Identidad digital, un sector nada aburrido
Cuando empecé a trabajar en el sector de la identidad digital, hace más de diez años, este se describía a menudo como un ámbito maduro, estable, incluso poco dinámico. Hoy es evidente lo limitada que era esa percepción. El trust management se encuentra, de hecho, en una fase de profunda evolución, impulsada por cambios tecnológicos, normativos y geopolíticos que están redefiniendo sus fundamentos esenciales.
Si es cierto que muchos de los protocolos en los que se basa la identidad digital se apoyan en estándares desarrollados en los años noventa (como la familia PKCS) y que la criptografía asimétrica fue inventada en los años setenta, el sector del trust management se encuentra ahora en una fase de gran efervescencia. La importancia de estas tecnologías como fundamento de cualquier sistema de ciberseguridad, la omnipresencia del concepto de identidad digital y el efecto multiplicador de estas tecnologías sobre el crecimiento económico y social de un país entero han suscitado sin duda un gran interés y han contribuido a procesos de innovación tecnológica que afectarán al futuro de todos nosotros.
El desafío de la criptografía post-cuántica: proteger hoy lo que tendrá valor mañana
Uno de los temas más importantes que surge en los debates sobre el futuro del trust management es la transición hacia esquemas criptográficos capaces de resistir los ataques de los ordenadores cuánticos. Para quienes deseen profundizar en el tema, en Namirial ya hemos hablado de ello en estos dos artículos:
Ahora empieza a estar claro para muchos que en el futuro tendremos un problema importante, porque las tecnologías criptográficas que nos protegen hoy podrían ser inadecuadas mañana. Pero muchos de los documentos y transacciones protegidos hoy podrían conservar su valor también mañana. Por ejemplo, un contrato mantiene su valor y sus efectos durante muchos años en el futuro, cuando los ordenadores cuánticos podrían ser capaces de vulnerar las tecnologías actualmente utilizadas para certificar la identidad de las partes que lo firmaron.
Por qué no podemos permitirnos esperar
Aunque el riesgo aún no es concreto, tampoco es concebible esperar a que se materialice, precisamente porque existe una distancia de años entre el hoy en el que se protegen las informaciones y el mañana en el que vulnerarlas será tanto técnicamente posible como ventajoso para un atacante determinado. Las grandes inversiones realizadas por los mayores actores mundiales en el ámbito de la computación cuántica, a menudo en el marco de programas nacionales, sugieren que esta dinámica podría concretarse rápidamente.
Interoperabilidad y efecto red: la complejidad de la transición
Si este es el problema, al situarlo en el contexto del trust management podemos destacar otras criticidades. Los sistemas de gestión de la confianza funcionan también porque presentan elevados niveles de interoperabilidad. Un documento digital firmado por dos sujetos sigue siendo comprensible y verificable por ambos (o por cualquier otro autorizado), aunque las firmas se hayan emitido a través de los servicios de dos proveedores distintos de servicios de confianza cualificados, ya que ambos se basan en tecnologías estandarizadas. Se trata del llamado efecto red, que puede contribuir a la difusión de nuevas tecnologías (el fax, a principios de los años noventa, era tanto más útil cuanto más lo utilizaban tus corresponsales), pero también obstaculizarla, como es el caso de la transición post-cuántica del trust management.
Si, en efecto, un operador del mercado empieza a ofrecer servicios adecuados a la nueva amenaza, ¿cómo podrán sus clientes beneficiarse de ello si ese avance tecnológico no es interoperable?
Las hojas de ruta globales hacia el post-cuántico
Por estas razones, los organismos reguladores a nivel mundial (como el NIST para los Estados Unidos de América y la Comisión Europea para Europa) han elaborado hojas de ruta para la transición post-cuántica. Sin entrar demasiado en los detalles, resulta interesante observar que ambos documentos coinciden, en esencia, en dos fechas. La primera es 2030, fecha límite en la que los sistemas de alto riesgo deberán haberse migrado a esquemas criptográficos post-cuánticos, mientras que el plazo de 2035 se refiere a los sistemas de seguridad media o a los sistemas legacy. No sabemos si saben algo que nosotros no sabemos; ciertamente demuestran la necesidad de ser prudentes y proactivos.
Cuatro años a partir de hoy, por tanto, ¿son muchos o son pocos? Son suficientes si todo el ecosistema del trust management se pone en marcha. Es necesario intervenir sobre numerosos actores de la cadena de valor, de los cuales los proveedores de servicios de confianza son solo los más visibles para el usuario final. Es necesario alcanzar un acuerdo sobre los algoritmos criptográficos, los estándares y las pruebas de conformidad, y trasladarlo a productos y soluciones que escalen en un contexto complejo, dinámico y always-on. Es necesario pasar de un mundo en el que se utilizaba el mismo esquema criptográfico (RSA) para todo a uno en el que habrá que utilizar esquemas distintos para finalidades diferentes. Un mundo en el que la cripto-agilidad, es decir, la capacidad de adaptar un sistema o protocolo a nuevas técnicas criptográficas, deberá estar integrada en el diseño, y en el que muchos protocolos hoy de uso generalizado deberán ser adaptados.
La visión estratégica de Namirial desde 2020
¿Debemos entonces estar preocupados? No, debemos estar atentos. Conscientes de los desarrollos tecnológicos y científicos, de la necesidad de una estrategia industrial a largo plazo y de las inversiones necesarias para garantizar la continuidad de los servicios y la confianza de los clientes.
En Namirial empezamos a ocuparnos de estos temas en 2020, hace ya seis años. Para mí fue fascinante poder empezar a pensar con mucha antelación en el tema, cuando nadie hablaba de ello, trabajando en la dimensión estratégica de la innovación. Nuestro primer criptógrafo contratado por la empresa se remonta precisamente a ese período, por la conciencia que teníamos —y que siempre ha sido respaldada por la propiedad y la dirección— de que algún día necesitaríamos saber qué hacer.
Así involucramos a criptógrafos, investigadores en ciberseguridad, desarrolladores de soluciones de seguridad, centros de excelencia y universidades. Exploramos un sector que en aquel momento era casi desconocido, a veces complejo, recopilando información, realizando análisis y experimentos. Desarrollamos proyectos de investigación, participamos en conferencias, recogimos opiniones y debatimos internamente. De este modo logramos construir una competencia importante sobre el tema, que hoy queremos poner al servicio de nuestros clientes, pero que también debe contribuir al progreso de todo el mercado de referencia.
La identidad digital como frontera de la innovación
Hoy estamos convencidos de que la migración post-cuántica puede llevarse a cabo, con compromiso pero también con confianza en los objetivos, y de que contribuirá a definir la base tecnológica del sector del trust management en los próximos años. Creemos que nuestros clientes pueden sentirse confiados en un plan que ya está mostrando sus efectos y que avanzará hacia otros objetivos ambiciosos en el futuro (que, sin embargo, les revelaremos dentro de algunos años).
A la luz de todo ello, la idea de que el sector de la identidad digital sea poco apasionante parece hoy más alejada que nunca de la realidad. Para nosotros en Namirial, nunca lo ha sido.
