El papel urgente de la industria financiera en la preparación para la amenaza cuántica

La Centro Nacional de Seguridad Cibernética (NCSC) Ha advertido que, si bien recopilar y almacenar grandes cantidades de datos durante años es costoso, la llegada de las computadoras cuánticas en la próxima década podría hacer que estos esfuerzos sean valiosos para los hackers. "Dado el coste de almacenar grandes cantidades de datos antiguos durante décadas, es probable que un ataque de este tipo solo valga la pena para información de muy alto valor", dice el El NCSC declaró.  

Al respecto, Anne Neuberger, asesora adjunta de Seguridad Nacional de Estados Unidos para Ciberseguridad y Tecnologías Emergentes, destacó que “Sin duda, hay datos que son sensibles al tiempo, como el de un barco que transporta armas a un país sancionado; probablemente en ocho años eso ya no nos importe”. De manera similar, cuando se realiza un pago en línea, se transmiten los datos de la tarjeta y los bancos aprobar o rechazar la transacción casi instantáneamenteIncluso si alguien registra estos datos ahora, no serían valiosos más adelante porque la transacción se procesa inmediatamente.

Esto limita el riesgo de una “Cosecha ahora, descifra después"ataque. Sin embargo, para pagos en persona utilizando chip y PIN, a veces la terminal No se conecta al banco en tiempo real (por ejemplo, en aviones o en áreas remotas). Estos dependen de la autenticación propia de la tarjeta, que utiliza RSA/ECCEn el futuro, las computadoras cuánticas podrían falsificar esta autenticación, lo que permite eludir la seguridad sin la aprobación del banco. 

Considerando la importancia de los datos sensibles, el sector financiero debe tomar la iniciativa en la adopción criptografía post-cuánticaDado lo mucho que está en juego, un ciberataque cuántico exitoso podría comprometer billones de dólares en activos, perturbar los mercados y comprometer datos de pagos con tarjeta o PCI. En el sector financiero, las actualizaciones de seguridad tardan años. Las tarjetas, los terminales y los sistemas de backend deben cambiar simultáneamente, un proceso que no se puede realizar de la noche a la mañana.  

Comprender los protocolos bancarios existentes

La mayoría de las transacciones con tarjeta en todo el mundo se basan en el estándar EMV, que cubre casi el 90 % de los pagos en persona realizados con tarjetas. Este estándar utiliza criptografía asimétrica (RSA) para autenticar tarjetas y criptografía simétrica para generar certificados de transacción, garantizando que la transacción sea segura. 

Las tarjetas EMV utilizan tres métodos principales de autenticación. La Autenticación de Datos Estáticos (SDA) permite que una tarjeta envíe datos estáticos firmados para demostrar su autenticidad, pero es vulnerable a la clonación. La Autenticación de Datos Dinámica (DDA) mejora la seguridad al exigir que la tarjeta firme un desafío durante una transacción, aunque aún deja menos protegidas las etapas posteriores. La Autenticación de Datos Combinada (CDA) refuerza este proceso añadiendo firma adicional, lo que la convierte en el método más seguro utilizado actualmente. Las transacciones fuera de línea, donde no es posible la verificación en línea en vivo, dependen en gran medida de estos métodos de autenticación, protegidos por criptografía de clave pública, lo cual representa un riesgo potencial, ya que las computadoras cuánticas podrían eventualmente falsificar estas protecciones criptográficas. 

Para garantizar el futuro de estos sistemas, los investigadores han probado la criptografía postcuántica (PQ), que utiliza nuevas técnicas de cifrado diseñadas para resistir ataques de computadoras cuánticas.

Pruebas de seguridad de PQ en el mundo real

In pruebas en el mundo real, investigadores del NIST El objetivo era proteger los pagos con tarjeta de futuras amenazas informáticas cuánticas mediante la mejora de los protocolos de pago EMV existentes. Modificaron dos protocolos estándar para incorporar algoritmos criptográficos Post-Cuánticos (PQ), métodos avanzados de cifrado diseñados para resistir ataques cuánticos. Para garantizar una transición fluida y una usabilidad continua, estos nuevos protocolos se diseñaron para funcionar en modo híbrido, combinando el cifrado RSA/ECC existente con algoritmos PQ. Este enfoque mantiene la retrocompatibilidad, lo que permite que las tarjetas y terminales de pago más antiguas funcionen sin interrupciones durante la transición a PQC. 

Los protocolos actualizados se implementaron en tarjetas inteligentes bancarias físicas equipadas con chips, y los investigadores probaron su rendimiento durante transacciones de pago en vivo. Midieron factores críticos como la memoria requerida en la tarjeta, el tiempo de procesamiento de la transacción y la sobrecarga de comunicación adicional introducida por el cifrado PQ. 

La tarjeta y el terminal primero establecen una clave secreta compartida Mediante algoritmos PQ. Posteriormente, utilizan cifrado simétrico (rápido) para la verificación del PIN y los certificados de transacción. El modo híbrido firma y cifra los datos con algoritmos RSA/ECC y PQ. Esta doble protección garantiza que, incluso si la criptografía PQ presenta problemas de fiabilidad imprevistos, las transacciones con tarjeta se mantengan seguras y funcionales. 

Desafíos encontrados

Los investigadores encontraron varios desafíos durante las pruebas de tarjetas de pago con seguridad cuántica. 

Uno de los mayores problemas es que la criptografía postcuántica requiere claves y firmas digitales mucho más grandes que los métodos de cifrado actuales. Esto resulta en tiempos de transacción más lentos y un uso de memoria significativamente mayor en las tarjetas inteligentes bancarias. 

Otra limitación importante es el hardware. Las tarjetas y terminales de pago existentes tienen una capacidad de almacenamiento y una potencia de procesamiento limitadas, lo que dificulta su gestión eficiente de algoritmos PQ. Reemplazar o actualizar este hardware es una tarea compleja, especialmente dada la escala del sistema bancario global. Con miles de millones de tarjetas y terminales de pago en uso en todo el mundo, los bancos no pueden migrar a sistemas compatibles con PQ de la noche a la mañana. 

A pesar de estos obstáculos, la investigación confirmó que es técnicamente viable proteger las tarjetas de pago contra ataques cuánticos mediante criptografía PQ. Sin embargo, los cuellos de botella en el rendimiento y las limitaciones de hardware siguen siendo obstáculos importantes. Los hallazgos resaltan la urgencia de comenzar la preparación y las actualizaciones de hardware ahora, garantizando así que el sector financiero esté listo antes de que las computadoras cuánticas alcancen el nivel de desarrollo necesario para descifrar los sistemas criptográficos RSA y ECC actuales. 

Preparándose para PQC

A continuación se presenta una hoja de ruta elaborada en colaboración con la Departamento de Seguridad Nacional (DHS) y el NIST (Instituto Nacional de Estándares y Tecnología) Para orientar a las organizaciones en la preparación para Criptografía post-cuántica (PQC). Destaca la necesidad de pasar de los métodos criptográficos actuales (como RSA/ECC) a algoritmos resistentes a la computación cuántica antes de que las computadoras cuánticas sean lo suficientemente potentes como para romper el cifrado existente. 

1. Compromiso con las organizaciones de normalización

   Se recomienda a las organizaciones que instruyan a sus partes interesadas clave para que aumenten su compromiso con las organizaciones que desarrollan normas, como NIST, PCI-DSS para conocer los últimos avances relacionados con los algoritmos necesarios y los cambios de protocolo dependientes.

2. Inventario de datos críticos

   Toda organización posee datos que, de descifrarse en el futuro, podrían causar graves daños. Esto incluye información personal confidencial (criptografía Se utiliza en toda su infraestructura. Esto incluye la elaboración de un listado de todo el software, hardware y aplicaciones que dependen del cifrado. Una vez completado este inventario, los equipos pueden evaluar qué métodos criptográficos son vulnerables a ataques cuánticos y estimar los costos y el esfuerzo necesarios para reemplazarlos con alternativas seguras para la tecnología cuántica. Sin este paso, las organizaciones corren el riesgo de pasar por alto vulnerabilidades ocultas.

3. Identificación de estándares internos

   Los estándares y políticas criptográficas internas definen cómo una organización gestiona cifrado, adquiere tecnología y mantiene políticas de protección de datos. Estas normas se basaron en métodos de cifrado actuales como RSA y ECC. Con la transición a la criptografía poscuántica, será necesario actualizar estos estándares internos para alinearlos con los futuros requisitos de seguridad. Esto implica revisar los controles criptográficos, las políticas, los estándares, los acuerdos de nivel de servicio (SLA) y las medidas de cumplimiento interno para garantizar que, al implementarse la PQC, cuente con el pleno respaldo de los procesos organizacionales.

4. Identificación de criptografía de clave pública

   A partir del inventario, las organizaciones deben identificar dónde y con qué propósito criptografía de clave pública Se está utilizando y evaluando qué sistemas son más vulnerables a las amenazas cuánticas.

5. Priorización de sistemas para su reemplazo

   No todos los sistemas necesitan actualizarse inmediatamente, por lo que la priorización es crucial. Priorizar un sistema sobre otro para la transición criptográfica depende en gran medida de las funciones, los objetivos y las necesidades de la organización. Para complementar los esfuerzos de priorización, las organizaciones deben considerar los siguientes factores al evaluar un sistema con vulnerabilidad cuántica:

   • ¿Es el sistema un activo de alto valor según los requisitos organizacionales?
   • ¿Qué protege el sistema (por ejemplo, almacenes de claves, contraseñas, claves raíz, claves de firma, información de identificación personal, información de identificación personal confidencial)?
   • ¿Con qué otros sistemas se comunica el sistema?
   • ¿En qué medida el sistema comparte información con entidades federativas?
   • ¿En qué medida el sistema comparte información con otras entidades fuera de su organización?
   • ¿El sistema soporta un sector de infraestructura crítico?
   • ¿Durante cuánto tiempo deben protegerse los datos?
6. Plan de transición

   Utilizando la información de inventario y priorización, las organizaciones deben desarrollar una estrategia para las transiciones de sistemas tras la publicación del nuevo estándar criptográfico poscuántico. Los planes de transición deben considerar la creación de agilidad criptográfica para facilitar futuros ajustes y brindar flexibilidad ante cambios inesperados. Los responsables de ciberseguridad deben proporcionar orientación para la creación de planes de transición.

Estimación actual de la cantidad de financiación necesaria

Agencias federalesEn colaboración con la Oficina de Administración y Presupuesto (OMB) y la Oficina del Director Nacional de Ciberseguridad (ONCD), en colaboración con la CISA y el NIST, se están implementando medidas estructuradas para proteger la tecnología de la información del Gobierno de EE. UU. contra futuras amenazas de la computación cuántica. El esfuerzo se centra en tres actividades principales. 

1. Elaborar un inventario inicial de los sistemas criptográficos presentes en los sistemas de información de las agencias (excepto los sistemas de seguridad nacional (NSS));  
2. Elaborar estimaciones de costos para la transición; y 
3. Desarrollar criterios de priorización para la transición. 

Cada año, las agencias deben presentar a la OMB y la ONCD un inventario actualizado que detalle criptografía vulnerable a la cuántica en sus sistemas priorizados junto con estimaciones de costos de migraciónCon base en los datos más recientes, la ONCD proyecta que el costo total de la transición de los sistemas federales priorizados a PQC entre 2025 y 2035 Alcanzará aproximadamente $ 7.1 mil millones (en dólares de 2024). Mientras tanto, el Departamento de Defensa, la Oficina del Director de Inteligencia Nacional y el Gerente Nacional del Servicio Nacional de Seguridad (NSS) estiman por separado las necesidades de financiamiento para migrar los sistemas clasificados y de defensa. 

Estas proyecciones iniciales conllevan un alto grado de incertidumbre, ya que las agencias aún están refinando sus inventarios y modelos de costos. Las estimaciones son actualmente... orden aproximado de magnitudNo son cálculos exactos. Las agencias seguirán revisando estas cifras anualmente a medida que adquieran experiencia y mejoren sus metodologías. 

Un desafío importante identificado es que algunos sistemas federales no pueden adoptar fácilmente nuevos algoritmos criptográficos Porque están integrados en hardware o firmware o carecen de capacidad para gestionar reemplazos. Reemplazar estos sistemas por completo contribuye sustancialmente al costo total proyectado de la migración. 

¿Cómo puede Encryption Consulting apoyar la transición de PQC?

Si te preguntas dónde y cómo comenzar tu viaje postcuántico, Consultoría de cifrado Estamos aquí para apoyarte. Puedes contar con nosotros como tu socio de confianza y te guiaremos en cada paso con claridad, confianza y experiencia práctica.   

Descubrimiento e inventario criptográfico

Esta es la fase fundamental en la que construimos visibilidad sobre su infraestructura criptográfica existente. Identificamos qué sistemas están en riesgo ante amenazas cuánticas y evaluamos la preparación de su configuración actual, incluyendo su... PKI, HSMs y aplicaciones. El objetivo es identificar qué activos criptográficos existen, dónde se utilizan y su nivel de criticidad. Análisis exhaustivo de certificados, claves criptográficas, algoritmos, bibliotecas y protocolos en todo su entorno de TI, incluyendo endpoints, aplicaciones, APIs, dispositivos de red, bases de datos y sistemas integrados. 

Identificación de todos los sistemas (locales, en la nube, híbridos) que utilizan criptografía, como servidores de autenticación, HSM, balanceadores de carga, VPN y más. Recopilación de metadatos clave, como tipos de algoritmos, tamaños de clave, fechas de vencimiento, fuentes de emisión y cadenas de certificados. Creación de una base de datos de inventario detallada de todos los componentes criptográficos que sirva como base para la evaluación y planificación de riesgos. 

Evaluación PQC

Una vez establecida la visibilidad, realizamos entrevistas con las partes interesadas clave para evaluar el panorama criptográfico en cuanto a vulnerabilidades cuánticas y el grado de preparación de su entorno para la transición a PQC. Analizamos la exposición de los elementos criptográficos a amenazas cuánticas, en particular aquellos que se basan en RSA, ECC y otros algoritmos susceptibles de ser descifrados. Revisamos cómo la Infraestructura de Clave Pública y Módulos de seguridad de hardware Están configurados y si son compatibles con la integración de algoritmos poscuánticos. Analizamos las aplicaciones para detectar dependencias criptográficas codificadas e identificamos aquellas que requieren refactorización. Entregamos un informe detallado con un inventario de activos criptográficos vulnerables, clasificaciones de severidad de riesgos y priorización para la migración. 

Estrategia y hoja de ruta de PQC

Una vez identificados los riesgos, trabajamos con usted para desarrollar una estrategia de migración personalizada y por fases que se ajuste a sus requisitos comerciales, técnicos y regulatorios. Creamos una estrategia de adopción de PQC a medida que refleje su tolerancia al riesgo, las mejores prácticas del sector y sus necesidades de preparación para el futuro. Diseñamos sistemas y flujos de trabajo que faciliten la transición de algoritmos criptográficos a medida que evolucionan los estándares. Actualizamos las políticas de seguridad, los procedimientos de gestión de claves y las normas internas de cumplimiento para alinearlas con el NIST y la NSA.CNSA 2.0) recomendaciones. Elaborar una hoja de ruta de migración paso a paso con objetivos a corto, mediano y largo plazo, desglosados ​​en fases manejables, como la prueba piloto, la implementación híbrida y la implementación completa. 

Evaluación de proveedores y prueba de concepto

En esta etapa, le ayudamos a identificar y probar las herramientas, tecnologías y socios adecuados para sus objetivos poscuánticos. Le ayudamos a definir los requisitos técnicos y comerciales para las RFI/RFP, incluyendo la compatibilidad de algoritmos, la compatibilidad de integración, el rendimiento y la madurez de los proveedores. Identificamos a los principales proveedores que ofrecen PKI con capacidad PQC, gestión de claves y soluciones criptográficas. Realizamos pruebas de concepto (PoC) en entornos aislados para evaluar el rendimiento, la facilidad de integración y la adecuación general a sus casos de uso. Entregamos una matriz comparativa de proveedores y un informe de recomendaciones basado en los resultados de PoC reales. 

Pruebas piloto y escalamiento

Antes de la implementación completa, validamos todo mediante pruebas piloto controladas para garantizar la viabilidad en el mundo real y minimizar las interrupciones del negocio. Probamos los nuevos modelos criptográficos en un entorno de pruebas o no productivo, generalmente para una o dos aplicaciones. Validamos la interoperabilidad con los sistemas existentes, las dependencias de terceros y los componentes heredados. Recopilamos la retroalimentación de los equipos de TI, los arquitectos de seguridad y las unidades de negocio para perfeccionar el plan. Una vez que todo se prueba con éxito, facilitamos una implementación fluida y escalable, reemplazando gradualmente los algoritmos criptográficos heredados, minimizando las interrupciones y garantizando que los sistemas se mantengan seguros y conformes. Monitoreamos continuamente el rendimiento y proporcionamos optimización continua para mantener su defensa cuántica sólida, eficiente y preparada para el futuro. 

Implementación de PQC

Una vez que el plan esté listo, es hora de ponerlo en marcha. Esta es la etapa final, donde ejecutamos la migración completa, integrando PQC en su entorno operativo, garantizando al mismo tiempo el cumplimiento normativo y la continuidad. Implementamos modelos híbridos que combinan algoritmos clásicos y de seguridad cuántica para mantener la retrocompatibilidad durante la transición. Implementamos la compatibilidad con PQC en su PKI, aplicaciones, infraestructura, servicios en la nube y API. Ofrecemos capacitación práctica a sus equipos, junto con documentación técnica detallada para el mantenimiento continuo. Configuramos sistemas de monitoreo y procesos de gestión del ciclo de vida para monitorear el estado criptográfico, detectar anomalías y respaldar futuras actualizaciones. 

La transición a la criptografía cuántica segura es un gran paso, pero no tiene por qué darlo solo. Con Encryption Consulting a su lado, contará con la orientación y la experiencia necesarias para construir una estrategia de seguridad resiliente y preparada para el futuro.  

Póngase en contacto con nosotros en [email protected] y permítanos construir una hoja de ruta personalizada que se alinee con las necesidades específicas de su organización. 

Conclusión

En conclusión, la transición a la criptografía poscuántica se está volviendo crucial para el sector financiero, ya que las futuras computadoras cuánticas podrían romper los métodos de cifrado actuales que protegen los pagos con tarjeta, los sistemas bancarios y las transacciones digitales. Las investigaciones ya han demostrado que es técnicamente viable construir protocolos de pago resistentes a la tecnología cuántica, pero persisten desafíos como claves criptográficas más grandes, velocidades de procesamiento más lentas y costosas actualizaciones de hardware. La preparación temprana, mediante el inventario de sistemas, la prueba de modelos de cifrado híbrido y la alineación con los próximos estándares del NIST, será esencial para proteger los datos financieros confidenciales y garantizar una confianza ininterrumpida en las redes de pago globales cuando la computación cuántica se convierta en una realidad.