Por: Charlie Bell, vicepresidente ejecutivo de seguridad, cumplimiento, identidad y gestión.
A medida que la innovación ha progresado a través de la radio, Internet, Wi-Fi, teléfonos inteligentes e Internet de las cosas, de manera constante nos hemos enfrentado a problemas de seguridad con cada hito tecnológico. Cada tecnología nueva y disruptiva viene con oportunidades y desafíos.
Con AI, prestamos atención a esta lección del pasado y abordamos de manera proactiva los desafíos de seguridad que de manera inevitable surgirán.
Sin embargo, si bien la revolución de la IA se siente como la mayor innovación en una generación, la computación cuántica escalada está lista para interrumpir de nuevo muchos aspectos de la tecnología, y debemos prepararnos para ello ahora.
La computación cuántica a escala tiene el potencial de ayudar a resolver muchos de los problemas más complejos y apremiantes del mundo. Ya sea para abordar la sustentabilidad de los alimentos, desarrollar mejores baterías o mitigar el cambio climático a través de la captura de carbono, los científicos tendrán a su disposición un poder de cómputo sin precedentes. Este poder de cómputo transformador capaz de impulsar tanto bien social también podría ser utilizado por malos actores que buscan causar interrupciones y daños. Al mejorar nuestras capacidades de seguridad para enfrentar este momento, las personas y las organizaciones pueden aprovechar los profundos beneficios de la computación cuántica sin sucumbir a estas amenazas.
Microsoft se embarcó en el camino hacia la tecnología cuántica hace más de 20 años y se encuentra en una posición única para contribuir a un futuro seguro para la tecnología cuántica. Las inversiones que hemos realizado en este campo emergente nos ayudan a comprender los nuevos riesgos que puede presentar y cómo mitigarlos de manera temprana y efectiva.
Cómo la computación cuántica podría alterar el cifrado
Hoy en día, la mayoría de los sistemas de seguridad en los entornos de TI existentes se basan en la criptografía de clave pública, que se usa en casi todas partes, desde la mensajería hasta las transacciones y la seguridad de los datos en reposo. Estos sistemas criptográficos se basan en problemas matemáticos que son difíciles y requieren mucho tiempo para las computadoras clásicas, pero que serán mucho más fáciles y rápidos de resolver para las computadoras cuánticas.
La fuerza de los sistemas criptográficos actuales radica en la complejidad de ciertos problemas matemáticos, uno de los cuales consiste en encontrar el factor de números grandes, una tarea que las computadoras tradicionales tardarían millones de años en resolver. Este es el principio central detrás del algoritmo RSA que ha estado en uso desde la década de 1970. Los sistemas que utilizan RSA en la actualidad van desde dispositivos de hardware, como tarjetas inteligentes y enrutadores, hasta aplicaciones de software, como navegadores web y clientes de correo electrónico. RSA también se utiliza en toda la cadena de suministro de estos sistemas, desde la fabricación de componentes hasta la distribución de actualizaciones de software.
Sin embargo, la aparición de las computadoras cuánticas tiene el potencial de alterar de manera drástica este equilibrio. A través del algoritmo de Shor, una computadora cuántica puede desentrañar estos factores de gran número en solo minutos, lo que hace que RSA y algoritmos asimétricos similares sean vulnerables. A medida que avancemos, será necesaria la agilidad, la resiliencia y la flexibilidad de los algoritmos para cambiar o combinar con facilidad los enfoques criptográficos, un proceso que requerirá una inversión financiera significativa, cambios en la infraestructura existente y una planificación, ejecución y coordinación oportunas en las cadenas de suministro y los ecosistemas.
Las máquinas cuánticas a escala están en camino
Es probable que una máquina cuántica capaz de ejecutar el algoritmo de Shor necesitará más de un millón de qubits estables, miles de veces más que las computadoras cuánticas actuales. Estas poderosas máquinas a escala están en camino y las empresas responsables se asegurarán de que estos sistemas cuánticos no sean utilizados por malos actores.
En Microsoft, nuestra máquina cuántica se entregará como un servicio en la nube a través de Azure. Al igual que hacemos con otras tecnologías, Microsoft implementará controles técnicos y operativos para garantizar que nuestra máquina cuántica no se use de manera malintencionada.
Pero no todas las máquinas cuánticas del futuro estarán protegidas de esta manera. Los riesgos inmediatos, como los escenarios de «Cosechar ahora, descifrar más tarde» y la posible obsolescencia de los dispositivos IoT no actualizables, ya exigen nuestra atención. Por estas razones, debemos comenzar a prepararnos y actuar ahora, porque la transición para volverse segura a nivel cuántico para la mayoría de las organizaciones llevará tiempo. Es por eso que recomendamos a las organizaciones que se preparen hoy, lo cual explicamos con más detalle a continuación. El riesgo que representan las computadoras cuánticas no es inminente ni insuperable, pero la transición para volverse seguras cuánticas para la mayoría de las organizaciones será una tarea importante.
Hace poco más de dos décadas, el desafío Y2K no era insuperable ni irresoluble, pero se necesitó un gran esfuerzo de toda la industria para prepararse para el cambio. Hoy en día, los sistemas criptográficos están repartidos por todo el mundo, y los servicios, productos y plataformas distribuidos e interconectados que manejan esos sistemas significan que existe una superficie de amenaza inmensa que debe prepararse y actualizarse para volverse resistente cuánticamente.
La comunidad global se reúne en torno a la preparación cuántica segura
La industria de la seguridad se ha preparado para las computadoras cuánticas y los riesgos asociados a la criptografía clásica. Los gobiernos y el sector privado invierten en investigación, desarrollo y estandarización de enfoques cuánticos seguros, como algoritmos de criptografía poscuántica (PQC, por sus siglas en inglés) y tecnologías cuánticas potenciales para fortalecer la seguridad. Como primer paso hacia la adopción de PQC, el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) de EE. UU. se ha comprometido en un esfuerzo de años para solicitar, evaluar y estandarizar algoritmos resistentes a la cuántica para una adopción más amplia.
En Europa, el Instituto Europeo de Estándares de Telecomunicaciones (ETSI, por sus siglas en inglés) evalúa protocolos y estándares criptográficos cuánticos seguros y su implementación práctica. La Organización Internacional para la Estandarización (ISO) evalúa los algoritmos de PQC y ha establecido un comité técnico para desarrollar la colaboración en estándares internacionales para PQC.
Microsoft invierte en investigación, desarrollo, experimentación y colaboraciones de PQC desde 2014, para desempeñar un papel en el surgimiento de PQC y estándares públicos a nivel mundial. Participamos en los esfuerzos de estándares internacionales SC27/WG2 y hemos estado en estrecha colaboración con NIST, para apoyar y contribuir a su proyecto del Centro Nacional de Excelencia en Seguridad Cibernética sobre Migración a Criptografía Post-Cuántica, cuyo objetivo es preparar a las organizaciones para la transición PQC.
Microsoft es un miembro central y partidario del proyecto Open Quantum Safe (OQS), y lideramos el grupo de trabajo de PQC para SAFECode, un foro global de la industria para líderes empresariales y expertos técnicos para promover los estándares de la industria y ayudar a las organizaciones a prepararse para la transición de PQC. También nos hemos centrado en las tecnologías cuánticas y su impacto en la seguridad con investigación y desarrollo de herramientas dedicadas.
A medida que avanza el ecosistema, alentamos a la industria y al gobierno a invertir en la adopción global de estándares criptográficos armonizados y medidas adicionales de seguridad cuántica para facilitar el comercio global seguro en el futuro.
Cómputo cuántico seguro en el ecosistema de Microsoft
Dada la posición única y la amplia perspectiva de Microsoft en el desarrollo de hardware y software, junto con nuestra experiencia de esfuerzos anteriores en la transición a nuevos algoritmos criptográficos, sabemos que el viaje para lograr la seguridad cuántica será una tarea importante.
Este será un proceso iterativo y colaborativo, y estamos comprometidos a ser un socio confiable en la industria y el gobierno. La transparencia y la claridad serán clave para el éxito y, a medida que sigamos con el progreso, compartiremos los aprendizajes y las recomendaciones con la comunidad en general.
Una de las mejores maneras para que una organización acelere su preparación para la seguridad cuántica es migrar a la nube de hiperescala, pero no todos nuestros clientes y socios utilizan la nube. Con esto en mente, adoptamos un enfoque integral en todas nuestras plataformas y sistemas.
Hoy tomamos las medidas necesarias en nuestra propia cartera y ecosistema para garantizar que nuestros productos y servicios permanezcan seguros contra los riesgos potenciales que la tecnología desarrolla.
Hemos formado un grupo de expertos de toda la empresa para concentrarse en este asunto con aportes constantes de los reguladores, socios de la industria, proveedores y expertos legales y equipos de investigación. También hemos iniciado esfuerzos para crear, probar e implementar soluciones criptográficas prácticas que puedan resistir las posibles amenazas que plantean las computadoras cuánticas. Profundizamos nuestro conocimiento de los algoritmos de seguridad cuántica y las opciones de mitigación para varios casos de uso, a través de considerar esquemas de cifrado híbrido para adaptarse a las actualizaciones adaptativas en los algoritmos de criptografía, la creación de un inventario criptográfico para identificar la criptografía vulnerable en nuestras plataformas y servicios, y el desarrollo de una hoja de ruta de varias fases para abordar las brechas y priorizar áreas cruciales.
Desde la nube hasta los entornos locales, evaluamos cada pieza de tecnología que se conecta a Microsoft. Nuestro objetivo es hacer que este recorrido sea lo más simple y manejable posible tanto para nosotros como para nuestros clientes y socios.
Ahora es el momento de prepararse, y Microsoft está aquí para ayudar
Llevará tiempo implementar cambios tan radicales, pero cuanto antes comiencen, más seguro estarán. Es esencial generar conciencia y profundizar toda nuestra comprensión de los riesgos, y comenzar ahora.
Si se preguntan por dónde empezar, la creación de un inventario de datos críticos y tecnologías de criptografía puede revelar áreas en las que la criptografía se implementa de manera incorrecta o de una manera que no es adecuada para los fines previstos. Es crucial identificar los estándares y procesos internos y evaluar todas las opciones para actualizar esos protocolos y bibliotecas de criptografía para mitigar los riesgos potenciales.
Con base en esos inventarios y evaluaciones, recomendamos priorizar sus sistemas y servicios según criterios como la criticidad, las dependencias y el costo. A partir de ahí, desarrollen una hoja de ruta de transición.
Ya ayudamos a varios clientes y socios, en especial aquellos en industrias sensibles al riesgo, en su búsqueda de seguridad cuántica al proporcionar recursos y estrategias de transición. Sin embargo, no se puede exagerar la urgencia de que todas las organizaciones se embarquen en este viaje. Alentamos a los clientes y socios a actuar ahora, y estamos aquí para brindarles apoyo.
A medida que la tecnología cuántica continúa su avance y cambia el mundo, nuestro compromiso con la seguridad de nuestros productos y clientes nunca ha sido tan fuerte. Estamos dedicados a minimizar los esfuerzos requeridos por nuestros clientes y socios para volverse cuánticos seguros, a través de utilizar nuestros equipos de investigación e ingeniería líderes en el mundo para mantener nuestros productos y servicios seguros.
Enlace relacionado:
