El cómputo cuántico llegará avasallando, como un tsunami. Todos los entendidos lo saben, y lo pregonan. ¿Nos estamos preparando para ese momento?
La identidad digital se ha convertido en un pilar fundamental para la interacción entre ciudadanía, gobiernos y empresas, ya que ofrece seguridad, eficiencia y confiabilidad al autenticar a las partes involucradas. La verificación de la identidad en línea agiliza procesos, reduce costos y mejora la experiencia del usuario.
Pero la confiabilidad de la identidad digital, tal cual la conocemos hoy, se encuentra amenazada por la inminencia del cómputo cuántico.
Las computadoras cuánticas podrían romper los algoritmos criptográficos que protegen la identidad digital y la información confidencial. Esta vulnerabilidad exige transitar hacia soluciones de seguridad post cuánticas que resistan los ataques cuánticos, y garanticen la integridad y la autenticidad de la identidad digital futura.
¿Que es la identidad digital segura?
Es un ecosistema de confianza que permite realizar trámites electrónicos, donde la identidad de la ciudadanía y de las personas funcionarias se valida de manera inequívoca. Esto implica vincular roles y responsabilidades específicas a cada identidad digital, asegurando que las acciones realizadas sean claramente atribuidas y autorizadas. Del mismo modo, es crucial garantizar la integridad y autenticidad de cada trámite, implementando mecanismos de trazabilidad y auditoría que permitan verificar la validez y el origen de la información que forma parte de la identidad digital.
¿Cómo se crea una Identidad Digital Segura?
Con elementos sólidos que pueden incluir algo que se conoce (contraseñas), algo que se tiene (documento de identidad, poderes, CURP, RFC, credenciales) y algo que se es (datos biométricos). Luego, estos elementos son validados por Terceros Confiables que son entidades que verifican la identidad del solicitante y garantizan su autenticidad. Estas validaciones se pueden hacer en forma remota, en línea, y en tiempo real.
Un buen ejemplo es el Certificado Digital que es gestionado por una Autoridad Certificadora encargada de verificar la identidad de una persona o entidad de manera segura y confiable. En este proceso los participantes generan su par de Llaves (pública y privada) junto con datos que lo identifican para crear un requerimiento de certificación. La Autoridad Certificadora recibe el requerimiento de certificación y valida los datos contenidos en este, valida la identidad del sujeto, y, si todo es correcto, genera el Certificado Digital, que no es más que un documento electrónico firmado por la Autoridad Certificadora en su papel de Tercero Confiable.
El poder disruptivo del cómputo cuántico
La computación cuántica representa un cambio de paradigma en la informática. Puede romper los algoritmos criptográficos que en la actualidad garantizan los sistemas de identidad. Esto implica riesgos de robo de identidad, fraudes financieros, suplantación de identidad y otros delitos cibernéticos.
En el caso de las Infraestructuras de Clave Pública, su seguridad se verá comprometida: se podrán emitir certificados falsos o revocar certificados legítimos, impactando la confianza y la seguridad de las transacciones en línea. Y se verán vulnerados también los algoritmos criptográficos de los sistemas de identidad descentralizados que permiten a las personas controlar sus propias identidades.
Dado el rápido avance del cómputo cuántico, se hace necesario crear métodos criptográficos capaces de resistir los ataques de las computadoras cuánticas. La criptografía post-cuántica (PQC, por sus siglas en inglés) o criptografía resistente al cómputo cuántico, se refiere al desarrollo de algoritmos criptográficos que son seguros contra ataques tanto de computadoras clásicas como de computadoras cuánticas. Los algoritmos PQC están diseñados para reemplazar a los sistemas criptográficos actuales que se volverán, rápidamente, obsoletos y vulnerables.
Los algoritmos Post-Cuánticos -que se ejecutan en equipos convencionales- están definidos por el National Institute of Standards and Technology (NIST) de los Estados Unidos de América. Este organismo emite estándares públicos para garantizar que los sistemas informáticos cumplan con requisitos de seguridad e interoperabilidad post-cuánticos.
Mañana será demasiado tarde
La amenaza nos obliga a adoptar algoritmos post-cuánticos lo antes posible debido a que, lo más probable, es que los adversarios estén, ahora mismo, interceptando y almacenando datos cifrados con la intención de descifrarlos en el futuro cercano, cuando tengan acceso a computadoras cuánticas.
Atender este riesgo desde ahora mismo trae diversos beneficios:
- Protege datos en el largo plazo: Los datos que se consideran seguros hoy, se verán comprometidos mañana. Los algoritmos post-cuánticos protegen -en el largo plazo- datos confidenciales como secretos comerciales, registros gubernamentales o información personal.
- Tiempo de transición: La transición hacia la criptografía post-cuántica es compleja y requiere tiempo. Implica actualizar sistemas, software y hardware, así como capacitar al personal. Comenzar temprano permite una transición más gradual y bien administrada.
- Cumplimiento normativo: Es muy probable que los gobiernos y las grandes empresas comiencen a exigir el cumplimiento de estándares criptográficos post-cuánticos. Estar preparado para ello garantiza que se pueda cumplir con esos requisitos cuando entren en vigor.
- Mitigar riesgos: Adoptar algoritmos post-cuánticos ahora mismo, puede mitigar el riesgo de que los datos queden expuestos en el futuro. Este enfoque proactivo es esencial para mantener la seguridad y la privacidad de la información confidencial.
Recomendaciones
- Planificar la migración hacia algoritmos de criptografía post-cuántica de inmediato. Históricamente, las migraciones criptográficas, como el lento reemplazo de 3DES por AES (aún incompleto en algunos sistemas de PIN de tarjetas de crédito), han demostrado ser complejos y prolongados.
- Dar prioridad a las pruebas de compatibilidad exhaustivas entre sistemas durante la transición para garantizar una interoperabilidad perfecta y evitar interrupciones imprevistas.
- Mantenerse actualizado acerca de los avances en criptografía y cómputo cuántico.
- Realizar evaluaciones de riesgo y actualización de sistemas.
- Capacitar al equipo humano en tecnologías emergentes.
Conclusión
La era cuántica plantea desafíos críticos para la identidad digital. Los algoritmos criptográficos tradicionales que sustentan muchos sistemas de identidad se verán amenazadas por las computadoras cuánticas. Se vuelve relevante iniciar la transición hacia la criptografía post-cuántica, y explorar enfoques innovadores como los Identificadores Descentralizados.
Abordar proactivamente estos riesgos es esencial para salvaguardar la privacidad, la seguridad y la confianza en los ecosistemas de identidad digital en un futuro donde la computación cuántica ya es, prácticamente, una realidad.
Por Javier Alarcón. Javier Alarcón es socio fundador de la empresa Seguridata.