La era cuántica está llegando: esto es lo que dice el regulador de protección de datos

Por Phil Muncaster • 3 December 2024

En la actual carrera armamentística entre los defensores de la red y sus adversarios se avecina un nuevo desarrollo tecnológico que podría alterar drásticamente el panorama actual. Cuando finalmente comiencen a surgir ordenadores cuánticos plenamente funcionales, podría romperse el cifrado del que depende la mayor parte del mundo digital. Esto tiene enormes implicaciones para la protección de datos, por lo que el organismo regulador del Reino Unido, la Oficina del Comisionado de Información (ICO), ha publicado nueva orientación Para organizaciones.

El mensaje es claro: es hora de empezar a identificar y abordar los riesgos relacionados con la computación cuántica como parte de los programas de cumplimiento de la protección de datos.

¿Qué significará la computación cuántica?

Los gobiernos y los inversores privados de todo el mundo están gastando decenas de miles de millones Para financiar la investigación en computación cuántica. Es fácil entender por qué: los avances científicos y matemáticos que promete son asombrosos. No sin razón se ha comparado la importancia de la computación cuántica con el aprovechamiento de la electricidad.

La computación cuántica se basa en la teoría de la mecánica cuántica, iniciada por Albert Einstein en su trabajo que le valió el Premio Nobel. Para el ojo inexperto, parece desafiar la lógica. Las partículas cuánticas, o qubits, no se comportan según las reglas tradicionales de la física. Hacen cosas extrañas, como existir en dos lugares simultáneamente y viajar hacia adelante o hacia atrás en el tiempo.

Mientras que los ordenadores actuales procesan y almacenan información en ceros y unos, los ordenadores cuánticos utilizan cúbits, que pueden ser un cero y un uno al mismo tiempo. Esto reduce radicalmente el tiempo que lleva procesar datos, calcular y resolver problemas.

Según la ICO, existen varios casos de uso potenciales para la tecnología, entre ellos:

Una nueva generación de sensores cuánticos y tecnologías avanzadas de sincronización cuántica que se utilizarán en diagnósticos médicos, gestión de infraestructuras urbanas y recursos ambientales, planificación del cambio climático y vigilancia y navegación resistente a interferencias.
Imágenes mejoradas cuánticamente para detectar personas y objetos en las esquinas o detrás de las paredes, o para identificar con mayor precisión moléculas en el cuerpo.
Un método nuevo y potencialmente "imposible de hackear" para compartir de forma segura claves criptográficas, conocido como distribución de claves cuánticas (QKD)

Descifrando Internet

Sin embargo, el uso potencial más preocupante de la tecnología cuántica es su capacidad para resolver los complejos problemas matemáticos en los que se basa el cifrado asimétrico moderno (criptografía de clave pública). Esto podría algún día dar a los estados hostiles o a los grupos de ciberdelincuentes bien financiados la capacidad de desenmascarar todo, desde el comercio electrónico cifrado y las comunicaciones en línea hasta los datos bancarios digitales. Las implicaciones para las organizaciones que utilizan el cifrado asimétrico para proteger los datos de los clientes y la propiedad intelectual sensible son obvias.

De hecho, existe la preocupación de que actores maliciosos ya puedan estar recolectando datos cifrados con el objetivo de descifrarlos en el futuro en el llamado "almacenar ahora, descifrar después" (SNDL). ataquesPor eso se están acelerando los esfuerzos para encontrar algoritmos poscuánticos (PQA) que resistan el descifrado impulsado por la tecnología cuántica.

Las cosas ciertamente se están acelerando. En un enfoque respaldado por el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST), lanzaron los tres primeros estándares de criptografía post-cuántica (PQC) en agosto de este año. Estados Unidos ya ha establecido objetivos para que el sector público realice la transición a sistemas seguros cuánticos para 2035, mientras que el gobierno del Reino Unido ha mitigaciones introducidas para servicios críticos y establece pautas técnicas y expectativas para grandes organizaciones y propietarios de sistemas. La Comisión Europea ha pedido a los estados miembros que desarrollen una hoja de ruta mientras las principales empresas tecnológicas están explorando sistemas seguros para la tecnología cuántica.

La ICO quiere agilidad en las criptomonedas

¿En qué situación deja esto a la mayoría de las organizaciones del Reino Unido? Las normas NIS actuales (que pronto serán actualizadas por el Proyecto de ley sobre ciberseguridad y resiliencia) abarcan a los proveedores de servicios en la nube y comercio electrónico, organizaciones que ofrecen servicios de identidad o autenticación digital y proveedores de Internet y telecomunicaciones. Deben notificar a la ICO una violación de datos personales (GDPR) o un incidente de seguridad relacionado con NIS si:

Descubrieron un ataque SNDL que “afectó sustancialmente su servicio o condujo a la divulgación de información personal”.
Cometieron un error al implementar el PQC, que expuso información personal y representó un riesgo para los derechos y libertades de las personas.

Todas las demás organizaciones tienen la obligación, en virtud del RGPD, de proteger los datos personales “utilizando medidas técnicas y organizativas adecuadas” que se ajusten al riesgo del procesamiento y tengan en cuenta el estado de la técnica. Según la ICO, esto significa que: “deberían considerar la identificación y el tratamiento de los riesgos cuánticos como parte de sus obligaciones legales existentes para adaptarse a las nuevas y emergentes amenazas cibernéticas a la información personal”.

¿Qué significa esto en la práctica? Como siempre, la ICO dice que, según la Ley de Protección de Datos de 2018 y el RGPD, las organizaciones deben determinar qué medidas técnicas necesitan para garantizar el "nivel adecuado de seguridad". Pero hay otra pista. El propio regulador Orientación sobre el cifrado Insta a las organizaciones a ser “criptoágiles”, es decir, a revisar periódicamente el uso del cifrado y a estar alertas ante nuevas actualizaciones y posibles vulnerabilidades.

“Se han desarrollado nuevos estándares y, en algún momento de los próximos 10 años, es probable que el PQC se convierta en una norma aceptada y ampliamente implementada en el futuro estado del arte”, agrega.

Lista de verificación para el cumplimiento

Por lo tanto, la mayoría de las organizaciones deben seguir protegiendo los datos personales de acuerdo con las mejores prácticas y estándares de cifrado e informar sobre cualquier violación o filtración, incluido el SNDL y cualquier incidente causado por errores en la implementación del PQC. La ICO agrega que deben actuar de manera proactiva:

Comience a considerar la exposición al riesgo “en el futuro inmediato y cercano”, incluyendo la identificación de información de alto riesgo y de criptografía y sistemas en riesgo.
Manténgase al tanto de los estándares criptográficos internacionales en evolución y la orientación del NCSC, según NIS y el GDPR del Reino Unido.
Si están considerando implementar QKD u otra tecnología de seguridad cuántica además de PQC, deberían considerar completar una evaluación de impacto de protección de datos (DPIA). Esto puede ayudar a evaluar si los derechos y libertades asociados con la información personal pueden estar en riesgo y documentar qué medidas están tomando para abordar estos riesgos.
Continuar mitigando los riesgos cibernéticos “de amplio alcance y a corto y mediano plazo” no relacionados con la computación cuántica, siguiendo las mejores prácticas esenciales de higiene cibernética para la protección de datos.

Pasarán años antes de que aparezca la computación cuántica capaz de descifrar el cifrado asimétrico, pero eso no es motivo para la complacencia. Es mejor evaluar los riesgos y planificar el futuro hoy que verse obligado a tomar decisiones apresuradas (y potencialmente costosas) mañana.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster