[13/10/2023] El ecosistema de los pagos digitales es un blanco fácil.
Los miles de millones de transacciones que realizamos hoy en línea están protegidas por las llamadas tecnologías de cifrado de clave pública. Pero a medida que las computadoras cuánticas sean más potentes, podrán romper estos algoritmos criptográficos. Una computadora cuántica criptográficamente relevante (CRQC) de este tipo podría tener un impacto devastador en los protocolos de ciberseguridad mundiales.
Para prepararse para este peor escenario, Mastercard lanzó su proyecto Quantum Security and Communications, que le valió a la empresa el premio US CIO 100 Award 2023 por su innovación y liderazgo en TI.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"Estamos trabajando de forma proactiva para mitigar los futuros riesgos relacionados con la computación cuántica que podrían afectar a la seguridad de los miles de millones de transacciones digitales que procesamos en todo el mundo", afirma George Maddaloni, director tecnológico de operaciones de Mastercard, para explicar el impulso del proyecto.
El panorama de la ciberseguridad post-cuántica
En la actualidad, las transacciones en línea que usted y yo realizamos se rigen por la criptografía de clave pública. En esta técnica, la persona (o entidad) que envía el mensaje lo asegura (bloquea) con una "clave" disponible públicamente, y la entidad en el extremo receptor lo descifra con una clave privada. La premisa es que, como sólo el receptor tiene la clave privada, la transacción es segura.
Las claves privadas seguras se derivan de algoritmos matemáticos -el algoritmo Rivest-Shamir-Adleman (RSA) es uno de los más comunes- que son imposibles de piratear mediante ingeniería inversa. Al menos hasta que llegue un CQRC y lo haga mediante la pura fuerza bruta de la computación cuántica.
Las entidades de los sectores público y privado se están preparando siguiendo una de estas dos vías: trabajar en todo un nuevo conjunto de algoritmos resistentes a la cuántica en los que basar las claves privadas (criptografía post-cuántica, PQC), o utilizar la física cuántica para hacer lo mismo (distribución cuántica de claves, QKD). El proyecto de Mastercard se centra en este último método. Otras empresas del sector financiero también están explorando la QKD.
Paralelamente, instituciones públicas como el Instituto Nacional de Normalización y Comercio (NIST, por sus siglas en inglés) siguen el planteamiento PQC de "endurecer los algoritmos". El NIST ha seleccionado cuatro algoritmos resistentes a la cuántica y está en proceso de normalizarlos. Se espera que los definitivos estén disponibles en el primer semestre del 2024, y el NIST ha establecido una hoja de ruta de preparación cuántica para que las empresas la sigan.
El proyecto Mastercard
Dado que Mastercard ha adoptado el método de distribución cuántica de claves, su proyecto piloto determinó los requisitos arquitectónicos y las limitaciones de la QKD, así como la preparación operativa de los sistemas QKD.
Maddaloni, de Mastercard, informa que el equipo probó la solución de distribución de claves cuánticas a través de una red de fibra oscura. Toshiba e ID Quantique produjeron las claves. También se recurrió a dos proveedores de redes con los que Mastercard había trabajado en el pasado. Su aportación desde la perspectiva de las redes IP Ethernet fue de gran ayuda, afirma Maddaloni. El objetivo era realizar un inventario de los tipos de capacidades de red dentro de la red de Mastercard, que tiene miles de puntos finales conectados con unas cuantas capacidades de telecomunicaciones diferentes. "Queríamos comprobar si las capacidades de distribución cuántica de claves funcionaban en ese entorno", explica Maddaloni.
"La disponibilidad de servicios y equipos habilitados para QKD es muy especializada y actualmente bastante limitada", señala Maddaloni. "No hay muchos proveedores de hardware que dispongan de funciones que puedan integrarse con los sistemas QKD". El diseño de la prueba también supuso un reto. La QKD requiere que los fotones individuales lleguen en momentos precisos, y los estados cuánticos utilizados para el cifrado pueden verse fácilmente alterados por factores externos como el ruido, los cambios de temperatura y las vibraciones, entre otros.
"El proyecto se diseñó para superar estos retos y ofrecer resultados demostrables y la validación del potencial de la tecnología", anota Maddaloni. Y tuvo éxito.
La gran migración
Cuestiones de ciberseguridad como las que está abordando Mastercard son clave porque afectan a la base misma del sistema que han construido las entidades financieras.
"La seguridad de las transacciones y la confianza de nuestros clientes son la columna vertebral de nuestro negocio", señala Maddaloni. "El impacto de que los actuales métodos de cifrado PKI se vean comprometidos podría amenazar literalmente nuestra capacidad de operar con seguridad", añade. "Creemos que estar preparados para un panorama post-cuántico es parte de nuestro trabajo y envía el mensaje correcto a nuestros socios, nuestros clientes y nuestros reguladores".
Jeff Miller, CIO y vicepresidente senior de TI y Seguridad en Quantinuum, una empresa de servicios cuánticos full-stack, está de acuerdo en que proteger los datos es vital porque "es una conversación de confianza con el consumidor". El proceso de ser cripto-ágil es darse cuenta de que los malos actores se vuelven más creativos en las formas en que irrumpen en los entornos. Como resultado, las empresas deben seguir construyendo un proceso iterativo y desarrollar protocolos para hacer frente a estas vulnerabilidades.
Mientras empresas financieras como Mastercard se preparan con sus propios proyectos piloto, el comité de estándares X9 de la industria también trabaja en la elaboración de orientaciones para las empresas del sector financiero, señala el Dr. Dustin Moody, matemático que dirige el proyecto de criptografía post-cuántica en el Instituto Nacional de Estándares y Tecnología (NIST).
El camino que queda por recorrer no es fácil, admiten los expertos. "La disponibilidad de servicios y equipos de distribución de claves cuánticas es aún muy limitada. Algunos de los proveedores de hardware con los que trabajamos tienen funciones que acaban de anunciarse y son muy nuevas en el mercado, y algunas ni siquiera se han puesto a disposición general", señala Maddaloni. "Creo que el sector entiende que los servicios financieros necesitarán esta capacidad en el futuro".
Moody aconseja a las empresas que perfeccionen su preparación post-cuántica a pesar de lo que podría parecer un panorama desalentador. ¿Lo primero? "Hay que encontrar todas las instancias de criptografía de clave pública, lo cual es complicado y llevará tiempo hacer ese inventario", anota Moody. "Va a ser una migración compleja que llevará tiempo", indica, "así que animamos a las organizaciones a adelantarse a ella tan pronto como puedan".
Miller está de acuerdo. Compara el proceso con la preparación para el efecto 2000, cuando las empresas se preocupaban por el formato y el almacenamiento de la información más allá del año 2000. La migración a la preparación post-cuántica tiene incluso un acrónimo pegadizo similar: Y2Q. Una diferencia clave, indica Miller, es que había un reloj de cuenta atrás fijo para el efecto 2000. La computadora cuántica criptográficamente relevante no está aquí hoy, pero podría estarlo dentro de cinco años. O dentro de diez.
"Saber que no tenemos una fecha firme para cuando nuestras actuales metodologías de cifrado dejen de ser útiles", señala Miller, "es lo que me quita el sueño".
Basado en el artículo de Poornima Apte (CIO) y editado por CIO Perú