La computación cuántica ha dejado de ser un concepto de ciencia ficción recluido en laboratorios de física avanzada para convertirse en una de las prioridades más urgentes en las agendas de riesgo de los Comités de Dirección y Directores de Seguridad de la Información (CISOs) del sector financiero global.

Estudios publicados por gigantes tecnológicos y firmas académicas —como los recientes informes analizados por la comunidad internacional y divulgados por redes globales de noticias— sugieren que las computadoras cuánticas capaces de romper los esquemas de encriptación actuales podrían estar operativas mucho antes de lo previsto, potencialmente antes de que termine esta década. Este cambio de paradigma representa un riesgo sistémico para el sistema financiero, el comercio electrónico y la infraestructura de identidad digital global.

La táctica “Cosechar ahora, descifrar después” (Harvest Now, Decrypt Later)

La amenaza cuántica no es un problema del futuro; impacta la ciberseguridad en el presente debido a una estrategia que los actores maliciosos y agencias de inteligencia ya están ejecutando de manera masiva: el modelo de ataque conocido como “Cosechar ahora, descifrar después” (Harvest Now, Decrypt Later).

Organizaciones cibercriminales avanzadas capturan y almacenan masivamente flujos de datos financieros encriptados que viajan por internet en la actualidad. Aunque hoy en día no pueden descifrar esta información, simplemente la guardan a la espera de que los procesadores cuánticos alcancen la escala necesaria. Cuando las computadoras cuánticas comerciales o estatales tengan la potencia requerida, estos datos históricos —que incluyen secretos comerciales, registros bancarios transfronterizos de largo plazo y datos de identidad soberana— serán vulnerables al descifrado inmediato. Para el sector bancario, donde la vida útil y confidencialidad de ciertos datos sensibles abarca décadas, esto constituye una brecha de seguridad activa hoy.

Por qué el ecosistema bancario y las criptomonedas están en la primera línea de riesgo

Los sistemas de cifrado clásicos y omnipresentes en el sector financiero, como la criptografía asimétrica (RSA y ECC), se basan en la imposibilidad práctica de que una computadora tradicional resuelva problemas matemáticos complejos, como la factorización de grandes números primos, en un tiempo razonable (lo que tomaría miles de años).

Sin embargo, las computadoras cuánticas operan mediante qubits que aprovechan principios como la superposición y el entrelazamiento. A través de algoritmos específicos —como el algoritmo de Shor—, un procesador cuántico de escala suficiente puede resolver estos complejos problemas matemáticos en cuestión de horas o minutos.

Las principales infraestructuras financieras en riesgo incluyen:

1. Pasarelas de pago y redes transaccionales: El protocolo TLS/SSL utilizado para asegurar la banca en línea y las transacciones de tarjetas de crédito depende de algoritmos asimétricos vulnerables.
2. Firmas electrónicas y contratos digitales: La validez jurídica a largo plazo de las firmas y contratos financieros electrónicos se fundamenta en llaves privadas que podrían ser falsificadas por actores con capacidades cuánticas.
3. Criptomonedas y tecnología Blockchain: Las llaves públicas que resguardan los monederos de criptoactivos y validan las transacciones de redes distribuidas quedarían expuestas, permitiendo la suplantación de identidad y el desvío ilícito de fondos.

El camino hacia la Criptografía Post-Cuántica (PQC)

Ante esta inminente vulnerabilidad, la industria tecnológica y los organismos reguladores mundiales han acelerado la transición hacia la Criptografía Post-Cuántica (PQC), que consiste en el desarrollo de algoritmos matemáticos basados en problemas geométricos de alta complejidad (como las estructuras de redes o lattices) imposibles de resolver tanto para computadoras clásicas como cuánticas.

El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) ya ha comenzado a publicar los primeros estándares oficiales de algoritmos resistentes a la cuántica (FIPS 203, 204 y 205, que incluyen estándares como ML-KEM y ML-DSA). Asimismo, organizaciones como la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el ISMS Forum han emitido directrices para que las empresas comiencen planes formales de migración.

Recomendaciones estratégicas para instituciones financieras: De la teoría a la práctica

La migración criptográfica hacia la resiliencia cuántica no es un proceso que se complete de la noche a la mañana; representa un esfuerzo tecnológico e institucional que requiere de varios años. Para los directivos del ecosistema financiero de América Latina, las acciones inmediatas a implementar incluyen:

• Realizar un inventario criptográfico integral: Identificar dónde y cómo se emplean actualmente los algoritmos tradicionales (RSA/ECC) dentro de la infraestructura del banco, aplicaciones móviles, bases de datos y conexiones con terceros.
• Adoptar el concepto de Agilidad Criptográfica (Crypto-Agility): Diseñar las nuevas arquitecturas de software y sistemas de información de modo que los algoritmos de seguridad puedan ser actualizados o sustituidos con facilidad mediante configuraciones, sin necesidad de reprogramar los sistemas core desde cero.
• Implementar modelos híbridos de seguridad: Como medida de transición recomendada por las mejores prácticas globales, los equipos de ciberseguridad deben comenzar a desplegar esquemas híbridos, donde los datos se encripten simultáneamente con un algoritmo clásico certificado y un algoritmo post-cuántico en fase piloto. Esto protege contra los riesgos cuánticos sin comprometer el cumplimiento regulatorio actual.
• Evaluar la cadena de suministro tecnológica: Las instituciones financieras dependen en gran medida de proveedores de software en la nube, plataformas de core bancario y redes de pago globales. Es imperativo exigir a los proveedores tecnológicos que presenten sus respectivas hojas de ruta para la compatibilidad cuántica.

El margen de maniobra para blindar el entorno digital financiero se estrecha de manera acelerada. La anticipación estratégica e inversión oportuna en infraestructuras preparadas para la era cuántica determinarán qué entidades bancarias asegurarán la confianza, estabilidad operativa y confidencialidad de sus usuarios de cara a la próxima década.

Fuente: CNN