Es posible que datos como las credenciales que actualmente están cifrados ya no sigan siendo privados en el futuro porque las computadoras cuánticas pronto romperán la criptografía de clave pública que protege los datos. Aunque actualmente no existen máquinas que puedan descifrar la criptografía de curva elíptica o RSA, el hardware cuántico avanza rápidamente e inevitablemente cambiará la forma en que las organizaciones protegen sus datos. Una vez que la computación cuántica se ponga al día, los atacantes podrán almacenar y descifrar el texto cifrado y las credenciales capturados.
¿Qué tan urgente es la criptografía a prueba de cuánticos?
Según el Informe cronológico de amenazas cuánticas de 2025 del Global Risk Institute, los profesionales de seguridad encuestados creen que las computadoras cuánticas relacionadas con la criptografía probablemente estarán disponibles dentro de 15 años, y entre el 51% y el 70% lo cree. Esta amenaza se remonta a 1994. En aquel momento, Peter Scholl demostró que potentes ordenadores cuánticos podían factorizar eficientemente grandes números y calcular logaritmos discretos. Sin embargo, el algoritmo de Shor se aplica a la criptografía de clave pública y no representa una amenaza significativa para la criptografía simétrica como AES-256 o el hash moderno. Esta distinción es importante porque la criptografía de clave pública es lo que utilizan dos sistemas para establecer confianza y acordar una clave para proteger los datos. Si una computadora cuántica puede superar ese paso, los atacantes podrían potencialmente desbloquear los datos protegidos y las credenciales detrás de ella.
Relacionar las amenazas cuánticas con el presente y el futuro es una táctica conocida como «cosechar ahora, descifrar después». En esta táctica, los atacantes capturan el tráfico que está cifrado actualmente, lo almacenan y lo descifran cuando las computadoras cuánticas estén disponibles. Dado que es probable que dentro de 15 años haya computadoras cuánticas capaces, cualquier dato interceptado y recopilado hoy debe tratarse como información que ya está disponible públicamente.
Fecha límite del día Q
No está claro exactamente cuándo llegarán las computadoras cuánticas, pero las agencias gubernamentales han fijado fechas límite en torno a un hito conocido como Q-Day, cuando será necesario cambiar el cifrado. El Commercial National Security Algorithm Suite 2.0 de la NSA requiere que los nuevos sistemas de seguridad nacional comiencen a admitir algoritmos resistentes a los cuánticos a partir del 1 de enero de 2027. La NSA quiere que todos los sistemas de seguridad nacionales sean resistentes a los cuánticos para 2035, aunque los plazos se han retrasado para varias categorías de sistemas hasta principios de la década de 2030. NIST está siguiendo un camino paralelo con el borrador IR 8547, que está en desuso. RSA-2048 y ECC P-256 serán aplicables después de 2030 y completamente prohibidos después de 2035. Si bien estas fechas pueden parecer lejanas, la fase de descubrimiento por sí sola puede llevar de 1 a 2 años para las grandes empresas, por lo que una transición empresarial completa puede demorar de 5 a 15 años.
Por qué las credenciales suponen un gran riesgo en el futuro poscuántico
No todos los datos cifrados dentro de una organización conllevan el mismo riesgo si finalmente se retira el cifrado que los protege. La mayoría de los secretos, como los tokens de sesión, tienen un período de confidencialidad medido en meses. Las credenciales pueden persistir durante muchos años o mientras el sistema asociado esté en funcionamiento. Para un atacante, vale la pena recopilar las credenciales ahora y conservarlas hasta que una computadora cuántica pueda descifrarlas. La escala es lo que hace que esto sea un riesgo importante para la seguridad. Especialmente porque la mayoría de las organizaciones tienen una población cada vez mayor de identificadores no humanos (NHI), como cuentas de servicio y claves API. Estas credenciales de máquina tienden a persistir durante largos períodos de tiempo, ya que los usuarios humanos no son responsables de rotar las credenciales y probablemente no estén inventariadas para la exposición al cifrado, lo que las convierte en objetivos ideales para la recopilación.
Cómo iniciar una transición cuántica centrada en las credenciales
La migración también debería comenzar con las credenciales, ya que la mayoría de los riesgos se centran en ellas. Las organizaciones deben tomar los siguientes pasos para adoptar un enfoque de migración cuántica que priorice las credenciales.
Crear un inventario de cifrados existentes
La razón principal por la que el proceso de migración lleva tanto tiempo es la incapacidad de las organizaciones para detallar las dependencias de cifrado. Un inventario centrado en las credenciales comienza con la búsqueda de los sistemas que contienen o intermedian secretos, como administradores de contraseñas, administradores de secretos y plataformas de administración de acceso privilegiado (PAM). Esta fase puede exponer cuentas de servicio olvidadas, secretos codificados o integraciones que han estado inactivas durante años.
Priorizar el riesgo sobre el tamaño
Aunque es posible que las organizaciones quieran comenzar a proteger sus sistemas más grandes, es mejor priorizar los períodos de confidencialidad en función de la exposición, como por ejemplo cuánto tiempo deben permanecer privados los secretos, combinando períodos de confidencialidad con la accesibilidad para los atacantes. Utilizando esta lógica, los secretos pequeños y duraderos que median el acceso a sistemas críticos se vuelven más importantes que conjuntos de datos vastos pero de corta duración. Priorizar el riesgo de esta manera garantiza que las credenciales más vulnerables estén protegidas primero para «obtenerlas ahora» y «descifrarlas más tarde».
Pasar al cifrado híbrido
En lugar de reemplazar completamente los algoritmos clásicos, las organizaciones deberían adoptar el cifrado híbrido combinando algoritmos clásicos y resistentes a los cuánticos en el mismo intercambio de claves. Esto protege sus conexiones tanto de los atacantes tradicionales de hoy como de los atacantes cuánticos del mañana. El cifrado híbrido también impide que las organizaciones apuesten todo por un algoritmo único y relativamente nuevo, ya que los componentes clásicos permanecen en su lugar y no se elimina nada para agregar protección resistente a los cuánticos.
Desarrollar agilidad criptográfica
Dado que los algoritmos quedarán obsoletos y los parámetros cambiarán, las organizaciones deben esperar que la migración actual no sea la migración final. Construya teniendo en cuenta la agilidad criptográfica: de esa manera, reemplazar un algoritmo criptográfico se convierte en un cambio de configuración en lugar de una importante reingeniería. Para las credenciales en particular, esto significa mantener su cifrado en una ubicación central de modo que, si necesita cambiar un algoritmo, pueda actualizarlo una vez en lugar de comenzar de nuevo en múltiples aplicaciones, canalizaciones e integraciones.
Comience a proteger donde el riesgo es mayor
Si bien la necesidad de posponer el cifrado a prueba de cuánticos puede ser fuerte, las organizaciones deben recordar que la transición cuántica es un proceso lento y que los datos actuales deben permanecer privados hasta un futuro lejano. Incluso sin computadoras cuánticas, la amenaza de que se recopilen y descifren credenciales se convierte en un problema real. La transición a la criptografía resistente a los cuánticos debe comenzar con las credenciales. Porque las credenciales son la intersección del período de confidencialidad y el radio explosivo. En noviembre de 2025, comenzamos a implementar criptografía resistente a los cuánticos en todas las aplicaciones cliente de Keeper, empleando el mecanismo de encapsulación de clave híbrida (KEM) de Kyber para proteger las bóvedas de Harvest Now, Decrypt Later y otras amenazas de la computación cuántica. Asegurar las credenciales del futuro cuántico es algo que las organizaciones deberían priorizar ahora, antes de que se vuelva obligatorio un hardware más avanzado.
Nota: Este artículo fue escrito cuidadosamente y contribuido por la redactora de contenido de Keeper Security, Ashley D’Andrea, para nuestros lectores.
Source link
