El ‘Día Q’ se acerca: ¿está el mundo preparado?

Aunque las amenazas de los correos electrónicos de phishing (suplantación de identidad) y otros tipos de ciberataques son más serias cada año que pasa, hay una preocupación mayor en el futuro: se espera que la computación cuántica deje obsoletos nuestros sistemas más comunes de seguridad de datos. La única pregunta es cuán pronto.

“A partir de ahora, toda la información que tenemos ya está perdida”, afirma Shohini Ghose, físico cuántico y director tecnológico del Instituto de Algoritmos Cuánticos. “El día en que se propuso el ordenador cuántico fue el día en que todos nos volvimos vulnerables. No creo que nos demos cuenta de ello, todavía, y si suena a pánico y alarma, en realidad no estamos siendo lo suficientemente alarmistas.”

Publicidad

Esto plantea un par de preguntas apremiantes: ¿Cómo debemos responder? ¿Y cómo dará forma esa respuesta a una tecnología potencialmente transformadora que se encuentra en una fase crucial de su desarrollo?

Recientemente, Ghose y un puñado de expertos de todo el mundo se reunieron cerca de la Torre Eiffel, en la sede de la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura, para abordar estas cuestiones. Otras organizaciones internacionales también buscan respuestas.

Los ordenadores cuánticos aprovechan las propiedades de las partículas subatómicas para procesar información. En general, se considera que la primera máquina de este tipo se construyó en 1998. Constaba de dos bits cuánticos, o “qubits”, las unidades fundamentales de información con las que estas máquinas codifican los datos. El Sistema Cuántico Uno de IBM, que se inauguró cerca de Bromont, Quebec, en 2023 (y que se parece vagamente a un cubo de basura flotante aerodinámico), tiene un procesador de 127 cúbits. A principios de 2024, una empresa emergente con sede en California anunció que había desarrollado una máquina con más de 1.100 cúbits.

Los retos abundan. Para empezar, los cúbits son notoriamente sensibles a su entorno y, por lo general, necesitan mantenerse a temperaturas más frías que las del espacio exterior. Pero los avances logrados hasta ahora han bastado para captar la atención de los líderes políticos.

En 2016, cuando un periodista le pidió en broma al primer ministro canadiense Justin Trudeau que explicara cómo funcionaba esta tecnología, saltó a los titulares internacionales al dar una respuesta convincente ante una sala abarrotada de físicos. “Un bit de un ordenador normal es un uno o un cero, está encendido o apagado. Un estado cuántico puede ser mucho más complejo que eso, porque como sabemos, las cosas pueden ser partícula y onda al mismo tiempo, y la incertidumbre en torno a los estados cuánticos nos permite codificar más información en un ordenador mucho más pequeño. Así que eso es lo apasionante de la informática cuántica”, dijo Trudeau, entre aplausos. “No me hagan hablar de esto o estaremos aquí todo el día”.

Los gobiernos de todo el mundo han invertido hasta la fecha más de 40.000 millones de dólares en investigación y desarrollo cuánticos, según la consultora McKinsey and Company. La consultora calcula que el mercado global de esta tecnología podría alcanzar los 173.000 millones de dólares en 2040.

Rebecca Krauthamer, cofundadora y directora de producto y tecnología de QuSecure, una empresa de ciberseguridad post-cuántica, afirma que el objetivo es producir máquinas que sean algo más que ordenadores clásicos más grandes y rápidos. Comparar los primeros con los segundos es “como comparar un microondas con una vela”, afirma. “Son mundos totalmente distintos”.

«Con el tiempo, los ordenadores cuánticos podrán abordar esos problemas exponencialmente más rápido que los ordenadores convencionales. Las firmas digitales y el blockchain también podrían verse comprometidos»

Es este nuevo mundo el que se está pregonando como una forma de hacer frente a retos mundiales como la seguridad alimentaria y el cambio climático, entre otros problemas. Pero a medida que el desarrollo se acelera, también aparecen los riesgos. “A pesar de todas las cosas asombrosas que harán, una de las cosas que también harán es romper muchos de los mecanismos que utilizamos actualmente para el comercio electrónico y la protección de datos. Así que tenemos que idear nuevos mecanismos que nos protejan contra un suceso así”, afirma Vikram Sharma, director general y fundador de QuintessenceLabs, con sede en Canberra (Australia), y miembro del Consejo Global del Futuro sobre el Futuro de la Ciberseguridad del Foro Económico Mundial. “Si no lo hacemos, podría afectar al correcto funcionamiento de nuestra sociedad”.

Algunos de los métodos de cifrado más utilizados, conocidos por las abreviaturas RSA y ECC, dependen de la dificultad de completar tareas matemáticas como la factorización de grandes números. Con el tiempo, los ordenadores cuánticos podrán abordar esos problemas exponencialmente más rápido que los ordenadores convencionales. Las firmas digitales y el blockchain también podrían verse comprometidos por esta tecnología.

Una encuesta reciente de KPMG entre 250 grandes empresas reveló que el 60% de las de Canadá y el 73% de las de Estados Unidos creen que “es sólo cuestión de tiempo” que la tecnología se aplique para alterar los actuales protocolos de ciberseguridad. Uno de los resultados, señalaba un informe de 2022 del Foro Económico Mundial, puede ser que “todas las normativas y leyes relativas a la privacidad, la gestión de datos, etc. serían imposibles de cumplir.” Una probable erosión de la confianza pública en la tecnología digital podría agravar estos problemas.

Empresas como las de Sharma y Krauthamer están desarrollando herramientas para proteger la información digital del “Día Q”, cuando surja un ordenador cuántico lo suficientemente potente como para comprometer los sistemas de encriptación que blindan nuestro entorno digital.

Pero cuándo ocurrirá eso es objeto de un acalorado debate. Una encuesta anual realizada en 2023 entre varias docenas de destacados expertos en cuántica sitúa el plazo entre cinco y 30 años, con una probabilidad estimada del 31%, de media, de que se construya una máquina capaz de descifrar los esquemas criptográficos convencionales en una década. “La tecnología está madurando claramente y no se conoce ninguna barrera fundamental para hacer realidad la informática cuántica a gran escala”, escribieron los autores de la encuesta. “Los gestores de riesgos cibernéticos deberían considerarlo más una cuestión de ‘cuándo’ que de ‘si’”.

A estos temores se añade la creencia de que no sabremos cuándo ha llegado el día Q. Durante la Segunda Guerra Mundial, cuando un equipo de descifradores de códigos en una finca del sureste de Inglaterra consiguió leer la máquina de cifrado Enigma de la Alemania nazi, “no lo hicieron público como un anuncio al mundo. Lo mantuvieron en secreto”. dice Krauthamer. “Y así también es poco probable que sepamos cuándo un ordenador cuántico criptográficamente relevante se pondrá en línea porque es una herramienta muy poderosa y los que tengan esa herramienta querrán mantenerla en secreto el mayor tiempo posible”.

Los gobiernos han estado invirtiendo importantes cantidades de dinero en investigación y desarrollo para obtener una ventaja estratégica. Se cree que China es, con diferencia, el país que más ha invertido, 15.000 millones de dólares, según McKinsey. El gobierno chino construyó en 2017 un extenso laboratorio nacional de 37 hectáreas dedicado a la computación cuántica cerca de Shanghái. A principios de este año, los investigadores publicaron un artículo en el Chinese Journal of Computers que describía la tecnología como “un desafío emocionante pero formidable para la seguridad criptográfica” y afirmaba que habían encontrado un nuevo enfoque que “ha demostrado mejores capacidades de ataque realistas” contra el cifrado RSA ampliamente utilizado.

Y aunque el Día Q podría estar aún a años vista, se cree que algunos gobiernos están utilizando una aproximación del tipo “cosechar ahora, descifrar después” que consiste en adquirir y almacenar enormes cantidades de datos cifrados para acceder a ellos más tarde, una vez que exista un ordenador cuántico “criptográficamente relevante”. En uno de estos presuntos ataques, el tráfico de Internet desde Toronto a los sitios web del gobierno surcoreano fue desviado por China Telecom en ruta hacia su destino final durante seis meses en 2016. “Está ocurriendo ahora”, afirma Krauthamer. “No puedo entrar en el aspecto político. Pero es algo seguro”.

Además, es probable que la potencia analítica de una máquina capaz de romper los protocolos de encriptación actuales sea mucho mayor que la de los ordenadores convencionales, afirma, lo que significa que las conclusiones que se pueden extraer de las filtraciones de datos en línea serán “mucho más impresionantes”. Eso también podría poner en riesgo de ser descifrados los conjuntos de datos anonimizados.

«Algunos gobiernos están adquiriendo y almacenando enormes cantidades de datos cifrados para poder acceder a ellos más tarde»

Por tanto, podemos afirmar que se está desarrollando una carrera para proteger los datos sensibles. Google afirma que en 2022 puso en marcha la criptografía post-cuántica –basada en algoritmos que emplean matemáticas diferentes resistentes a ataques cuánticos– para todas sus comunicaciones internas. La Casa Blanca ha estado instando a las agencias federales de Estados Unidos a que empiecen a migrar a este nuevo tipo de criptografía y, en julio, su Oficina de Gestión y Presupuesto afirmó que el coste de hacerlo superará los 7.100 millones de dólares entre 2025 y 2035.

En agosto de 2024, una agencia estadounidense publicó un trío de algoritmos que espera que los administradores de sistemas adopten “lo antes posible”. El Instituto Nacional de Normas y Tecnología (NIST), que promueve la innovación y la competitividad de la industria estadounidense, afirmó que estas nuevas normas post-cuánticas “protegerán una amplia gama de información electrónica, desde los mensajes confidenciales de correo electrónico hasta las transacciones de comercio electrónico que impulsan la economía moderna.” Los algoritmos se han estado elaborando durante ocho años. Dos fueron coproducidos por investigadores de IBM. El tercero fue coproducido por un experto que desde entonces se ha incorporado a esa empresa. (Un cuarto algoritmo que se espera que publique la agencia también se está construyendo en colaboración con IBM).

Otros países están introduciendo requisitos para que los sectores sensibles de sus economías inicien el cambio a la criptografía post-cuántica, afirma Sharma. Los gobiernos también pueden desempeñar un papel consultivo publicando orientaciones y normas sobre cómo las organizaciones pueden protegerse de los ataques cuánticos, afirma, como está haciendo el NIST. También pueden convertirse en los primeros en “mostrar cómo las grandes organizaciones pueden hacer la transición a este nuevo régimen de seguridad”. Más adelante, también podrían establecer normas en sus regulaciones y relaciones comerciales.

En Canadá, una estrategia cuántica nacional lanzada en 2023 se compromete en parte a identificar qué información en poder del gobierno federal “corre mayor riesgo” y a desarrollar un plan para protegerla. Ghose afirma que es necesario un esfuerzo mucho más amplio. “Tenemos que movilizarnos de verdad para cambiar a sistemas de encriptación mucho mejores”, afirma. “Tenemos que movilizar a todos nuestros diferentes sectores, y tanto a las pequeñas empresas como a los grandes actores de la industria, para que piensen realmente en esto y se trasladen rápidamente a estos estándares más nuevos que no son tan vulnerables”.

«A nivel internacional, también preocupa hasta qué punto podrán protegerse los distintos países, y qué significará exactamente la brecha entre los que tienen y los que no tienen estás tecnologías»

“El gran riesgo es una enorme brecha entre los países con tecnologías cuánticas, con grandes programas nacionales, y los países que no tienen programas o poseen estas tecnologías”, afirma Luca Possati, profesor adjunto de la Universidad de Twente (Países Bajos) que estudia la interacción entre el ser humano y la tecnología. “El riesgo de división y sus consecuencias pueden ser muy peligrosos”, añade. “Pero, por supuesto, es bastante difícil decir lo que va a ocurrir porque hay muchas variables, la primera es que aún no conocemos realmente todas las potencialidades de esta tecnología”.

Artículo traducido del inglés de la web del Centre for International Governance Innovation (CIGI).