Zoom introduce el cifrado poscuántico de extremo a extremo en las videoconferencias

Zoom está incorporando el cifrado poscuántico de extremo a extremo a su software de reuniones de vídeo y voz. Con ello pretende proteger los datos de comunicación enviados entre sus aplicaciones una vez que los ordenadores cuánticos tengan potencia suficiente para poner en peligro los métodos de cifrado existentes.

En la actualidad, es difícil que los ordenadores actuales o «clásicos» rompan los modernos algoritmos de cifrado que protegen las comunicaciones por Internet, O lo que es lo mismo: cualquier cosa, desde los mensajes de texto hasta la banca o las compras en línea. Sin embargo, a los expertos en seguridad les preocupa que los ciberdelincuentes puedan recopilar datos cifrados ahora y descifrarlos una vez que los ordenadores cuánticos sean lo suficientemente capaces, lo que se denomina una estrategia de recopilar ahora para descifrar después.

Para asegurar las comunicaciones en sus aplicaciones de reuniones, Zoom reconoció este martes su intención de mejorar las capacidades EE2E existentes disponibles en sus aplicaciones Zoom Workplace con criptografía poscuántica. Zoom reconoce también ser el primer proveedor de software de comunicaciones unificadas que lo hace.

Esto significa para la compañía el uso de Kyber 768, un algoritmo de mecanismo de encapsulación de claves (KEM) que está siendo estandarizado por el Instituto Nacional de Estándares y Tecnología (NIST). Éste ha estado trabajando para identificar un conjunto de algoritmos postcuánticos que puedan resistir los ataques de los futuros ordenadores cuánticos.

Aunque estos equipos son expertos en resolver complejas ecuaciones matemáticas, lo que significa que podrían descifrar algoritmos clásicos, los sistemas actuales son de pequeña escala y están plagados de elevadas tasas de error, explica Heather West, directora de Investigación de Informática Cuántica del Grupo de Sistemas, Plataformas y Tecnología de Infraestructuras de IDC.

Como resultado, los algoritmos clásicos modernos aún no están en peligro; aunque eso podría cambiar a medida que avance la informática cuántica, lo que daría lugar a sistemas que puedan ejecutar el algoritmo de Shor -un algoritmo cuántico que, según una definición, es capaz de “factorizar de manera eficiente grandes números compuestos” y, por tanto, reducir así el tiempo necesario para romper el cifrado clásico.

En palabras de Heather West, “debido a esta ventaja, existe la preocupación de que algunas entidades estén violando y robando datos ahora con un valor de larga vida útil ahora (piense en datos financieros, gubernamentales, del Departamento de Defensa, etc.) con la intención de utilizar futuros sistemas cuánticos para descifrarlos y utilizarlos más tarde”.

En la actualidad hay varias iniciativas en marcha cuyo objetivo es identificar y desarrollar algoritmos criptográficos poscuánticos que las organizaciones puedan desplegar para hacerse resistentes al quantum. Por ejemplo, el NIST lanzó una iniciativa global en 2016 y se espera que publique sus recomendaciones finales a finales de este año. En este sentido, el presidente de EE.UU., Joseph R. Biden Jr., emitió dos memorandos de seguridad (NSM-8 y NSM10) en 2022 para proporcionar a los organismos gubernamentales la orientación y los plazos necesarios para empezar a implantar la criptografía poscuántica. 

En cuanto a la función EE2E poscuántica de Zoom, West considera que la cantidad de información que se transfiere a través de mensajes de texto y en reuniones virtuales constituye “un territorio bastante inexplorado para la criptografía poscuántica [PQC]», pero es un área importante de interés”. En su opinión, “la información comprometida mediante estas tecnologías podría dar lugar a violaciones de la seguridad nacional, la exposición accidental de secretos comerciales de las empresas y mucho más. Zoom ha aprovechado esta oportunidad para identificar un área actual de debilidad en la seguridad de los datos y desarrollar una solución PQC disruptiva para la industria”.

Aun así, West señala “graves limitaciones” en el enfoque de Zoom. Por ejemplo, para que la reunión sea segura, todos los participantes deben utilizar la versión 6.0.10 o superior de la aplicación móvil o de escritorio de Zoom. “Así que no existe garantía alguna de que todos utilicen la versión más actualizada”, afirma.

Además, el uso de la encriptación poscuántica de Zoom significa que los participantes pierden el acceso a algunas funciones clave, como es el caso de la grabación en la nube. “Para que el PQC sea eficaz, no sólo debe ser seguro frente a posibles violaciones de la ciberseguridad cuántica, sino que también debe permitir el mismo rendimiento y utilidad de las aplicaciones y la infraestructura que si no se utilizara. Este no parece ser el caso de la aplicación de Zoom", prosigue West.

En general, esta analista de IDC afirma que todas las empresas deberían plantearse cómo mantener a salvo los datos cifrados en el futuro. Por eso no tiene dudas de que “las organizaciones deberían tomarse en serio este riesgo”, pues a su juicio “parece haber una idea errónea de que si una organización no está invirtiendo en computación cuántica no hay necesidad de invertir en criptografía poscuántica”.

En su opinión, los ciberataques que utilizan algoritmos cuánticos tienen el potencial de afectar a todas las empresas y organizaciones. Algunas comprenden la importancia de la criptografía poscuántica y están esperando a que se publiquen las normas definitivas del NIST, pero la actualización a la criptografía poscuántica puede ser un “proceso laborioso”, por lo que las organizaciones deberían empezar ya a inventariar e identificar los datos y la infraestructura de riesgo.

En resumidas cuentas, “asociarse con un proveedor o consultor de PQC puede ayudar a guiar la transición. Los proveedores y consultores de PQC también pueden ayudar a determinar qué solución es la más adecuada para la organización", concluye la directora de Investigación de Informática Cuántica del Grupo de Sistemas, Plataformas y Tecnología de Infraestructuras de IDC.