Por Sam Curry, VP y CISO de Zscaler
El pasado mes de enero en Davos se habló mucho sobre Inteligencia Artificial (IA). Desde su enorme potencial para hacer avanzar los estudios científicos hasta la necesidad de un marco global para su regulación, pasando por cómo preparar a los ciudadanos para su impacto… la lista es interminable.
Pero hay otra tecnología que merecía la misma atención -si no más- de la que posiblemente acabó recibiendo, sobre todo si queremos aprender de nuestros errores con la IA y tomar la iniciativa en ante esta nueva realidad.
La computación cuántica (CC) promete despejar el camino a una innovación sin límites, pero también amenaza con cambiar y poner en peligro el funcionamiento de toda la criptografía de clave pública (y en gran medida simétrica); en concreto, los algoritmos utilizados por gran parte del mundo de Internet para la privacidad, el comercio electrónico, las firmas digitales y mucho más. Durante la conferencia del Foro de Davos de este año, se llegó a decir que la computación cuántica podría desencadenar un «Armagedón de la ciberseguridad».
Aunque lo de Armagedón huele a una cierta hipérbole, la advertencia no hay que dejarla en saco roto. ¿Cómo deberían los directivos preparar sus empresas en 2024 ante la computación cuántica? Y más que competir por la inversión en tecnología y tiempo de emisión, ¿qué papel podría llegar a desempeñar la IA en todo esto? Al fin y al cabo, no nos hallamos en un momento en el que solo hay una única innovación o cambio disruptivo potencial, sino de muchos, y todos ellos tienen repercusiones mutuas y suceden a la vez.
El tira y afloja entre criptología y criptoanálisis
En materia de criptografía, la tecnología cuántica podría acabar representando tanto una ventaja como una amenaza para las empresas. La diferencia estriba en si hablamos de criptoanálisis (romper códigos) o de criptología (intentar que los mensajes sean difíciles de descifrar).
Desde el punto de vista criptológico, la computación cuántica y, más en general, la tecnología cuántica, ofrece importantes ventajas tanto en la generación de números aleatorios como (hasta cierto punto) en la compartición de secretos, con algunas ventajas adicionales de seguridad gracias a las propiedades del entrelazamiento cuántico.
Volviendo al primer punto, si le pedimos a un ordenador que elija un número entre 1 y 10, es difícil que lo haga de manera realmente (o incluso correctamente) aleatoria. La capacidad de generación de números de los ordenadores se basa en un muestreo de las cosas dentro de las propias máquinas o mediante el empleo de servicios externos, lo que significa que todas ellas son o bien locales y deterministas, o bien remotas y probablemente deterministas, pero también públicas. En otras palabras, si conociéramos el estado de la máquina y sus variables de entrada en el momento de hacer la pregunta, sabríamos el número aleatorio que nos devolvería o, al menos, tendríamos un conjunto razonablemente pequeño y finito de números con los que trabajar.
Para los estados nacionales, los gobiernos, el ejército y las empresas, esto se convierte en un problema muy relevante: si se puede llegar a predecir un número aleatorio simulando el sistema que lo generó, se puede predecir toda la criptografía posterior. La tecnología cuántica tiene la capacidad de superar este reto, ya que ciertos sucesos a ciertas escalas (es decir, a escalas lo suficientemente grandes) son efectivamente no deterministas. Además, el propio acto de interceptar y observar las transmisiones las afectaría, lo que significa que cuando la «parte A» y la «parte B» utilizan un fenómeno cuántico entrelazado para determinar números aleatorios compartidos, cualquier «fisgón» podría llegar a cambiar su valor al escucharlos, lo que desvincularía los números de su entrada original.
Desde el punto de vista criptoanalítico, el impacto potencial del control cuántico es mucho menos positivo, y es ahí donde las empresas deben poner toda su atención.
Hasta ahora, toda la criptografía de clave pública se basa en algo que computacionalmente es relativamente sencillo de hacer en su sentido y mucho más difícil de revertir. Por ejemplo, multiplicar dos números primos grandes es fácil. En comparación, factorizar el producto de dos números primos grandes ha sido -hasta ahora- mucho más difícil, que es en lo que se basaba el algoritmo RSA de 1977. Sin embargo, los avances en computación cuántica están consiguiendo simplificar drásticamente estos problemas y, en este ejemplo, la factorización se convertiría en una operación mucho menos intensiva desde el punto de vista computacional y, por tanto, mucho más rápida. Esto supondría que, para cualquier clave pública conocida en el mundo, la clave privada correspondiente podría deducirse de forma relativamente sencilla cuando se dispusiera de suficiente potencia de CC.
Con ordenadores cuánticos capaces de realizar ciclos rápidos a través de combinaciones de números primos, romper las claves para leer los mensajes que ocultan se convierte en una tarea de constancia, algo inevitable con la cantidad y duración adecuadas del ataque al criptosistema. Si se ha estado grabando todo el tráfico que se ha transmitido utilizando estas claves, se puede volver a la información anterior y leerlo todo una vez que se descifre el criptosistema.
Utilizar la IA para restablecer el cifrado
Por muy alarmante que sea esta idea, no deberíamos preocuparnos por la amenaza del criptoanálisis de unos datos que ya podrían estar en peligro. En su lugar, debemos centrarnos en tratar de proteger la información que se encuentra segura dentro de nuestro control. En este sentido, las empresas pueden actuar tanto individualmente como en colaboración unas con otras.
Individualmente, el primer paso que deben dar las empresas para estar preparadas para la computación cuántica es diseñar su criptografía de forma modular y modificable, que les permita cambiar las bibliotecas en peligro cuando sea necesario. Si el día de mañana la computación cuántica quebrara la criptografía de una empresa, por ejemplo, el trabajo que supondría tener que revisar cada fragmento de código, aislar las distintas secciones criptográficas y sustituirlas sería para muchos poco menos que titánico. Estamos hablando de millones de líneas de código.
En su lugar, las empresas tienen que factorizar su código ahora para que sea una tarea relativamente sencilla sustituir las bibliotecas vulnerables por otras nuevas que hagan la misma función.
Desde luego, esto es mucho más fácil de decir que de hacer, o al menos lo sería si la IA no estuviera ya aquí para ayudar.
En cualquier estructura, el código evoluciona como un arrecife de coral: con el tiempo, los distintos programadores van añadiendo sus propias ramas hasta que nadie recuerda quién escribió qué, y mucho menos lo que dice. Al final, la sabiduría de la tribu se pierde y el código cobra impulso y vida propios. Aquí es donde puede intervenir la IA.
En el fondo, los grandes modelos lingüísticos (LLM) y la IA generativa son muy útiles para leer y analizar el lenguaje. Y la codificación no es más que eso, por lo que estas herramientas resultan ideales para abordarla y refactorizarla. Cuando se le dirige hacia un código antiguo (¡con trabajo!), la IA puede refactorizarlo, analizarlo, decir lo que hacían los distintos componentes e incluso ayudar a modular y comentar un nuevo cuerpo de código funcionalmente equivalente. Por supuesto, hay que probarlo, pero la tarea que antes era gigantesca se convierte ahora en una solución viable para externalizar la criptografía no segura para la CC y prepararla para cambiar a opciones seguras para la CC u otras actualizaciones necesarias.
De este modo, en un futuro cualquiera también podrá leer cada sección concreta del código y ver inmediatamente lo que hace. En otras palabras, las empresas pueden utilizar la IA para modular y modernizar poco a poco su código, haciéndolo más fácil de mantener y al mismo tiempo reduciendo su déficit técnico.
Apoyar el desarrollo de algoritmos resistentes a la computación cuántica
Empresas e instituciones públicas también tienen que apoyar los esfuerzos de la industria para desarrollar algoritmos resistentes a la cuántica que sean fáciles de crear, pero difíciles de descifrar, incluso con criptoanálisis cuántico.
Algunos de estos algoritmos ya existen, o se están empezando a desarrollar en estos momentos, pero siguen sin probarse o necesitan más tiempo de pruebas y de desarrollo. La única forma de que la industria confíe en los nuevos algoritmos es que se hagan públicos y se sometan a una rigurosa evaluación durante un periodo prolongado. Y esto exige un esfuerzo verdaderamente internacional y heterogéneo por parte de empresas, universidades, organismos nacionales de normalización, gobiernos, etc., que se unan en iniciativas públicas de promoción, desarrollo y pruebas, colaboren en sus resultados y compartan lo aprendido.
Todo esto nos lleva de nuevo a Davos, uno de los ejemplos más destacados de cómo empresas y líderes mundiales se reúnen para debatir los problemas más importantes del mundo. Con todas sus amenazas y oportunidades, la computación cuántica es una de ellas y, en consecuencia, debe seguir siendo uno de los temas de interés para el sector más allá de la conferencia del mes de enero. La cuestión es grave, pero podemos tomar medidas para estar preparados para la computación cuántica si actuamos ahora. Me gustaría animar a los directivos de las empresas a que empiecen a abordar su preparación para la cuántica tan pronto como les sea posible. No se trata de un problema futuro: los datos que algún día serán vulnerados mediante criptoanálisis con tecnología cuántica están siendo cifrados en este momento y almacenados listos para ser descifrados en algún momento dentro de un par de años.
