La gran mayoría de las empresas no están preparadas para las amenazas de seguridad que plantea la computación cuántica, según una nueva investigación de Bain & Company, la cual señala que se avecinan amenazas a la seguridad cuántica de las empresas, y actualmente no existen sistemas de prevención.

Esta investigación encuestó a líderes tecnológicos de 180 empresas, y descubrió que el 90% aún no tenía sistemas implementados para defenderse contra amenazas de seguridad cuántica, a pesar de que se esperaba ampliamente que llegarán dentro de los próximos cinco años cuando lleguen las computadoras cuánticas, en donde se espera que puedan descifrar las técnicas de cifrado existentes que se utilizan para proteger todo, desde el correo electrónico hasta las transacciones financieras.

El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) ha estado trabajando durante una década en nuevos algoritmos que puedan resistir tales ataques, pero ahora las empresas necesitan implementarlos, y el NIST recomienda que las empresas estén preparadas para 2035.

Casi tres cuartas partes (71 %) de los encuestados prevén ataques cuánticos en los próximos cinco años, y un tercio los predice en los próximos tres años, de manera similar, dos tercios creen que la computación cuántica exacerbará los desafíos de ciberseguridad.

Sin embargo, a pesar de eso, solo una de cada diez empresas cree que sus medidas de seguridad actuales serán suficientes. El mismo número de empresas cuenta con una hoja de ruta para abordar los riesgos, y la mayoría espera a ver qué sucede y confía en que un tercero resuelva el problema primero.

No hay tiempo que perder con la seguridad cuántica

Las empresas no deberían esperar, advirtió Bain, señalando el rápido progreso logrado por IBM, Google y otros líderes de la industria en este frente.

«En un cierto umbral, la computación cuántica podrá romper fácil y rápidamente los protocolos de criptografía asimétrica como Rivest-Shamir-Adelman (RSA), Diffie-Hellman (DH) y la criptografía de curva elíptica (ECC) y reducir el tiempo requerido, debilitando la criptografía simétrica como el estándar de cifrado avanzado (AES) y las funciones hash», señaló la compañía en una publicación de blog.

En un informe separado, los analistas de Juniper Research se hicieron eco de las preocupaciones de que muchas empresas todavía subestiman el peligro de los ataques cuánticos y no están haciendo lo suficiente para prepararse.

La consultora concluyó que se trata de un mercado en expansión, y los analistas predicen que el mercado de criptografía post-cuántica crecerá de 1.200 millones de dólares este año a 13.000 millones de dólares en 2035.

Ese crecimiento sugiere un progreso en la preparación para lo que la firma analista ha denominado «Q-Day», que definen como el momento en que las computadoras cuánticas pueden comprometer el cifrado existente.

Juniper Research señaló que los gobiernos, al igual que las organizaciones con visión de futuro, están considerando claramente los hitos. Sin embargo, la conciencia del peligro sigue siendo un serio obstáculo.

“Muchas empresas aún subestiman el riesgo de ataques cuánticos; por lo tanto, es fundamental brindar una educación más clara y accesible para lograr la aceptación interna”, afirmó Louis Atkin, analista de investigación de Juniper Research.

Esto coincide con una investigación anterior de KeyFactor , que encontró que hasta la mitad de las empresas aún no están preparadas para lidiar con la criptografía que quedó obsoleta con la llegada de la computación cuántica.

Los riesgos del descifrado cuántico

Bain dijo que la computación cuántica hará que los estándares criptográficos actuales queden obsoletos.

El mayor impacto se producirá en las claves y tokens seguros, los certificados digitales, los protocolos de autenticación, los datos cifrados en reposo e incluso las herramientas de seguridad de red y gestión de acceso a la identidad (IAM) . En resumen, cualquier sistema que actualmente dependa del cifrado.

Más allá de eso, la computación cuántica podría potenciar el malware y facilitar la identificación y el uso de fallas de «día cero», advirtió Bain.

Otro riesgo destacado por los expertos en seguridad son las técnicas de » robar ahora, descifrar después « , mediante las cuales los actores de amenazas recopilan datos ahora para descifrarlos después.

«Más allá de estos nuevos tipos de ataques impulsados ​​por computadoras cuánticas contra los controles actuales, terabytes de datos confidenciales ya recopilados por estados nacionales y grupos criminales durante los últimos años, que abarcan diseños de defensa, arquitecturas de chips, tecnologías energéticas y secretos de estado, también serán accesibles y explotables», señaló Bain.

¿Qué se puede hacer?

Para prepararse, las empresas deberían implementar criptografía poscuántica utilizando algoritmos lo suficientemente robustos como para resistir ataques cuánticos, señaló Bain. Las empresas que no lo hagan se arriesgan a exponer décadas de datos cifrados y comprometer sistemas en tiempo real.

Sin embargo, la consultora señaló que la mayoría de los algoritmos existentes diseñados para ese mundo post-cuántico ya han sido comprometidos, sin computadoras cuánticas, pero utilizando fallas de explotación tradicionales.

Cabe destacar que no todos los proveedores o vendedores estarán al tanto del problema, por lo que los equipos de seguridad deberán desarrollar sus propias soluciones alternativas para mantener segura la infraestructura corporativa.

«Las organizaciones que cuentan con una infraestructura heredada pesada pueden ser particularmente vulnerables y convertirse en objetivos más atractivos para los atacantes», agregó Bain.

Las empresas necesitan una hoja de ruta liderada y financiada por la junta directiva para considerar los riesgos poscuánticos en la toma de decisiones comerciales, asegurando la resiliencia cuántica en sus propios proveedores, su tecnología existente e incluso sus productos.

Pero hasta ahora, la encuesta de Bain reveló que solo el 12% de las empresas consideran la preparación cuántica como un factor clave en las evaluaciones de adquisiciones y riesgos.

Atkin, de Juniper, señaló que el aumento de estándares y regulaciones en torno a la seguridad post-cuántica ha ayudado, en particular por parte del NIST , y que la inversión en algoritmos para cifrado una vez que haya pasado el Día Q está aumentando de manera constante.

Sin embargo, Juniper advirtió que para que estas tecnologías se adopten de manera efectiva, las organizaciones deberán colaborar para garantizar la interoperabilidad a través de la infraestructura y las fronteras.

«Muchos países han aceptado los algoritmos estandarizados del NIST como la opción de facto de seguridad cuántica, incluso en naciones con un conocimiento limitado del panorama cuántico», afirmó Atkin. «Es fundamental que esto continúe y que los diferentes sectores consideren cómo interoperan sus sistemas al implementar soluciones de seguridad cuántica».