El Instituto Nacional de Estándares y Tecnología de Estados Unidos dio a conocer esta semana tres algoritmos de cifrado diseñados para resistir los ciberataques, que los observadores de la industria dijeron que son un paso positivo hacia la prevención de ciberataques que rompen los métodos de cifrado actuales. El Estándar Federal de Procesamiento de Información (FIPS) 203, 204 y 205 proporciona estándares para el cifrado general y la protección de las firmas digitales. Se derivaron de múltiples presentaciones en el proyecto de estandarización de criptografía post-cuántica del NIST. Las computadoras cuánticas están aumentando rápidamente la capacidad para la computación de alto rendimiento, y los nuevos estándares están listos para su uso inmediato, dijo el NIST. «La tecnología de computación cuántica podría convertirse en una fuerza para resolver muchos de los problemas más intratables de la sociedad, y los nuevos estándares representan el compromiso del NIST de garantizar que no perturbará simultáneamente nuestra seguridad», dijo el subsecretario de Comercio para Estándares y Tecnología y director del NIST, Laurie E. Locascio, en una declaración. «Estos estándares finalizados son la piedra angular de los esfuerzos del NIST para salvaguardar nuestra información electrónica confidencial». El cifrado RSA actual no será suficiente Aunque el IEEE señaló que es probable que no se construyan ordenadores cuánticos a gran escala hasta dentro de 10 años, al NIST le preocupa el PQC porque casi todos los datos de Internet están protegidos con el esquema de cifrado RSA. Una vez que se construyan los grandes ordenadores cuánticos, podrían socavar la seguridad de todo Internet, dijo el IEEE. Los dispositivos que utilizan seguridad RSA, como los coches y los dispositivos IoT, seguirán en vigor durante al menos otra década, dijo el IEEE, por lo que deben estar equipados con criptografía cuántica segura antes de ser utilizados. Otra razón por la que se necesitan los nuevos estándares es la estrategia de «recoger ahora, descifrar después», en la que un actor de amenazas potencialmente descarga y almacena datos cifrados hoy con planes de descifrarlos una vez que un ordenador cuántico se ponga en línea, señaló el IEEE. Los estándares, que contienen el código informático de los algoritmos de cifrado, las instrucciones sobre cómo implementarlos y sus usos previstos, tardaron ocho años en desarrollarse, dijo el NIST. La agencia agregó que lanzó una amplia red entre los expertos en criptografía del mundo para concebir, presentar y luego evaluar algoritmos criptográficos que pudieran resistir el asalto de las computadoras cuánticas. Aunque la tecnología naciente podría cambiar la naturaleza de las industrias que abarcan desde la previsión meteorológica hasta la física fundamental y el diseño de medicamentos, también plantea amenazas. Cobertura de seguridad de lectura obligada ‘Un momento crucial en nuestro panorama de ciberseguridad’ Estos nuevos algoritmos son los primeros de muchos que NIST proporcionará en los próximos años, dijo Aaron Kemp, director de riesgo tecnológico de asesoramiento en KPMG. «La amenaza de la computación cuántica contra los estándares criptográficos actuales no se puede subestimar», dijo. «Y estos algoritmos proporcionan el primer paso hacia una nueva era de agilidad criptográfica». Las organizaciones que han estado esperando comenzar su migración criptográfica post-cuántica ahora tienen un conjunto de estándares para integrar en sus sistemas, agregó Kemp. «El gobierno federal ha ordenado la adopción de estos estándares para 2035 para las entidades federales, y las empresas que trabajan con el gobierno deberán seguir su ejemplo», señaló. “Este es el primer paso en la mayor migración criptográfica de la historia”. Tom Patterson, responsable de seguridad de tecnología emergente en Accenture, caracterizó los nuevos estándares globales de cifrado cuántico como “un momento crucial en nuestro panorama de ciberseguridad”. Los ordenadores cuánticos presentan un riesgo significativo para nuestros métodos de cifrado actuales, dijo Patterson. En consecuencia, “las organizaciones deben evaluar su riesgo cuántico, descubrir el cifrado vulnerable dentro de sus sistemas y desarrollar una arquitectura criptográfica resistente ahora”, explicó, y agregó que los nuevos estándares ayudarán a las organizaciones a mantener su resiliencia cibernética en el mundo poscuántico. Si bien los ordenadores cuánticos actuales son pequeños y experimentales, rápidamente se están volviendo más capaces, “y es solo cuestión de tiempo antes de que lleguen los ordenadores cuánticos criptográficamente relevantes (CRQC)”, observó Tim Hollebeek, estratega técnico de la industria y estándares en DigiCert. “Se trata de ordenadores cuánticos que son lo suficientemente potentes como para romper la criptografía asimétrica utilizada para proteger las comunicaciones y los dispositivos en Internet, y podrían llegar en tan solo cinco a diez años”. Hollebeek añadió: “La buena noticia es que el problema se puede resolver cambiando a nuevos problemas matemáticos difíciles que no sean vulnerables a las computadoras cuánticas, y las nuevas normas del NIST describen con detalles precisos exactamente cómo utilizar estos nuevos problemas matemáticos difíciles para proteger el tráfico de Internet en el futuro”. Colin Soutar, líder de preparación cibernética cuántica de Estados Unidos y el mundo en Deloitte, calificó las nuevas normas del NIST como “un gran logro”. Pero señaló que la pregunta clave en torno a la preparación cibernética cuántica no es tanto cuándo existirá una CRQC sino si existe la probabilidad de que exista una en los próximos cinco a diez años. En ese caso, las organizaciones deben comprender cuál será su exposición a las futuras CRQC y preguntarse cuánto tiempo llevará actualizar su criptografía de clave pública para la confidencialidad e integridad de los datos, dijo. “Agradecemos la conciencia más amplia que las normas del NIST evocan en muchas industrias, y esperamos que estas actualizaciones se realicen en un proceso voluntario basado en la gestión de riesgos”, dijo Soutar.