Después de muchas críticas por sus prácticas de seguridad, Zoom ha anunciado que ha equipado su software de reuniones de voz y vídeo con cifrado de extremo a extremo “postcuántico”. El objetivo es proteger los datos de comunicación enviados entre sus aplicaciones cuando los ordenadores cuánticos sean lo suficientemente potentes como para comprometer los métodos de cifrado existentes. Por ahora, los ordenadores actuales o “clásicos” no tienen la capacidad de romper los algoritmos de cifrado modernos que protegen las comunicaciones que viajan por Internet, ya sean mensajes de texto, servicios bancarios o compras online. Pero los expertos en seguridad temen que los cibercriminales ya hayan empezado a recopilar datos cifrados para descifrarlos cuando los ordenadores cuánticos sean lo suficientemente potentes, una estrategia de descifrado retrospectivo llamada “recoger ahora, descifrar después”.

Para proteger las comunicaciones entre sus aplicaciones de reuniones a largo plazo, Zoom anunció el martes que está fortaleciendo las capacidades EE2E existentes disponibles en sus aplicaciones Workplace con “criptografía poscuántica”. "Somos el primer proveedor de software de comunicaciones unificadas que hace esto", dijo Zoom en una publicación de blog.Para ello, la empresa utilizará Kyber 768, un algoritmo de Mecanismo de Encapsulación de Claves (KEM) que actualmente está siendo estandarizado por el Instituto Nacional de Estándares y Tecnología (NIST). El NIST está trabajando para identificar un conjunto de algoritmos “postcuánticos” que puedan resistir los ataques de los futuros ordenadores cuánticos. “Si bien los ordenadores cuánticos no pueden resolver ecuaciones matemáticas complejas, podrían descifrar algoritmos clásicos en sistemas existentes, dada su pequeña escala y sus altas tasas de error”, dijo Heather West, gerente de investigación de computación cuántica en el grupo de Sistemas de Infraestructura, Plataformas y Tecnología de IDC.

Índice
  1. Guardar para descifrado posterior
  2. Restricciones de uso

Guardar para descifrado posterior

Por lo tanto, los algoritmos clásicos modernos aún no están en riesgo, pero eso podría cambiar con los avances en computación cuántica, que permiten que los sistemas ejecuten el algoritmo de Shor. Se dice que este algoritmo cuántico es capaz de "factorizar eficientemente números compuestos grandes" y, por lo tanto, reducir el tiempo que se tarda en descifrar el cifrado clásico. "Debido a esta ventaja, existe la preocupación de que algunas entidades, en particular los actores patrocinados por el estado, puedan violar y robar datos de larga duración (finanzas, gobierno, Departamento de Defensa, etc.) con la intención de utilizar futuros sistemas cuánticos para descifrarlos y usarlos más tarde", agregó West. Se están realizando varios esfuerzos para identificar y desarrollar algoritmos criptográficos poscuánticos que las empresas puedan implementar para resistir la energía cuántica. Por ejemplo, en 2016, el NIST lanzó una iniciativa global y se espera que publique sus recomendaciones finales a finales de este año. En 2022, el presidente Biden emitió dos memorandos de seguridad (NSM-8 y NSM10) para proporcionar a las agencias gubernamentales orientación y plazos para comenzar a implementar la criptografía poscuántica.

En cuanto a la función EE2E poscuántica de Zoom, West dijo que la cantidad de información transferida a través de mensajes de texto y reuniones virtuales “sigue siendo un territorio inexplorado en la criptografía poscuántica (PQC)”, pero es un área importante en la que centrarse. “La información comprometida mediante el uso de estas tecnologías podría dar lugar a violaciones de la seguridad nacional, exposición accidental de los secretos comerciales de una empresa y más”, dijo. “Zoom aprovechó esta oportunidad para identificar un área actualmente frágil de la seguridad de los datos y desarrollar una solución de criptografía poscuántica disruptiva para la industria”.

Restricciones de uso

Aun así, West señala las “serias limitaciones” del enfoque de Zoom. Por ejemplo, Para garantizar la seguridad, todos los participantes de la reunión deben utilizar la versión 6.0.10 o superior de la aplicación de escritorio o móvil Zoom.“Pero no hay garantía de que todos estén usando la última versión…”, advirtió. Además, el uso de cifrado poscuántico por parte de Zoom significa que los participantes pierden el acceso a algunas funciones clave, como la grabación en la nube. “Para que el cifrado poscuántico sea efectivo, no solo debe estar protegido contra posibles brechas de ciberseguridad cuántica, sino que también debe permitir el mismo rendimiento y utilidad de las aplicaciones y la infraestructura como si no se usara. Ese no parece ser el caso con la implementación de Zoom”, dijo West.

En general, la líder de investigación en computación cuántica de IDC cree que todas las empresas deberían pensar en cómo mantener seguros los datos cifrados en el futuro. “Deberían tomar este riesgo en serio”, dijo. “Muchos parecen pensar erróneamente que si una empresa no invierte en computación cuántica, no hay necesidad de invertir en criptografía poscuántica. Es probable que los ciberataques que utilizan algoritmos cuánticos afecten a todas las empresas y organizaciones. Algunas entienden la importancia de la criptografía poscuántica y están esperando que se publiquen los estándares finales del NIST, pero la actualización a la criptografía poscuántica probablemente será un “proceso laborioso”. Es por eso que recomienda que las empresas comiencen a inventariar e identificar los datos y la infraestructura en riesgo ahora. “Asociarse con un proveedor o consultor de PQC puede ayudarlos a hacer la transición”. Los proveedores y consultores de criptografía poscuántica también pueden ayudar a determinar la solución más adecuada para la empresa”.