Es bien sabido que los ordenadores cuánticos incrementan la capacidad de cómputo en órdenes de magnitud. Funciones inasequibles con los ordenadores convencionales se convierten en realizables. Esto acelerará el descubrimiento de fármacos, el diseño de materiales, la optimización energética o logística y la modelización financiera, entre otros ámbitos. Sectores enteros tendrán herramientas que hasta ahora estaban completamente fuera de su alcance. Hasta aquí las buenas noticias.

Desgraciadamente, esa misma capacidad actúa como una bomba nuclear para la seguridad digital. La criptografía que protege el tráfico web (HTTPS), las VPN, las tarjetas de crédito, la telefonía móvil, las identidades digitales, las actualizaciones de software, e incluso el blockchain, la criptografía que usamos hoy, queda comprometida. Y estos sistemas constituyen precisamente la capa de confianza de la nuestra economía y nuestra sociedad, cada vez más digitales. Y puede quedar destrozada hoy mismo, no en años.

El cifrado actual se basa en problemas matemáticos que los ordenadores cuánticos pueden resolver de forma extremadamente rápida. Y el riesgo existe ya, incluso antes de que los ordenadores cuánticos estén disponibles de manera generalizada, porque permite una estrategia conocida como “harvest now, decrypt tomorrow”. Los datos pueden interceptarse hoy, almacenarse y descifrarse más adelante cuando los ordenadores cuánticos sean más accesibles. Los registros financieros, los datos médicos, los secretos industriales, las comunicaciones estratégicas o delicadas, los contratos o la información estatal son ya vulnerables. La confidencialidad a largo plazo está desapareciendo rápidamente.

Frente a esta amenaza han surgido dos enfoques. La criptografía post-cuántica (PQC) introduce nuevos algoritmos diseñados para resistir ataques cuánticos. Aunque su despliegue se realiza mediante software y puede integrarse en los sistemas existentes, al basarse en algoritmos matemáticos, su seguridad depende de que dichos supuestos sigan siendo válidos frente a futuros avances criptoanalíticos. No hay garantías.

Por otra parte, la distribución de claves cuánticas (QKD) adopta un enfoque muy diferente. Parejas de nodos conectados por fibra óptica (o satélite) generan claves criptográficas compartidas y totalmente aleatorias utilizando tecnologías basadas en determinadas propiedades cuánticas de los fotones. Su despliegue es más costoso y complejo, pero, por construcción, sus claves no son vulnerables a ataques de fuerza bruta ni a avances algorítmicos. Lo cierto es que, hoy, PQC y QKD deben coexistir en función de la criticidad de la información a proteger y de otros factores estructurales o tácticos.

Pero el verdadero problema no es proteger los enlaces, sino las aplicaciones que se despliegan a lo largo de redes, ubicaciones, proveedores/clientes y jurisdicciones territoriales. Las claves deben generarse, distribuirse, priorizarse, rotarse, monitorizarse, auditarse y recuperarse. Ello, teniendo en cuenta que a veces los enlaces fallan, se degradan o se amplían, se hacen migraciones, y el cumplimiento de la regulación exige evidencias. La seguridad debe sobreponerse a todo ello.

Por estas razones, la seguridad cuántica no puede tratarse como una actualización tecnológica ni como una selección de un suministrador de equipos o enlaces. Debe construirse y gobernarse como una infraestructura. Como una plataforma. Una que proteja aplicaciones de extremo a extremo y operaciones reales de negocio a lo largo del tiempo.

Los consejos y comités de dirección que traten esto como un problema técnico del futuro descubrirán demasiado tarde que deberían haberlo contemplado como un riesgo estratégico, realista y de muy alto impacto, y como un riesgo ya presente, no del futuro.

-Información comercial- La empresa QoolNet, spinoff de la UPM, acumula una década de investigación y desarrollo en torno a este problema, habiendose erigido en una de las tres o cuatro empresas en el mundo capaces de discernir el mejor enfoque para mitigar este riesgo.