La idea del ordenador cuántico tiene 44 años y el ejecutivo medio de alto nivel tiene 57. Mientras Paul Benioff describía un modelo de mecánica cuántica de las máquinas de Turing (en pocas palabras, cómo se podrían fabricar ordenadores a partir de objetos extremadamente pequeños), el responsable medio de una gran empresa tendría trece años y el único sitio donde habría oído algo acerca del mundo «cuántico» sería en los cómics.
Hoy en día, no esperamos que los ejecutivos de alto nivel que no hayan oído hablar de la computación cuántica, en especial cuando el 100% de las empresas Fortune 500 y la mayoría de las Global 2000 cuentan con un Director de Seguridad de la Información (CISO). Sin embargo, asegurarse contra las amenazas de la informática cuántica, que podrían llegar en cualquier momento, es algo que requerirá el compromiso de toda una empresa. Para las empresas que trabajan en determinados sectores, podría ser un proceso largo y costoso que implicaría asegurar millones de activos digitales.
Entonces, ¿qué debería saber el resto de la sala de juntas sobre la informática cuántica? Dado que se trata de una tecnología nueva, circula una gran cantidad de especulación y desinformación con un tono similar al de otras burbujas especulativas de la industria tecnológica (los NFT son el futuro, la IA sustituirá nuestros puestos de trabajo, etc.) Los altos ejecutivos ya tienen mucho entre manos, así que ¿qué información necesitan realmente?
La informática cuántica podría volver vulnerables a las empresas
Aunque el funcionamiento interno de los ordenadores cuánticos sea difícil de describir sin entrar en la compleja y contraintuitiva teoría que los sustenta, lo que la mayoría de la gente necesita saber es que podrían ser hipotéticamente mucho más potentes que los ordenadores convencionales.
Simplificando lo que supone el complejo mundo de la seguridad digital, los activos digitales de una empresa están protegidos de manera matemática. Los largos y complejos números que funcionan como «llaves» de una cerradura digital concreta podrían llevarle a un ordenador estándar más de billones de años resolverlos, pero se puede hacer y esto significa que lo único que impide que sus activos digitales estén expuestos a todo el mundo es la potencia de cálculo.
La «supremacía cuántica», el punto en el que un ordenador cuántico puede realizar cálculos para ciertos problemas más rápido que un ordenador convencional, se alcanzó hace varios años. Aunque quizá estemos a años o incluso décadas de distancia de un ordenador general cuántico, el hecho de que podrían romper las formas estándar de encriptación en las que se basa toda la seguridad digital se conoce desde hace años.
La computación cuántica es inherentemente impredecible
Lo primero y más importante que hay que saber sobre la computación cuántica es que no sabemos cuándo se crearán ordenadores cuánticos operativos y disponibles para el usuario.
Al igual que a nivel cuántico todo es un amasijo de probabilidades cambiantes y contradicciones, el mundo emergente de los ordenadores cuánticos es igual de opaco. Los propios sistemas se están desarrollando por parte de gobiernos y corporaciones muy grandes como IBM y Google, por lo que los desarrollos más actualizados suelen estar en secreto y cualquier información que llegue al público debe ser tratada con cautela.
En segundo lugar, los anuncios de que una empresa o un gobierno ha logrado un nuevo ordenador cuántico más rápido no significan necesariamente que estemos mucho más cerca de los ordenadores cuánticos operativos. En anteriores carreras para desplegar nuevas tecnologías, como la Carrera Espacial de mediados del siglo XX, era fácil ver cómo un cohete más potente ayudaría a un bando a llegar al espacio más rápido, pero con la informática cuántica la cuestión de la corrección de errores hace que los avances sean muy difíciles de cuantificar. Los ordenadores cuánticos actuales cometen un error cada cien operaciones, pero para ser realmente útiles necesitarían un ratio de error de uno entre un trillón. Se pueden utilizar algoritmos para compensar estos errores hasta cierto punto, pero para corregirlos de verdad es necesario realizar grandes avances en los propios sistemas, y el problema es tan grave que IBM tiene una hoja de ruta de diez años para desarrollar ordenadores cuánticos resistentes a los fallos. Esto no significa en absoluto que esté garantizada la llegada de ordenadores cuánticos utilizables y tolerantes a fallos en 2034, pero sí que debemos cuestionar a cualquiera que afirme que llegará en los próximos años.
No todas las empresas corren el mismo riesgo
Aunque no animaríamos a ninguna empresa a retrasar como mínimo la realización de una auditoría sobre cuáles de sus recursos necesitan ser seguros, hay industrias en las que el despliegue de la criptografía post-cuántica debería ser una cuestión de absoluta urgencia:
Empresas que venden bienes con ciclos de vida largos: el coche medio pasa once años en la carretera antes de acabar en el desguace y en ese tiempo pueden ocurrir muchas cosas. Como regla general, si es probable, o incluso posible, que un dispositivo conectado vaya a utilizarse durante cinco años o más, debe asegurarse de que está preparado para la criptografía cuántica.
Fabricantes de componentes: Del mismo modo, las empresas que fabrican componentes utilizados por otras empresas también deben examinar su seguridad cuántica. No sabrá durante cuánto tiempo se utilizarán sus componentes, y es posible que sus usuarios finales no sepan o no puedan controlar la forma en que están asegurados, por lo que es mejor estar seguro y protegerlos ahora.
Infraestructuras críticas: Es probable que los primeros casos de daños causados por la computación cuántica se produzcan entre actores estatales, a diferencia de las bandas más pequeñas de ciberdelincuentes. En este caso, las infraestructuras críticas como la energía, el agua y el transporte serán las primeras redes civiles en ser atacadas – esto ha sido así durante décadas literalmente y sólo se volverá más peligroso a medida que los Estados tengan acceso a la informática cuántica.
Defensa: ni que decir de las empresas que trabajan directamente con la industria de defensa o en torno a ella, no sólo en su propio país sino en cualquiera, serán objetivos prioritarios para los malos actores estatales o alineados con acceso a la informática cuántica.
Empresas reguladas: Las empresas de servicios financieros y sanitarios conservan a largo plazo (a veces incluso de la cuna a la tumba) datos muy sensibles sobre sus clientes, y si estos datos se alteraran -o incluso pudieran alterarse- esto tendría importantes efectos en el entorno financiero mundial, que depende de registros precisos.
Nada de lo anterior significa que las empresas que no pertenezcan a estos sectores estén a salvo – si alguna empresa se deja a sí misma sin protección, entonces varios malos actores encontrarán, con el tiempo, la forma de aprovecharse de ello, quizás descifrando los datos mucho más tarde.
Hay formas de protegerse
Aunque existe una gran complejidad en torno a la computación cuántica, organizaciones como el NIST ya han elaborado algoritmos cuánticos seguros para proteger los datos, y cientos o miles de empresas ya los están utilizando para asegurar sus datos, aunque las amenazas a esos datos no hayan surgido. Aunque no sabemos exactamente cuándo la computación cuántica pasará de ser una hipótesis a una amenaza, es importante que las C-Suites de todas y cada una de las empresas, no sólo el CISO, empiecen a prepararse ahora evaluando qué activos criptográficos están en uso hoy en día que necesiten ser protegidos contra las amenazas del mañana.
Nils Gerhardt, CTO de Utimaco
