AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

La amenaza cuántica: el futuro de la criptografía asimétrica ante la irrupción de los ordenadores cuánticos

Introducción

La inminente llegada de la computación cuántica supone un desafío sin precedentes para la seguridad de la información. Mientras que los algoritmos criptográficos actuales, como RSA y las curvas elípticas (ECC), se consideran robustos frente a los ataques convencionales, la creciente capacidad de los ordenadores cuánticos amenaza con desmantelar estos cimientos. Esta preocupación no es meramente teórica: organizaciones de todo el mundo están recopilando hoy datos cifrados con la esperanza de descifrarlos en el futuro, cuando la tecnología cuántica permita romper las protecciones actuales. Esta estrategia, conocida como “store now, decrypt later”, pone en jaque la confidencialidad a largo plazo de credenciales, secretos y comunicaciones críticas.

Contexto del Incidente o Vulnerabilidad

La criptografía de clave pública sustenta la protección de la mayoría de las comunicaciones seguras en Internet, desde el intercambio de credenciales hasta la firma digital de documentos. Sin embargo, algoritmos como RSA, DSA y ECDSA se basan en la dificultad matemática de problemas como la factorización de enteros grandes o el logaritmo discreto, considerados intratables para la computación clásica. El desarrollo de algoritmos cuánticos como Shor (1994) demostró que, con suficiente capacidad cuántica, estos problemas pueden resolverse en tiempo polinómico, abriendo la puerta a la ruptura efectiva de la criptografía asimétrica y, por ende, a la exposición masiva de datos históricos y actuales.

Detalles Técnicos

El vector de ataque más relevante en este contexto es la captura de datos cifrados hoy (“ciphertext harvesting”) para su posterior descifrado cuando la tecnología cuántica lo permita. Los actores de amenazas, incluyendo APTs respaldados por Estados, interceptan comunicaciones protegidas con TLS, VPNs IPsec, SSH y otros protocolos basados en criptografía asimétrica. Esta amenaza afecta a versiones de algoritmos como RSA (tamaños de clave de 2048 bits o inferiores) y ECC (curvas NIST P-256, P-384…), ampliamente empleados en infraestructuras críticas y sistemas corporativos.

Las TTPs (Tactics, Techniques and Procedures) asociadas corresponden a los apartados de MITRE ATT&CK como T1040 (Network Sniffing) y T1567.002 (Exfiltration Over Web Service: Exfiltration to Cloud Storage), ya que el objetivo es recolectar grandes volúmenes de datos cifrados para un descifrado futuro.

Actualmente, no existen exploits funcionales para romper RSA/ECC con hardware cuántico real, pero sí se han publicado PoCs (Proof of Concept) y simuladores de ataques cuánticos sobre frameworks como Metasploit y Qiskit (IBM). El National Institute of Standards and Technology (NIST) ya ha publicado borradores de estándares post-cuánticos, como CRYSTALS-Kyber y CRYSTALS-Dilithium, actualmente en fase de pruebas por parte de la industria.

Impacto y Riesgos

El riesgo principal es la pérdida de confidencialidad retrospectiva: datos intercambiados y almacenados hoy pueden quedar expuestos en el futuro, vulnerando acuerdos de confidencialidad, normativas como el GDPR o la directiva NIS2, y comprometiendo la privacidad de millones de usuarios. Empresas de sectores regulados (finanzas, salud, infraestructuras críticas) y entidades gubernamentales son especialmente vulnerables.

Según estimaciones de la Cloud Security Alliance, más del 70% del tráfico cifrado en Internet utiliza algoritmos susceptibles a ataques cuánticos. Se calcula que el coste global de una brecha masiva post-cuántica podría superar los 3 billones de dólares, debido a robo de propiedad intelectual, espionaje industrial y exposición de datos personales.

Medidas de Mitigación y Recomendaciones

Las recomendaciones técnicas incluyen:

– Evaluar el inventario de sistemas y protocolos que emplean criptografía asimétrica vulnerable (RSA, ECC).
– Empezar la transición hacia algoritmos post-cuánticos estandarizados por el NIST (Kyber, Dilithium, Falcon) en nuevos desarrollos y actualizaciones.
– Implementar soluciones híbridas (por ejemplo, TLS híbridos) que combinen criptografía clásica y post-cuántica.
– Revisar las políticas de retención y archivo de datos cifrados, priorizando la rotación de claves y el cifrado de datos en reposo con algoritmos resistentes a ataques cuánticos.
– Formar a los equipos de ciberseguridad y sistemas en las implicaciones del “store now, decrypt later”.

Opinión de Expertos

Investigadores como Michele Mosca (Universidad de Waterloo) advierten que el “Quantum Safe Migration” es urgente: “La amenaza cuántica no es solo una cuestión de cuándo estarán listos los ordenadores cuánticos, sino de cuánto tiempo queremos que nuestros datos permanezcan seguros”. Por su parte, la ENISA y el CCN español ya recomiendan planificar la transición, señalando que el ciclo de vida criptográfico medio en la administración es de 10 a 20 años.

Implicaciones para Empresas y Usuarios

Las organizaciones que no se preparen para la transición post-cuántica se arriesgan a perder la protección jurídica de datos sensibles, enfrentando sanciones bajo el GDPR y la NIS2, y perdiendo la confianza de clientes y partners. Los CISOs y responsables de seguridad deben liderar la actualización de inventarios, la migración de sistemas y la sensibilización interna, anticipando los retos regulatorios y técnicos que plantea la computación cuántica.

Conclusiones

La computación cuántica plantea una disrupción inminente para la criptografía de clave pública y la confidencialidad de los datos. Si bien aún no existen ordenadores cuánticos capaces de romper la criptografía actual, la amenaza es real y acumulativa: los datos cifrados hoy pueden quedar expuestos mañana. La migración hacia algoritmos post-cuánticos y la adopción de medidas preventivas no puede esperar si queremos garantizar la resiliencia y el cumplimiento normativo en los próximos años.

(Fuente: feeds.feedburner.com)