Tecnología cuántica

DORA y su migración a criptografía resistente a la computación cuántica

Servicios financieros, analista bursátil que investiga los datos de cotización de una empresa en el ordenador

Autores

Dinesh Nagarajan

Global Partner - Cybersecurity

IBM Consulting

Joachim Schäfer

Managing Security Consultant

IBM

La computación cuántica es un nuevo paradigma con el potencial de abordar problemas que los ordenadores clásicos no pueden resolver hoy en día. Lamentablemente, esto también introduce amenazas para la economía digital y, en particular, para el sector financiero.

La Ley de Resiliencia Operativa Digital (DORA) es un marco normativo que introduce requisitos uniformes en toda la Unión Europea (UE) para lograr un “alto nivel de resiliencia operativa” en el sector de los servicios financieros. Se espera que las entidades cubiertas por la DORA, como entidades de crédito, entidades de pago, empresas de seguros, proveedores de servicios de tecnologías de la información y la comunicación (TIC), etc., cumplan la normativa antes del 17 de enero de 2025.

Nuevos requisitos para las entidades financieras en la UE

DORA establece un conjunto de requisitos para la gestión de riesgos de TIC, la notificación de incidentes, las pruebas de resiliencia operativa, el intercambio de información sobre ciberamenazas y vulnerabilidades y la gestión de riesgos de terceros. Como parte de esos requisitos y en el contexto de la protección de datos y la criptografía, establece en el artículo 9 ("Protección y prevención") que las entidades financieras "utilizarán soluciones y procesos TIC" que "(a) garanticen la seguridad de los medios de la transferencia de datos" o "(c) impidan [...] el deterioro de la autenticidad e integridad, las violaciones de la confidencialidad y la pérdida de datos".

Otros elementos a considerar en el contexto del artículo 9 se mencionan en el artículo 15 y se exponen en los estándares técnicos normativos relacionados (en borrador), que la ESA publicó el 17 de enero de 2024. En particular, JC 2023 86 proporciona requisitos detallados sobre orientación criptográfica. Además, en sus preámbulos se afirma lo siguiente:

"Dados los rápidos desarrollos tecnológicos en el campo de las técnicas criptográficas, las entidades financieras [...] deben mantenerse al tanto de los desarrollos relevantes en criptoanálisis y considerar las prácticas y estándares líderes y, por lo tanto, deben seguir un enfoque flexible basado en la mitigación y la monitorización para hacer frente al panorama dinámico de amenazas criptográficas, incluidas las de los avances cuánticos".

A continuación, profundizaremos en las "amenazas criptográficas" mencionadas y las implicaciones que podrían tener para las instituciones financieras en el contexto de la computación cuántica.

Boletín del sector

Las últimas novedades sobre tecnología, respaldadas por conocimientos de expertos

Manténgase al día sobre las tendencias más importantes e intrigantes del sector en materia de IA, automatización, datos y mucho más con el boletín Think. Consulte la Declaración de privacidad de IBM.

¡Gracias! Se ha suscrito.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

Amenazas cuánticas y criptografía resistente a la computación cuántica

Aunque los ordenadores cuánticos actuales siguen teniendo problemas con el ruido y todavía no son "tolerantes a fallos", se han alcanzado hitos impresionantes ya que demuestran su utilidad. Dado el número de inversiones que se están realizando tanto en el sector privado como en el mundo académico, se espera que esta tecnología se amplíe y mejore drásticamente con el tiempo. A medida que lo haga, la posible amenaza a la economía digital aumentará.

En 1994, el físico Peter Shor introdujo un algoritmo que, al ejecutarse en un ordenador cuántico a escala, podría romper algoritmos de criptografía de clave pública como Rivest-Shamir-Adleman (RSA), Diffie-Hellman y criptografía de curva elíptica (ECC). El sector financiero confía en estos algoritmos para garantizar la confidencialidad e integridad de las transacciones bancarias, la autenticidad de sus clientes, la validez de los documentos firmados digitalmente y la confidencialidad de los datos financieros de los clientes. Si ya no se puede confiar en la criptografía de soporte, todo el sector financiero está en riesgo.

Amenazas cuánticas para la criptografía

Amenazas cuánticas para la criptografía

Para romper la criptografía actual, sería necesario realizar un denominado ordenador cuántico criptográficamente relevante (CRQC) (algunos expertos estiman que podría ocurrir a principios de la década de 2030). Sin embargo, aunque el impacto sea en el futuro, ya estamos en riesgo. Uno puede imaginarse a un atacante recopilando datos confidenciales cifrados hoy para descifrarlos más adelante.

Acelerar la criptografía resistente a la computación cuántica

Afortunadamente, la nueva criptografía resistente a la computación cuántica se está estandarizando, y el esfuerzo más notable lo lleva a cabo el Instituto Nacional de Estándares y Tecnología (NIST). En 2016, el NIST lanzó un concurso con más de 80 presentaciones para estandarizar una nueva forma de criptografía que se ejecutará en sistemas ordinarios (por ejemplo, ordenadores portátiles, nube, etc.) pero que será resistente a un atacante cuántico porque se basa en problemas matemáticos que son difíciles de resolver con un ordenador cuántico (y clásico).

Los primeros cuatro algoritmos para la estandarización fueron seleccionados por el NIST en julio de 2022 (de los cuales tres fueron aportados conjuntamente por IBM). Aunque está previsto que los estándares se publiquen en 2024, aún se están considerando candidatos alternativos adicionales.

Cronograma de estandarización del NIST para la criptografía poscuántica

Cronograma de estandarización del NIST para la criptografía poscuántica

Se vislumbra un estándar de criptografía resistente a la computación cuántica. Desafortunadamente, debido a la complejidad del sector financiero en particular, queda un largo camino por delante. El NIST asume que "pasarán entre cinco y quince años o más [...] antes de que se complete la implementación completa de esos estándares." Si superponemos esto con los plazos de desarrollo de un CRQC, uno se da cuenta de que las entidades tienen que comenzar este viaje hoy.

Por qué la cuántica influye en la DORA

Las amenazas cuánticas, cuando se materializan, tienen el potencial de afectar drásticamente a la resiliencia operativa de las entidades financieras y podrían perturbar la economía a nivel mundial. Afortunadamente, hay nuevos algoritmos de criptografía resistente a la computación cuántica disponibles (con estándares que se publicarán muy pronto), que serán necesarios para mitigar esas amenazas.

Si relacionamos esto con los requisitos de la DORA, podemos establecer varios vínculos directos. Para cumplir el artículo 9, las entidades financieras deberán adoptar medios de transferencia de datos quantum-safe, así como mecanismos quantum-safe para "prevenir [...] el deterioro de la autenticidad e integridad, las violaciones de la confidencialidad y la pérdida de datos".

Esto implica la necesidad de adoptar los próximos protocolos de datos en tránsito quantum-safe, como la seguridad de la capa de transporte quantum-safe (TLS) o las redes privadas virtuales quantum-safe (VPN), así como los mecanismos quantum-safe para firmar (legalmente vinculantes) documentos o transacciones bancarias. Como resultado, las entidades financieras deberán implementar infraestructuras de apoyo como infraestructura de clave pública quantum-safe (PKI) y sistemas de gestión de claves.

Además, las implementaciones actuales suelen estar en manos de proveedores externos. Para aumentar la complejidad, en muchos casos, los programas existentes, como una implementación de "zero trust" o una de "mover a la nube", afectarán a varios de los elementos mencionados anteriormente.

Mixture of Experts | 12 de diciembre, episodio 85

Descifrar la IA: resumen semanal de noticias

Únase a nuestro panel de ingenieros, investigadores, responsables de producto y otros profesionales de talla mundial que se abren paso entre el bullicio de la IA para ofrecerle las últimas noticias y conocimientos al respecto.
Vea todos los episodios de Mixture of Experts

Las amenazas cuánticas pueden tener graves consecuencias

En el peor de los casos, si las organizaciones de servicios financieros no remedian las amenazas cuánticas en su ecosistema digital, esto puede impactar la resiliencia de su negocio al:

  • No poder verificar a los usuarios autorizados en su red genera confusión y una completa falta de confianza en su ecosistema digital.
  • Ser incapaces de cumplir sus normativas sobre protección de datos debido a la falta de confianza en los mecanismos (por ejemplo, el cifrado) utilizados para proteger dichos datos.
  • Mayor riesgo de exposición a amenazas externas por la presencia de protocolos y algoritmos criptográficos vulnerables en las redes de empresa a empresa y en la cadena de suministro.
  • Interrupción de la actividad diaria por el tiempo de inactividad necesario para remediar los servicios y aplicaciones digitales.

Dadas las actuales exigencias del borrador según el JC 2023 86, se puede prever que poco después de que la criptografía resistente a la computación cuántica se estandarice, se considere una práctica líder de cuentas. Por lo tanto, independientemente de cuándo puedan materializarse las amenazas cuánticas, los requisitos normativos, como DORA, pronto exigirán implícitamente la adopción de la criptografía resistente a la computación cuántica en el sector financiero.

Al mismo tiempo, las organizaciones deberían aprovechar la oportunidad para mejorar su agilidad criptográfica global modernizando la forma en que se implementa la criptografía hoy en día y haciendo que los cambios futuros sean mucho más oportunos y rentables.

Implemente su migración quantum-safe

Está claro que implementar criptografía resistente a la computación cuántica no será una tarea fácil. Un programa de migración de este tipo requerirá agilidad y también ofrece la posibilidad de explotar la ventaja de moverse temprano. Requerirá un enfoque múltiple, que incluya tanto prioridades empresariales descendentes como capacidades técnicas ascendentes.

Recomendamos los siguientes pasos que las organizaciones afectadas por la DORA deben seguir como mínimo:

  • Evalúe y revise la postura criptográfica de su empresa e identifique los elementos (aplicaciones, redes, proyectos estratégicos, etc.) que podrían verse afectados por las amenazas cuánticas.
  • Desarrolle un plan basado en las prioridades empresariales y tenga en cuenta las sinergias con los programas de transformación existentes, estableciendo un enfoque de corrección para los servicios digitales afectados y los sistemas correspondientes.
  • Mejore su postura criptográfica con la introducción de capacidades de descubrimiento e inventario criptográficos. Introducir la observabilidad criptográfica para validar el cumplimiento criptográfico de forma continua, incluido el aprovechamiento de las "listas de materiales criptográficos". Estos elementos aumentarán la agilidad criptográfica de su organización.
  • Asegúrese de que los procesos de cambio actuales y los proyectos estratégicos tengan en cuenta el impacto de la criptografía y que se tomen medidas para implementar la corrección de la forma menos disruptiva.
  • Patrocine un programa para continuar con los pasos anteriores de forma continua.

Sobre todo, no espere para empezar a abordar estos pasos. Recomendamos encarecidamente que las organizaciones definan hoy mismo un programa de migración quantum-safe.