Que la tecnología cuántica todavía no esté lo suficientemente madura como para que a día de hoy represente un riesgo para las comunicaciones más sensibles, no significa que no debamos protegerlas ya, a riesgo de que ciberdelincuentes -y, muchos de ellos, ligados a actores estatales- estén recabando comunicaciones encriptadas a día de hoy para desencriptarlas cuando la tecnología cuántica ya esté madura para ello.
Esto es lo que advierte a la Unión Europea el Dr. Šar?nas Grigali?nas, Jefe del Centro de Competencia en Ciberseguridad y profesor asociado de la Universidad Tecnológica de Kaunas (KTU), en Lituania, un país que se enfrenta directamente a la amenaza de actores estatales ligados a Rusia, aunque la UE en conjunto también se enfrenta a la misma amenaza, además de a China o Corea del Norte entre otros.
Los ordenadores cuánticos poseen la capacidad de resolver los problemas matemáticos complejos que sirven de base al cifrado convencional, lo que reduce la efectividad de este último de una manera significativa. Ante esta situación, se han inventado los algoritmos resistentes a la tecnología cuántica, pero se requiere su implementación en usos reales.
En el marco normativo comunitario, la Unión Europea ha establecido una hoja de ruta que obliga a los estados miembros a empezar la transición desde los sistemas criptográficos tradicionales y convencionales hacia los sistemas resistentes de la desencriptación cuántica antes de que concluya el próximo año 2026. El objetivo final de dicha iniciativa es que las infraestructuras digitales críticas hayan migrado completamente a soluciones de seguridad cuántica para finales de 2030.
El Dr. Grigali?nas advierte de que el retraso en esta migración facilita que actores malintencionados recopilen tráfico gubernamental cifrado en la actualidad para procesarlo en el futuro mediante criptoanálisis cuántico, de manera que la información sensible que no caduque acabe cayendo en sus manos, aunque sea años más tarde de su captura.
La transición técnica de los sistemas de cifrado lleva aparejados retos operativos de calado, ya que las organizaciones suelen carecer de un inventario detallado de sus protocolos y bibliotecas criptográficas, lo que dificulta la identificación de los sistemas que deben ser actualizados prioritariamente. Para mitigar estos riesgos se requieren planes de actuación concretos y programas piloto que aseguren la propiedad institucional de los procesos. El Dr. Grigali?nas señala que, sin una preparación adecuada, el problema futuro no será únicamente la potencia de cálculo de los ordenadores, sino la falta de previsión actual.
Además de los factores organizativos, existen obstáculos técnicos derivados de la naturaleza de los nuevos algoritmos. Los estándares de criptografía postcuántica emplean firmas y claves de mayor tamaño, lo que puede comprometer la unidad máxima de transmisión en las redes y alterar las cadenas de certificados digitales.
Dispositivos como las tarjetas inteligentes, los módulos de seguridad de hardware o los sistemas embebidos precisan de nuevos certificados y actualizaciones de su firmware. Como solución intermedia, las autoridades europeas recomiendan el uso de métodos híbridos que combinen la criptografía clásica con la postcuántica.
La estrategia de migración debe priorizar los sistemas de alto riesgo que gestionan datos con necesidades de confidencialidad a largo plazo, como son los registros de salud, los archivos y los registros públicos. También es urgente atender la estructura de confianza nacional, las firmas electrónicas y los sistemas con acceso a Internet.
La realización de pruebas piloto controladas permite obtener datos operativos necesarios para escalar los esfuerzos de manera proporcional a los plazos europeos, evitando las presiones de última hora en los procesos de adquisición y certificación de la tecnología.
El despliegue de estas tecnologías también enfrenta desafíos en la gobernanza y la gestión del personal especializado. La fragmentación en la dirección de los proyectos y la escasez de profesionales pueden derivar en declaraciones de preparación técnica que no se correspondan con la realidad.
Para evitar esto, se propone incluir la agilidad criptográfica y el cumplimiento de las normativas FIPS en las licitaciones públicas. Así mismo, se hace necesario realizar evaluaciones independientes de los sistemas híbridos para garantizar que los proveedores cumplen con los hitos de la transición y se comprometen a realizar actualizaciones proactivas.
