remediación y respuesta adecuadas al ciberataque.
Hacia una criptografía post-cuántica
Para prevenir todas las amenazas descritas se están desarrollando nuevos esquemas de protección sustentados en algoritmos resistentes a la computación cuántica, o lo que es lo mismo que le plantean problemas matemáticos que esta no pueden resolver. Es lo que se denomina como criptografía post-cuántica.
La búsqueda de soluciones a esta tesitura se remonta de hecho más de una década atrás, concretamente a 2012,cuando el Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) convocó un concurso para que instituciones, organismos y empresas participasen en la propuesta de nuevos algoritmos y estándares que pusiesen las bases de la criptografía post-cuántica.
El año pasado el NIST comunicó ya una primera selección de algoritmos Quantum-Safe candidatos para ser estandarizados, y anunció que a lo largo del bienio 2024-2025 propondrá ya un estándar de securización frente a la computación cuántica.
Paradójicamente la solución puede venir de manos de la propia cuántica, ya que se están probando sistemas como el Quantum Key Distribution, que permite a dos partes producir y transmitir claves aleatorias de manera simétrica, lo que abre nuevas posibilidades a la hora de trazar esquemas para la salvaguarda de la información.
Con todo, los expertos advierten que no conviene confiarse en una única solución mágica para solucionar el problema, y que tal y como ocurre a la hora de plantear los sistemas de ciberseguridad en la era de la computación convencional actual, lo más idóneo va a seguir siendo diseñar estrategias que incluyan múltiples capas de protección, para poder desplegar una defensa en profundidad, que abarque la monitorización de amenazas a tiempo real, la detección rápida de intrusiones así como la articulación de los planes de remediación y respuesta adecuados.
