La UE debe prepararse para los ciberataques cuánticos con un plan de acción coordinado

La Unión Europea (UE) debe prepararse para los ciberataques cuánticos y adoptar un nuevo plan de acción coordinado que garantice una transición armonizada a la encriptación poscuántica para hacer frente a las amenazas de ciberseguridad cuántica del futuro. Así se afirma en un nuevo documento redactado por Andrea G. Rodríguez, analista principal de política digital del European Policy Centre. 

Los avances de la computación cuántica ponen en peligro la ciberseguridad de Europa al dejar obsoletos los actuales sistemas de cifrado y crear nuevos retos de ciberseguridad, escribió Rodríguez. Los expertos creen que esto ocurrirá en los próximos cinco a diez años, lo que podría dejar toda la información digital vulnerable a agentes maliciosos con los actuales protocolos de cifrado. Para que Europa se tome en serio sus ambiciones en materia de ciberseguridad, debe desarrollar una agenda de ciberseguridad cuántica, declaró Rodríguez, "compartiendo información y mejores prácticas y alcanzando un enfoque común para la transición cuántica" en todos los Estados miembros. 

El impacto de la computación cuántica en la ciberseguridad, fuera del alcance de la UE 

La computación cuántica perturbará la seguridad en línea al comprometer la criptografía o facilitar ciberataques como los de las identidades digitales, escribió Rodríguez. "Los ciberataques a la encriptación mediante ordenadores cuánticos permitirían a los adversarios descifrar información encriptada, interferir en las comunicaciones y acceder a redes y sistemas de información sin permiso, abriendo así la puerta a robar y compartir información hasta ahora confidencial", advirtió. 

"Dado que las perspectivas de un ordenador cuántico criptográficamente significativo -capaz de romper el cifrado- no son una cuestión de "si" sino de "cuándo", los ciberdelincuentes y los adversarios geopolíticos se apresuran a obtener información cifrada sensible que no puede leerse hoy para descifrarla una vez que los ordenadores cuánticos estén disponibles". Este tipo de ciberataques, conocidos como "ataques de cosecha" o "descargar ahora-descifrar después", son ya un riesgo para la seguridad europea. 

El impacto de la informática cuántica en la ciberseguridad y la protección de datos en Europa se ha dejado principalmente fuera de la conversación, a pesar de las menciones esporádicas en algunos documentos políticos como la Estrategia de Ciberseguridad de la UE 2020 o el Programa de Conectividad Segura de la Unión 2022, dijo Rodríguez. 

EE.UU. lidera la ciberseguridad poscuántica 

Estados Unidos posiblemente lidera la transición a la ciberseguridad poscuántica, en la que la criptografía poscuántica será la protagonista, según Rodríguez. El Instituto Nacional de Estándares y Tecnología (NIST) ha iniciado un proceso de estandarización de algoritmos de criptografía poscuántica, mientras que la Ley de Preparación para la Ciberseguridad Cuántica, establecida en 2022, establece una hoja de ruta para migrar la información gubernamental a la criptografía poscuántica, escribió Rodríguez. 

"En 2023, la nueva Estrategia Nacional de Ciberseguridad de EE.UU. estableció como objetivo estratégico la protección contra los ciberataques cuánticos. Esta prioridad abarca el uso de la criptografía postcuántica y la necesidad de reemplazar el hardware, el software y las aplicaciones vulnerables que podrían verse comprometidas". 

El foco de la UE en la ciberseguridad postcuántica es demasiado estrecho 

Mientras tanto, los esfuerzos de la UE para proteger la información de los ciberataques cuánticos carecen de una estrategia clara sobre cómo hacer frente a las amenazas a corto plazo, añadió. Según Rodríguez, el limitado enfoque de la UE sobre cómo mitigar los retos de ciberseguridad cuántica a corto plazo, especialmente los ataques de cosecha y los ataques cuánticos al cifrado, deja a los Estados miembros como actores de primera línea en la transición cuántica. "De aquí a 2023, sólo unos pocos países de la UE han hecho públicos planes para contrarrestar las amenazas emergentes a la ciberseguridad cuántica, y son menos los que han puesto en marcha estrategias para mitigarlas, como en el caso de Alemania". 

A medida que se desarrollen los ordenadores cuánticos, será necesaria una actuación europea para evitar lagunas de ciberseguridad que puedan utilizarse como vectores de ataque y garantizar que todos los Estados miembros sean igualmente resistentes a los ciberataques cuánticos. "Se necesita urgentemente un Plan de Acción Coordinado sobre la transición cuántica que esboce objetivos y calendarios claros y supervise la aplicación de los planes nacionales de migración a la codificación poscuántica", afirmó Rodríguez. 

Un plan de este tipo colmaría la brecha entre el objetivo a largo plazo de establecer una red de Infraestructura Europea de Comunicaciones Cuánticas (EuroQCI) plenamente operativa y las necesidades actuales del panorama europeo de la ciberseguridad para responder a las amenazas de ciberseguridad cuántica a corto plazo. Europa también puede aprovechar la experiencia de las agencias nacionales de ciberseguridad, los expertos y el sector privado mediante la creación de un nuevo grupo de expertos dentro de ENISA en el que los expertos nacionales en cifrado poscuántico puedan intercambiar buenas prácticas y fomentar el establecimiento de planes de migración, escribió Rodríguez. 

6 pasos para una agenda de ciberseguridad cuántica eficaz 

El documento de Rodríguez presenta seis recomendaciones para una agenda de ciberseguridad cuántica de la UE. 

• Establecer un Plan de Acción Coordinado de la UE sobre la transición cuántica que trace objetivos y calendarios claros y supervise la aplicación de los planes nacionales de migración a la encriptación poscuántica. 
• Establecer un nuevo grupo de expertos dentro de ENISA con expertos nacionales en comisión de servicio para intercambiar buenas prácticas e identificar obstáculos a la transición al cifrado poscuántico. 
• Ayudar a establecer prioridades para la transición al cifrado poscuántico e impulsar la agilidad criptográfica para responder a las vulnerabilidades emergentes en los sistemas de cifrado poscuántico. 
• Facilitar la coordinación política entre la Comisión Europea, los Estados miembros de la UE, las agencias nacionales de ciberseguridad y ENISA para determinar las prioridades tecnológicas e identificar los casos de uso pertinentes para las tecnologías de seguridad cuántica. 
• Facilitar la coordinación técnica a nivel de la UE para abordar las lagunas de investigación en tecnologías cuánticas seguras, como la necesidad de desarrollar nodos cuánticos para garantizar conexiones de largo alcance para la distribución de claves cuánticas. 
• Explorar el uso de sandboxes para acelerar el desarrollo de aplicaciones a corto plazo de las tecnologías de la información cuántica.