El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) ha publicado una nueva orientación extensa para ayudar a apoyar a las organizaciones a medida que se preparan para los riesgos de seguridad de TI del mundo posterior al quanto.
Aunque se tentó en sus posibilidades, el advenimiento de la computación cuántica amenaza con romper fundamentalmente los métodos de cifrado actuales utilizados para proteger los datos confidenciales de todo el mundo.
Como tal, la carrera está en desarrollar e implementar la criptografía posterior al quantón (PQC) que, si se puede lograr con éxito, promete métodos de cifrado más seguros y resistentes a la cantidad que se descongelará incluso las computadoras futuras más rápidas.
En su guía, el NCSC establece una línea de tiempo de tres pasos para que los sectores y organizaciones clave se trasladen a métodos de cifrado resistentes a la cantidad, con suerte para 2035, dentro de 10 años.
La Agencia Cibernética cree que si los líderes de seguridad pueden comenzar a prepararse para la transición ahora, encerrarán una migración más suave y controlada y reducirán el riesgo de implementaciones apresuradas y brechas de seguridad.
“La computación cuántica está configurada para revolucionar la tecnología, pero también plantea riesgos significativos para los métodos de cifrado actuales”, dijo el director técnico de NCSC, Ollie Whitehouse.
“Nuestra nueva orientación sobre la criptografía posterior al quanto proporciona una hoja de ruta clara para que las organizaciones salvaguarden sus datos contra estas amenazas futuras, lo que ayuda a garantizar que la información confidencial de hoy permanezca segura en los próximos años.
“A medida que avanza la tecnología cuántica, actualizar nuestra seguridad colectiva no es solo importante, es esencial”.
El NCSC señaló que para muchas pequeñas y medianas empresas y organizaciones, la migración de PQC será un proceso relativamente rutinario y sin problemas, ya que se entregará a través de proveedores de servicios de seguridad administrados. Sin embargo, para organizaciones más grandes y para aquellos en sectores críticos, PQC requerirá una planificación e inversión extensa.
Al tomar medidas proactivas hoy, argumentó, las organizaciones podrán ayudar a garantizar que la infraestructura digital del Reino Unido se mantenga robusta y segura a través de los próximos cambios.
Como primer paso, las organizaciones deben comenzar a trabajar para identificar qué servicios criptográficos necesitarán actualizaciones y desarrollar un plan de migración. Idealmente, esto debe hacerse para 2028.
El segundo paso, que se lleva a cabo durante los tres años posteriores desde 2028 hasta 2031, significa que las organizaciones deberán “ejecutar actualizaciones de alta prioridad” y refinar sus planes a medida que evoluciona la tecnología PQC.
El tercer y último paso, realizado durante los cuatro años de 2031 a 2035, debería ver una migración completa a PQC para todos los sistemas, servicios y productos.
2025 Un año crítico
Reaccionando a las sugerencias del NCSC, Greg Wetmore, vicepresidente de desarrollo de productos en Contrust, describió la amenaza cuántica como particularmente desafiante porque todavía hay una cantidad significativa de conjeturas sobre exactamente cuándo llegará la computación cuántica escalable.
“Cuando lo haga, y si no estamos preparados para ello, habrá una vulnerabilidad inmediata y abrumadora para toda información confidencial. Incluso el tan temido ‘Y2K’ tuvo una fecha límite fija. ‘Y2Q’, por otro lado, llegará un día sin prioridad y cambia todo”, dijo.
“Afortunadamente, es posible prepararse para la amenaza de la tecnología cuántica hoy en día [and] 2025 es un año crucial para la preparación posterior al quanto. Las organizaciones están comenzando a poner en su lugar la infraestructura segura de la cantidad cuántica, y los cuerpos regulatorios comienzan a abordar la importancia de PQC “.
Wetmore le dijo a Computer Weekly que establecer disposiciones posteriores al quantón no es importante simplemente salvaguardar contra el posible llegada temprana de la computación cuántica, sino también proteger contra la posibilidad de que los actores de amenazas que recolecten datos ahora y los descifraran más tarde.
“Aquí es donde los malos actores robarán información cifrada hoy para descifrarla cuando las computadoras cuánticas estén disponibles, lo que significa que algunas organizaciones podrían haber sufrido una violación cibernética significativa, y ni siquiera lo saben”, dijo. “Implementar estándares e infraestructura seguros de cuándo es la clave para prevenir esto”.