Seguridad RSA: De los avances en criptografía de clave pública al futuro de la seguridad de la identidad

Desde su creación, RSA Security ha sido pionera en ciberseguridad, proporcionando a los líderes de la administración pública, los servicios financieros, la energía, la sanidad y otros sectores altamente regulados capacidades de gestión de identidades y accesos (IAM), gobierno y administración de identidades (IGA), acceso y autenticación multifactor (MFA).

RSA Security fue fundada en 1982 por Ron Rivest, Adi Shamir y Leonard Adelman, que desarrollaron el algoritmo de cifrado RSA en 1977. Aunque el estándar de criptografía de clave pública se hizo público en 2000 y RSA Security ya no lo posee, vende ni gestiona, representa un capítulo importante de la historia de RSA.

Desde su fundación, RSA Security ha ayudado a las organizaciones a defenderse del phishing, el malware, la ingeniería social y otros vectores de amenazas recurrentes. RSA sigue innovando frente a amenazas emergentes como las falsificaciones profundas, los ataques impulsados por IA y las desviaciones del servicio de asistencia de TI. Y a medida que el mundo se acerca a una nueva era de computación cuántica, RSA sigue innovando para ayudar a las organizaciones a adelantarse a los malos actores.

Explore la historia de RSA y su futuro a la vanguardia de la seguridad de la identidad leyendo los capítulos que aparecen a continuación:

En 1977 surgió el concepto de criptografía de clave pública como solución a las limitaciones de los métodos de cifrado simétrico, que requerían intercambios de claves seguros. El algoritmo RSA abordó este reto utilizando un par de claves: una clave pública para el cifrado y una clave privada para el descifrado. Estos pares Claves RSA forman la espina dorsal del criptosistema RSA, permitiendo la transmisión segura de datos incluso a través de redes no fiables. Esta innovación permitió comunicaciones seguras a través de canales no fiables sin necesidad de intercambio previo de claves. La seguridad de RSA se basa en la dificultad computacional de factorizar grandes números primos, lo que la convierte en una herramienta formidable contra el acceso no autorizado a datos.

El Instituto Tecnológico de Massachusetts (MIT) recibió un patente para el algoritmo RSA en 1983, con una duración de la patente de 17 años.

La adopción generalizada del criptosistema RSA llevó al desarrollo de la Infraestructura de Clave Pública RSA (PKI), un marco que gestiona certificados digitales y cifrado de clave pública. La PKI de RSA fue decisiva para establecer comunicaciones seguras a través de Internet, apuntalando protocolos como SSL/TLS, esenciales para el comercio electrónico, el correo electrónico seguro y las firmas digitales.

RSA Security hizo público el algoritmo de cifrado el 6 de septiembre de 2000. La liberación "permitiría a cualquiera crear productos que incorporen su propia implementación del algoritmo. Esto significa que RSA Security ha renunciado a su derecho a hacer valer la patente para cualquier actividad de desarrollo que incluya el algoritmo RSA que tenga lugar después del 6 de septiembre de 2000." En la actualidad, el algoritmo es un estándar público (FIPS 186-5).

Más de dos décadas después de que RSA Security lanzara al dominio público el algoritmo de cifrado, RSA Security sigue desarrollando nuevas soluciones a los retos de la ciberseguridad.

En la actualidad, RSA Security se centra exclusivamente en la seguridad de identidades, proporcionando una gama de soluciones de acceso, autenticación, gobernanza y ciclo de vida que ayudan a las organizaciones a prevenir riesgos, detectar amenazas, permitir el cumplimiento y acelerar la productividad, incluyendo:

• RSA® ID Plus ofrece una gama completa de funciones de IAM (como MFA sin contraseña, SSO, acceso contextual, integraciones con Microsoft y otros terceros, y servicios de directorio en la nube) en entornos en la nube, híbridos y locales.
• Gobierno y ciclo de vida de RSA ayuda a las organizaciones a mejorar el cumplimiento, reducir los riesgos y optimizar las operaciones mediante la implantación de funciones IGA en aplicaciones, sistemas y datos para gestionar y proteger el acceso a escala.
• RSA SecurID protege los recursos locales con funciones de acceso seguro, autenticación y gestión del ciclo de vida de las identidades.

Para obtener más información sobre las soluciones actuales de RSA, póngase en contacto con nosotros o comience hoy mismo su prueba gratuita de ID Plus.

Los avances de la computación cuántica pueden suponer algún día una amenaza para los algoritmos de cifrado clásicos, como el intercambio de claves Diffie-Hellman (DH), la criptografía de curva elíptica (ECC) y el algoritmo de cifrado RSA. Los ordenadores cuánticos tienen el potencial de resolver problemas matemáticos complejos, como la factorización de números enteros, exponencialmente más rápido que los ordenadores clásicos.

Dado que el algoritmo RSA se basa en la dificultad computacional de factorizar grandes números primos, algoritmos cuánticos como el de Shor podrían utilizarse para acabar descifrando claves RSA. Lo mismo ocurre con las claves Diffie Hellman (DH), y también con las de Curva Elíptica (ECC). La ECC se basa en un problema matemático diferente, pero también podría descifrarse con el algoritmo de Shor. De hecho, el número de qbits necesarios para lograrlo sería menor que el de una clave RSA/DH de fuerza comparable.

Para prepararse para este riesgo, el NIST publicó un proyecto inicial de orientaciones ("Transition to Post-Quantum Cryptography Standards," NIST IR 8547) en 2024 que recomienda al menos 112 bits de fuerza de seguridad (claves RSA de 2048 bits) y el objetivo de utilizar al menos claves RSA de 4096 bits (para 128 bits de fuerza de seguridad) después del año 2030. En ese borrador de directrices, el NIST recomendaba no utilizar claves RSA de ningún tamaño después de 2035. Hasta entonces, las organizaciones deben seguir las mejores prácticas en cuanto a longitud y rotación de claves para mantener la seguridad de su cifrado. Los navegadores web modernos admiten claves de 4096 bits, en consonancia con las directrices del NIST sobre claves RSA para 2030.

RSA Security cree que estas recomendaciones son una medida adecuada basada en el riesgo. Dado que la computación cuántica aún está en pañales y requiere grandes cantidades de recursos para funcionar, no supone una amenaza inmediata para el cifrado. Los ordenadores cuánticos más potentes superaron recientemente los 1.000 bits cuánticos (qubits) de tamaño, y sólo pueden mantener un funcionamiento estable durante 1-2 milisegundos. En comparación, los investigadores creen que un Ordenador de 20 millones de qubits se necesitarían ocho horas para descifrar una sola clave de cifrado RSA de 2048 bits. Mediante la aplicación de la norma NIST IR 8547, las organizaciones deberían anticiparse a los riesgos que pueda plantear algún día la computación cuántica.

RSA Security ha implementado estas directrices en sus propias soluciones y continuará siguiendo las mejores prácticas del NIST.

Además de aplicar las directrices post-cuántica del NIST, las organizaciones deben esforzarse por conocer su infraestructura informática actual. La catalogación de las aplicaciones actuales, la actualización del software con la última versión y la ciberhigiene básica son buenas prácticas de ciberseguridad esenciales que ayudarán a las organizaciones a defenderse de las amenazas actuales y a prepararse para riesgos emergentes como la computación cuántica.

Las organizaciones deben conocer y aplicar las directrices del NIST sobre computación cuántica para adelantarse a los riesgos teóricos. Pero los líderes deben adoptar un enfoque de la ciberseguridad basado en el riesgo y prepararse para los ataques más probables y de mayor impacto. Dar prioridad a los riesgos teóricos de la computación cuántica pasa por alto las amenazas muy claras, inmediatas y activas con las que los ciberdelincuentes están teniendo éxito hoy en día:

• Cambiar la asistencia sanitaria se vio comprometida por el robo de credenciales y no tenía activado el MFA en algunas de sus cuentas.
• Araña dispersa convenció al personal del servicio de asistencia informática para que desactivara o restableciera las credenciales MFA con el fin de lanzar un ataque de ransomware que causó pérdidas de cientos de millones de dólares.
• Oleoducto Colonialfue violada en parte debido a una cuenta VPN huérfana
• Rosa87168 afirmó haber robado 6 millones de registros de datos de Oracle Cloud aprovechando una vulnerabilidad no parcheada

La computación cuántica requiere financiación y recursos masivos. Estas violaciones de datos no. La gran mayoría de los ataques actuales se basan en el phishing, la ingeniería social, la autenticación basada en contraseñas, los sistemas sin parches y la provisión de acceso mediante parches. Esos son los riesgos que exigen la atención, la acción y la inversión inmediatas de las organizaciones.

Cifrado RSA clásico frente a criptografía poscuántica

Es importante señalar que, aunque se cree que los algoritmos de criptografía poscuántica son resistentes a los ataques de la computación cuántica, existe el riesgo de que incluso esos marcos puedan ser atacados por métodos de criptoanálisis y computación "tradicionales". Si las organizaciones utilizan un algoritmo de cifrado poscuántico, deberían estar a salvo de ataques poscuánticos, pero aún podrían ser pirateadas por ataques impulsados por un método precuántico. Los algoritmos tradicionales como RSA/ECC/DH se han investigado durante décadas: esa investigación no ha revelado debilidades fundamentales frente a los ataques tradicionales.