Todavía suenan a ciencia ficción algunos términos como criptografía cuántica, la súper ingeniería social, o la creación de humanos sintéticos para sobrepasar la autenticación multifactorial. Pero, si somos capaces de imaginarlo. Dentro de menos tiempo del que imaginas, será posible usar la computación cuántica para aplicar estos conceptos en el cibercrimen. La cuestión es si la sociedad está lista para evitarlo y, sobre todo, cuándo podrá hacerlo.
Encriptación cuántica en el email
La tecnología no es ni buena ni mala ‘per se’. Solo es una herramienta a la que se le puede dar un uso correcto o uno malo. En este sentido y, afortunadamente, sólo se suele hablar de la computación cuántica como una súper evolución tecnológica que nos permite soñar con la cura del Alzheimer o con la creación de súper baterías que acabarían con los contaminantes vehículos de combustión.
Sin embargo, poco se habla sobre todo lo que podría ocurrir si se usase el poder de computación cuántica para hacer el mal. Por lo pronto, ya empieza a haber empresas que se están preparando para un posible uso incorrecto de esta tecnología. Es el caso de la compañía alemana Tuta Mail, que esta semana ha comunicado que se ha convertido en el primer servicio de correo electrónico en el mundo en implementar una encriptación tan potente que “puede resistir a la computación cuántica”.
No se trata de un tema baladí. La criptografía es una de las disciplinas que más se va a ver afectada por el cambio de paradigma que supone la computación cuántica.
Para hacernos una idea de lo que va a cambiar el mundo. Los métodos de cifrado con los que contamos actualmente hacen que sea prácticamente imposible “romper” un cifrado de extremo. Es decir, si alguien quisiera espiar tus WhatsApps o “colarse” en la red de tu banco cuando haces un pago, tardaría miles de años en descifrar la codificación con la que se comunican unas máquinas con otras. Siempre y cuando, esa persona contase con un súper ordenador. Uno mil veces más potente que el que usas en tu casa o en el trabajo.
Pues bien, una computadora cuántica sólo tardaría unos minutos, o incluso segundos, en descifrar esa encriptación.
Criptografía post-cuántica
Esto va a suponer un importante problema para todas las personas y empresas del mundo. “Aunque todo el mundo haya hecho los deberes y tenga todos sus datos asegurados, ninguna información estará a salvo si no se le ha dado una encriptación cuántica”, explica Hervé Lambert, Global Consumer Operations Manager de Panda Security.
En la actualidad, utilizamos una serie de complejos problemas matemáticos, basados en una tecnología llamada RSA, que requieren de una potencia de computación que los ordenadores actuales no tienen. Sin embargo, con la llegada de las computadoras cuánticas, esta solución dejará de ser válida. Y esto nos lleva a la necesidad de desarrollar y adoptar nuevas formas de criptografía post-cuántica.
“Aunque todavía están en desarrollo, es importante que haya un acuerdo global en el que participen empresas privadas, organismos públicos y reguladores para alcanzar un acuerdo único para desarrollar e integrar algoritmos de criptografía post-cuántica en sus sistemas de seguridad para anticiparse a las futuras“, añade Hervé Lambert.
Recolectar datos ahora para descifrarlos después
Tanto es así que ya se habla de un tipo de ciberamenaza cuántica que quiere adelantarse al futuro, a la que han bautizado como “harvest now, decrypt later” (cosechar ahora, desencriptar más tarde).
Es decir, ya existe un riesgo real aunque todavía la criptografía cuántica sólo es posible para tres grandes empresas en el mundo, ya que los grandes grupos de ciberdelincuentes ya podrían estar interceptando y almacenando datos cifrados. Aunque ninguna organización de cibercriminales cuenta con ordenadores cuánticos, podrían estar guardando toda la información para desencriptarla en un futuro.
Para adelantarse a este riesgo, muchas empresas y países están invirtiendo ya en la investigación y desarrollo de criptografía post-cuántica. Instituciones como el Instituto Nacional de Estándares y Tecnología (por sus siglas en inglés NIST) en Estados Unidos están trabajando en la estandarización de algoritmos de criptografía post-cuántica que puedan resistir ataques de computación cuántica.
Empresas tecnológicas, como IBM y Google, también están desarrollando sus propias soluciones cuánticas y colaborando con el sector académico para avanzar en la seguridad cuántica.
Súper evolución de los ataques de ingeniería social
Y, como siempre, se pueden combinar diferentes tecnologías para generar soluciones tan increíbles como imaginativas. Así, si se unen la inteligencia artificial con la computación cuántica, se podrán crear ataques que todavía no podemos ni imaginar.
Con el uso de modelos sintéticos y manipulaciones súper avanzadas se podrá engañar a cualquier persona por mucha formación en ciberseguridad que tenga. De este modo, cualquier “malo” podrá utilizar la inteligencia artificial para analizar grandes volúmenes de datos e identificar patrones y vulnerabilidades en el comportamiento de sus víctimas.
Todavía, sin necesitar a la computación cuántica, se podrá (o ya se puede) generar mensajes de phishing extremadamente convincentes y tan personalizados que serán indistinguibles de la realidad.
A esta nueva disciplina del cibercrimen se la podría denominar como “la ingeniería social cuántica” y representa un nuevo y significativo riesgo en el ámbito de la ciberseguridad,
De este modo, los cibercriminales podrán almacenar datos cifrados en la actualidad para descifrarlos en un futuro más o menos cercano. Una vez descifrados, los cibercriminales usarán la inteligencia artificial para analizar estos datos y generar perfiles súper detallados de sus víctimas o bien, para crear cohortes de población más o menos fáciles de engañar.
En este sentido, la IA puede identificar patrones de comportamiento, preferencias personales y vulnerabilidades específicas en cada individuo. Así, se podrán crear ataques de phishing altamente personalizados que, si se suman a otras tecnologías como los deepfakes, serán realmente difíciles de detectar.
El fin de los sistemas de autenticación multifactorial
Igual de preocupante, o más, es la forma en la que la computación cuántica permitirá hackear los sistemas de autenticación multifactor o MFA, ya que estos súper ordenadores podrían descifrar los códigos de autenticación o generar una biometría sintética en cuestión de segundos.
Por un lado, están los códigos de autenticación, que actualmente son seguros por su corta vida útil. Nos referimos a esos mensajes de texto o sistemas por medio de apps en el móvil. Aquellos que nos permiten autenticarnos en el banco o en algunas tiendas online durante algunos minutos. Esos que, al cabo de un tiempo, dejan de ser válidos. Gracias a la computación cuántica podrían descifrarse en tiempo real.
Y por el otro lado, estaría la posibilidad de crear, literalmente, humanos sintéticos para engañar a los sistemas de detección biométrica. Sin ir más lejos, los deepfakes ya pueden generar imágenes, videos y voces sintéticas que son increíblemente realistas. Por ejemplo, con un deepfake de la voz de un ejecutivo de una empresa, se puede engañar fácilmente a un empleado para obtener acceso a sistemas protegidos por MFA.
Pero, ¿qué pasaría si se pudiera emular el ADN de una persona por medio de la computación cuántica? O, incluso vayamos un paso más allá: ¿qué pasaría si se pudieran clonar órganos para engañar a un sistema de autenticación del iris de una persona?
Está claro que estos conceptos todavía no están al alcance de cualquiera. Pero es igual de cierto que hace 40 años tener un teléfono móvil era algo que estaba sólo al alcance de los más ricos.
Por todo ello, está “más patente que nunca la necesidad de desarrollar y adoptar nuevas tecnologías de seguridad que sean resistentes a las capacidades de procesamiento de la computación cuántica, así como de educar continuamente a los usuarios sobre las tácticas de ingeniería social más avanzadas”, sentencia Hervé Lambert.