AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**La era post-cuántica: cómo prepararse para el futuro de la criptografía frente a la amenaza de los ordenadores cuánticos**

admin

### Introducción

El avance imparable de la computación cuántica está redefiniendo los paradigmas de seguridad de la información. Aunque el despliegue masivo de ordenadores cuánticos capaces de romper los sistemas criptográficos actuales aún no se ha materializado, la comunidad de ciberseguridad ya lo considera una amenaza inminente. Las organizaciones deben anticiparse y adaptar sus estrategias criptográficas para mantener la confidencialidad y la integridad de sus datos en la era post-cuántica.

### Contexto del Incidente o Vulnerabilidad

La preocupación sobre la viabilidad de los algoritmos criptográficos tradicionales, como RSA y ECC, surge a raíz de los algoritmos cuánticos, especialmente el algoritmo de Shor. Este algoritmo, teóricamente, permitiría a un ordenador cuántico descifrar claves públicas en un tiempo exponencialmente inferior al requerido por ordenadores clásicos. Como consecuencia, toda la información cifrada bajo estos sistemas podría quedar expuesta cuando la computación cuántica alcance la madurez operacional.

No se trata solo de un riesgo futuro. El concepto de «harvesting now, decrypt later» implica que actores maliciosos pueden estar interceptando y almacenando datos cifrados hoy, con la esperanza de descifrarlos en un futuro próximo con tecnología cuántica.

### Detalles Técnicos

#### Algoritmos y estándares afectados

Los sistemas criptográficos de clave pública más utilizados en la actualidad son especialmente vulnerables. Tanto RSA (basado en la factorización de números primos) como ECC (curvas elípticas) serían susceptibles de ser quebrados por un ordenador cuántico con suficientes qubits estables. Los algoritmos de clave simétrica, como AES, también verían reducida su seguridad, aunque en menor medida (el algoritmo de Grover permitiría un ataque de fuerza bruta cuadráticamente más eficiente).

**CVE y vectores de ataque:** Aunque no existen CVE específicos asociados a la computación cuántica, toda infraestructura que dependa exclusivamente de criptografía de clave pública clásica se considera en riesgo. Los vectores de ataque incluyen la interceptación de tráfico cifrado y la posterior decriptación cuando la tecnología cuántica lo permita.

**TTP MITRE ATT&CK:** Las técnicas asociadas incluirían la interceptación de comunicaciones cifradas (T1567.002: Exfiltration Over Encrypted/Obfuscated Non-C2 Protocol), almacenamiento persistente de datos robados, y la futura explotación mediante descifrado cuántico.

**Indicadores de Compromiso (IoC):** No existen IoC tradicionalmente asociados, pero se recomienda monitorizar flujos de exfiltración de datos sospechosos y el uso de herramientas avanzadas de recolección de tráfico cifrado.

### Impacto y Riesgos

El impacto potencial es de gran magnitud. Sectores críticos como banca, sanidad, defensa y administración pública dependen de la criptografía para proteger información sensible y cumplir con normativas como el GDPR o NIS2. Un ataque exitoso en la era post-cuántica podría suponer la exposición masiva de datos históricos y actuales, causando pérdidas económicas que superen los cientos de millones de euros, daños reputacionales irreparables y sanciones regulatorias significativas.

Además, la migración a algoritmos post-cuánticos no es trivial: implica revisar infraestructuras, aplicaciones, protocolos y cadenas de suministro digital. El proceso puede durar años, lo que amplifica la urgencia de iniciar la transición cuanto antes.

### Medidas de Mitigación y Recomendaciones

1. **Inventario de Activos Criptográficos:** Identificar todos los sistemas y aplicaciones que emplean criptografía vulnerable.
2. **Criptografía Agnóstica:** Adoptar soluciones de cifrado híbridas que combinen algoritmos clásicos y post-cuánticos, como los ya estandarizados por el NIST (Kyber, Dilithium, Falcon, entre otros).
3. **Actualización de Infraestructuras:** Garantizar que los sistemas soporten algoritmos post-cuánticos, actualizando bibliotecas y protocolos (OpenSSL, TLS, VPNs).
4. **Pruebas y Auditorías:** Realizar pruebas piloto y auditorías de seguridad para evaluar la resiliencia ante ataques cuánticos.
5. **Formación y Concienciación:** Capacitar a equipos de TI y seguridad en los nuevos estándares y mejores prácticas post-cuánticas.
6. **Colaboración Sectorial:** Participar en foros y grupos de trabajo sobre criptografía post-cuántica (ENISA, ETSI, NIST PQC).

### Opinión de Expertos

Especialistas como el criptógrafo Daniel J. Bernstein y la ENISA advierten que el «apagón criptográfico» podría llegar antes de lo esperado. Recomiendan una aproximación proactiva, enfatizando la importancia de la agilidad organizativa para adoptar nuevos estándares. Empresas líderes ya están integrando algoritmos post-cuánticos en pruebas de concepto y entornos controlados, anticipando su despliegue productivo en los próximos 3-5 años.

### Implicaciones para Empresas y Usuarios

Las empresas deben considerar la transición post-cuántica como una prioridad estratégica. El cumplimiento normativo (GDPR, NIS2) no solo exige proteger datos actuales, sino también anticipar amenazas futuras. Las organizaciones que no inicien el proceso de migración quedarán expuestas a riesgos legales, operativos y de continuidad de negocio. Los usuarios, por su parte, deben exigir transparencia a sus proveedores tecnológicos respecto a la adopción de medidas post-cuánticas.

### Conclusiones

La computación cuántica representa una amenaza existencial para la criptografía tradicional. La preparación para la era post-cuántica requiere planificación, inversión y una respuesta coordinada entre equipos de ciberseguridad, TI y cumplimiento normativo. La clave del éxito radica en comenzar la transición sin demora y mantener la vigilancia tecnológica ante un panorama de amenazas en constante evolución.

(Fuente: www.darkreading.com)