05-11-2023

Prepárese para la transición hacia la criptografía a prueba de informática cuántica: cómo identificar la infraestructura digital de su organización cuando la criptografía es omnipresente

Timothy Hollebeek
Crypto Blog Image

La inminente llegada de la criptografía poscuántica (PQC) pone de relieve algo que los expertos ya sabían: la criptografía es omnipresente hoy en día. Prácticamente todo lo que se conecta por vía digital depende de la criptografía y de las infraestructuras de clave pública (PKI) para ofrecer confianza digital.

Los ordenadores cuánticos criptográficamente relevantes (CRQC, por sus siglas en inglés) son unos ordenadores cuánticos lo suficientemente potentes como para amenazar los algoritmos asimétricos tradicionales, como RSA y ECC. La solución es la criptografía poscuántica, es decir, unos algoritmos criptográficos basados en problemas matemáticos cuidadosamente seleccionados para que sean difíciles de resolver incluso con los ordenadores cuánticos. Los CRQC —que serán mucho más grandes y potentes que los primeros ordenadores cuánticos con lo que contamos en la actualidad— están al caer y ha llegado el momento de prepararse para la transición a los nuevos algoritmos.

La transición hacia la PQC significa que toda la infraestructura conectada que hemos creado a lo largo de las últimas décadas debe someterse a una complicada actualización. La parte positiva es que tenemos tiempo, pero las organizaciones deben empezar a pensar en todo lo que implicará para ellas esta transición. Es la magnitud de la transición lo que hace que sea tan difícil de afrontar.

EE. UU. insta a las agencias federales a inventariar sus sistemas criptográficos antes del 4 de mayo

El proceso ya está sobre la mesa y Estados Unidos ya ha dado instrucciones a las agencias federales. El otoño pasado, la Oficina del Director de Ciberseguridad Nacional (ONCD) de EE. UU. publicó instrucciones específicas para las agencias federales en relación al inventario de sus sistemas criptográficos mientras se preparan para la transición hacia la criptografía a prueba de informática cuántica, según el Memorando de Seguridad Nacional n.º 10 de la Casa Blanca. Las directrices proporcionaban instrucciones a las agencias sobre cómo inventariar sus sistemas criptográficos más importantes y les instaban a presentar una lista de inventarios priorizados antes del 4 de mayo de 2023.

Sin embargo, es lógico que algunas agencias hayan tenido dificultades para cumplir dicho plazo. Identificar los sistemas criptográficos puede ser un proceso difícil y complejo para todo tipo de organizaciones. La criptografía es omnipresente hoy en día, y rastrear sistemas que su organización tal vez ni siquiera sabe que existen plantea un serio problema.

Asimismo, ¿qué pasa con las grandes empresas? Aunque estas no tenían el límite del 4 de mayo, es igualmente importante que identifiquen los activos criptográficos y los gestionen de forma proactiva. Para las empresas, las agencias federales y cualquier otra organización que utilice activos criptográficos, este es el punto de partida de la transición hacia la PQC.

Inventario de activos criptográficos

Para empezar, las organizaciones deben inventariar todos sus sistemas criptográficos, incluidos los certificados y los algoritmos, y priorizarlos en función del nivel de criticidad. A partir de ahí, pueden determinar todo lo que es necesario actualizar o sustituir para garantizar la seguridad de sus sistemas en la era de la criptografía a prueba de informática cuántica.

Conocer los activos criptográficos de su entorno, qué algoritmos utilizan los certificados, quién los emitió, cuándo caducan, los dominios que protegen e incluso qué software se está firmando con una determinada clave son solo algunas de las complejidades que necesitan abordar. ¿Su paquete de software o dispositivo descarga las actualizaciones automáticamente? ¿Se conecta a un servidor de backend? ¿Está asociado a una página web o portal? ¿El sitio web o portal está gestionado por un tercero o un proveedor en la nube? Dado que la respuesta a todas estas preguntas es básicamente «sí» para casi todo hoy en día, deberá ponerse en contacto con todos esos proveedores y averiguar cómo tienen montada su infraestructura. ¿Qué programas informáticos utilizan? ¿En qué servicios confían? ¿Qué proveedores de backend intervienen? Y así con todos.

Identificar la infraestructura digital de su organización puede parecer una tarea abrumadora, pero resulta imprescindible en el mundo interconectado de hoy en día. La respuesta a cómo proteger los activos criptográficos de su organización reside en saber cuáles son.

Priorice la criptografía pensada para ofrecer confianza durante mucho tiempo

A la hora de cambiar los algoritmos de cifrado, conviene empezar por la criptografía que está pensada para ofrecer confianza durante mucho tiempo: raíces de confianza, firmware para dispositivos de larga duración, etc. Y sí, es preciso elaborar inventarios del software y de los dispositivos, y saber de dónde procede la criptografía de todo ello. Tal como subraya el Memorando n.º 10 de EE. UU., los datos cifrados se pueden registrar ahora y ser descifrados más adelante por los operadores de un futuro ordenador cuántico, una práctica que se conoce como «cosechar ahora, descifrar después». En definitiva, todo el cifrado pensado para utilizarse a largo plazo debe ser la máxima prioridad.

Realice las pruebas necesarias para encontrar el mejor modo de incorporar los algoritmos PQC

El NIST seleccionó sus algoritmos definitivos para la estandarización de la PQC el año pasado, pero sigue trabajando para desarrollar normas y documentación sobre cómo ejecutar, probar e implementar estos algoritmos de forma segura. Aún podrían pasar dos años antes de que estos algoritmos se utilicen de forma generalizada, pero los implementadores de bibliotecas criptográficas y software de seguridad tienen que empezar a integrar estos algoritmos en sus productos. Además, las organizaciones ya pueden empezar a pensar en cómo incorporar los algoritmos PQC seleccionados, puesto que necesitarán cierto tiempo para adaptarlos.

Solicite ayuda a un experto en criptografía

Si necesita ayuda para identificar y gestionar sus activos criptográficos, valore la posibilidad de colaborar con un proveedor de confianza como DigiCert. Por ejemplo, ofrecemos un certificado híbrido RSA/PQC de prueba en nuestro kit de herramientas de PQC. Para acceder al kit de herramientas, póngase en contacto con el equipo de ventas de DigiCert.

En conclusión, aunque el plazo para que las agencias federales presenten sus inventarios de sistemas criptográficos ya ha pasado, sigue siendo necesario que todas las organizaciones identifiquen y gestionen sus activos criptográficos de forma proactiva. La transición hacia la criptografía a prueba de informática cuántica supone un gran esfuerzo pero, identificando y gestionando los activos criptográficos, las organizaciones pueden sentar las bases de un futuro digital seguro y de confianza.