Mastercard se prepara para la amenaza de ciberseguridad poscuántica
Una computadora cuántica criptográficamente relevante (CRQC) pondrá en riesgo las transacciones diarias en línea. Mastercard se está preparando para tal eventualidad... hoy.
Los miles de millones de transacciones que realizamos en línea hoy están protegidos por lo que se conocen como tecnologías de cifrado de clave pública. Pero a medida que las computadoras cuánticas se vuelvan más poderosas, podrán romper estos algoritmos criptográficos. Una computadora cuántica criptográficamente relevante (CRQC) podría tener un impacto devastador en los protocolos globales de ciberseguridad.
Para prepararse para este peor escenario, Mastercard lanzó su proyecto Quantum Security and Communications, que le valió a la empresa el premio US CIO 100 de 2023 por su innovación y liderazgo en TI.
"Estamos trabajando de manera proactiva para mitigar los riesgos futuros relacionados con la computación cuántica que podrían afectar la seguridad de los miles de millones de transacciones digitales que procesamos a nivel mundial", dice George Maddaloni, director de tecnología de operaciones de Mastercard, explicando el impulso del proyecto.
El panorama de la ciberseguridad poscuántica
Tal como están las cosas hoy, las transacciones en línea que usted y yo realizamos juran lealtad a la criptografía de clave pública. En esta técnica, la persona (o entidad) que envía el mensaje lo asegura (bloquea) con una "clave" disponible públicamente y la entidad en el extremo receptor lo descifra con una clave privada. La premisa es que, dado que sólo el receptor tiene la clave privada, la transacción es segura.
Las claves privadas seguras se derivan de algoritmos matemáticos (el algoritmo Rivest-Shamir-Adleman (RSA) es uno común) que son imposibles de aplicar ingeniería inversa y piratear. Al menos hasta que llegue un CQRC y lo haga mediante la pura fuerza bruta de la computación cuántica.
Las entidades del sector público y privado se están preparando siguiendo una de dos vías: trabajar en un conjunto completamente nuevo de algoritmos resistentes a los cuánticos en los que basar las claves privadas (criptografía poscuántica, PQC) o utilizar la física cuántica para hacer lo mismo. (distribución de claves cuánticas, QKD). El proyecto de Mastercard se centra en este último método. Otras empresas del sector financiero también están explorando QKD.
En paralelo, instituciones públicas como el Instituto Nacional de Estándares y Comercio (NIST) están siguiendo el enfoque PQC de “endurecer los algoritmos”. El NIST ha seleccionado cuatro algoritmos resistentes a los cuánticos y está en proceso de estandarizarlos. Se espera que los finales estén disponibles en la primera mitad de 2024 y el NIST ha establecido una hoja de ruta de preparación cuántica a seguir por las empresas.
El proyecto Mastercard
Dado que Mastercard ha adoptado el método de distribución de claves cuánticas, su proyecto piloto determinó los requisitos arquitectónicos y las limitaciones de QKD y la preparación operativa de los sistemas QKD.
Maddaloni de Mastercard comenta que el equipo probó la solución de distribución de claves cuánticas a través de una red de fibra oscura. Se utilizaron Toshiba e ID Quantique para producir las claves. También se incorporaron dos proveedores de redes con los que Mastercard ha trabajado en el pasado. Sus aportes desde la perspectiva de las redes IP Ethernet ayudaron, dice Maddaloni. El objetivo era realizar un inventario de los tipos de capacidades de red dentro de la red de Mastercard, que tiene miles de puntos finales conectados con algunas capacidades de telecomunicaciones diferentes. "Queríamos ver si las capacidades de distribución de claves cuánticas funcionan en ese entorno", dice Maddaloni.
"La disponibilidad de servicios y equipos habilitados para QKD es muy especializada y actualmente bastante limitada", afirma Maddaloni. "No muchos proveedores de hardware tienen funciones disponibles que puedan integrarse con los sistemas QKD". Diseñar la prueba también fue un desafío. QKD requiere que los fotones individuales lleguen en momentos precisos, y los estados cuánticos utilizados para el cifrado pueden verse alterados fácilmente por factores externos como el ruido, los cambios de temperatura y la vibración, entre otros factores.
"El proyecto fue diseñado para afrontar estos desafíos y ofrecer resultados demostrables y validación del potencial de la tecnología", añade Maddaloni. Y fue un éxito.
La gran migración
Las cuestiones de ciberseguridad como las que aborda Mastercard son clave porque abordan los cimientos mismos del sistema que han construido las instituciones financieras.
“La seguridad de las transacciones y la confianza de nuestros clientes son la columna vertebral de nuestro negocio”, señala Maddaloni. "El impacto de que los actuales métodos de cifrado PKI se vean comprometidos podría, literalmente, amenazar nuestra capacidad de operar de forma segura", añade. "Creemos que estar preparados para un panorama poscuántico es parte de nuestro trabajo y envía el mensaje correcto a nuestros socios, nuestros clientes y nuestros reguladores".
Jeff Miller, CIO y vicepresidente senior de TI y seguridad de Quantinuum, una empresa de servicios cuánticos completos, coincide en que proteger los datos es vital porque "es una conversación de confianza con el consumidor". El proceso de ser criptoágil es darse cuenta de que los malos actores se vuelven más creativos en la forma en que irrumpen en los entornos. Como resultado, las empresas deben continuar construyendo un proceso iterativo y desarrollando protocolos para abordar estas vulnerabilidades.
Mientras empresas financieras como Mastercard se preparan para utilizar sus propios proyectos piloto, el comité de estándares industriales X9 también trabaja en la orientación para las empresas del sector financiero, señala el Dr. Dustin Moody, matemático que dirige el proyecto de criptografía poscuántica en el Instituto Nacional de Estándares y Tecnología (NIST).
El camino que queda por recorrer no es fácil, reconocen los expertos. “La disponibilidad de servicios y equipos de distribución de claves cuánticas es todavía muy limitada. Algunos de los proveedores de hardware con los que trabajamos tienen funciones recién anunciadas y muy nuevas en el mercado, y algunas ni siquiera están disponibles de forma generalizada”, señala Maddaloni. "Creo que la industria comprende que los servicios financieros necesitarán esta capacidad en el futuro".
Moody aconseja a las empresas que perfeccionen su preparación poscuántica a pesar de lo que podría parecer un panorama desalentador. ¿La primera orden del día? "Es necesario encontrar todas las instancias de criptografía de clave pública, lo cual es complicado y llevará tiempo hacer ese inventario", dice Moody. "Será una migración compleja que llevará tiempo", afirma, "por lo que animamos a las organizaciones a que se adelanten a ella lo antes posible".
Miller está de acuerdo. Compara el proceso con la preparación para el año 2000, cuando las empresas estaban preocupadas por el formateo y el almacenamiento de información más allá del año 2000. La migración a la preparación poscuántica incluso tiene un acrónimo similar: Y2Q. Una diferencia clave, dice Miller, es que había una cuenta regresiva fija para el año 2000. La computadora cuántica criptográficamente relevante no está aquí hoy, pero podría estarlo dentro de cinco años. O diez.
"Saber que no tenemos una fecha firme para cuando nuestras metodologías de cifrado actuales ya no sean útiles", dice Miller, "eso es lo que me mantiene despierto por la noche".
