John Martinis, Nobel de Física: “No me gustaría que la computación cuántica se conociera por romper internet”

La seguridad digital, que sostiene desde la transacción bancaria más habitual hasta las conversaciones en plataformas de mensajería o el entramado de criptomonedas o las infraestructuras críticas, se fundamenta en las claves criptográficas, cadenas de caracteres cifradas por un algoritmo. La dificultad para descifrarlas depende de la factorización, la descomposición de una expresión algebraica en forma de producto, es decir: seis es igual a tres por dos. Pero esta simple operación se hace extraordinariamente compleja si el número dado supera una cantidad relativamente pequeña de dígitos, como 261980999226229. Ya en 1994, Peter Shor, matemático del Instituto de Tecnología de Massachusetts, demostró que un ordenador cuántico podrá resolver el problema de factorización de manera eficiente. Este vaticinio empieza a ser real. “A finales de esta década, un ordenador cuántico criptográficamente relevante será capaz de romper el cifrado que sustenta nuestra economía global”, advierte Anand Oswal, vicepresidente de Palo Alto, la entidad considerada como la mayor proveedora de servicios de ciberseguridad. Los expertos urgen a prepararse.

Para Oswal, el actual modelo criptográfico ha sido durante medio siglo el “escudo invisible que protege todo” porque defiende las formas de comunicación digital y los datos almacenados, los pilares de internet. Pero la profecía de Shor comienza a vislumbrarse por el avance de la computación cuántica. “Está en ese punto de inflexión: ya no está en los laboratorios, ya no es un proyecto científico; empezamos a ver brotes verdes y empresas que dicen haber encontrado una forma de ejecutar una tarea estable de computación de contenido”, advierte Nikesh Arora, director general de la misma compañía y anfitrión del encuentro Quantum-Safe Summit.

Arora cree que hay una ventana de entre dos y siete años para afrontar el desafío, pero urge a prepararse ya: “Este es el momento de empezar a pensar en cómo va a impactar y qué implicaciones conlleva”. Se trata, según defiende, de transitar a un entorno cuántico sin alterar la productividad, la tecnología y la infraestructura.

Cosecha hoy, descifra luego

El máximo directivo de Palo Alto insiste en que la amenaza es real y “va a aparecer pronto delante de nosotros”. De hecho, ya han detectado una práctica entre los ciberdelincuentes conocida como “cosecha hoy, descifra luego” (Harvest Now Decrypt Later), que supone recopilar los datos en estos momentos para descodificarlos cuando la tecnología cuántica esté disponible.

Esta práctica implica que la información robada hoy, si tiene una fecha de caducidad próxima, no será relevante en el plazo de dos o tres años. Pero si son datos fundamentales o estratégicos, la computación cuántica los descifrará. “No podemos esperar hasta ese día para actuar. Debemos estar seguros hoy”, concluye Arora.

La próxima disponibilidad de tecnología la avala Jerry Chow, responsable del grupo de Computación Cuántica Experimental en el Centro de Investigación Thomas J. Watson de IBM, la compañía que ha establecido en su hoja de ruta (y hasta ahora ha cumplido todos los hitos previstos) entregar a sus clientes el primer ordenador cuántico tolerante a fallos y de 200 cúbits (unidad básica de información cuántica). Estos sistemas se prevé que sean capaces de resolver problemas imposibles para la computación clásica, pero también alcanzar los cúbits necesarios para desafiar la criptografía. “En algún momento va a suceder y creo que la clave principal es estar por delante de eso, sí, prepararse para ello ahora”, admite.

John Martinis, uno de los tres científicos galardonados el pasado año con el Nobel de Física por sus investigaciones en el universo cuántico e invitado a la Quantum-Safe Summit, coincide en la urgencia, aunque considera que hay tiempo para anticiparse: “Creo que la gente tiene que empezar a preocuparse un poco. Tiene unos años para pensarlo con cuidado, pero es una amenaza real y hay que abordarla seriamente. No me gustaría que la computación cuántica se conociera por haber roto internet. Hay tiempo, pero este no es infinito. Es necesario pensar seriamente en reemplazar nuestros sistemas”.

Cómo prepararse

Las grandes agencias gubernamentales de seguridad en internet y las multinacionales del sector llevan años preparándose para este mundo poscuántico. No sucede así con las empresas menores y proveedores de las entidades más relevantes. Colin Soutar, director en Deloitte de asesoramiento en riesgos, resalta la labor del NIST (Instituto Nacional de Estándares y Tecnología de los Estados Unidos), que lleva años investigando. Pero apunta a la necesidad de que todas las entidades comiencen a pensar en la nueva era.

“Si empiezas pronto, puedes ver dónde están las vulnerabilidades y empezar a integrar las alternativas en las actualizaciones empresariales planificadas que ya se hacen. Es reinventar los sistemas subyacentes y eso supone mucho trabajo”, advierte.

Soutar aboga por empezar a establecer la infraestructura y la organización, identificar las debilidades y remediar. “No intentes arreglarlo todo de golpe. Puedes empezar a hacer actualizaciones selectivas a medida que avanzas. Es un proceso iterativo, no secuencial”, aconseja.

A esta estrategia, Dustin Moody, matemático en la División de Seguridad Informática del NIST, añade otra recomendación: flexibilidad y agilidad para “cambiar a otra cosa en algún momento”. “Nunca podremos tener 100% de seguridad. Alguien puede llegar con una idea nueva, un ordenador cuántico o una IA que suponga un enfoque nuevo que nunca habíamos considerado y que siempre es posible”, explica.

Moody reclama formación, inventariar los elementos sobre los que se han establecido o se establecerán sistemas criptográficos, así como su vida útil (“suena fácil, pero es muy complicado”, advierte), tener un proyecto y mandos específicos, ejecutar los planes y extenderlos. En este sentido, advierte sobre uno de los problemas clásicos de la ciberseguridad: “Tendrás que hablar con tus proveedores para asegurarte de que hacen lo mismo”.

“Básicamente, empieza ese proceso ahora y no esperes porque va a ser una transición larga y compleja”, concluye. “Debemos asegurarnos de tomar medidas inmediatas, superar la fase de tormenta de ideas, ir rápido, pensar por dónde empezar y simplemente empezar. Hoy estamos hablando de actuar”, añade Michael Duffy, director federal de Seguridad de la Información de EE UU.