Tecnología cuántica

DORA y su migración a criptografía quantum-safe

Empleado de servicios financieros investigando datos de los precios de las acciones de una empresa en una computadora

Autores

Dinesh Nagarajan

Global Partner - Cybersecurity

IBM Consulting

Joachim Schäfer

Managing Security Consultant

IBM

Quantum es un nuevo paradigma con el potencial de abordar problemas que las computadoras clásicas no pueden resolver hoy en día. Lamentablemente, esto también introduce amenazas para la economía digital y, en particular, para el sector financiero.

La Ley de Resiliencia Operativa Digital (DORA) es un marco regulatorio que introduce requisitos uniformes en toda la Unión Europea (UE) para lograr un “alto nivel de resiliencia operativa” en el sector de servicios financieros. Se espera que las entidades cubiertas por DORA, como instituciones de crédito, instituciones de pago, empresas de seguros, proveedores de servicios de tecnología de la información y la comunicación (TIC), etc., cumplan antes del 17 de enero de 2025.

Nuevos requisitos para las entidades financieras en la UE

DORA establece un conjunto de requisitos para la gestión de riesgos de ICT, la notificación de incidentes, las pruebas de resiliencia operativa, el intercambio de información sobre amenazas cibernéticas y vulnerabilidades, y la gestión de riesgos de terceros. Como parte de esos requisitos y en el contexto de la protección de datos y la criptografía, establece en el artículo 9 (“Protección y prevención”) que las entidades financieras “utilizarán soluciones y procesos de TIC” que “(a) garanticen la seguridad de los medios de transferencia de datos” o “(c) evitar […] el deterioro de la autenticidad e integridad, las violaciones de confidencialidad y la pérdida de datos”.

Otros elementos a considerar en el contexto del Artículo 9 se mencionan en el Artículo 15 y se exponen en los estándares técnicos regulatorios relacionados (en borrador), que la ESA publicó el 17 de enero de 2024. En concreto, JC 2023 86 proporciona requisitos detallados sobre orientación criptográfica. Además, en sus preámbulos se afirma lo siguiente:

“Dados los rápidos desarrollos tecnológicos en el campo de las técnicas criptográficas, las entidades financieras […] deben mantenerse al tanto de los desarrollos relevantes en criptoanálisis y considerar las principales prácticas y estándares y, por lo tanto, deben seguir un enfoque flexible basado en la mitigación y el monitoreo para lidiar con el ámbito dinámico de amenazas criptográficas, incluidas las de los avances quantum”.

A continuación, profundizaremos en las amenazas criptográficas mencionadas y las implicaciones que podrían tener en las instituciones financieras en el contexto de la computación cuántica.

Boletín de la industria

Las últimas noticias tecnológicas, respaldadas por los insights de expertos

Manténgase al día sobre las tendencias más importantes e intrigantes de la industria sobre IA, automatización, datos y más con el boletín Think. Consulte la Declaración de privacidad de IBM.

¡Gracias! Ya está suscrito.

Su suscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

Amenazas Quantum y criptografía quantum-safe

Aunque las computadoras cuánticas actuales aún tienen problemas con el ruido y todavía no son «tolerantes a fallos», se han alcanzado hitos impresionantes que ya demuestran su utilidad. Dada la cantidad de inversiones que se realizan tanto en el sector privado como en el académico, se espera que esta tecnología se amplíe y mejore drásticamente con el tiempo. A medida que lo haga, la amenaza potencial para la economía digital crecerá.

En 1994, el físico Peter Shor introdujo un algoritmo que, al ejecutar en una computadora cuántica a gran escala, podría romper algoritmos de criptografía de clave pública como Rivest-Shamir-Adleman (RSA), Diffie-Hellman y criptografía de curva elíptica (ECC). El sector financiero confía en estos algoritmos para garantizar la confidencialidad e integridad de las transacciones bancarias, la autenticidad de sus clientes, la validez de los documentos firmados digitalmente y la confidencialidad de los datos financieros de los clientes. Si ya no se puede confiar en la criptografía de soporte, todo el sector financiero está en riesgo.

Amenazas Quantum para la criptografía

Amenazas Quantum para la criptografía

Para romper la criptografía actual, sería necesario crear una computadora cuántica criptográficamente relevante (CRQC) (algunos expertos estiman que podría suceder en la década de 2030). Sin embargo, aunque el impacto es en el futuro, ya estamos en riesgo. Uno puede imaginar a un atacante recolectando datos confidenciales cifrados hoy para descifrarlos más tarde.

Criptografía de seguimiento rápido resistente a la computación cuántica

Afortunadamente, la nueva criptografía quantum-safe se está estandarizando, y el esfuerzo más notable está a cargo del Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU. En 2016, el NIST lanzó un concurso con más de 80 presentaciones para estandarizar una nueva forma de criptografía que se ejecutará en sistemas ordinarios (por ejemplo, laptops, cloud, etc.) pero que será resistente a un atacante quantum porque se basa en problemas matemáticos que son difíciles de resolver con una computadora quantum (y clásica).

Los primeros cuatro algoritmos para la estandarización fueron seleccionados por el NIST en julio de 2022 (de los cuales tres aportó IBM de manera conjunta). Si bien está previsto que los estándares se publiquen en 2024, aún se están considerando candidatos alternativos adicionales.

Cronograma de estandarización del NIST para la criptografía de seguridad cuántica (también conocida como criptografía postcuántica)

Cronograma de estandarización del NIST para la criptografía de seguridad cuántica (también conocida como criptografía postcuántica)

Un estándar de criptografía quantum-safe está a la vista. Desafortunadamente, debido a la complejidad del sector financiero en particular, queda un largo camino por recorrer. El NIST asume que "pasarán entre cinco y quince años o más [...] antes de que se complete la implementación completa de esos estándares." Si superponemos esto con los plazos de desarrollo de un CRQC, uno se da cuenta de que las entidades tienen que comenzar este camino hoy.

Por qué la cuántica tiene un impacto en DORA

Las amenazas Quantum, cuando se materializan, tienen el potencial de afectar drásticamente la resiliencia operativa de las entidades financieras y podrían alterar la economía a nivel mundial. Afortunadamente, hay nuevos algoritmos de criptografía quantum-safe disponibles (con estándares que se publicarán muy pronto), que serán necesarios para mitigar esas amenazas.

Si relacionamos esto con los requisitos de DORA, podemos establecer varios enlaces directos. Para cumplir con el artículo 9, las entidades financieras deberán adoptar medios de transferencia de datos de seguridad cuántica, así como mecanismos de seguridad cuántica para “prevenir […] el deterioro de la autenticidad e integridad, las violaciones de confidencialidad y la pérdida de datos”.

Esto implica la necesidad de adoptar protocolos futuros y de seguridad cuántica para la seguridad de la capa de transporte (TLS) o redes privadas virtuales de seguridad cuántica (VPN), así como mecanismos de seguridad cuántica para firmar (legalmente vinculantes) documentos o transacciones bancarias. Como resultado, las entidades financieras deberán implementar una infraestructura de apoyo, como una infraestructura de clave pública (PKI) de seguridad cuántica y sistemas de gestión de claves.

Además, hoy en día las implementaciones suelen estar en manos de proveedores externos. Para agregar a la complejidad, en muchos casos, los programas existentes, como una implementación de “mover a la nube” o “confianza cero”, estarán impactando varios de los elementos antes mencionados.

Mixture of Experts | 12 de diciembre, episodio 85

Decodificación de la IA: Resumen semanal de noticias

Únase a nuestro panel de ingenieros, investigadores, responsables de producto y otros profesionales de talla mundial que se abren paso entre el revuelo de la IA para ofrecerle las últimas noticias e insights al respecto.
Vea todos los episodios de Mixture of Experts

Las amenazas Quantum pueden tener consecuencias graves

En el peor de los casos, si las organizaciones de servicios financieros no corrigen las amenazas cuánticas en su ecosistema digital, esto puede afectar la resiliencia de su negocio al:

  • No poder Verify a los usuarios autorizados en su red genera confusión y una total falta de confianza en su ecosistema digital.
  • No poder cumplir con sus regulaciones de privacidad de datos debido a la falta de confianza en los mecanismos (por ejemplo, cifrado) utilizados para proteger dichos datos.
  • Mayor riesgo de exposición a amenazas externas debido a la presencia de protocolos y algoritmos criptográficos vulnerables en las redes entre empresas y en las cadenas de suministro.
  • Interrupción del negocio diario por el tiempo de inactividad necesario para remediar los servicios y aplicaciones digitales.

Dadas las actuales exigencias del borrador según el JC 2023 86, se puede prever que poco después de que la criptografía quantum-safe se estandarice, se considere una práctica líder de cuentas. Por lo tanto, independientemente de cuándo puedan materializarse las amenazas cuánticas, los requisitos normativos, como DORA, pronto exigirán implícitamente la adopción de criptografía quantum-safe en las industrias financieras.

Al mismo tiempo, las organizaciones deben aprovechar la oportunidad de mejorar su agilidad criptográfica general modernizando la forma en que se implementa la criptografía hoy y haciendo que los cambios futuros sean mucho más oportunos y rentables.

Implemente su migración de seguridad cuántica

Está claro que implementar la criptografía quantum-safe no será una tarea fácil. Un programa de migración de este tipo requerirá agilidad y también ofrece la posibilidad de explotar la ventaja de ser pionero. Requerirá un enfoque de múltiples frentes, que incluya prioridades comerciales de arriba hacia abajo, así como capacidades técnicas de abajo hacia arriba.

Recomendamos los siguientes pasos que las organizaciones afectadas por DORA deben tomar como mínimo:

  • Evalúe y revise la postura criptográfica de su empresa e identifique los elementos (aplicaciones, redes, proyectos estratégicos, etc.) potencialmente afectados por las amenazas cuánticas.
  • Desarrolle un plan basado en las prioridades del negocio y tenga en cuenta las sinergias con los programas de transformación existentes, estableciendo un enfoque de corrección para los servicios digitales afectados y los sistemas correspondientes.
  • Mejore su postura criptográfica mediante la introducción de capacidades de inventario y descubrimiento criptográfico. Introducir la observabilidad criptográfica para validar el cumplimiento criptográfico de manera continua, incluido el aprovechamientode “listas de material criptográfico”. Estos elementos aumentarán la agilidad criptográfica de tu organización.
  • Asegúrese de que los procesos de cambio actuales y los proyectos estratégicos tengan en cuenta el impacto de la criptografía y que se tomen disposiciones para implementar la corrección de la manera menos disruptiva.
  • Patrocine un programa para continuar los pasos anteriores continuamente.

Sobre todo, no espere para comenzar a abordar estos pasos. Recomendamos encarecidamente que las organizaciones definan hoy un programa de migración de seguridad cuántica.