La computación cuántica (un modelo de cálculo distinto al de los ordenadores actuales) ya no es solo una discusión teórica: plantea un cambio de paradigma que podría dejar obsoletos los sistemas de cifrado que hoy protegen transacciones bancarias, datos médicos, comunicaciones diplomáticas e infraestructura crítica de Uruguay y del resto del mundo.
“La ciberseguridad poscuántica no es solamente un tema técnico, es una cuestión de seguridad nacional, soberanía y confianza en lo digital”, dijo a la diaria el ingeniero Gustavo Betarte, profesor grado cinco del Instituto de Computación de la Facultad de Ingeniería de la Universidad de la República (Udelar) y responsable y fundador del Grupo de Seguridad Informática.
La computación cuántica representa “un modelo computacional completamente alternativo a lo que conocemos desde hace casi un siglo a partir del origen de la computadora”, explicó.
A diferencia del esquema clásico basado en la máquina de Turing –que ejecuta instrucciones de manera secuencial–, el paradigma cuántico permite procesar información de forma radicalmente distinta, habilitando niveles que podrían cambiar el tipo de problemas que es posible resolver y la velocidad con que se solucionan.
Ese cambio de paradigma impacta directamente en la ciberseguridad. Hoy, desde el “candadito” que aparece en el navegador hasta las firmas digitales del Estado, la seguridad digital se apoya en sistemas de criptografía de clave pública cuya fortaleza depende de que ciertos problemas matemáticos sean extremadamente difíciles de resolver con computadoras tradicionales. Sin embargo, los algoritmos cuánticos podrían quebrar esa base matemática, afirmó el experto.
Aunque las capacidades cuánticas necesarias para romper masivamente la criptografía todavía no están disponibles, “hay un problema que es muy urgente y que es del presente”, señaló Betarte. El especialista advirtió que hay “actores maliciosos” que hoy interceptan y almacenan comunicaciones cifradas que podrían ser desencriptadas dentro de diez o 15 años, cuando existan máquinas cuánticas suficientemente potentes.
En ese escenario, Uruguay no es una excepción. “En general, la mayor cantidad de países están desprotegidos (...). Si vamos a pensar en términos de riesgo país, tenemos un problema que resolver”, advirtió el especialista.
¿Qué es la computación cuántica y por qué representa un cambio tan grande?
La computación cuántica es un modelo computacional alternativo al que está vigente actualmente desde 1934. Todo comienza con el matemático inglés Alan Turing (1912-1954), que construyó durante la Segunda Guerra Mundial una máquina capaz de decodificar los mensajes de los alemanes y tuvo un rol muy importante en su derrota. Fue un hombre brillante, pero muy juzgado en su época por ser homosexual.
En 1934 sacó un paper muy famoso, donde demostraba con su máquina Turing que se podían hacer cálculos y sirvió como el modelo computacional que se sigue usando hasta hoy, casi 100 años después. Por más que las computadoras hayan cambiado, no se modificó el modelo, a pesar de que se mejoró la velocidad en que se procesan instrucciones. Es decir, la complejidad que tienen los problemas es exactamente la misma que podía resolver la máquina de Turing.
En cambio, la computación cuántica propone un modelo completamente alternativo para ejecutar instrucciones en forma automatizada. El modelo actual tiene una capacidad para resolver muy inferior.
¿Por qué se llama computación cuántica?
La computación cuántica se inspira en principios de la mecánica cuántica, como la superposición. En una computadora clásica, la unidad básica de información es el bit, que solo puede valer 0 o 1. En cambio, en una computadora cuántica la unidad es el qubit, que puede estar en una superposición de 0 y 1 al mismo tiempo. Cuando se lo mide, el resultado será 0 o 1, pero mientras no se mida, el sistema puede combinar ambas posibilidades. Esa propiedad permite explorar muchas combinaciones posibles de manera simultánea y cambia profundamente el modelo de cálculo tradicional.
Por tanto, es un modelo computacional completamente alternativo a lo que conocemos desde hace casi un siglo a partir del origen de la computadora.
¿Ya hay computadoras cuánticas operativas?
IBM hace unos meses anunció que ya estaba realizando una máquina lo suficientemente poderosa, cuántica, como para hacer determinado tipo de cálculo, pero hay una carrera (entre empresas) al respecto. Los chinos también tienen su desarrollo, pero no se sabe muy bien en qué estado.
Todavía no hay máquinas de estas que estén totalmente disponibles para el uso comercial, o sea, ordenadores capaces de ejecutar algoritmos que sigan un modelo computacional cuántico. Pero es cuestión de tiempo para eso.
¿De cuánto tiempo estamos hablando?
En EEUU se propuso como límite 2035, en donde se pasaría de la criptografía clásica a la cuántica. Pero hay algunos expertos que dicen que puede aparecer antes. La información que está circulando no es del todo clara. Hay una carrera muy grande entre fabricantes de computadoras y los desarrolladores de algoritmos.
¿Qué riesgos en materia de ciberseguridad implica la computación cuántica?
Hay distintos tipos de problemas, pero también tiene enormes beneficios. El primer desafío es que los computistas y programadores vamos a tener que adaptarnos, aprender a pensar con nuevas teorías de computación porque el modelo va a cambiar. Pongo un ejemplo tan simple como los algoritmos clásicos que usamos para ordenar datos, estos tienen una determinada complejidad algorítmica que va a cambiar de orden drásticamente, entonces, hay determinado tipo de cosas que se podrían resolver de forma más eficaz y eficiente que lo que hacemos ahora, pero eso significa aprender a programar y a entender los cómputos de otra forma.
En materia de riesgos, un ejemplo claro es la criptografía poscuántica. Actualmente, hay dos grandes tipos de esquemas de criptografía que se utilizan, uno es simétrico o secreto y otro asimétrico, como el de clave pública. La criptografía de clave pública es la que se utiliza extensivamente para todo lo que tiene que ver con transacciones en internet, firmas digitales como las que se utilizan en Uruguay para asegurar determinadas propiedades de los documentos electrónicos. Cuando se hace una transacción, se puede ver un candadito que señala que la comunicación entre tu máquina y el servidor está siendo protegida, eso significa que la información que está fluyendo está siendo encriptada al usar un algoritmo de criptografía pública.
La idea de criptografía pública es que hay un par de claves, una que es pública y otra que es privada y secreta. Se encripta el documento, la comunicación, utilizando un algoritmo de criptografía de clave pública y solamente tú vas a poder utilizar un algoritmo de desencriptación con tu clave privada.
Actualmente es muy difícil poder desencriptar una información que fue encriptada con una clave pública. Es casi imposible, puede llevar en algunos casos miles de años dependiendo de la computadora. Esa es la fortaleza que tiene la criptografía pública. Es como si tuviera un gran candado.
Ahora bien, con una computadora cuántica, tenés la capacidad de quebrar la seguridad de un mensaje que fue encriptado con ese tipo de algoritmos de encriptación.
¿Quiere decir que con una computadora cuántica se podrían alcanzar todos los datos que existen?
La computación cuántica pone en riesgo la sensación de seguridad de que, si se encripta un dato, es casi imposible que un atacante pueda acceder a él ya que pone en cuestión las capacidades de cómputo que presentan estos modelos.
Me imagino que no solo serían los datos de las personas, sino de infraestructuras claves.
Por supuesto. En nuestro país tenemos una autoridad certificadora para garantizar que el manejo de transacciones utilizando criptografía pública sea confiable. Ese mismo tipo de claves que utilizamos las personas para comunicarnos lo usan las instituciones y las organizaciones para proteger todo lo que es su información sensible, sus activos digitales. Si vamos a pensar en términos de riesgo país, tenemos un problema que resolver.
¿Está diciendo que Uruguay está desprotegido frente a este desafío?
Hay que ser cuidadosos con las afirmaciones. La mayoría de los países está desprotegida porque el avance que hay en implementar soluciones poscuánticas todavía no está muy desarrollado. Uno podría decir que está desprotegido, pero de todas formas todavía no están las capacidades disponibles. Pero, potencialmente, si no hacemos nada al respecto, vamos a estar desprotegidos.
¿Cuál debería ser la prioridad de Uruguay hoy para prepararse frente a los desafíos de la ciberseguridad poscuántica?
Hay un problema que es muy urgente y que es del presente. Actores maliciosos, organizaciones criminales, están hoy en día interceptando y almacenando tráfico cifrado, a pesar de que todavía no hay capacidades computacionales disponibles para quebrarlos. Están almacenando tráfico de comunicaciones diplomáticas, datos médicos, claves de infraestructura que quizás sí van a poder desencriptar dentro de 10 o 15 años, cuando las capacidades computacionales estén disponibles. Todavía no están en riesgo, pero puede que sí lo estén en el día de mañana. Yo tendría mucho cuidado. Habría que tomar más recaudos para evitar que esa información encriptada caiga en manos de actores maliciosos, sobre todo porque este tipo de información sensible puede llegar a tener vigencia dentro de 10, 15 años.
¿Qué acciones deberían emplearse?
Hay varias instituciones de Uruguay que están preocupadas por este tema y buscan prepararse, como por ejemplo Agesic.
Desde la Universidad de la República, estamos preocupados y tratando de ver cómo podemos hacer para desarrollar capacidades, porque nuestro país tiene cierta desventaja. Lamentablemente, en Uruguay no hemos tenido la capacidad de desarrollar equipos académicos fuertes en criptografía y menos en criptografía poscuántica. En eso, Uruguay y la Universidad de la República tienen un desafío muy importante. Para mí tiene que haber una estrategia nacional que identifique cuáles son los sistemas críticos de nuestro país y planificar una migración. Hay que prepararse.
La ciberseguridad poscuántica no es solamente un tema técnico, es una cuestión de seguridad nacional, soberanía y confianza en lo digital. Creo que Uruguay todavía tiene la oportunidad de no solamente adaptarse, sino inclusive hasta de poder llegar a posicionarse a nivel internacional.