La primera vez que llevé mi tarjeta de crédito al laboratorio de seguridad, volvió rota. No dañado físicamente, pero comprometido. En menos de 10 minutos, los ingenieros descubrieron mi código PIN.
Esto sucedió a principios de la década de 1990, cuando yo, como joven ingeniero, hice una pasantía en una de las empresas que ayudaron a crear la industria de las tarjetas inteligentes. Pensé que mi tarjeta estaba segura. Creí que el sistema funcionaba. Pero ver a extraños recuperar accidentalmente algo que se suponía era secreto y protegido fue impactante. También fue el momento en el que me di cuenta de lo insegura que es realmente la seguridad y del impacto devastador que las violaciones de seguridad pueden tener en las personas, las empresas globales y los gobiernos.
La mayoría de la gente cree que la seguridad consiste en crear algo que no se pueda romper. La seguridad realmente consiste en comprender cómo se rompen las cosas, en qué condiciones y con qué rapidez. Por eso hoy dirijo laboratorios donde se paga a los ingenieros para que ataquen los mismos chips que desarrolla mi empresa. Miden fluctuaciones de energía, inyectan señales electromagnéticas, disparan láseres y eliminan capas de silicio. Su trabajo es comportarse deliberadamente como criminales y estados nacionales hostiles, porque la única forma honesta de generar confianza es intentar destruirla primero.
Para cualquier persona ajena al mundo de la seguridad, este enfoque suena contradictorio. ¿Por qué pasar años desarrollando equipos seguros sólo para que la gente los desmonte? La respuesta es sencilla: la confianza que nunca ha sido puesta a prueba no es confianza. Esta es una suposición. Las suposiciones fracasan silenciosamente al principio y fracasan en los peores momentos posibles.
Durante las últimas tres décadas, he visto cómo los chips seguros pasaban de una tecnología especializada a una infraestructura invisible. Al principio de mi carrera, la mayor parte de mi trabajo se centraba en las tarjetas de pago. Convencer a los bancos y a las redes de pagos de que el chip era más seguro que la banda magnética no fue fácil. En ese momento, había preocupaciones sobre la vigilancia y el seguimiento. Pocas personas se dieron cuenta de que estos chips se convertían en pasaportes digitales. Verificaron identidades, autenticaron dispositivos y determinaron en qué se podía confiar y en qué no en la red.
Hoy en día, los chips seguros se encuentran silenciosamente dentro de tarjetas de crédito, teléfonos inteligentes, automóviles, dispositivos médicos, enrutadores domésticos, sistemas industriales e infraestructura nacional. La mayoría de la gente nunca los nota, lo que a menudo se toma como una señal de éxito. De hecho, esta invisibilidad también genera un riesgo. Cuando la seguridad desaparece de la vista, es fácil olvidar que aún necesita evolucionar.
Básicamente, un chip seguro cumple una función importante. Protege el secreto: una identificación criptográfica que demuestra la autenticidad del dispositivo. Todas las demás medidas de seguridad se basan en esta base. Cuando se desbloquea un teléfono, cuando un automóvil se comunica con una estación de carga, cuando un sensor médico envía datos a un hospital o cuando se entrega una actualización de software a un dispositivo en el campo, todas estas acciones dependen de que este secreto permanezca secreto.
El problema es que los chips no sólo almacenan secretos. Los usan. Calculan, comunican y reaccionan. En el momento en que el chip hace esto, comienza a perder información. No porque esté mal diseñado, sino porque es imposible estar de acuerdo con la física. El consumo de energía está cambiando. Cambios de radiación electromagnética. Los tiempos varían. Con el equipo adecuado y suficiente experiencia, estas señales se pueden medir e interpretar.
Esto es lo que sucede todos los días en nuestros laboratorios de ataque. Los ingenieros escuchan los chips de la misma manera que su proveedor de electricidad puede determinar su rutina diaria en función de su consumo de energía. Someten los dispositivos a pruebas de estrés hasta que no se comportan como se esperaba. Introducen fallos y observan cómo reacciona el chip. A partir de estas observaciones, aprenden cómo pensará un atacante, dónde se escapa la información y cómo deben rediseñarse las defensas.
La computación cuántica entra en este panorama sin drama ni ciencia ficción. Quantum no cambia los objetivos de los atacantes: todavía quieren resolver el misterio. El cambio cuántico tiene que ver con la velocidad a la que pueden lograrlo. Los problemas que a las computadoras clásicas les llevaría miles de años resolver pueden resolverse en minutos o segundos una vez que se disponga de suficiente potencia cuántica. El objetivo sigue siendo el mismo. La línea de tiempo desaparece.
Por eso la seguridad estática no funciona. Cualquier sistema diseñado para ser protegido y luego dejado intacto ya está envejeciendo y obsoleto. Si un sistema nunca es atacado, eventualmente fallará porque el mundo que lo rodea no se detiene. Las técnicas de ataque se están desarrollando y mejorando. Las herramientas son cada vez más baratas, potentes y accesibles, especialmente en la era de la inteligencia artificial. La información sobre ataques exitosos se difundió por todo el mundo, inspirando a otros a lograr éxitos similares.
Muchas organizaciones cometen el mismo error. Suponen que verán acercarse una amenaza. Esperan violaciones visibles o incidentes públicos antes de actuar. En el caso de los cuantos, esta lógica no funciona. Los primeros actores con importantes capacidades cuánticas no lo anunciarán. Lo usarán con calma. De hecho, esto ya está sucediendo ahora con los ataques Harvest Now-Decrypt Later (HNDL), donde hoy se recopilan y almacenan grandes volúmenes de datos cifrados para un futuro descifrado cuántico. Cuando los ataques se hacen evidentes, el daño ya está hecho.
Esta realidad es la razón por la que los gobiernos y los reguladores están tomando medidas. Todas las industrias enfrentan demandas de que los sistemas deben volverse resistentes a la cuántica dentro de un período de tiempo determinado. Esto no está impulsado por teoría o exageración. Esto se debe al simple hecho de que actualizar la criptografía, el hardware y la infraestructura lleva años, mientras que solucionar las debilidades puede llevar unos minutos.
Cuando hoy paseo por nuestros laboratorios, lo que más me llama la atención no es la sofisticación de los instrumentos, sino la disciplina del proceso. El acceso está estrictamente controlado. Los ingenieros son probados y probados. Cada experimento está documentado. Esto no es un truco por curiosidad. Se trata de pruebas estructuradas y repetibles diseñadas para identificar debilidades tempranamente, mientras todavía hay tiempo para corregirlas. Cada ataque exitoso se convierte en una contribución a la creación de una estructura más poderosa.
Esto es algo que los líderes, los propietarios de sistemas y los responsables políticos deben comprender. La seguridad no falla repentinamente. Fracasa silenciosamente, mucho antes de que alguien se dé cuenta. Prepararse para las amenazas cuánticas no consiste en predecir el momento exacto en que se producirá un gran avance. Se trata de reconocer que una vez que eso suceda, no habrá período de gracia. El único enfoque responsable es asumir que sus sistemas serán atacados y asegurarse de que suceda bajo condiciones controladas antes de que alguien más decida el momento por usted.
Las opiniones expresadas en los comentarios de Fortune.com son únicamente las de los autores y no reflejan necesariamente las opiniones y creencias de Fortune.
