El 23 de octubre de 2019, Google comunicó que había conseguido alcanzar la supremacía cuántica, es decir, que había desarrollado un ordenador capaz de resolver un problema que un ordenador tradicional no habría sido capaz de resolver en un tiempo fijo. Concretamente, afirmaron haber realizado mediante computación cuántica y apenas en 200 segundos, un cálculo que le habría llevado unos 10.000 años a un ordenador actual.1 Esta noticia, más allá de las diferencias que puedan existir entre los diferentes fabricantes de esta tecnología acerca de hasta qué punto refleja realmente la adquisición de la superioridad cuántica, supuso un hito de gran relevancia para la carrera de desarrollo de tecnología cuántica que vivimos en la actualidad. También para la ciberseguridad.
Por un lado, para la comunidad científica, se trata de un avance histórico que abre las puertas a nuevos algoritmos y numerosas posibilidades de explotación de esta tecnología en ámbitos como la medicina, el análisis de datos o la economía. Por otro, para los expertos y responsables de ciberseguridad y ciberdefensa, este anuncio también trajo consigo una creciente preocupación acerca de las posibles implicaciones de seguridad que puede conllevar este desarrollo. Teóricamente un ordenador cuántico dispone de capacidades de resolución de problemas matemáticos tan superiores a la de un ordenador convencional que podría dejar fuera de juego algunos de los sistemas de criptografía en los que hoy basamos la protección de la información y las comunicaciones digitales.
Computación cuántica y criptografía
Podemos entender la criptografía como la técnica o conjunto de técnicas cuyo objetivo es transformar un mensaje, ya sea escrito o de voz, para evitar que éste resulte comprensible para un tercero mientras se transmite a través de un medio de comunicación. De esta forma, si dicho mensaje fuera interceptado al viajar de emisor a receptor, no sería posible conocer su contenido sin tener acceso a una determinada clave. Se trata de una medida esencial para cualquier programa de ciberseguridad, ya que permite proteger la privacidad de las comunicaciones y la información almacenada en soportes digitales contra ciberataques y/o operaciones de espionaje.
La importancia y la complejidad de la criptografía son tales que las agencias de ciberseguridad y ciberdefensa públicas invierten grandes esfuerzos y recursos para alcanzar soluciones sólidas que puedan emplear empresas y agencias de seguridad de su país. En España, por ejemplo, esta labor se centraliza en el Centro Criptológico Nacional, que forma parte del CNI y tiene entre sus funciones la valoración y acreditación de los productos de cifra que se emplean en la Administración Pública, empresas de interés estratégico y cualquier organización que maneje información clasificada en España.2 Estas soluciones emplean algoritmos matemáticos complejos, problemas que deben resolverse para poder descifrar la información que protegen. Su solidez actual se basa en que los problemas que se emplean en la actualidad se consideran prácticamente imposibles de “romper” o resolver por un ordenador tradicional en un plazo lo suficientemente ágil como para resultar útil en una operación de espionaje, por ejemplo.
Así, la amenaza que parece acercarse conforme avanza la computación cuántica es precisamente la pérdida de esta garantía que hoy nos ofrecen los algoritmos de cifrado. Se prevé que la computación cuántica consiga superar, en algún momento varias limitaciones que posee la computación actual, entre las cuales se encuentra la resolución de estos problemas matemáticos. Concretamente, se prevé que sea capaz de ejecutar operaciones como el llamado “algoritmo de Shor”, en cuyo caso algunos autores afirman que sería capaz de descifrar la mayoría de claves públicas que empleamos hoy, como RSA (Gidney & Ekera, 2019). Incluso los autores más optimistas anticipan que, en el caso de no dejarlas automáticamente obsoletas, la llegada de esta tecnología nos obligará a generar unas claves mucho más complejas de las que se emplean en la actualidad (Bernstein, Heninger, Lou & Valenta, 2017). Esto tendrá importantes implicaciones para la ciberdefensa, que explicamos a continuación.
¿Qué implicaciones de ciberdefensa tiene entonces el progreso de la computación cuántica?
Dicho esto, si bien en el plano teórico crece la convicción de que este desarrollo tecnológico presentará una serie de problemas de ciberseguridad, principalmente relacionados con los sistemas de cifrado de clave pública, encontramos un consenso menor respecto a cuándo y en qué medida se materializarán estos riesgos. Esto se debe a que, si bien desde el punto de vista teórico la computación cuántica tiene el potencial de realizar las operaciones necesarias para inutilizar un gran abanico de sistemas de cifrado actuales, por el momento no se ha conseguido avanzar en el desarrollo del hardware hasta el punto que sería necesario para que realmente fuera capaz de realizar estas operaciones. Concretamente, existen ciertas problemáticas derivadas no solamente de las complejas características de estos ordenadores, sino también otras de mayor calado relativas con la inestabilidad y las dificultades de controlar y asegurar fiabilidad en el procesamiento de información que realizan estos ordenadores.
Sin embargo, no parece tratarse de una cuestión de si llegaremos a alcanzar estas capacidades o no, sino de cuántos años disponemos para prepararnos antes de que sean una realidad y empiecen a poseerse a nivel privado y gubernamental. Como afirman los investigadores del CSIC (concretamente del Grupo de investigación en Criptología y Seguridad de la Información – GiCSI) Luis Hernández y Víctor Gayoso, “la criptografía actual tiene los días contados” debido a su dependencia de problemas matemáticos resolubles por la computación cuántica. Entre los expertos encontramos cierto consenso acerca de un plazo aproximado de 10 años para que esto se produzca, lo cual permite todavía actuar de forma preventiva a los expertos en criptografía. Además, en ese plazo no se prevé que la computación cuántica sea tan accesible como la actual si no se producen cambios radicales en la tecnología, debido a que requiere un hardware muy complejo con cables superconductores que deben mantenerse a 270 grados celsius bajo cero, entre otros aspectos.
Esta acción preventiva resulta clave debido al papel central que posee la criptografía en los sistemas actuales de ciberseguridad. En un escenario como el previsto a 10 años, cabe considerar que no solamente aparecerá la amenaza abstracta que suponga la posible inutilización de claves de cifrado, sino también la amenaza concreta y factible que representa su uso y adquisición por parte de las principales potencias mundiales. Así, podemos esperar que la computación cuántica se emplee como un factor de peso en el ciberespionaje internacional, tanto a nivel ofensivo como defensivo, y previsiblemente acabará resultando de gran utilidad contra los sistemas de información y comunicaciones de aquellos Estados que no hayan previsto esta amenaza y sus implicaciones con el tiempo suficiente.
Podemos imaginar las posibles consecuencias de no llegar a tiempo en esta “carrera preventiva” si tenemos en consideración algunos ejemplos de situaciones en las cuales empleamos hoy sistemas de cifrado de clave pública. Encontramos desde los mecanismos de comunicación oficiales con los centros de respuesta ante incidentes del CCN (CCN-CERT) y el Mando Conjunto del Ciberespacio del Ministerio de Defensa (ESP-DEF-CERT) hasta los sistemas de seguridad que protegen la tecnología blockchain y, por tanto, los mercados de criptomonedas, o directamente el cifrado que emplean para proteger sus comunicaciones y su información confidencial los operadores de servicios esenciales y/o las agencias de Seguridad Pública y las instituciones de Defensa. Así, el potencial desestabilizador de esta tecnología solamente en el aspecto de ciberdefensa hace imperativa una preparación que ya se está produciendo tanto en los organismos privados como los públicos.
¿Cómo están reaccionando las grandes potencias mundiales?
Ante esta situación, tanto desde el punto de vista académico como el institucional han ido surgiendo diversas iniciativas de estudio y búsqueda de alternativas que permitan sustituir los sistemas de cifrado de clave pública en caso de que queden obsoletos.
En primer lugar, países como China están centrando sus programas de investigación en el llamado “cifrado cuántico”, es decir, un sistema de cifrado basado en computación cuántica que sería imposible de descifrar empleando ordenadores tradicionales. Concretamente, su objetivo consiste en crear una “red cuántica de comunicaciones”, un proyecto que ya viene dando resultados como la prueba de videollamada con cifrado cuántico entre Pekín y Viena, que desarrollaron con éxito en el año 2017.3 A alto nivel, el programa chino se enmarca en una estrategia de Defensa que considera la “hegemonía cuántica” como un factor que decidirá el futuro de las relaciones internacionales4 y, pese a que resulta complicado conocer el alcance real que dará a su programa, podemos prever que incluya también el desarrollo de ordenadores cuánticos. Además, se conoce que este programa incluye el desarrollo de soluciones de tecnología militar basadas en computación cuántica que buscan mejorar el rendimiento de, por ejemplo, radares o sistemas de detección de submarinos, soluciones que empiezan ya a dar resultados y se prevé que crezcan en cuanto a diversidad y protagonismo.
En el caso de Estados Unidos, a diferencia de China, el programa de desarrollo de tecnología cuántica se centra en el desarrollo de capacidades de computación cuántica (que podría entenderse como una capacidad ofensiva) más que en el cifrado cuántico de comunicaciones. Desde el punto de vista defensivo, y como posiblemente una alternativa más ágil al cifrado cuántico en cuanto a la implantación en el sector privado, desde EEUU viene planteándose el desarrollo de sistemas de cifrado basados en problemas matemáticos que no puede resolver la computación cuántica, también conocidos como “criptografía post-cuántica”. Esta iniciativa la lidera hoy el National Institute for Standards and Technology o NIST, una agencia, dependiente del Ministerio de Comercio de EEUU que ha desarrollado algunos de los estándares de ciberseguridad generalistas y/o especializados más implementados del mundo desde el punto de vista de ciberseguridad de infraestructuras críticas5. Concretamente, la iniciativa de cifrado post cuántico viene desarrollándose desde 2017 y consiste en la presentación y valoración de diversos algoritmos por parte de la institución con el objetivo de detectar si son realmente resistentes y válidos para este fin. Una vez hallados estos algoritmos óptimos, se espera contar con un estándar6 que pueda implementarse de forma masiva aproximadamente a partir de 2024.
(Continúa…) Estimado lector, este artículo es exclusivo para usuarios de pago. Si desea acceder al texto completo, puede suscribirse a Revista Ejércitos aprovechando nuestra oferta para nuevos suscriptores a través del siguiente enlace.
Be the first to comment