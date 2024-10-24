Los ordenadores cuánticos están saliendo de la fase de investigación pura y convirtiéndose en herramientas útiles. Se utilizan en todos los sectores y organizaciones para explorar las fronteras de los retos de la sanidad y las ciencias de la vida, la física de altas energías, el desarrollo de materiales, la optimización y la sostenibilidad. Sin embargo, a medida que los ordenadores cuánticos vayan ganando en potencia, también podrán resolver ciertos problemas matemáticos difíciles en los que se basa la criptografía de clave pública actual. Un futuro ordenador cuántico criptográficamente relevante (CRQC) podría romper algoritmos de criptografía asimétrica usados globalmente que actualmente ayudan a garantizar la confidencialidad e integridad de los datos y la autenticidad del acceso a los sistemas.
Los riesgos que plantea un CRQC son de gran alcance: posibles vulneraciones de datos, interrupciones de la infraestructura digital e incluso manipulaciones a gran escala a nivel mundial. Estos futuros ordenadores cuánticos serán uno de los mayores riesgos para la economía digital y supondrán un importante riesgo cibernético para las empresas.
Ya existe un riesgo activo hoy en día. Los ciberdelincuentes están recopilando datos cifrados con el objetivo de descifrarlos más adelante, cuando tengan un CRQC a su disposición, una amenaza conocida como "cosechar ahora, descifrar después". Si tienen acceso a un CRQC, pueden descifrar los datos de forma retroactiva y obtener acceso no autorizado a información altamente confidencial.
Afortunadamente, se han estandarizado los algoritmos de criptografía poscuántica (PQC), capaces de proteger los sistemas y datos actuales. El Instituto Nacional de Estándares y Tecnología (NIST) publicó recientemente el primer conjunto de tres estándares:
Dos de los estándares (ML-KEM y ML-DSA) fueron desarrollados por IBM con colaboradores externos, y el tercero (SLH-DSA) fue codesarrollado por un científico que se ha unido a IBM.
Esos algoritmos serán adoptados por gobiernos y sectores de todo el mundo como parte de protocolos de seguridad como “Transport Layer Security” (TLS) y muchos otros.
La buena noticia es que estos algoritmos están a nuestra disposición para protegernos contra el riesgo cuántico. La mala noticia es que las empresas deben migrar su patrimonio para adoptar estos nuevos estándares de PQC.
Los programas anteriores de migración de algoritmos criptográficos tardaron años en completarse. Pregúntese como organización: ¿cuánto tiempo duró su programa de migración de SHA1 a SHA2? ¿Qué hay de su programa de actualización de la infraestructura de clave pública (PKI) en el que aumentó el tamaño de la clave de la cadena de confianza de la PKI de 1024 bits a 2048 bits o de 3072 bits o 4096 bits? ¿Cuánto tiempo tardó todo eso en implementarse en su complejo entorno empresarial? ¿Varios años?
El impacto de la computación cuántica y la implementación de los estándares PQC es enorme y abarca todos los ámbitos de su organización. El riesgo de la computación cuántica afecta a muchos más sistemas, herramientas y servicios de seguridad, aplicaciones e infraestructura de red. Su organización necesita hacer una transición inmediata hacia los estándares PQC para proteger sus activos y datos.
Para proteger a su organización contra los riesgos de "cosechar ahora, descifrar después", le recomendamos que ejecute un programa de transformación quantum-safe. Empiece a adoptar herramientas y utilice servicios que le permitan implementar los estándares de cifrado PQC anunciados recientemente.
IBM ha desarrollado una metodología integral de programas quantum-safe, que actualmente se ejecuta en docenas de clientes, repartidos en sectores clave y docenas de países, incluidos los gobiernos nacionales.
Aconsejamos a los clientes que adopten un programa con las siguientes fases clave:
En la fase 1 del recorrido del programa, céntrese en áreas clave, como la creación de una campaña de conciencia en la organización para educar a los stakeholders y expertos en seguridad (SME) sobre el riesgo cuántico. Establezca "embajadores" o "campeones" quantum-safe que se mantengan al tanto del riesgo cuántico y la evolución quantum-safe y actúen como contacto central para el programa y ayuden a dar forma a la estrategia.
A continuación, realice una evaluación de riesgos con respecto al riesgo cuántico contra los activos criptográficamente relevantes de su organización, que es cualquier activo que utilice o dependa de la criptografía en general.* Por ejemplo, su evaluación de riesgos e impacto debe evaluar la relevancia empresarial del activo, la complejidad de su entorno y la dificultad de migración, entre otras áreas de evaluación. Identificar vulnerabilidades dentro de los activos empresariales, incluidas acciones urgentes, y producir un informe destacando los hallazgos a los stakeholders principales, ayudándoles a comprender la postura de riesgo cuántico organizativa. Esto también puede servir como base para desarrollar el inventario de criptografía de su empresa.
En la fase 2, guíe a sus stakeholders sobre cómo abordar las áreas prioritarias identificadas y las posibles debilidades criptográficas y riesgos cuánticos. A continuación, detalle las acciones de corrección, como destacar los sistemas que tal vez no sean capaces de soportar los algoritmos de PQC. Por último, exprese los objetivos del programa de migración.
En esta etapa, IBM ayuda a los clientes a esbozar una hoja de ruta de migración quantum-safe que detalla las iniciativas quantum-safe necesarias para que su organización alcance sus objetivos.
Como aconsejamos a nuestros clientes: Tenga en cuenta las iniciativas críticas en sus hojas de ruta, como desarrollar un marco de gobierno para la criptografía, priorizar los sistemas y los datos para la migración de PQC. Actualice sus prácticas y directrices de desarrollo de software seguro para utilizar PQC por diseño y producir listas de materiales de criptografía (CBOM). Trabaje con sus proveedores para comprender las dependencias de terceros y los artefactos criptográficos. Actualice sus procesos de compras para centrarse en soluciones y servicios compatibles con PQC para evitar la creación de nueva deuda criptográfica o nuevo legado.
Una de las capacidades clave requeridas es la "observabilidad criptográfica", un inventario criptográfico que permite a los stakeholders monitorear el progreso de la adopción de PQC a lo largo de su camino hacia la seguridad cuántica. Dicho inventario debe estar respaldado por la recopilación automática de datos, el análisis de datos y la gestión de riesgos y posturas de cumplimiento.
En la fase 3, su organización ejecuta el programa de migración quantum-safe mediante la implementación de iniciativas basadas en sistemas prioritarios/riesgo/coste, objetivos estratégicos, capacidad de entrega, etc. Desarrolle una estrategia quantum-safe aplicada a través de las normas y políticas de seguridad de la información de su organización.
Ejecute la migración de la tecnología mediante arquitecturas de referencia y patrones, recorridos y plan de migración estandarizados, probados y comprobados.
Incluya la habilitación de la agilidad criptográfica dentro de las soluciones de desarrollo y migración e implemente el desacoplamiento criptográfico abstrayendo el procesamiento criptográfico local a servicios de plataforma centralizados, gobernados y fácilmente adaptables.
Incluya en su programa un bucle de feedback con las lecciones aprendidas. Permita la innovación y las pruebas rápidas de nuevos enfoques y soluciones para apoyar el programa de migración en los próximos años.
Muchos elementos son difíciles de migrar. Por ejemplo, los componentes fundamentales de la infraestructura de Internet, como las redes de área amplia (WAN), las redes de área local (LAN), los concentradores VPN y los enlaces de sitio a sitio, serán más complejos de migrar. Por lo tanto, estos elementos requieren más atención que aquellos que tienen un uso limitado dentro de la organización. Los servicios criptográficos básicos, como la PKI, los sistemas de gestión de claves, los sistemas de pago seguros, las aplicaciones criptográficas o los backends como los HSM, los cifradores de enlaces y los mainframes, son complejos de migrar. Debe tener en cuenta las dependencias de las diferentes aplicaciones y hardware, incluidas las cuestiones de interoperabilidad de la tecnología.
También debería considerar la posibilidad de hacer pruebas de rendimiento de los estándares de PQC comparándolos con sus sistemas y flujos de trabajo de datos internos para ayudar a garantizar la compatibilidad y la aceptabilidad del rendimiento e identificar cualquier problema. Por ejemplo, el PQC requiere a veces tamaños de clave, texto cifrado o firma más grandes en comparación con los algoritmos utilizados actualmente, lo que habrá que tener en cuenta en las pruebas de integración y rendimiento. Algunas tecnologías críticas para la organización siguen basándose en la criptografía heredada y pueden tener dificultades o ser incluso imposibles de migrar a los estándares de PQC. Es posible que sea necesario refactorizar y rediseñar la aplicación.
Otros desafíos incluyen la falta de habilidades o la falta de documentación, que han creado brechas de conocimiento dentro de su empresa. La información codificada dentro de los sistemas/archivos de configuración/scripts, etc., hará que la migración sea aún más compleja.
Asegúrese de que sus claves de cifrado y certificados digitales se rastrean y gestionan con precisión. Una mala gestión complicará aún más la migración.
Los grupos de trabajo internacionales de PQC no probarán todos los casos de uso. Habrá muchas combinaciones o configuraciones de tecnologías exclusivas de sus organizaciones, y necesita probar exhaustivamente sus sistemas desde una perspectiva de flujo de trabajo de extremo a extremo.
Ahora que el NIST ha publicado un primer conjunto de estándares PQC, debemos anticipar que la regulación fuera de EE. UU. seguirá rápidamente. Algunos ejemplos en el contexto del sector financiero son:
Por lo tanto, le recomendamos que se centre en desarrollar su marco de gobierno criptográfico, que incluye el desarrollo de una estrategia quantum-safe para su organización. Debe estar en consonancia con los objetivos estratégicos y la visión de su empresa, así como con los plazos previstos. Un centro de excelencia debe apoyar y asesorar como parte del programa de transformación. El marco de gobierno debe centrarse en pilares básicos como la supervisión normativa de su organización, la garantía criptográfica y la gestión de riesgos, el desarrollo de capacidades de entrega y la formación en PQC. Debe apoyar la adopción de buenas prácticas dentro de sus patrones de arquitectura de seguridad de desarrollo de aplicación y de suministros, así como en los comités de revisión técnica de diseño.
El programa de transformación va a ser largo y complejo. Requiere numerosos compromisos interdepartamentales y una amplia gama de habilidades. Asegúrese de gestionar y observar la moral del equipo y tenga en cuenta la cultura de trabajo de su organización y las prácticas de gestión del cambio para ayudar a garantizar la cohesión del programa a lo largo de los muchos años de ejecución.
Considere también el desarrollo de asociaciones, ya que muchas organizaciones dependen de muchos proveedores específicos para su sector y ecosistema. Colabore con otros dentro de su sector para aprender y compartir ideas para abordar juntos el riesgo cuántico y la migración de PQC a través de grupos de trabajo y grupos de usuarios.
Desde una perspectiva operativa, asegúrese de tener un catálogo de trazabilidad de los servicios clave de la empresa y los negocios asignados a las regulaciones y leyes y comience a planificar un cronograma para la transición en torno a cada uno.
* Nota: en muchos casos, incluso el uso de la criptografía simétrica dependerá de alguna forma de criptografía de clave pública, por ejemplo el intercambio de claves.
