El vodcast sobre seguridad de la identidad para responsables y profesionales de la ciberseguridad
La identidad es ahora la primera línea de la ciberseguridad, y las organizaciones necesitan adelantarse a las amenazas, las presiones de cumplimiento y los retos de autenticación. RSA Identity Unmasked es un vodcast mensual presentado por expertos de RSA y líderes de la industria, que cubre los problemas reales que dan forma a la seguridad de la identidad hoy en día.
Inscríbete ahora utilizando el botón “Suscríbase ahora”para recibir notificaciones cuando haya nuevos episodios disponibles y obtener información práctica sobre temas como Autenticación moderna, Gobierno de la identidad, Confianza cero, Acceso basado en el riesgo, Verificación del servicio de asistencia, Cuestiones del sector, Tendencias tecnológicas, Temas candentes sectoriales, y mucho más.
Episodio 1 - Computación cuántica
Únase a Ingo Schubert (RSA) y David Lello (Burning Tree) para continuar el debate sobre criptografía cuántica, plazos de riesgo y cómo las organizaciones pueden prepararse para la resiliencia de la identidad post-cuántica. En este primer episodio ampliado, tenemos la conversación COMPLETA. Póngase cómodo y coja las palomitas. Es un buen reloj.
Transcripción del vídeo
INGO SCHUBERT: Bienvenidos a RSA Identity Unmasked, el Vodcast en el que analizamos las fuerzas que configuran el futuro de la seguridad de la identidad. Soy su anfitrión, Ingo Schubert, y hoy nos sumergimos en el tema que está generando mucho calor en toda la industria, la computación cuántica. Hoy me acompaña David Lello, de Burning Tree. Entremos directamente en materia. Hoy, computación cuántica, bombo, amenaza, oportunidad, o las tres cosas a la vez. En realidad estamos retomando un debate que comenzó en Bletchley Park en septiembre del año pasado con David Lilo de Burning Tree y yo mismo, Ingo Schubert. Así que vamos a entrar directamente en ella. David, bienvenido a este episodio.
DAVID LELLO: Gracias
INGO SCHUBERT: Creo que desde el punto de vista de la audiencia, ¿podría describir en un par de palabras qué es la computación cuántica para que, una vez que haya terminado, nos encontremos en un nivel experto?
DAVID LELLO: Bueno, voy a empezar con la forma básica de ver el ordenador cuántico porque creo que si empezamos a entrar en la física teórica creo que podríamos perder a algunas personas.
INGO SCHUBERT: Sip
DAVID LELLO: Así que um con los ordenadores cuánticos los ordenadores cuánticos funcionan de una manera diferente a los ordenadores tradicionales. le estás diciendo al ordenador que haga. Con un ordenador cuántico, lo hace de manera diferente. Lo que está utilizando es la mecánica cuántica, y por lo tanto, en un mundo multidimensional de la mecánica cuántica, mira los datos y ve los datos. No lee los datos de la misma manera y, como resultado, puede plantear hipótesis y ver múltiples construcciones al mismo tiempo. Es algo así como cuando lees un libro, un ordenador tradicional lo leerá de principio a fin, con un ordenador cuántico, leerá el libro y verá los datos. Y por eso, el ordenador cuántico es capaz de procesar la información mucho más rápido. Y a la hora de resolver problemas, es como si resolviera todos los problemas al mismo tiempo en lugar de ver un problema intentando resolverlo en serie.
INGO SCHUBERT: Sí, por lo que los algoritmos son muy diferentes, por supuesto. Sí, creo que es probablemente por eso que muchos, y me estoy contando allí también, ya sabes, lucha, por supuesto, con como, ¿cómo realmente programar esa cosa. Creo que a partir de un fondo tradicional de TI, Creo que lo que me ayuda a veces la comprensión, como, ya sabes, esto es realmente una bestia diferente, es que, ya sabes, un ordenador tradicional, como cada bit, sí. Si tienes N bits, puedes almacenar N cantidad de datos. Es cero, uno, ¿sí? Con cuántica, es dos a la potencia de N, sí, que es como, de inmediato, como, si su viejo instante patadas en, es como, sí, eso es mucho más, sí, en la misma cantidad de qubits en este caso, ¿verdad? Así que, por lo tanto, el almacenamiento y el procesamiento es sólo en el nivel diferente, ¿verdad? Así que creo que vamos a dejarlo ahí porque de lo contrario estaríamos aquí durante días, ¿verdad? Sólo explicando lo básico.
Así pues, el siguiente tema que me gustaría explorar es ¿cuál es el estado actual de la computación cuántica? ¿Dónde estamos ahora mismo? Porque creo que esto probablemente, y si la gente que nos está viendo nos ha visto en Bletchley Park, tenemos algunas opiniones diferentes sobre dónde estamos, dónde estaremos. Así que empecemos contigo. ¿Cuál es el estado actual de la computación cuántica?
DAVID LELLO: Creo que la computación cuántica está aún en una fase temprana. Hay una serie de ordenadores cuánticos y se puede contratar tiempo en los ordenadores cuánticos para ver los datos. Pero creo que la forma en que se han desarrollado los ordenadores cuánticos plantea una serie de problemas. Algunos ordenadores cuánticos requieren mucho control en términos de cosas como la temperatura. Un ordenador cuántico funciona a cero absoluto, es decir, a menos 270 grados centígrados, lo que es realmente frío. Se necesitan grandes instalaciones, grandes equipos y mucha energía. De lo contrario, se pierde la cohesión y la estabilidad de la plataforma.
Los primeros ordenadores cuánticos se quemaban constantemente por este motivo. Es un problema que hay que resolver. El otro problema es que, como el ordenador cuántico mira todos los datos al mismo tiempo, crea mucho ruido. Si tuviéramos que tomar algo como la Biblia y leer la Biblia al instante, en lugar de ir a través de ella de principio a fin, se crearía una narrativa en su mente que sería incomprensible. Y tratar de digerir, comprender y destilar el mensaje se hace muy difícil.
El ruido del sistema ha creado muchos problemas. Hemos visto algunos buenos resultados en Oxford, donde han reducido el índice de error y el ruido del sistema de forma significativa. Pero probablemente el problema más importante en este momento es la cantidad de qubits que se pueden enredar a la vez, porque se empieza a perder la cohesión de esos qubits cuando se superan los 100 qubits más o menos. Así que la cantidad de qubits que se pueden entrelazar a la vez para procesar la información es limitada. Y eso significa que la potencia de procesamiento y la capacidad de la máquina son limitadas.
Así que aún no es lo que llamaríamos computación cuántica criptográficamente relevante, lo cual es un gran problema, pero está en una fase en la que se ha demostrado. Funciona. Hace lo que los científicos dicen que hace. Sólo se trata de pasar al siguiente nivel e invertir más. Cada pocos meses se producen nuevos avances o se invierte mucho en ellos, y estamos empezando a ver progresos.
INGO SCHUBERT: Sí, por lo que el, y eso es cierto. Y creo que si se comparan los ordenadores cuánticos, si nos fijamos en las imágenes de ellos, ¿verdad? De hace cinco años en comparación con los de hoy, yo todavía los llamaría parcialmente un experimento físico, pero era mucho más físico hace cinco años, ¿verdad? Si nos fijamos en la configuración física de esas cosas, ¿verdad?
Sin embargo, si bien es cierto que, ya sabes, llegar a ser como, sí, usted lanza un problema con ellos y pueden resolverlo mucho más rápido que los ordenadores tradicionales. Y parte de eso es lo que usted dijo es la cohesión. Sí, la cohesión básica es, ya sabes, si sólo se puede mantener el sistema estable durante un cierto tiempo. Y eso se suele medir como máximo en segundos, sí, o en milisegundos, dependiendo de qué chip en todo esto. Y eso es una buena cantidad lejos de ser útil en muchos casos. Ahora, hay algunos casos de uso donde tiene sentido. Piensa en ello como un coprocesador cuántico. Pero el problema que tengo con eso es que en muchos de los casos de uso, es cuestionable si se podría resolver el problema también con un par de GPUs de Nvidia, ¿verdad?
Por lo tanto, una de las cosas que veo que todavía se hace constantemente, hay un montón de bombo en este espacio de la computación cuántica también. Creo que se solapa un poco con el bombo de la IA también. También se puede argumentar, ya sabes, si eso es un bombo, es real. Pero el punto es que hay mucho bombo, mucho dinero flotando alrededor. Creo que parte de ese dinero ahora está buscando una estrategia de salida. Y la computación cuántica parece ser atractiva, ¿verdad? Así que están bombeando un montón de cosas allí y hay empresas por ahí que fundamentalmente mirar esto están sobrevalorados y también sobredimensionado en términos de lo que prometen lo que hacen y esto es en realidad va a través del espectro aquí derecho. En Bletchley Park tuve el chip sauce google como un ejemplo donde google en realidad tenía un comunicado de prensa acerca de este nuevo chip donde tenían gran corrección de errores todo esto y la afirmación de que fue recogido por también la prensa popular fue este chip puede hacer en cinco minutos lo que un ordenador tradicional puede hacer en 10 a la a la potencia de 35 años, lo que es extraordinario porque el universo tiene sólo 10 a la potencia de 25 años, así que si lo lees es como si no, no puede hacerlo, era como si esta cosa pudiera funcionar durante cinco minutos y es como si millones de millones de veces no fueran capaces de hacerlo, entonces sería así. Y si nos fijamos en algunos otros comunicados de prensa de diferentes empresas, grandes y pequeñas, hay un poco de una tendencia a exagerar lo que logran.
Y creo que, por desgracia, esto ahoga algunos de los avances reales que la computación cuántica realmente ha hecho en un par de años, ¿verdad? Y creo que lo que, y aquí es donde llegamos, hace que esta amenaza de la computación cuántica parezca mucho más real en términos de que está a la vuelta de la esquina de lo que realmente es. Pero antes de entrar en, ya sabes, por qué el mundo se acabará, si la computación cuántica aparece de repente, ¿cuáles serían los beneficios de un ordenador cuántico que tienes en mente? ¿Qué podría hacer mucho mejor que cualquier otra cosa?
DAVID LELLO: Voy a responder a eso reaccionando también a lo que has dicho sobre el ordenador cuántico en términos de dónde se encuentra en este momento. Y aunque estoy de acuerdo en que hay problemas con el ordenador cuántico, creo que estamos mucho más cerca de alcanzar la estabilidad en un ordenador cuántico de lo que se sugiere. Creo que si miro hacia atrás, creo que una de las mejores maneras de mirar hacia el futuro es mirar a la historia. Y cuando yo era joven y trabajaba en un banco, había un mainframe y era un mainframe IBM de la vieja escuela. El mainframe ocupaba una habitación. Era una habitación grande. No era una habitación pequeña. Era bastante grande. Y llenaba la habitación. Había válvulas en este ordenador central. Tenia tres tanques de enfriamiento de agua. Había piscinas subterráneas en el sótano de este banco. Esta cosa era enorme. Y sólo unos pocos años antes de eso, habían reemplazado el sistema de tarjetas perforadas de ese mainframe.
Cuando sacaron el viejo ordenador central, para lo que necesitaron carretillas elevadoras y maquinaria muy pesada, tuvieron que cortar algunas puertas porque no cabía físicamente el ordenador central. Y lo sustituyeron por un bastidor y un ordenador central que era exponencialmente más grande que lo que había antes. Hemos visto una aceleración masiva en los avances de los ordenadores en los últimos años. Y si retrocedemos sólo 30 años, ya sabes, si vas 40 años, es simplemente, es masiva, la cantidad de cambio que vemos que está sucediendo.
Sí.
DAVID LELLO: Y lo que hemos visto ahora con los ordenadores cuánticos, sí, hay indicadores tempranos y la ciencia, casi se siente un poco como ese viejo ordenador central en el sótano con los tres tanques porque se necesitan los sistemas de refrigeración, se necesita el equipo grande, se necesita todo el tipo de cosas que van con él. Hay que invertir mucho dinero. Hay que invertir mucho. Y estos problemas se resolverán. Y puede que se resuelvan antes de lo que pensamos. Y los avances que hemos visto mes a mes sugieren que estamos cada vez más cerca de la cohesión. Y por eso creo que puede estar un poco más cerca.
Y si lo hace, creo que será muy emocionante, porque lo que el ordenador cuántico puede hacer es procesar datos mucho más rápido, y no tan rápido como algunos afirman, pero como puede procesar esos datos mucho más rápido, significa que puede estudiar y resolver problemas que antes no podían resolverse.
En física teórica existe el concepto del gato de Schrodinger. ¿Está vivo o muerto? ¿Está descompuesto? ¿Qué es? ¿Cuál es el estado del gato? Bueno, el ordenador cuántico sería capaz de mirar y ver al gato en todas las posibilidades y, por tanto, sería capaz de resolver problemas importantes que no hemos sido capaces de resolver.
INGO SCHUBERT: Sí, y creo que en términos de medicina, ya sabes, plegamiento de proteínas o algo así, los ordenadores cuánticos tendrían ventaja sobre los ordenadores tradicionales, seguro, ¿verdad? Y hay otras cosas donde, ya sabes, simplemente todo con una cantidad masiva de datos que necesitan ser procesados, ya sabes, el pronóstico del tiempo sería una cosa, como, ya sabes, cualquier cosa, datos geológicos, hay un poco de casos de uso que se beneficiarían de la computación.
Ahora, volviendo a como esto es antes de su punto tan pronto como usted podría pensar que es como yo no lo creo, porque no es una línea recta donde va esto sucedió en el pasado con los transistores que sucede de nuevo por lo que podría no ser es como la lotería sólo porque usted ganó la última vez no significa que usted no gana la próxima vez que se inicia a partir de cero cada vez y sobre todo con la cohesión, si hablas de, vale, un par de cientos de qubits, quizás un par de miles, para ser un ordenador cuántico universal que, por ejemplo, pueda ejecutar el Algoritmo de Shor, lo que sería una amenaza para la criptografía. Estás hablando de un par de cientos de miles de qubits, ¿verdad? Y en el camino hacia eso, podríamos chocar contra un muro en alguna parte, ¿verdad? No hay garantía de que vayamos a resolver esos problemas. Podríamos, y de hecho, sí, seguro, podría haberlas, pero no hay garantía. Y al mismo tiempo, un ordenador cuántico tiene que sobrevivir comercialmente en un entorno en el que hemos visto cantidades masivas de aumento en la potencia de cálculo en todo el mundo, gracias a las GPU esencialmente, ¿verdad? Gracias a la IA. Bueno, antes era toda la locura de Bitcoin, ahora es la IA. Así que sin tener avances como los avances fundamentales en el diseño de chips. Quiero decir, sí, se hacen más pequeños con esto. Aumentamos masivamente la potencia de cálculo, tanto que básicamente el factor limitante es ahora la energía, ¿verdad? Así que la energía eléctrica.
Y en ese entorno, un ordenador cuántico tiene que sobrevivir. Ahora, usted puede hacer el argumento de que, hey, especialmente para aquellos, ya sabes, descifrar claves, ya sabes, algunos gobiernos lo harán, bien. Sí, eso está bien. Tienen suficiente dinero. Realmente no se preocupan por eso. Bueno, tal vez debería importarles. Son nuestros impuestos, pero asumamos que no les importa.
Existen casos prácticos de uso de la computación cuántica en el camino hacia un ordenador cuántico universal plenamente operativo. Creo que eso es indiscutible. No digo que no sea así. Y hay buenos casos de uso para eso. Como he dicho, como, ya sabes, el plegamiento de proteínas, por ejemplo, en la investigación farmacéutica, ¿verdad?
Pero hablemos de las amenazas, ¿vale? Y no estoy hablando de consumo de energía, todo eso porque tenemos que hoy en día con las unidades tradicionales, ¿verdad? Quiero decir, las amenazas en particular a la seguridad informática y luego es la seguridad, ¿no? Porque hay algunos, ya sabes, he mencionado algoritmo de Shor, así que tal vez deberíamos, ya sabes, explicar brevemente, ya sabes, lo que esto es y cómo afecta a la seguridad.
DAVID LELLO: Si, entonces um con el ordenador cuántico porque puede procesar esa información y los datos mucho más rápido um es capaz de usar el algoritmo de Shaw para hacer ingeniería inversa um claves criptográficas um y por lo tanto um cuando tengamos un ordenador criptográfico, cuántico relevante, sería capaz de romper esas claves en segundos, minutos.
Sí.
DAVID LELLO: Y, por tanto, la mayor parte de los datos que consumimos, utilizamos y a los que accedemos serían vulnerables a los ataques.
INGO SCHUBERT: Sí. Y el argumento de Schor, como he mencionado antes, ya sabes, hoy en día no hay un ordenador cuántico que pueda ejecutar esto porque se necesitan cientos de miles de qubits en cohesión y funcionando durante algún tiempo. Así que sí, es un par de segundos, pero incluso un par de segundos son un problema hoy en día para algún ordenador cuántico. Así que en realidad esencialmente rompería o invalidaría en cierto sentido, el algoritmo RSA, sí, por lo que una clave pública privada, usando RSA, pero también usando Diffie-Hellman y usando curvas elípticas, ECC. Así que básicamente todos los que son populares y que se han utilizado durante el último par de décadas serían esencialmente rotos, ¿verdad? Se romperían con un ordenador cuántico. Por supuesto, los ordenadores tradicionales seguirían luchando como siempre, así que no es una amenaza.
Y sí, así que si esto se rompe, quiero decir, esos algoritmos se utilizan en todas partes, ¿no? Así que estos son, ya sabes, tu TLS tradicional, una comunicación de servidor web, de un cliente a un servidor web, VPNs, firmas de correo electrónico, cifrado de archivos que se envían alrededor y todo esto, ya sabes, todos ellos a menudo se basan en RSA, ECC, y o Diffie-Hellman, ¿verdad? Así que, quiero decir, eso sería, en realidad se podría llamar catastrófico.
DAVID LELLO: Lo sería, absolutamente. Sería completamente catastrófico. Creo que hay, cuanto más miro en él y los casos de uso más que en realidad, más sistemas fallarán. Es un problema global. Como la autenticación y la autenticación en el sistema financiero. Incluso cosas como Bitcoin se ven comprometidas. Usan encriptación de curva elíptica y se vería comprometida. Entonces tienes un colapso completo del sistema financiero como consecuencia de ese compromiso.
Así que, sí, puede ser absolutamente catastrófico. Creo que podemos ver grandes problemas en los típicos casos de uso generalizado, pero también en problemas más pequeños y menos públicos en los que la gente no siempre piensa, así que cuando empezamos a hablar de IoT y OT y empezamos a pensar en dispositivos médicos y equipos médicos, la capacidad de ponerlos en peligro. Usted sabe, usted toma una persona que lleva una bomba de insulina.
Si puedo comprometer la encriptación de esa bomba de insulina, puedo matar a alguien.
Sí.
DAVID LELLO: Eso es, ya sabes, de repente, la criminalidad detrás de estas cosas puede llegar a ser exponencialmente más significativa. Y empezamos a ver cosas como Minority Report y Terminator tipo de casos de uso de las cosas que suceden.
INGO SCHUBERT: Ahora sí. Esto se acaba de poner interesante ahora, sí.
De acuerdo, pero volviendo a la disponibilidad de los ordenadores cuánticos, eso no ocurrirá de la noche a la mañana porque no será de un día para otro. Supongamos que alguien, sí, finalmente consigue un ordenador cuántico con, ya sabes, 200.000 cubits donde puede ejecutar el algoritmo de Shor, por ejemplo. Normalmente es alrededor de un millón. Hay algunas investigaciones que dicen que sólo necesitas alrededor de un par de 100k qubits. No es como si de repente todo el mundo tuviera un ordenador cuántico. Sólo un par de gobiernos y centros de investigación tienen acceso a la computación cuántica. No es que todos los ciberdelincuentes tengan acceso a ella.
Pero la amenaza es real. Creo que se parece un poco al problema del año 2000. Lo veíamos venir desde hace tiempo, pero hicimos cosas para mitigarlo y resultó ser una hamburguesa de nada.
DAVID LELLO: Pero sólo porque hicimos algo.
INGO SCHUBERT: Exactamente. Sólo porque hicimos algo, ¿verdad? Así que si no hubiéramos hecho nada, que probablemente habría sido un gran problema y hemos hecho algo y resultó estar bien, ¿verdad? Y creo que probablemente será similar en este caso aquí porque hay cosas que se pueden hacer, lo que nos lleva al siguiente trabajo.
Sí, por lo que podría estar en desacuerdo cuánto tiempo vamos a tener, ¿verdad? Así que sólo como tirar esto por ahí, había un informe de MITRE, por lo que como un gobierno - financiado por el instituto de investigación en los EE.UU. un informe reciente a principios de año y ponen este algoritmo de Shor en algún lugar como principios de 2040 probablemente más 2050 alrededor así que no es como si tuvieran un incentivo para empujar a la derecha por lo que era un informe sólido allí, pero incluso si usted dice como esto es mucho antes, es poco probable que sea antes de 2030. Creo que es muy poco probable, a menos que ocurra algún milagro. Entonces, ¿qué puedes hacer hoy para prepararte para este apocalipsis cuántico?
DAVID LELLO: Creo que definitivamente va a ser mucho más rápido que 2050. Creo que, ya sabes, odio tratar de predecir porque es una cosa imposible. Ya sabes, cuando uno trata de predecir el futuro, inevitablemente fallas porque no tenemos una mente sobrenatural.
INGO SCHUBERT: Bueno, reunámonos en 2055. A la misma hora, sí, para que podamos hablar de esto. Si todavía estoy en el interior.
Por supuesto. Hagámoslo. A la misma hora, en el mismo lugar. Hagámoslo. Muy bien, pero si es antes, creo que vamos a ver cómo podemos celebrar ese evento porque creo que con cualquier avance en la tecnología, un gran avance sucede, y sucede en un momento en el tiempo. Puede ocurrir la semana que viene. Puede ocurrir dentro de 10 años. No lo sabemos. Pero va a ocurrir, de eso estoy seguro, porque la ciencia está ahí. Es creíble. Es real. Usted sabe, un campo de girasoles es capaz de mantener la cohesión en este momento. La estabilidad está ahí a temperatura ambiente, en un campo, con todas las cosas que están sucediendo a su alrededor. Animales corriendo por debajo y la contaminación y todo lo demás. Un campo de girasoles puede tener cohesión.
INGO SCHUBERT: Así es.
DAVID LELLO: ¿Por qué lo hacen tantos científicos?
INGO SHCUBERT: Sí, pero tienen un par de millones de años para evolucionar, ¿verdad? Ese es mi punto. Estoy de acuerdo con eso, pero tienen un poco de ventaja, ¿verdad?
DAVID LELLO: Volviendo a la cuestión es, creo que uno de los problemas que tenemos, y nos metimos un poco en Bletchley Park, es que lo que tenemos en este momento en términos de práctica y lo que llamaríamos buenas prácticas en torno a la gestión de claves criptográficas, creo que muchas empresas han fracasado. Así que cuando se trata de eventos, hace unos años, tuvimos la vulnerabilidad SSL, y todo el mundo se apresuró a sustituir las claves. Y eso significó que las organizaciones se volvieron mucho más ágiles en términos de cómo rotaban sus claves TLS, lo cual es fantástico. Eso resuelve una buena parte del problema. Si tienes agilidad en tus claves TLS, significa que puedes cambiarlas. Puede que tengas que hacer algunas pruebas por el camino para asegurarte de que todo funciona.
Pero las organizaciones pueden empezar a pensar ahora en su autoridad de certificación y en cómo emiten sus claves y cómo sustituyen sus claves a nivel de TLS. Y eso está bien. El problema que nos encontramos es cuando entramos en una organización es 20 a 30, tal vez incluso 40% de claves no se gestionan de esta manera. Muy a menudo una gran cantidad de hardware ha incrustado claves en ella dentro de una pieza de infraestructura de hardware y algunas de estas piezas de hardware puede vivir alrededor de 20 años y la capacidad de cambiar las claves dentro de ese hardware significa cambiar el hardware.
También tenemos un montón de malas prácticas en la codificación, especialmente en los días de las construcciones monolíticas donde las aplicaciones tienen claves incrustadas dentro de las propias aplicaciones. Y cuando empezamos a pensar en no sólo han sucedido.
INGO SCHUBERT: Creo que ese es mi punto. Eso fue una mala práctica, independientemente de la computación cuántica o no.
DAVID LELLO: Lo es. Y cuando empezamos a pensar en esta idea del Día Q, que en el efecto 2000 fue fácil porque teníamos una fecha. No tenemos una fecha con el Día Q.
INGO SCHUBERT: Muy buena observación.
DAVID LELLO: Pero cuando finalmente llegue, y puede que llegue mañana, o puede que llegue dentro de 10 años, o si estás en lo cierto dentro de mucho más tiempo, entonces nos encontramos en una situación en la que una buena parte de la organización y sus claves no son fácilmente reemplazables, y vamos a entrar en pánico. Vamos a tener un problema masivo, masivo a medida que los datos se vean comprometidos.
Pero también, el otro problema que tenemos es algo que me preguntan mucho y es la amenaza de ‘recolectar ahora y descifrar después’. Y hemos visto el robo de datos cifrados durante años, quiero decir, en este país con David Cameron, dijo que todos nuestros datos han sido robados por China, pero no importa. Están encriptados. Así que volviendo unos años atrás, ese tipo de afirmación es cierto en este momento, dadas las tecnologías que tenemos en el tiempo con un ordenador cuántico, que se convierte en un problema. Y sí, por supuesto, los datos envejecen.
INGO SCHUBERT: Pero algunos de esos datos seguirán siendo relevantes. No todos, pero sí algunos. Así que creo que es lo mismo. Al igual, se quedaron por ahí que como, sí, ya sabes, si se pone, si se descifra como en cinco años, como, a quién le importa, ¿verdad? O en 10 años, sí. Así que usted puede hacer un argumento que muchos de los datos de identidad para la autenticación, si eso se, ya sabes, descifrado en cinco o 10 años, como, que realmente no importa mucho porque es obsoleto para entonces. Pero hay muchos datos estratégicos donde, sí, esto podría perjudicarte durante décadas, ¿verdad? Y ni siquiera tiene que ser un estado. Usted podría ser sólo una corporación normal, empresa normal.
Exactamente.
INGO SCHUBERT: ¿Y cuál es el caso?
DAVID LELLO: Quiero decir, ya sabes, la cantidad de organizaciones en las que entro donde hay sistemas heredados. De hecho, estuve en una organización no hace mucho tiempo donde había una aplicación. La trataban como una caja negra, y la trataban como una caja negra porque el código fuente se había perdido. La persona que lo escribió, hace tiempo que se fue, no lo toques. Si se cae, la respuesta es enciéndelo o apágalo, enciéndelo de nuevo y reza porque es lo único que puedes hacer. No hay nada que puedas hacer. Y este sistema controlaba todos los accesos en sus tiendas, todos los accesos en sus tiendas. Y si se ve comprometida, si se derriba, se derriba la organización.
INGO SCHUBERT: Punto único de fallo.
DAVID LELLO: Punto único de fallo. La cantidad de organizaciones a las que acudimos en las que existe ese punto único de fallo es extraordinaria. Las organizaciones tienen que empezar a pensar en cómo modernizar su infraestructura de gestión de identidades y accesos. Cuando empezamos a pensar en la gestión de identidades y accesos, la gestión de identidades y accesos es la ruta hacia todo. Lo hemos visto con los últimos ataques de ransomware que se han producido en Alemania, así como aquí en el Reino Unido, Italia y otros lugares. Estos ataques de ransomware tienen como objetivo los sistemas de control de acceso. Se dirigen a la autenticación porque es un objetivo fácil y blando, tanto si se trata de un directorio activo como de un sistema como el que he descrito, la capacidad de comprometer el acceso hace caer la organización, detiene la comunicación, detiene la capacidad de acceder. Modernizar la gestión de acceso a la identidad en este contexto va a ser una de las grandes prioridades.
INGO SCHUBERT: Sí, sí. Es difícil argumentar en contra de eso porque, ya sabes, porque eso tiene sentido, no importa cómo se mire, ¿verdad? Creo que cuando volvemos a la gestión básica de claves de cifrado criptográfico, muchos clientes no saben lo que tienen, ¿verdad? No tienen una buena visión de dónde cifran, dónde están las claves, dónde firman digitalmente. No tienen esta visión de conjunto. Creo que eso es parte del problema, ¿verdad? Porque no puedes arreglar lo que no sabes que existe. Muchos de los clientes lucharon simplemente con la higiene cibernética básica. Eso es lo que veo en una base constante, por desgracia, ¿verdad? Justo esta mañana en una llamada sobre un cliente que está ejecutando un software RSA de 20 años de antigüedad, 20 años de antigüedad, ¿verdad?
DAVID LELLO: Wow.
INGO SCHUBERT: Así que, en realidad, llamaron a nuestro soporte por algo, y el soporte no podía responder, y es como, sí, claro, ya sabes, probablemente el personal de apoyo que estaba respondiendo a la llamada telefónica probablemente estaba en el jardín de infancia cuando ese software salió, ¿verdad? Por lo tanto, mi punto es que mientras no hagamos esta higiene cibernética básica y la visibilidad, en primer lugar, no se puede llegar a este estado cuántico listo, sí, donde usted está listo para el día Q. Eso no es posible.
Mi opinión es que no puedes preocuparte por la computación cuántica hasta que arregles eso, ¿verdad? Porque si no sabes qué software estás ejecutando, si no lo mantienes actualizado, por supuesto dependes de que los vendedores arreglen esto, como si estuvieras implementando criptografía post-cuántica, por ejemplo, ¿verdad?
Pero si el software sale con la nueva versión, con todas estas cosas bonitas de la computación cuántica y no lo instalas, hace que uno no exista, ¿verdad? Y llegando a eso, incluso si lo haces, si tus políticas y procedimientos en torno a, por ejemplo, como la gestión de datos, si no son correctos, ¿de qué estamos hablando aquí? Así que si el atacante puede simplemente llamar a su servicio de asistencia y pedir la entrada, no necesitan un ordenador cuántico para hacer eso, ¿verdad? No lo necesitan hoy. No lo necesitaron ayer. No lo necesitan mañana. Simplemente llaman a tu servicio de asistencia si tus políticas no son correctas y obtienen acceso.
Así que hay muchas cosas que pueden salir mal, salieron mal y saldrán mal, que no tienen nada que ver con los ordenadores cuánticos. Y mi temor es que la gente esté mirando esta cosa cuántica, este Q-Day, y se distraiga con este bonito y brillante juguete, ¿verdad? Mientras que tienen tantos deberes que hacer, que probablemente no se han hecho durante décadas, ¿verdad? Y, por supuesto, se puede argumentar que, hey, ya sabes, tienes que hacer eso, tener visibilidad, ya sabes, tener parches en su lugar, arreglar tus procedimientos. Si se necesita esta amenaza de la computación cuántica para que un cliente haga eso, que así sea, ¿verdad? Podría ser feliz.
Pero una parte de mí dice, no, porque ¿qué pasa si nos encontramos con un obstáculo con la computación cuántica? Y como, por un par de años, no hay ninguna ventaja real o avances y luego te vas como ah eso es como usted sabe 2060s como voy a estar voy a estar mucho tiempo fuera de la fuerza de trabajo por lo que no tiene que preocuparse por eso y que es el enfoque equivocado, porque usted debe fijar que no importa qué.
Voy a dejar caer algo de conocimiento sobre usted sí algunos algunos nombres cayendo sí filósofo alemán Emmanuel Kant sí ahora no corte ese editor sí eso es k eso es k. Eso es K -A -N -T, ¿verdad? Así que le llamo Emmanuel a partir de ahora, sí.
Así que filósofo alemán, siglo 18, y muchas cosas inteligentes que dijo. Pero una de las cosas que creo que es una de las más inteligentes es que haces lo correcto porque es lo correcto, ¿verdad? No porque te haga ganar puntos con alguna deidad o algo así. Lo haces porque es lo correcto.
Y tener una buena visión general de dónde encriptas, cómo encriptas sobre políticas, procedimientos y parches y todo esto, eso es lo que hay que hacer, independientemente de si la computación cuántica está a 10 años, 20, 30 años. No importa. Tienes que hacerlo. Ahora, deberías haber estado haciendo eso durante los últimos 20 años. Eso es esencialmente un punto. Creo que aquí es donde estamos de acuerdo. Sí, absolutamente. Creo que discrepamos en la motivación, porque tenemos opiniones diferentes sobre dónde está y dónde estará la computación cuántica. Pero absolutamente, si hay un cliente que dice que necesito estar preparado para la cuántica, el esfuerzo no es en vano.
DAVID LELLO: No, en absoluto. Creo también, Ingo, una de las cosas que es una realidad que siempre estoy siendo desafiado porque pasamos mucho tiempo con los consejos de administración de las grandes empresas hablando con los directores financieros y similares y una empresa existe con el fin de suministrar un producto o un servicio y si está en el sector privado para obtener un beneficio a menos que, por supuesto, es la caridad, pero no vamos a preocuparnos por eso por lo que la idea de realmente gastar dinero sólo porque es lo que hay que hacer, donde me da un rendimiento negativo se convierte en difícil y desafiante para la gente financiera para darse cuenta realmente. Invertir en algo porque es lo correcto se convierte en una discusión filosófica. No creo que sea necesariamente el enfoque correcto.
INGO SCHUBERT: Bueno, sí, absolutamente.
DAVID LELLO: Aunque estoy de acuerdo contigo, absolutamente 100%, ya sabes, desde una perspectiva de fe de, ya sabes, lo que creo, siempre querría hacer lo correcto. Pero la realidad es que las empresas no existen para eso. No existen para hacer lo correcto. A veces son un poco inmorales.
INGOSCHUBERT: ¿En serio? Es la primera vez que oigo eso. Permítanme tomar nota de eso.
DAVID LELLO: Creo que lo que haces es verlo de una manera diferente y creo que una de las realidades que vemos y que resuenan y la gente entiende es medir y reconocer y darse cuenta de cuál es mi exposición al riesgo asociado con un entorno determinado y tenemos que vincularlo a algo que sea tangible, tenemos que volver siempre a cómo construir un caso para el cambio en este mundo, sí, y ¿qué aspecto tiene el cambio? Sabes, uno de los retos que nos planteamos, porque cuando empezamos a ayudar a las organizaciones a responder a este problema, es que en realidad no hay un marco que se ocupe de la preparación cuántica. No existe.
Así que fuimos y escribimos una. Escribimos una norma para decir, aquí hay un enfoque para mirar a la cuántica. Tomamos varias normas diferentes del NIST y las buenas prácticas, ISF y varias cosas diferentes para poder llegar a un modelo y un marco para que podamos empezar a verlo. Pero lo que eso hace es que nos permite empezar a mirar y decir, bueno, cuando se toma un sistema como ese sistema de identidad que gestiona todo el acceso que es un entorno de caja negra, ¿cuál es mi exposición al riesgo de tener una máquina como esa? Y voy a tomar cuántica fuera de él por completo. ¿Cuál es mi riesgo? ¿Realmente entiendo mi riesgo? Si eso se cae, ¿qué le pasa a mi entorno? Y si puedo apreciar ese riesgo, tengo que hacer algo al respecto.
INGO SCHUBERT: Oh, y esto es, quiero decir, al final, esto es la gestión adecuada del riesgo, que veo que falta en muchas corporaciones u organizaciones en general, ¿verdad? Y eso es lo que realmente hay que hacer y debería haberse hecho durante años y debería hacerse hoy, independientemente de la computación cuántica o no. Ese es mi punto.
Claro que no lo hacen porque es lo correcto, ¿no? Es un argumento financiero difícil de sostener. Estoy completamente de acuerdo contigo en eso. Pero hay todas las otras amenazas por las que deberían estar haciendo esto, ¿verdad? Y de nuevo, si usted necesita para vender este concepto de ver todo esto y averiguarlo y tener una gestión adecuada de los riesgos debido a la computación cuántica, ser mi conjetura, ¿verdad? Creo que es absolutamente el camino correcto. Si esa es la palanca que necesitas para conseguir la firma, oh, sí, absolutamente hazlo. Porque al final, incluso si la computación cuántica está todavía a 30 años vista, todavía te beneficias hoy. Porque tener esa preparación te ayuda a estar seguro hoy también. No estás malgastando el dinero. Sí, así que creo que eso es perfectamente lo que hay que hacer. Y hay algunas recomendaciones y algunos marcos de la europea, así por ejemplo, en realidad dicen que en 2026, que para ser franco usted debe tener ya si quieres ser DORA compatible. Quizás vuelvas a ver las mismas cosas porque no ves que algunos lo estén haciendo. Así que visibilidad y gestión de riesgos para 2026 y luego una preparación cuántica de alguna forma para 2030 para alto riesgo y 2035 para riesgo bajo y medio, ¿no? Así que parece estar muy lejos, pero, ya sabes, ya, como, a finales de 2025, cuando grabamos esto, la liberación es 2026.
Así que es como, sí, esto es como sólo un puñado de años de distancia. Y si usted está volviendo al principio de nuestra conversación, si nos fijamos en el efecto 2000 problema, sí, si usted comenzó en 1999, usted está probablemente bien, como un poco tarde para esto, ¿verdad? Así que tienes que estar preparado ahora, absolutamente, cierto.
DAVID LELLO: Creo, creo que una de las cosas que usted trajo a colación allí, que creo que es un punto fascinante en términos de psicología humana, es la normativa, la normativa europea y cosas como Dora. Los reglamentos sólo entran realmente en vigor porque las empresas son negligentes en hacer lo correcto.
INGO SCHUBERT: Sí, absolutamente.
DAVID LELLO: Y como no están haciendo lo correcto, los legisladores dicen que vamos a tener un problema importante en el país a menos que lo examinemos. Así que las leyes entran en juego cuando hay que hacer algo. En el Reino Unido, el NCSC ha puesto en marcha directrices sobre el quantum. Y tenemos DORA en Europa. Y lamentablemente debido a Brexit -
INGO SCHUBERT: Usted trajo tup no lo hice.
DAVID LELLO: Estamos empezando a examinar nuestro proyecto de ley de resiliencia. Así que el proyecto de ley de resiliencia se ha publicado para comentarios públicos. Así que la primera edición se ha publicado y los comentarios están ocurriendo. Y así tendremos una lectura en el Parlamento en algún momento pronto. Esperemos ponernos al día con el resto del mundo en este tema en particular.
INGO SCHUBERT: Bueno, excepto Estados Unidos. EE.UU. parece ser como, ya sabes, este lugar salvaje en el mapa, sí. Sí, realmente lo es. Sí, es como, y veo que hablando también con colegas de EE.UU., sí, es como, sí, realmente no tenemos eso, ¿verdad? Pero en todas partes del mundo, parece ser como, la resistencia, la gestión de riesgos parece ser un poco más maduro en términos de reglamentos y la pérdida, sí, que es-
DAVID LELLO: Tienes que tenerlo.
INGO SCHUBERT: Tienes que tenerlo, ¿verdad? Y cuando usted lee a través de ellos, y usted tiene probablemente tanto y probablemente más que yo, algunas de esas cosas como es cegadoramente obvio, tener una adecuada gestión de riesgos. Es como, usted debe saber, si esa cosa se cae, que acaba de conocer las consecuencias, ¿verdad? Por supuesto que deberías porque tu negocio está haciendo dinero y hay algo que le impide hacerlo. Deberías saber por qué y cómo solucionarlo. Y sin embargo, no lo hacen hasta que se ven obligados por la ley que es lo que es triste en algunos en cierto sentido la derecha
DAVID LELLO: Tristemente, la naturaleza humana entra en juego. Sin embargo, lucho con ello porque no son cosas difíciles, ya sabes, considerar el riesgo y la gestión del riesgo no es difícil.
INGO SCHUBERT: No, pero llevan su tiempo.
DAVID LELLO: Y lleva tiempo, pero hay tantas tecnologías diferentes que pueden ayudar a simplificar el proceso. Ya sabes, los ordenadores están diseñados para automatizar el proceso. La razón por la que tenemos ordenadores es porque tenemos procesos manuales que requieren ejércitos de personas para hacer algo. Con los ordenadores, podemos automatizar todo ese proceso. Y con los sistemas modernos, podemos automatizar aún más. Usted sabe, usted toma cosas como la gestión de la vulnerabilidad. Si tienes un entorno modernizado y tienes un escáner de vulnerabilidad desplegado, tienes una visibilidad relativamente buena en términos de cuál es tu riesgo tecnológico.
INGO SCHUBERT: Sí. Lo mismo para nosotros. Gobierno de la identidad. Al final, no es ciencia de cohetes. Sí, claro. Vas a conectar todos los sistemas diferentes, tal vez crear algunas reglas y todo esto. Pero entonces usted tiene que la visibilidad y usted tiene la vista de usted como, ya sabes, en términos de segregación de funciones, el cumplimiento y usted tiene eso. Y sí, es trabajo. Sí, es la inversión en términos de dinero y tiempo, por supuesto, pero usted consigue algo de él.
Sí.
INGO SCHUBERT: Correcto. Además, creo que la gente no se da cuenta de que la gestión de riesgos probable también te da algo a cambio, porque descubres cosas que quizás no deberías invertir tanto dinero en esta seguridad o estás haciendo que esta cosa resista porque no tiene un impacto tan grande, mientras que en la otra deberías invertir más, porque si eso falla, pasan cosas malas. Creo que eso también, y por supuesto no te das cuenta, porque si no haces una gestión de riesgos adecuada no tienes esa visibilidad, así que ¿cómo tomar esa decisión? Así que la gente es, básicamente, las organizaciones están perjudicando a sí mismos por no hacer esto, ¿verdad?
DAVID LELLO: Y la gobernanza de la identidad tiene mucho que ver con permitirlo y ayudar. Sí. Ya sabes, cuando hablo con muchas organizaciones sobre la identidad, la identidad no es una de esas cosas de seguridad que haces porque, ya sabes, es una póliza de seguro. La identidad es un facilitador. Es un verdadero habilitador de negocios para ayudar a las organizaciones a ser más eficientes y más eficaces en términos de cómo la gente tiene acceso. Pero lo fundamental es tener el acceso adecuado en el momento y el lugar adecuados, y contar con modelos de gobernanza que realmente lo dirijan. Así que cuando empezamos a examinar los controles de ITGC y los sistemas financieros, y empezamos a ver cómo debe crearse el acceso en los derechos, la segregación de funciones y los mandatos que conlleva. Estas cosas no son nada nuevo. Llevan décadas figurando en la Ley de Sociedades Anónimas y en el Reglamento Financiero.
INGO SHUBERT: Por supuesto.
DAVID LELLO: Y la capacidad de poder controlar eso con un buen sistema de gobierno de identidad ya existe. Y con una solución modernizada, en realidad resulta bastante fácil. No es tan difícil como la gente piensa que es.
INGO SCHUBERT: Míranos. Hablando de la gobernanza de la seguridad de la identidad y empezamos con la cuántica. Es como, vamos a, sí, pero ese es el punto. Creo que esto es algo donde también es como un abridor de puertas con algunas discusiones en los clientes o como en las organizaciones en general, donde como, sí, está bien. Hablar de la amenaza cuántica y, ya sabes, pero al final terminas en discusiones, que no son realmente sobre cuántica, sino sobre otras cosas. Que, sí, usted puede fijar ahora, usted debe fijar ahora, independientemente de lo que suceda en el futuro.
DAVID LELLO: Es el concepto básico de higiene.
INGO SCHUBERT: Es el concepto básico de higiene, exactamente. Es una forma perfecta de terminar. David, gracias. Era, podríamos hablar durante horas, realmente, cada vez que nos encontramos. Así que, muchas gracias. Y creo que la amenaza cuántica puede parecer distante.
Puede ser, puede no ser. Pero esperemos que durante esta conversación, nuestros televidentes y oyentes tengan la idea de que, sabes qué, independientemente de si debes hacer cosas hoy para estar preparado para el quantum. Esto no duele en absoluto.
Lo que obtienes de ella te beneficia hoy frente a las amenazas que existen hoy, ¿no? No tienes que esperar 20 años para darte cuenta de los beneficios. De hecho, te das cuenta de ellos hoy.
Así concluye el debate de hoy sobre la informática cuántica y su impacto en la seguridad de la identidad. El futuro cuántico es ciencia ficción y las organizaciones deben comprender dónde residen los verdaderos riesgos y oportunidades. Si desea obtener más información sobre la resiliencia de la identidad y las tecnologías que preparan a las organizaciones para el futuro, visite RSA.com. Si desea recibir por correo electrónico más episodios de RSA Identity Unmasked, no olvide suscribirse. Gracias por acompañarnos y hasta la próxima.
DAVID LELLO: Gracias
INGO SCHUBERT: Creo que desde el punto de vista de la audiencia, ¿podría describir en un par de palabras qué es la computación cuántica para que, una vez que haya terminado, nos encontremos en un nivel experto?
DAVID LELLO: Bueno, voy a empezar con la forma básica de ver el ordenador cuántico porque creo que si empezamos a entrar en la física teórica creo que podríamos perder a algunas personas.
INGO SCHUBERT: Sip
DAVID LELLO: Así que um con los ordenadores cuánticos los ordenadores cuánticos funcionan de una manera diferente a los ordenadores tradicionales. le estás diciendo al ordenador que haga. Con un ordenador cuántico, lo hace de manera diferente. Lo que está utilizando es la mecánica cuántica, y por lo tanto, en un mundo multidimensional de la mecánica cuántica, mira los datos y ve los datos. No lee los datos de la misma manera y, como resultado, puede plantear hipótesis y ver múltiples construcciones al mismo tiempo. Es algo así como cuando lees un libro, un ordenador tradicional lo leerá de principio a fin, con un ordenador cuántico, leerá el libro y verá los datos. Y por eso, el ordenador cuántico es capaz de procesar la información mucho más rápido. Y a la hora de resolver problemas, es como si resolviera todos los problemas al mismo tiempo en lugar de ver un problema intentando resolverlo en serie.
INGO SCHUBERT: Sí, por lo que los algoritmos son muy diferentes, por supuesto. Sí, creo que es probablemente por eso que muchos, y me estoy contando allí también, ya sabes, lucha, por supuesto, con como, ¿cómo realmente programar esa cosa. Creo que a partir de un fondo tradicional de TI, Creo que lo que me ayuda a veces la comprensión, como, ya sabes, esto es realmente una bestia diferente, es que, ya sabes, un ordenador tradicional, como cada bit, sí. Si tienes N bits, puedes almacenar N cantidad de datos. Es cero, uno, ¿sí? Con cuántica, es dos a la potencia de N, sí, que es como, de inmediato, como, si su viejo instante patadas en, es como, sí, eso es mucho más, sí, en la misma cantidad de qubits en este caso, ¿verdad? Así que, por lo tanto, el almacenamiento y el procesamiento es sólo en el nivel diferente, ¿verdad? Así que creo que vamos a dejarlo ahí porque de lo contrario estaríamos aquí durante días, ¿verdad? Sólo explicando lo básico.
Así pues, el siguiente tema que me gustaría explorar es ¿cuál es el estado actual de la computación cuántica? ¿Dónde estamos ahora mismo? Porque creo que esto probablemente, y si la gente que nos está viendo nos ha visto en Bletchley Park, tenemos algunas opiniones diferentes sobre dónde estamos, dónde estaremos. Así que empecemos contigo. ¿Cuál es el estado actual de la computación cuántica?
DAVID LELLO: Creo que la computación cuántica está aún en una fase temprana. Hay una serie de ordenadores cuánticos y se puede contratar tiempo en los ordenadores cuánticos para ver los datos. Pero creo que la forma en que se han desarrollado los ordenadores cuánticos plantea una serie de problemas. Algunos ordenadores cuánticos requieren mucho control en términos de cosas como la temperatura. Un ordenador cuántico funciona a cero absoluto, es decir, a menos 270 grados centígrados, lo que es realmente frío. Se necesitan grandes instalaciones, grandes equipos y mucha energía. De lo contrario, se pierde la cohesión y la estabilidad de la plataforma.
Los primeros ordenadores cuánticos se quemaban constantemente por este motivo. Es un problema que hay que resolver. El otro problema es que, como el ordenador cuántico mira todos los datos al mismo tiempo, crea mucho ruido. Si tuviéramos que tomar algo como la Biblia y leer la Biblia al instante, en lugar de ir a través de ella de principio a fin, se crearía una narrativa en su mente que sería incomprensible. Y tratar de digerir, comprender y destilar el mensaje se hace muy difícil.
El ruido del sistema ha creado muchos problemas. Hemos visto algunos buenos resultados en Oxford, donde han reducido el índice de error y el ruido del sistema de forma significativa. Pero probablemente el problema más importante en este momento es la cantidad de qubits que se pueden enredar a la vez, porque se empieza a perder la cohesión de esos qubits cuando se superan los 100 qubits más o menos. Así que la cantidad de qubits que se pueden entrelazar a la vez para procesar la información es limitada. Y eso significa que la potencia de procesamiento y la capacidad de la máquina son limitadas.
Así que aún no es lo que llamaríamos computación cuántica criptográficamente relevante, lo cual es un gran problema, pero está en una fase en la que se ha demostrado. Funciona. Hace lo que los científicos dicen que hace. Sólo se trata de pasar al siguiente nivel e invertir más. Cada pocos meses se producen nuevos avances o se invierte mucho en ellos, y estamos empezando a ver progresos.
INGO SCHUBERT: Sí, por lo que el, y eso es cierto. Y creo que si se comparan los ordenadores cuánticos, si nos fijamos en las imágenes de ellos, ¿verdad? De hace cinco años en comparación con los de hoy, yo todavía los llamaría parcialmente un experimento físico, pero era mucho más físico hace cinco años, ¿verdad? Si nos fijamos en la configuración física de esas cosas, ¿verdad?
Sin embargo, si bien es cierto que, ya sabes, llegar a ser como, sí, usted lanza un problema con ellos y pueden resolverlo mucho más rápido que los ordenadores tradicionales. Y parte de eso es lo que usted dijo es la cohesión. Sí, la cohesión básica es, ya sabes, si sólo se puede mantener el sistema estable durante un cierto tiempo. Y eso se suele medir como máximo en segundos, sí, o en milisegundos, dependiendo de qué chip en todo esto. Y eso es una buena cantidad lejos de ser útil en muchos casos. Ahora, hay algunos casos de uso donde tiene sentido. Piensa en ello como un coprocesador cuántico. Pero el problema que tengo con eso es que en muchos de los casos de uso, es cuestionable si se podría resolver el problema también con un par de GPUs de Nvidia, ¿verdad?
Por lo tanto, una de las cosas que veo que todavía se hace constantemente, hay un montón de bombo en este espacio de la computación cuántica también. Creo que se solapa un poco con el bombo de la IA también. También se puede argumentar, ya sabes, si eso es un bombo, es real. Pero el punto es que hay mucho bombo, mucho dinero flotando alrededor. Creo que parte de ese dinero ahora está buscando una estrategia de salida. Y la computación cuántica parece ser atractiva, ¿verdad? Así que están bombeando un montón de cosas allí y hay empresas por ahí que fundamentalmente mirar esto están sobrevalorados y también sobredimensionado en términos de lo que prometen lo que hacen y esto es en realidad va a través del espectro aquí derecho. En Bletchley Park tuve el chip sauce google como un ejemplo donde google en realidad tenía un comunicado de prensa acerca de este nuevo chip donde tenían gran corrección de errores todo esto y la afirmación de que fue recogido por también la prensa popular fue este chip puede hacer en cinco minutos lo que un ordenador tradicional puede hacer en 10 a la a la potencia de 35 años, lo que es extraordinario porque el universo tiene sólo 10 a la potencia de 25 años, así que si lo lees es como si no, no puede hacerlo, era como si esta cosa pudiera funcionar durante cinco minutos y es como si millones de millones de veces no fueran capaces de hacerlo, entonces sería así. Y si nos fijamos en algunos otros comunicados de prensa de diferentes empresas, grandes y pequeñas, hay un poco de una tendencia a exagerar lo que logran.
Y creo que, por desgracia, esto ahoga algunos de los avances reales que la computación cuántica realmente ha hecho en un par de años, ¿verdad? Y creo que lo que, y aquí es donde llegamos, hace que esta amenaza de la computación cuántica parezca mucho más real en términos de que está a la vuelta de la esquina de lo que realmente es. Pero antes de entrar en, ya sabes, por qué el mundo se acabará, si la computación cuántica aparece de repente, ¿cuáles serían los beneficios de un ordenador cuántico que tienes en mente? ¿Qué podría hacer mucho mejor que cualquier otra cosa?
DAVID LELLO: Voy a responder a eso reaccionando también a lo que has dicho sobre el ordenador cuántico en términos de dónde se encuentra en este momento. Y aunque estoy de acuerdo en que hay problemas con el ordenador cuántico, creo que estamos mucho más cerca de alcanzar la estabilidad en un ordenador cuántico de lo que se sugiere. Creo que si miro hacia atrás, creo que una de las mejores maneras de mirar hacia el futuro es mirar a la historia. Y cuando yo era joven y trabajaba en un banco, había un mainframe y era un mainframe IBM de la vieja escuela. El mainframe ocupaba una habitación. Era una habitación grande. No era una habitación pequeña. Era bastante grande. Y llenaba la habitación. Había válvulas en este ordenador central. Tenia tres tanques de enfriamiento de agua. Había piscinas subterráneas en el sótano de este banco. Esta cosa era enorme. Y sólo unos pocos años antes de eso, habían reemplazado el sistema de tarjetas perforadas de ese mainframe.
Cuando sacaron el viejo ordenador central, para lo que necesitaron carretillas elevadoras y maquinaria muy pesada, tuvieron que cortar algunas puertas porque no cabía físicamente el ordenador central. Y lo sustituyeron por un bastidor y un ordenador central que era exponencialmente más grande que lo que había antes. Hemos visto una aceleración masiva en los avances de los ordenadores en los últimos años. Y si retrocedemos sólo 30 años, ya sabes, si vas 40 años, es simplemente, es masiva, la cantidad de cambio que vemos que está sucediendo.
Sí.
DAVID LELLO: Y lo que hemos visto ahora con los ordenadores cuánticos, sí, hay indicadores tempranos y la ciencia, casi se siente un poco como ese viejo ordenador central en el sótano con los tres tanques porque se necesitan los sistemas de refrigeración, se necesita el equipo grande, se necesita todo el tipo de cosas que van con él. Hay que invertir mucho dinero. Hay que invertir mucho. Y estos problemas se resolverán. Y puede que se resuelvan antes de lo que pensamos. Y los avances que hemos visto mes a mes sugieren que estamos cada vez más cerca de la cohesión. Y por eso creo que puede estar un poco más cerca.
Y si lo hace, creo que será muy emocionante, porque lo que el ordenador cuántico puede hacer es procesar datos mucho más rápido, y no tan rápido como algunos afirman, pero como puede procesar esos datos mucho más rápido, significa que puede estudiar y resolver problemas que antes no podían resolverse.
En física teórica existe el concepto del gato de Schrodinger. ¿Está vivo o muerto? ¿Está descompuesto? ¿Qué es? ¿Cuál es el estado del gato? Bueno, el ordenador cuántico sería capaz de mirar y ver al gato en todas las posibilidades y, por tanto, sería capaz de resolver problemas importantes que no hemos sido capaces de resolver.
INGO SCHUBERT: Sí, y creo que en términos de medicina, ya sabes, plegamiento de proteínas o algo así, los ordenadores cuánticos tendrían ventaja sobre los ordenadores tradicionales, seguro, ¿verdad? Y hay otras cosas donde, ya sabes, simplemente todo con una cantidad masiva de datos que necesitan ser procesados, ya sabes, el pronóstico del tiempo sería una cosa, como, ya sabes, cualquier cosa, datos geológicos, hay un poco de casos de uso que se beneficiarían de la computación.
Ahora, volviendo a como esto es antes de su punto tan pronto como usted podría pensar que es como yo no lo creo, porque no es una línea recta donde va esto sucedió en el pasado con los transistores que sucede de nuevo por lo que podría no ser es como la lotería sólo porque usted ganó la última vez no significa que usted no gana la próxima vez que se inicia a partir de cero cada vez y sobre todo con la cohesión, si hablas de, vale, un par de cientos de qubits, quizás un par de miles, para ser un ordenador cuántico universal que, por ejemplo, pueda ejecutar el Algoritmo de Shor, lo que sería una amenaza para la criptografía. Estás hablando de un par de cientos de miles de qubits, ¿verdad? Y en el camino hacia eso, podríamos chocar contra un muro en alguna parte, ¿verdad? No hay garantía de que vayamos a resolver esos problemas. Podríamos, y de hecho, sí, seguro, podría haberlas, pero no hay garantía. Y al mismo tiempo, un ordenador cuántico tiene que sobrevivir comercialmente en un entorno en el que hemos visto cantidades masivas de aumento en la potencia de cálculo en todo el mundo, gracias a las GPU esencialmente, ¿verdad? Gracias a la IA. Bueno, antes era toda la locura de Bitcoin, ahora es la IA. Así que sin tener avances como los avances fundamentales en el diseño de chips. Quiero decir, sí, se hacen más pequeños con esto. Aumentamos masivamente la potencia de cálculo, tanto que básicamente el factor limitante es ahora la energía, ¿verdad? Así que la energía eléctrica.
Y en ese entorno, un ordenador cuántico tiene que sobrevivir. Ahora, usted puede hacer el argumento de que, hey, especialmente para aquellos, ya sabes, descifrar claves, ya sabes, algunos gobiernos lo harán, bien. Sí, eso está bien. Tienen suficiente dinero. Realmente no se preocupan por eso. Bueno, tal vez debería importarles. Son nuestros impuestos, pero asumamos que no les importa.
Existen casos prácticos de uso de la computación cuántica en el camino hacia un ordenador cuántico universal plenamente operativo. Creo que eso es indiscutible. No digo que no sea así. Y hay buenos casos de uso para eso. Como he dicho, como, ya sabes, el plegamiento de proteínas, por ejemplo, en la investigación farmacéutica, ¿verdad?
Pero hablemos de las amenazas, ¿vale? Y no estoy hablando de consumo de energía, todo eso porque tenemos que hoy en día con las unidades tradicionales, ¿verdad? Quiero decir, las amenazas en particular a la seguridad informática y luego es la seguridad, ¿no? Porque hay algunos, ya sabes, he mencionado algoritmo de Shor, así que tal vez deberíamos, ya sabes, explicar brevemente, ya sabes, lo que esto es y cómo afecta a la seguridad.
DAVID LELLO: Si, entonces um con el ordenador cuántico porque puede procesar esa información y los datos mucho más rápido um es capaz de usar el algoritmo de Shaw para hacer ingeniería inversa um claves criptográficas um y por lo tanto um cuando tengamos un ordenador criptográfico, cuántico relevante, sería capaz de romper esas claves en segundos, minutos.
Sí.
DAVID LELLO: Y, por tanto, la mayor parte de los datos que consumimos, utilizamos y a los que accedemos serían vulnerables a los ataques.
INGO SCHUBERT: Sí. Y el argumento de Schor, como he mencionado antes, ya sabes, hoy en día no hay un ordenador cuántico que pueda ejecutar esto porque se necesitan cientos de miles de qubits en cohesión y funcionando durante algún tiempo. Así que sí, es un par de segundos, pero incluso un par de segundos son un problema hoy en día para algún ordenador cuántico. Así que en realidad esencialmente rompería o invalidaría en cierto sentido, el algoritmo RSA, sí, por lo que una clave pública privada, usando RSA, pero también usando Diffie-Hellman y usando curvas elípticas, ECC. Así que básicamente todos los que son populares y que se han utilizado durante el último par de décadas serían esencialmente rotos, ¿verdad? Se romperían con un ordenador cuántico. Por supuesto, los ordenadores tradicionales seguirían luchando como siempre, así que no es una amenaza.
Y sí, así que si esto se rompe, quiero decir, esos algoritmos se utilizan en todas partes, ¿no? Así que estos son, ya sabes, tu TLS tradicional, una comunicación de servidor web, de un cliente a un servidor web, VPNs, firmas de correo electrónico, cifrado de archivos que se envían alrededor y todo esto, ya sabes, todos ellos a menudo se basan en RSA, ECC, y o Diffie-Hellman, ¿verdad? Así que, quiero decir, eso sería, en realidad se podría llamar catastrófico.
DAVID LELLO: Lo sería, absolutamente. Sería completamente catastrófico. Creo que hay, cuanto más miro en él y los casos de uso más que en realidad, más sistemas fallarán. Es un problema global. Como la autenticación y la autenticación en el sistema financiero. Incluso cosas como Bitcoin se ven comprometidas. Usan encriptación de curva elíptica y se vería comprometida. Entonces tienes un colapso completo del sistema financiero como consecuencia de ese compromiso.
Así que, sí, puede ser absolutamente catastrófico. Creo que podemos ver grandes problemas en los típicos casos de uso generalizado, pero también en problemas más pequeños y menos públicos en los que la gente no siempre piensa, así que cuando empezamos a hablar de IoT y OT y empezamos a pensar en dispositivos médicos y equipos médicos, la capacidad de ponerlos en peligro. Usted sabe, usted toma una persona que lleva una bomba de insulina.
Si puedo comprometer la encriptación de esa bomba de insulina, puedo matar a alguien.
Sí.
DAVID LELLO: Eso es, ya sabes, de repente, la criminalidad detrás de estas cosas puede llegar a ser exponencialmente más significativa. Y empezamos a ver cosas como Minority Report y Terminator tipo de casos de uso de las cosas que suceden.
INGO SCHUBERT: Ahora sí. Esto se acaba de poner interesante ahora, sí.
De acuerdo, pero volviendo a la disponibilidad de los ordenadores cuánticos, eso no ocurrirá de la noche a la mañana porque no será de un día para otro. Supongamos que alguien, sí, finalmente consigue un ordenador cuántico con, ya sabes, 200.000 cubits donde puede ejecutar el algoritmo de Shor, por ejemplo. Normalmente es alrededor de un millón. Hay algunas investigaciones que dicen que sólo necesitas alrededor de un par de 100k qubits. No es como si de repente todo el mundo tuviera un ordenador cuántico. Sólo un par de gobiernos y centros de investigación tienen acceso a la computación cuántica. No es que todos los ciberdelincuentes tengan acceso a ella.
Pero la amenaza es real. Creo que se parece un poco al problema del año 2000. Lo veíamos venir desde hace tiempo, pero hicimos cosas para mitigarlo y resultó ser una hamburguesa de nada.
DAVID LELLO: Pero sólo porque hicimos algo.
INGO SCHUBERT: Exactamente. Sólo porque hicimos algo, ¿verdad? Así que si no hubiéramos hecho nada, que probablemente habría sido un gran problema y hemos hecho algo y resultó estar bien, ¿verdad? Y creo que probablemente será similar en este caso aquí porque hay cosas que se pueden hacer, lo que nos lleva al siguiente trabajo.
Sí, por lo que podría estar en desacuerdo cuánto tiempo vamos a tener, ¿verdad? Así que sólo como tirar esto por ahí, había un informe de MITRE, por lo que como un gobierno - financiado por el instituto de investigación en los EE.UU. un informe reciente a principios de año y ponen este algoritmo de Shor en algún lugar como principios de 2040 probablemente más 2050 alrededor así que no es como si tuvieran un incentivo para empujar a la derecha por lo que era un informe sólido allí, pero incluso si usted dice como esto es mucho antes, es poco probable que sea antes de 2030. Creo que es muy poco probable, a menos que ocurra algún milagro. Entonces, ¿qué puedes hacer hoy para prepararte para este apocalipsis cuántico?
DAVID LELLO: Creo que definitivamente va a ser mucho más rápido que 2050. Creo que, ya sabes, odio tratar de predecir porque es una cosa imposible. Ya sabes, cuando uno trata de predecir el futuro, inevitablemente fallas porque no tenemos una mente sobrenatural.
INGO SCHUBERT: Bueno, reunámonos en 2055. A la misma hora, sí, para que podamos hablar de esto. Si todavía estoy en el interior.
Por supuesto. Hagámoslo. A la misma hora, en el mismo lugar. Hagámoslo. Muy bien, pero si es antes, creo que vamos a ver cómo podemos celebrar ese evento porque creo que con cualquier avance en la tecnología, un gran avance sucede, y sucede en un momento en el tiempo. Puede ocurrir la semana que viene. Puede ocurrir dentro de 10 años. No lo sabemos. Pero va a ocurrir, de eso estoy seguro, porque la ciencia está ahí. Es creíble. Es real. Usted sabe, un campo de girasoles es capaz de mantener la cohesión en este momento. La estabilidad está ahí a temperatura ambiente, en un campo, con todas las cosas que están sucediendo a su alrededor. Animales corriendo por debajo y la contaminación y todo lo demás. Un campo de girasoles puede tener cohesión.
INGO SCHUBERT: Así es.
DAVID LELLO: ¿Por qué lo hacen tantos científicos?
INGO SHCUBERT: Sí, pero tienen un par de millones de años para evolucionar, ¿verdad? Ese es mi punto. Estoy de acuerdo con eso, pero tienen un poco de ventaja, ¿verdad?
DAVID LELLO: Volviendo a la cuestión es, creo que uno de los problemas que tenemos, y nos metimos un poco en Bletchley Park, es que lo que tenemos en este momento en términos de práctica y lo que llamaríamos buenas prácticas en torno a la gestión de claves criptográficas, creo que muchas empresas han fracasado. Así que cuando se trata de eventos, hace unos años, tuvimos la vulnerabilidad SSL, y todo el mundo se apresuró a sustituir las claves. Y eso significó que las organizaciones se volvieron mucho más ágiles en términos de cómo rotaban sus claves TLS, lo cual es fantástico. Eso resuelve una buena parte del problema. Si tienes agilidad en tus claves TLS, significa que puedes cambiarlas. Puede que tengas que hacer algunas pruebas por el camino para asegurarte de que todo funciona.
Pero las organizaciones pueden empezar a pensar ahora en su autoridad de certificación y en cómo emiten sus claves y cómo sustituyen sus claves a nivel de TLS. Y eso está bien. El problema que nos encontramos es cuando entramos en una organización es 20 a 30, tal vez incluso 40% de claves no se gestionan de esta manera. Muy a menudo una gran cantidad de hardware ha incrustado claves en ella dentro de una pieza de infraestructura de hardware y algunas de estas piezas de hardware puede vivir alrededor de 20 años y la capacidad de cambiar las claves dentro de ese hardware significa cambiar el hardware.
También tenemos un montón de malas prácticas en la codificación, especialmente en los días de las construcciones monolíticas donde las aplicaciones tienen claves incrustadas dentro de las propias aplicaciones. Y cuando empezamos a pensar en no sólo han sucedido.
INGO SCHUBERT: Creo que ese es mi punto. Eso fue una mala práctica, independientemente de la computación cuántica o no.
DAVID LELLO: Lo es. Y cuando empezamos a pensar en esta idea del Día Q, que en el efecto 2000 fue fácil porque teníamos una fecha. No tenemos una fecha con el Día Q.
INGO SCHUBERT: Muy buena observación.
DAVID LELLO: Pero cuando finalmente llegue, y puede que llegue mañana, o puede que llegue dentro de 10 años, o si estás en lo cierto dentro de mucho más tiempo, entonces nos encontramos en una situación en la que una buena parte de la organización y sus claves no son fácilmente reemplazables, y vamos a entrar en pánico. Vamos a tener un problema masivo, masivo a medida que los datos se vean comprometidos.
Pero también, el otro problema que tenemos es algo que me preguntan mucho y es la amenaza de ‘recolectar ahora y descifrar después’. Y hemos visto el robo de datos cifrados durante años, quiero decir, en este país con David Cameron, dijo que todos nuestros datos han sido robados por China, pero no importa. Están encriptados. Así que volviendo unos años atrás, ese tipo de afirmación es cierto en este momento, dadas las tecnologías que tenemos en el tiempo con un ordenador cuántico, que se convierte en un problema. Y sí, por supuesto, los datos envejecen.
INGO SCHUBERT: Pero algunos de esos datos seguirán siendo relevantes. No todos, pero sí algunos. Así que creo que es lo mismo. Al igual, se quedaron por ahí que como, sí, ya sabes, si se pone, si se descifra como en cinco años, como, a quién le importa, ¿verdad? O en 10 años, sí. Así que usted puede hacer un argumento que muchos de los datos de identidad para la autenticación, si eso se, ya sabes, descifrado en cinco o 10 años, como, que realmente no importa mucho porque es obsoleto para entonces. Pero hay muchos datos estratégicos donde, sí, esto podría perjudicarte durante décadas, ¿verdad? Y ni siquiera tiene que ser un estado. Usted podría ser sólo una corporación normal, empresa normal.
Exactamente.
INGO SCHUBERT: ¿Y cuál es el caso?
DAVID LELLO: Quiero decir, ya sabes, la cantidad de organizaciones en las que entro donde hay sistemas heredados. De hecho, estuve en una organización no hace mucho tiempo donde había una aplicación. La trataban como una caja negra, y la trataban como una caja negra porque el código fuente se había perdido. La persona que lo escribió, hace tiempo que se fue, no lo toques. Si se cae, la respuesta es enciéndelo o apágalo, enciéndelo de nuevo y reza porque es lo único que puedes hacer. No hay nada que puedas hacer. Y este sistema controlaba todos los accesos en sus tiendas, todos los accesos en sus tiendas. Y si se ve comprometida, si se derriba, se derriba la organización.
INGO SCHUBERT: Punto único de fallo.
DAVID LELLO: Punto único de fallo. La cantidad de organizaciones a las que acudimos en las que existe ese punto único de fallo es extraordinaria. Las organizaciones tienen que empezar a pensar en cómo modernizar su infraestructura de gestión de identidades y accesos. Cuando empezamos a pensar en la gestión de identidades y accesos, la gestión de identidades y accesos es la ruta hacia todo. Lo hemos visto con los últimos ataques de ransomware que se han producido en Alemania, así como aquí en el Reino Unido, Italia y otros lugares. Estos ataques de ransomware tienen como objetivo los sistemas de control de acceso. Se dirigen a la autenticación porque es un objetivo fácil y blando, tanto si se trata de un directorio activo como de un sistema como el que he descrito, la capacidad de comprometer el acceso hace caer la organización, detiene la comunicación, detiene la capacidad de acceder. Modernizar la gestión de acceso a la identidad en este contexto va a ser una de las grandes prioridades.
INGO SCHUBERT: Sí, sí. Es difícil argumentar en contra de eso porque, ya sabes, porque eso tiene sentido, no importa cómo se mire, ¿verdad? Creo que cuando volvemos a la gestión básica de claves de cifrado criptográfico, muchos clientes no saben lo que tienen, ¿verdad? No tienen una buena visión de dónde cifran, dónde están las claves, dónde firman digitalmente. No tienen esta visión de conjunto. Creo que eso es parte del problema, ¿verdad? Porque no puedes arreglar lo que no sabes que existe. Muchos de los clientes lucharon simplemente con la higiene cibernética básica. Eso es lo que veo en una base constante, por desgracia, ¿verdad? Justo esta mañana en una llamada sobre un cliente que está ejecutando un software RSA de 20 años de antigüedad, 20 años de antigüedad, ¿verdad?
DAVID LELLO: Wow.
INGO SCHUBERT: Así que, en realidad, llamaron a nuestro soporte por algo, y el soporte no podía responder, y es como, sí, claro, ya sabes, probablemente el personal de apoyo que estaba respondiendo a la llamada telefónica probablemente estaba en el jardín de infancia cuando ese software salió, ¿verdad? Por lo tanto, mi punto es que mientras no hagamos esta higiene cibernética básica y la visibilidad, en primer lugar, no se puede llegar a este estado cuántico listo, sí, donde usted está listo para el día Q. Eso no es posible.
Mi opinión es que no puedes preocuparte por la computación cuántica hasta que arregles eso, ¿verdad? Porque si no sabes qué software estás ejecutando, si no lo mantienes actualizado, por supuesto dependes de que los vendedores arreglen esto, como si estuvieras implementando criptografía post-cuántica, por ejemplo, ¿verdad?
Pero si el software sale con la nueva versión, con todas estas cosas bonitas de la computación cuántica y no lo instalas, hace que uno no exista, ¿verdad? Y llegando a eso, incluso si lo haces, si tus políticas y procedimientos en torno a, por ejemplo, como la gestión de datos, si no son correctos, ¿de qué estamos hablando aquí? Así que si el atacante puede simplemente llamar a su servicio de asistencia y pedir la entrada, no necesitan un ordenador cuántico para hacer eso, ¿verdad? No lo necesitan hoy. No lo necesitaron ayer. No lo necesitan mañana. Simplemente llaman a tu servicio de asistencia si tus políticas no son correctas y obtienen acceso.
Así que hay muchas cosas que pueden salir mal, salieron mal y saldrán mal, que no tienen nada que ver con los ordenadores cuánticos. Y mi temor es que la gente esté mirando esta cosa cuántica, este Q-Day, y se distraiga con este bonito y brillante juguete, ¿verdad? Mientras que tienen tantos deberes que hacer, que probablemente no se han hecho durante décadas, ¿verdad? Y, por supuesto, se puede argumentar que, hey, ya sabes, tienes que hacer eso, tener visibilidad, ya sabes, tener parches en su lugar, arreglar tus procedimientos. Si se necesita esta amenaza de la computación cuántica para que un cliente haga eso, que así sea, ¿verdad? Podría ser feliz.
Pero una parte de mí dice, no, porque ¿qué pasa si nos encontramos con un obstáculo con la computación cuántica? Y como, por un par de años, no hay ninguna ventaja real o avances y luego te vas como ah eso es como usted sabe 2060s como voy a estar voy a estar mucho tiempo fuera de la fuerza de trabajo por lo que no tiene que preocuparse por eso y que es el enfoque equivocado, porque usted debe fijar que no importa qué.
Voy a dejar caer algo de conocimiento sobre usted sí algunos algunos nombres cayendo sí filósofo alemán Emmanuel Kant sí ahora no corte ese editor sí eso es k eso es k. Eso es K -A -N -T, ¿verdad? Así que le llamo Emmanuel a partir de ahora, sí.
Así que filósofo alemán, siglo 18, y muchas cosas inteligentes que dijo. Pero una de las cosas que creo que es una de las más inteligentes es que haces lo correcto porque es lo correcto, ¿verdad? No porque te haga ganar puntos con alguna deidad o algo así. Lo haces porque es lo correcto.
Y tener una buena visión general de dónde encriptas, cómo encriptas sobre políticas, procedimientos y parches y todo esto, eso es lo que hay que hacer, independientemente de si la computación cuántica está a 10 años, 20, 30 años. No importa. Tienes que hacerlo. Ahora, deberías haber estado haciendo eso durante los últimos 20 años. Eso es esencialmente un punto. Creo que aquí es donde estamos de acuerdo. Sí, absolutamente. Creo que discrepamos en la motivación, porque tenemos opiniones diferentes sobre dónde está y dónde estará la computación cuántica. Pero absolutamente, si hay un cliente que dice que necesito estar preparado para la cuántica, el esfuerzo no es en vano.
DAVID LELLO: No, en absoluto. Creo también, Ingo, una de las cosas que es una realidad que siempre estoy siendo desafiado porque pasamos mucho tiempo con los consejos de administración de las grandes empresas hablando con los directores financieros y similares y una empresa existe con el fin de suministrar un producto o un servicio y si está en el sector privado para obtener un beneficio a menos que, por supuesto, es la caridad, pero no vamos a preocuparnos por eso por lo que la idea de realmente gastar dinero sólo porque es lo que hay que hacer, donde me da un rendimiento negativo se convierte en difícil y desafiante para la gente financiera para darse cuenta realmente. Invertir en algo porque es lo correcto se convierte en una discusión filosófica. No creo que sea necesariamente el enfoque correcto.
INGO SCHUBERT: Bueno, sí, absolutamente.
DAVID LELLO: Aunque estoy de acuerdo contigo, absolutamente 100%, ya sabes, desde una perspectiva de fe de, ya sabes, lo que creo, siempre querría hacer lo correcto. Pero la realidad es que las empresas no existen para eso. No existen para hacer lo correcto. A veces son un poco inmorales.
INGOSCHUBERT: ¿En serio? Es la primera vez que oigo eso. Permítanme tomar nota de eso.
DAVID LELLO: Creo que lo que haces es verlo de una manera diferente y creo que una de las realidades que vemos y que resuenan y la gente entiende es medir y reconocer y darse cuenta de cuál es mi exposición al riesgo asociado con un entorno determinado y tenemos que vincularlo a algo que sea tangible, tenemos que volver siempre a cómo construir un caso para el cambio en este mundo, sí, y ¿qué aspecto tiene el cambio? Sabes, uno de los retos que nos planteamos, porque cuando empezamos a ayudar a las organizaciones a responder a este problema, es que en realidad no hay un marco que se ocupe de la preparación cuántica. No existe.
Así que fuimos y escribimos una. Escribimos una norma para decir, aquí hay un enfoque para mirar a la cuántica. Tomamos varias normas diferentes del NIST y las buenas prácticas, ISF y varias cosas diferentes para poder llegar a un modelo y un marco para que podamos empezar a verlo. Pero lo que eso hace es que nos permite empezar a mirar y decir, bueno, cuando se toma un sistema como ese sistema de identidad que gestiona todo el acceso que es un entorno de caja negra, ¿cuál es mi exposición al riesgo de tener una máquina como esa? Y voy a tomar cuántica fuera de él por completo. ¿Cuál es mi riesgo? ¿Realmente entiendo mi riesgo? Si eso se cae, ¿qué le pasa a mi entorno? Y si puedo apreciar ese riesgo, tengo que hacer algo al respecto.
INGO SCHUBERT: Oh, y esto es, quiero decir, al final, esto es la gestión adecuada del riesgo, que veo que falta en muchas corporaciones u organizaciones en general, ¿verdad? Y eso es lo que realmente hay que hacer y debería haberse hecho durante años y debería hacerse hoy, independientemente de la computación cuántica o no. Ese es mi punto.
Claro que no lo hacen porque es lo correcto, ¿no? Es un argumento financiero difícil de sostener. Estoy completamente de acuerdo contigo en eso. Pero hay todas las otras amenazas por las que deberían estar haciendo esto, ¿verdad? Y de nuevo, si usted necesita para vender este concepto de ver todo esto y averiguarlo y tener una gestión adecuada de los riesgos debido a la computación cuántica, ser mi conjetura, ¿verdad? Creo que es absolutamente el camino correcto. Si esa es la palanca que necesitas para conseguir la firma, oh, sí, absolutamente hazlo. Porque al final, incluso si la computación cuántica está todavía a 30 años vista, todavía te beneficias hoy. Porque tener esa preparación te ayuda a estar seguro hoy también. No estás malgastando el dinero. Sí, así que creo que eso es perfectamente lo que hay que hacer. Y hay algunas recomendaciones y algunos marcos de la europea, así por ejemplo, en realidad dicen que en 2026, que para ser franco usted debe tener ya si quieres ser DORA compatible. Quizás vuelvas a ver las mismas cosas porque no ves que algunos lo estén haciendo. Así que visibilidad y gestión de riesgos para 2026 y luego una preparación cuántica de alguna forma para 2030 para alto riesgo y 2035 para riesgo bajo y medio, ¿no? Así que parece estar muy lejos, pero, ya sabes, ya, como, a finales de 2025, cuando grabamos esto, la liberación es 2026.
Así que es como, sí, esto es como sólo un puñado de años de distancia. Y si usted está volviendo al principio de nuestra conversación, si nos fijamos en el efecto 2000 problema, sí, si usted comenzó en 1999, usted está probablemente bien, como un poco tarde para esto, ¿verdad? Así que tienes que estar preparado ahora, absolutamente, cierto.
DAVID LELLO: Creo, creo que una de las cosas que usted trajo a colación allí, que creo que es un punto fascinante en términos de psicología humana, es la normativa, la normativa europea y cosas como Dora. Los reglamentos sólo entran realmente en vigor porque las empresas son negligentes en hacer lo correcto.
INGO SCHUBERT: Sí, absolutamente.
DAVID LELLO: Y como no están haciendo lo correcto, los legisladores dicen que vamos a tener un problema importante en el país a menos que lo examinemos. Así que las leyes entran en juego cuando hay que hacer algo. En el Reino Unido, el NCSC ha puesto en marcha directrices sobre el quantum. Y tenemos DORA en Europa. Y lamentablemente debido a Brexit -
INGO SCHUBERT: Usted trajo tup no lo hice.
DAVID LELLO: Estamos empezando a examinar nuestro proyecto de ley de resiliencia. Así que el proyecto de ley de resiliencia se ha publicado para comentarios públicos. Así que la primera edición se ha publicado y los comentarios están ocurriendo. Y así tendremos una lectura en el Parlamento en algún momento pronto. Esperemos ponernos al día con el resto del mundo en este tema en particular.
INGO SCHUBERT: Bueno, excepto Estados Unidos. EE.UU. parece ser como, ya sabes, este lugar salvaje en el mapa, sí. Sí, realmente lo es. Sí, es como, y veo que hablando también con colegas de EE.UU., sí, es como, sí, realmente no tenemos eso, ¿verdad? Pero en todas partes del mundo, parece ser como, la resistencia, la gestión de riesgos parece ser un poco más maduro en términos de reglamentos y la pérdida, sí, que es-
DAVID LELLO: Tienes que tenerlo.
INGO SCHUBERT: Tienes que tenerlo, ¿verdad? Y cuando usted lee a través de ellos, y usted tiene probablemente tanto y probablemente más que yo, algunas de esas cosas como es cegadoramente obvio, tener una adecuada gestión de riesgos. Es como, usted debe saber, si esa cosa se cae, que acaba de conocer las consecuencias, ¿verdad? Por supuesto que deberías porque tu negocio está haciendo dinero y hay algo que le impide hacerlo. Deberías saber por qué y cómo solucionarlo. Y sin embargo, no lo hacen hasta que se ven obligados por la ley que es lo que es triste en algunos en cierto sentido la derecha
DAVID LELLO: Tristemente, la naturaleza humana entra en juego. Sin embargo, lucho con ello porque no son cosas difíciles, ya sabes, considerar el riesgo y la gestión del riesgo no es difícil.
INGO SCHUBERT: No, pero llevan su tiempo.
DAVID LELLO: Y lleva tiempo, pero hay tantas tecnologías diferentes que pueden ayudar a simplificar el proceso. Ya sabes, los ordenadores están diseñados para automatizar el proceso. La razón por la que tenemos ordenadores es porque tenemos procesos manuales que requieren ejércitos de personas para hacer algo. Con los ordenadores, podemos automatizar todo ese proceso. Y con los sistemas modernos, podemos automatizar aún más. Usted sabe, usted toma cosas como la gestión de la vulnerabilidad. Si tienes un entorno modernizado y tienes un escáner de vulnerabilidad desplegado, tienes una visibilidad relativamente buena en términos de cuál es tu riesgo tecnológico.
INGO SCHUBERT: Sí. Lo mismo para nosotros. Gobierno de la identidad. Al final, no es ciencia de cohetes. Sí, claro. Vas a conectar todos los sistemas diferentes, tal vez crear algunas reglas y todo esto. Pero entonces usted tiene que la visibilidad y usted tiene la vista de usted como, ya sabes, en términos de segregación de funciones, el cumplimiento y usted tiene eso. Y sí, es trabajo. Sí, es la inversión en términos de dinero y tiempo, por supuesto, pero usted consigue algo de él.
Sí.
INGO SCHUBERT: Correcto. Además, creo que la gente no se da cuenta de que la gestión de riesgos probable también te da algo a cambio, porque descubres cosas que quizás no deberías invertir tanto dinero en esta seguridad o estás haciendo que esta cosa resista porque no tiene un impacto tan grande, mientras que en la otra deberías invertir más, porque si eso falla, pasan cosas malas. Creo que eso también, y por supuesto no te das cuenta, porque si no haces una gestión de riesgos adecuada no tienes esa visibilidad, así que ¿cómo tomar esa decisión? Así que la gente es, básicamente, las organizaciones están perjudicando a sí mismos por no hacer esto, ¿verdad?
DAVID LELLO: Y la gobernanza de la identidad tiene mucho que ver con permitirlo y ayudar. Sí. Ya sabes, cuando hablo con muchas organizaciones sobre la identidad, la identidad no es una de esas cosas de seguridad que haces porque, ya sabes, es una póliza de seguro. La identidad es un facilitador. Es un verdadero habilitador de negocios para ayudar a las organizaciones a ser más eficientes y más eficaces en términos de cómo la gente tiene acceso. Pero lo fundamental es tener el acceso adecuado en el momento y el lugar adecuados, y contar con modelos de gobernanza que realmente lo dirijan. Así que cuando empezamos a examinar los controles de ITGC y los sistemas financieros, y empezamos a ver cómo debe crearse el acceso en los derechos, la segregación de funciones y los mandatos que conlleva. Estas cosas no son nada nuevo. Llevan décadas figurando en la Ley de Sociedades Anónimas y en el Reglamento Financiero.
INGO SHUBERT: Por supuesto.
DAVID LELLO: Y la capacidad de poder controlar eso con un buen sistema de gobierno de identidad ya existe. Y con una solución modernizada, en realidad resulta bastante fácil. No es tan difícil como la gente piensa que es.
INGO SCHUBERT: Míranos. Hablando de la gobernanza de la seguridad de la identidad y empezamos con la cuántica. Es como, vamos a, sí, pero ese es el punto. Creo que esto es algo donde también es como un abridor de puertas con algunas discusiones en los clientes o como en las organizaciones en general, donde como, sí, está bien. Hablar de la amenaza cuántica y, ya sabes, pero al final terminas en discusiones, que no son realmente sobre cuántica, sino sobre otras cosas. Que, sí, usted puede fijar ahora, usted debe fijar ahora, independientemente de lo que suceda en el futuro.
DAVID LELLO: Es el concepto básico de higiene.
INGO SCHUBERT: Es el concepto básico de higiene, exactamente. Es una forma perfecta de terminar. David, gracias. Era, podríamos hablar durante horas, realmente, cada vez que nos encontramos. Así que, muchas gracias. Y creo que la amenaza cuántica puede parecer distante.
Puede ser, puede no ser. Pero esperemos que durante esta conversación, nuestros televidentes y oyentes tengan la idea de que, sabes qué, independientemente de si debes hacer cosas hoy para estar preparado para el quantum. Esto no duele en absoluto.
Lo que obtienes de ella te beneficia hoy frente a las amenazas que existen hoy, ¿no? No tienes que esperar 20 años para darte cuenta de los beneficios. De hecho, te das cuenta de ellos hoy.
Así concluye el debate de hoy sobre la informática cuántica y su impacto en la seguridad de la identidad. El futuro cuántico es ciencia ficción y las organizaciones deben comprender dónde residen los verdaderos riesgos y oportunidades. Si desea obtener más información sobre la resiliencia de la identidad y las tecnologías que preparan a las organizaciones para el futuro, visite RSA.com. Si desea recibir por correo electrónico más episodios de RSA Identity Unmasked, no olvide suscribirse. Gracias por acompañarnos y hasta la próxima.
