Ciberseguridad en la era de la computación cuántica y la IA generativa

En un diálogo con Román Baudrit, vicepresidente para América Latina de productos de Ciberseguridad en Thales, profundizamos en los retos que presenta la irrupción de la computación cuántica y la inteligencia artificial generativa para la protección de datos.

Por Santiago Rivas

Pocos días atrás, Thales presentó la quinta edición del Data Threat Report, que analiza las tendencias mundiales en seguridad de datos, adopción de la nube, cumplimiento y estrategias de seguridad. El informe 2025 continúa examinando las vulnerabilidades internas, las amenazas externas y sus impactos en los activos empresariales, pero también evalúa las tecnologías nuevas y en evolución que afectan a la gestión de riesgos y la seguridad de los datos, encontrando una creciente preocupación en las amenazas que la computación cuántica y la IA generativa generan para la protección de datos, pero también que éstas aportan herramientas para mayor seguridad.

Uno de los datos más relevantes revela que el 63% de las organizaciones temen que las computadoras cuánticas puedan comprometer los algoritmos de cifrado actuales y futuros, lo que pondría en riesgo información que hasta ahora se consideraba segura.

Además, el 58 % de los encuestados advirtió sobre la amenaza de "recopilar ahora, desencriptar después" (Harvest Now - Decrypt Later, datos cifrados hoy, vulnerables en el futuro). Esto ha impulsado al 60% de las organizaciones a explorar soluciones de criptografía poscuántica (PQC), aunque solo un tercio confía plenamente en sus proveedores actuales para esta transición.

Hablamos con Román Baudrit, vicepresidente para América Latina - Productos de Ciberseguridad en Thales Group para explorar los resultados del reporte y qué pueden hacer las organizaciones para proteger su información en este escenario.

Pucará Defensa: ¿Cuáles son los principales hallazgos del nuevo reporte?

Román Baudrit: El tema del Reporte de Amenazas de Datos es algo que ya Thales viene siendo desde hace muchos años. De hecho, yo llegué a la compañía en el 2015 y con el resultado de la adquisición que Thales hizo de una compañía que se llama Vormetric, que es la base de la tecnología que nosotros tenemos hoy bajo todo lo que es nuestra plataforma de seguridad de datos. Y lo que venimos haciendo esta tratar de entender un poco cuáles son las tendencias de mercado, tenemos que escuchar lo que nos dice la industria para tratar de ver cómo orientamos nuestras inversiones. Y lo que ha sucedido en el tiempo es que ya hemos incorporado más países en esta muestra, ha ido creciendo en tamaño y ha crecido en cobertura. Por ejemplo, ya tenemos representación de América Latina con Brasil y México en estas ediciones. Pero estamos haciéndola una encuesta mucho más representativa a nivel global y con más industrias siendo incorporadas dentro del proceso.

En esta edición hubo cinco hallazgos que me parecen muy representativos. En términos de lo que es inteligencia artificial tenemos un punto que es preocupación de agenda de la mayoría de las empresas corporativas de la región, porque tú sabes que el modelo de inteligencia artificial no es nuevo, es algo que viene desde hace muchos años, pero la inteligencia artificial generativa es algo que recientemente está dando más posibilidades para las organizaciones de incorporar un proceso de análisis más automatizado. Y el proceso de inteligencia artificial generativa realmente va a ser tan bueno o malo como los datos de inferencia y entrenamiento tengan entonces, si bien esto se está abriendo una posibilidad enorme para las compañías, lamentablemente muchas de las empresas no están atendiendo el riesgo de tener malos datos, por tener un problema de acceso no autorizado a los datos y lo que eso puede representar para ellos, porque hay un riesgo que nosotros tenemos identificado, que se llama el envenenamiento de los datos, “data poisoning”.

Para hacer algo simplista, si yo tengo en el modelo de entrenamiento de la inteligencia artificial generativa cinco variables, y si yo le digo a esta inteligencia artificial generativa que si se cumplen ciertas condiciones sobre esas variables, el output que tiene que ver es A, B o C, si yo cambio alguna de esas variables puedo tener un efecto no esperado en el proceso. Si no superviso la seguridad de esos datos y dejo que esos datos estén a la libre, eso puede envenenar, por ejemplo, muestras químicas para alimentos, o en potabilización de agua, combustible, productos químicos o farmacéuticos.

Si nosotros tenemos malos datos, vamos a tener malos resultados, vamos a tener una inteligencia artificial que va a actuar de la manera equivocada. Esto para la industria tiene otros desafíos porque, por ejemplo, nosotros hemos estado trabajando con todos los usuarios de la industria en términos de las bases de datos de todo lo que es dónde se almacena la información. Pero las bases de datos han ido evolucionando también para adaptarse a la inteligencia artificial, hoy en día hablamos de bases de datos vectoriales. Entonces nosotros, de la misma forma que nuestros clientes están ampliando el uso de la inteligencia artificial, pues nosotros también estamos tratando de ayudarles a que puedan almacenar de manera segura los datos para que puedan utilizarla adecuadamente.

Eso sigue siendo una de las principales preocupaciones que hemos visto en nuestros clientes. Yo creo que inteligencia artificial va a ser un tema de agenda de los órganos directores de las compañías, pero nosotros tenemos que tratar de sensibilizar sobre los riesgos. En paralelo, estamos ya llegando a un cambio muy significativo en el concepto del uso de la computación, que es la computación cuántica. Yo trato de explicar el tema de la computación cuántica, como si tienes una cantidad de libros en tu librero y yo te pregunto si me puedes indicar cuantos capítulos tiene cada uno de esos libros y, además, cuánto suman en total. Lo que tienes que hacer es ir al librero, tomar cada uno de sus libros, leer cada uno de los índices, revisar cuántos capítulos tiene e ir sumando todos. Eso es lo que conocemos como la computación estándar tradicional, que tiene nada más dos opciones, unos y ceros, y es un proceso secuencial. Con la computación cuántica, lo que vamos a tener es la capacidad de que yo pueda tomar con un comando, todos los libros que tienes, los leo de una sola vez y te despliego el resultado de una sola vez, porque voy a tener procesos que puedan ocurrir eliminando el concepto de la secuencialidad, es un algoritmo nuevo y eso nota una gran cantidad de poder de cómputo que nos va a dar una cantidad de procesamiento gigante.

Pero, también, con grandes beneficios vienen grandes desafíos, específicamente los de seguridad. Digamos que el tema que le preocupa a nuestros clientes en este momento, de hecho, el 60% de nuestros clientes contestaron que esa es su mayor preocupación, es que, por ejemplo, yo tengo una comunicación militar, lo que hago es que puedo tratar de meter un dispositivo para escuchar qué es lo que están transmitiendo, almacenar esa información, y aunque yo no tenga la capacidad de procesar esos datos, en este momento guardo los datos de tal forma que en el momento que yo tenga acceso a computadores cuánticos puedo descifrar esa información o esos algoritmos y entender cuáles son los algoritmos que están utilizando para transmitir de avión a avión, de base a avión, de base a base, este tipo de cosas.

Y ese es el esquema de Harvest Now - Decrypt Later. Nosotros ya estamos trabajando con varias entidades militares en América Latina, ya es una preocupación de países, no solo comercial. Entonces ya tenemos clientes que en este momento tienen encriptores de alta velocidad, que es un caso de uso en donde se cifra de punto a punto, y lo que nosotros hicimos hace varios años fue un trabajo para el MIST de Estados Unidos, en donde desarrollamos junto con otros fabricantes y organizaciones de investigación, un algoritmo postcuántico, que se llama Falcon. Lo que se hizo es que a pesar de que esté disponible esa computación, teníamos que evolucionar en cómo protegemos los datos el algoritmo Falcon es el cuarto algoritmo que fue aprobado por la lista. Ya esto es de uso común, nosotros donamos esa investigación a la industria, no es algo que cobramos, sino que simplemente lo entregamos como parte del trabajo y ya fue debidamente aceptado por la industria.

Thales como empresa dedica casi el 20% de su presupuesto para investigación y desarrollo, entonces lo que hicimos fue que entregamos esa información y eso nos ayudó a entender qué es lo que teníamos que mejorar de nuestro lado para que esta infraestructura sea resistente a ataques cuánticos y hoy en día todo el portafolio de la unidad de Thales Security Products - TSP, que es la unidad que yo dirijo para América, todos los productos que ya ofrecemos, incluyendo los que ya están desplegados en organizaciones militares en la región ya vienen listos para soportar ataques de computación cuántica.

Vamos a ver un proceso de adopción diferente en cada país. Por ejemplo, el Gobierno de Chile tomó decisiones en donde todas las inversiones del gobierno tienen que ser inversiones de tecnología que soporten la protección de organismos cuánticos. Eso fue algo que ocurrió recientemente. Y nosotros tenemos una alianza tecnológica con una compañía en Chile que desarrolla tecnologías cuánticas de tal forma que se pueda garantizar que el random que tiene que generar el número para que un algoritmo sea seguro, se genere con tecnología cuántica. Y nosotros mismos estamos apoyando iniciativas de América Latina en ese contexto, que no vienen de otros países, estamos generando esa experiencia en América Latina.

PD: ¿Desde las empresas son conscientes de estas amenazas que se vienen?

RB: Ese es el gran desafío, porque hoy en día el primer riesgo, y ustedes nos pueden ayudar mucho, es el desconocimiento. No hay muchos conocimientos sobre computación cuántica, eso en primera instancia, parece que todavía muchas de las organizaciones no lo están viendo como un riesgo. Sin embargo, la industria de aviación, sobre todo en la parte militar, ya existe claramente una conciencia, porque ya es un riesgo identificado.

Los clientes piensan que esto es algo del futuro muy lejano, no ven esto como un problema a corto plazo, pero las computadoras cuánticas ya están disponibles. O sea, ya Google lo tiene, IBM ya lo tiene y hay otros fabricantes en China que ya dicen que tienen esas capacidades. Entonces no es un problema del futuro porque ese futuro ya es hoy. Aún estamos en un proceso en donde esas máquinas son grandes, complicadas, costosas, generan mucho calor, por lo que hay que tenerlas en condiciones muy específicas de operación, pero ya existen.

Lo que vamos a ver dentro de los próximos años es cómo se va a hacer una miniaturización de esas capacidades, que eso ocurre constantemente y vamos a ver más riesgos. Entonces, de nuevo: falta de conocimiento, una falsa percepción de que eso va a ocurrir en el muy largo plazo, cuando ya está a la vuelta de la esquina y, en tercer lugar, hay algo que creo que es común para toda la industria en América Latina y es un falso sentido de seguridad o un falso sentido de que eso que está ocurriendo y que vemos en las noticias nunca nos va a ocurrir a nosotros. Yo creo que eso lo vemos en todas las industrias.

Para darte una estadística, recientemente se identificó una red internacional dedicada al Ransomware as a Service, que tenía su base de operación en Perú. Entonces, no solo los clientes de nuestra región pueden ser atacados, sino que pueden ser atacados por organizaciones que viven en nuestra región y eso no lo vemos.

PD: ¿Cómo cambia esto a la encriptación? Todos hoy confían en datos encriptados, pero por lo que entiendo la computación cuántica va a poder acceder a información encriptada.

RB: Correcto, antes, lo que nos podía tomar meses o años para para romper esas llaves, con la computación cuántica te toma una fracción de segundo. Recordemos que los algoritmos de protección son modelos matemáticos, son permutaciones o combinaciones de valores en cadenas muy largas, como una llave, son cadenas de combinaciones muy largas, pero si yo pongo a tu disposición un súper computador que puede ir probando todas esas combinaciones y permutaciones, entonces lo que antes eran años ya se vuelven minutos, ese es ese es el impacto. Entonces, si no evolucionamos los estándares de algoritmos vamos a exponer nuestros datos. Por ejemplo, hay un estándar que es el IPC, de transmisión segura para los VPN y las comunicaciones remotas. Eso ya es un algoritmo que con la computación cuántica va a quedar obsoleto.

Entonces el llamado es a que entendamos que, si quiero tratar de averiguar cuál es tu usuario y contraseña para entrar a tu infraestructura, si tengo que ir a prueba y error, tengo que dedicar una computadora para que haga todas esas pruebas, ahora imagínate que yo tuviera un supercomputador que hace millones de pruebas, se acortan los tiempos. Tenemos que entender esto como un problema de capacidad contra lo que evita a los atacantes ingresar a las empresas, que es la llave de cifrado de nuestros usuarios y contraseñas. Por eso la estrategia de protección tiene que ir en primer lugar del lado de cambio de algoritmos, cambio de uso de los algoritmos y puede ser que muchos clientes tengan que cambiar la infraestructura que tienen, porque no les funciona.

PD: ¿Cómo es el proceso para generar un nuevo sistema de protección de datos o de encriptación en la computación cuántica o post cuántica?

RB: Lo que nosotros estamos ofreciendo la industria es un proceso de evaluación de riesgo. Lo primero para cualquier cliente es entender qué tanto riesgo tienes, qué está en riesgo y qué no y qué tan importante es lo que está en riesgo. Luego hacemos workshops con una evaluación de cuántos sistemas tiene, cuántas aplicaciones debe tener dentro de sus data warehouse, cuántos datos tiene, porque tiene que cambiar todas sus llaves de descifrado de sus aplicaciones. Pudiera ser que sus aplicaciones estén listas para poder absorber ese nuevo tipo de cifrado, pudiera ser que tenga que cambiar las aplicaciones o pudiera ser que tenga que cambiar el almacenamiento de sus datos.

Entonces el desafío es un poco la medida de cada cliente dependiendo de su infraestructura. Lo que nosotros hacemos es ofrecerles un plan paulatino, porque es poco probable que pueda dejar de operar y simplemente moverse a un nuevo modelo, tiene que haber un proceso de acompañamiento. Entonces tenemos el diagnóstico, tenemos un plan de recomendaciones, hacemos un plan de migración paulatina y además nuestra tecnología coexiste con la tecnología existente, que eso es muy importante, los clientes no pueden dejar de operar.

Nuestros procesos toman lo que ya tienen los clientes, mejoramos su postura de manera inmediata, sobre todo lo que es datos en movimiento, cuando me estoy comunicando entre mí Data Center a la nube. Eso ya lo podemos proteger sin tener que modificar la infraestructura que ya tiene, nada más agregamos una capa de seguridad y después acompañamos a los clientes en un proceso de evolución hacia lo que es el cumplimiento del tema postcuántico.

En el universo de ciberseguridad nosotros como industria hemos estado muy condicionados al modelo de perímetro, nos han dicho durante años de proteger el perímetro, la capa de red, después al end point, las aplicaciones y por último los datos. Lo interesante de este modelo es que cuando yo tenga la posibilidad de tener acceso a la computación cuántica, todas estas capas que se protegen con algoritmos, desaparecen, porque se quedan obsoletas en términos de las capacidades y de los algoritmos que usan, los datos quedan mucho más expuestos. Thales trabaja en el ámbito de prevención, de monitoreo y respuesta ante incidentes, pero, sobre todo, enfocado en los datos.

Recordemos que lo que se vende en el mercado negro cuando tú tienes un ataque no es la computadora, no es el firewall, no es el servidor, sino que lo que se vende son tus datos, entonces, si yo puedo interrumpir el riesgo y con nuestra tecnología proteger estos datos, estoy tratando de mitigar el riesgo.

Hay controles básicos que tenemos que tener en la parte del corazón de nuestros sistemas, que estamos hablando de cómo protegemos el dato, cómo tenemos una infraestructura que, aunque todas las diferentes instancias fallaran para evitar que alguien llegue a tratar de capturar mi información, la información esté destruida digitalmente o que, si no le doy la llave, no le sirve para absolutamente nada. Es una visión que tiene el dato en el centro, no en el perímetro. No importa cómo esté el resto de las capas de protección o cómo nos estén ayudando las capas de protección.

PD: ¿Cuál es el rol de la inteligencia artificial generativa? ¿Cómo influye, tanto para generar amenazas como también para mitigarlas?

RB: Excelentes preguntas. Fíjate que, si nosotros podemos hacer una recapitulación de las tareas, en la parte de tecnología tenemos el centro operacional de red y en la parte de ciberseguridad tenemos el Security Operation Center, el SOC, que está recibiendo miles y miles de datos y está tratando de identificar cuáles datos son relevantes o no, cuáles eventos son significativos o no. Entonces la inteligencia artificial de la misma forma de que pueda ser utilizada por los atacantes, imagínate que todas las tareas repetitivas del centro de operaciones las pueda pasar a través de una herramienta de inteligencia artificial para que me quite todo lo que son los eventos que no son significativos de manera automatizada. Entonces mi personal puede hacer labores diferentes que generen más valor en la cadena de protección.

Eso es un ejemplo muy básico, todo lo que es automatización de tareas repetitivas, también dentro del tema de seguridad aplicativa, que es el cuarto punto que tenemos aquí. Hoy en día las compañías cuando desarrollan software ya no se comunican en un ambiente cliente - servidor como antes, sino que tienen interfaces de programación de aplicaciones, API. Puedo tener 500.000 APIs disponibles para todas estas empresas que se quieren conectar conmigo. Estar escuchando el 100% de los eventos, el 100% del tiempo es algo que un humano no puede hacer. Pero si yo programo la inteligencia artificial, le digo que si ocurre un evento en donde el usuario está haciendo o está intentando hacer muchas conexiones al mismo tiempo, o está conectado en una dirección IP y de repente, al mismo tiempo está conectado con una dirección IP de Polonia y otra de Australia, o está haciendo múltiples intentos de entrar con tu usuario y contraseña a un sistema que no es un sistema usual o no es un comportamiento usual, son identificaciones que podemos hacer de un comportamiento no esperado. Entonces, esas funcionalidades o esas capacidades ya son parte de lo que es nuestra plataforma de seguridad aplicacional ya trae listas. Los filtros estándar de protección de aplicaciones, que vienen en la línea de productos cubren el 97% de los ataques comunes en la industria de tecnología de información. Con la inteligencia artificial que viene embebida en nuestros productos ya la resolvemos, entonces, si en tu organización tenías 5 o 6 personas para hacer análisis de ataques, se pueden dedicar no a escuchar todo el ruido que están generando los sistemas, sino a empezar a actuar sobre los eventos más importantes que yo pueda identificar y de paso, con una puntuación, te digo “tienes que actuar ya inmediatamente, cubrir estos 2 o 3 eventos”. Tenemos que ir de la mano con la evolución que los atacantes están haciendo.

Algo que nos sorprendió es que todavía hay ataques de gran suma y son prevalentes. Entonces, por ejemplo, la prevención de ataques de gran suma pudiera ser automatizada de que cada vez que te despliegan infraestructura que vaya contra las políticas de seguridad de la compañía sea la inteligencia artificial la que trabaja.

La inteligencia artificial generativa no necesariamente va a sustituir a las personas, va a sustituir la forma en que las personas trabajan y la idea es que nos volvamos más eficientes.

Por último, hay 2 puntos que me gustaría mencionar. Estamos también ante un cambio de paradigma sobre la soberanía de datos, muchos de nosotros trabajamos con la nube y la nube no es que sea buena o mala, pues es lo que es. Y hay diferentes tipos de nubes: privadas, públicas, etcétera, pero al final de cuentas, en el momento que yo subo la información a la nube, la información empieza a vivir o residir en ambientes públicos y los ambientes públicos, por definición, ya no están alineadas al marco legal de Argentina, de Chile, de Colombia, sino al marco legal de la casa matriz que opera esa nube. Entonces, por ejemplo, si utilizan Microsoft, si el Gobierno de Estados Unidos le dice a Microsoft que entregue los datos que están almacenados en su infraestructura, él lo va a hacer porque se ven bajo ese marco legal, es lo que llamamos soberanía digital. ¿Cómo lo resolvemos? Lo que hacemos es que proveemos a nuestros clientes de llaves de cifrado de tal forma de que, aunque los datos vivan en esas nubes que están fuera del país, las llaves de cifrado vivan dentro del contexto del país que está operando. Entonces, sin esta llave, estos datos no sirven, porque están cifrados.

Por último, en la parte de desarrollo de aplicaciones, por ejemplo, cuando tú llegas a tu oficina en la mañana, probablemente tienes que poner el usuario y contraseña para entrar al sistema. Eso es lo que nosotros llamamos una autenticación humano a máquina. Pero por cada autenticación de humano a máquina hay 50 autenticaciones de máquina a máquina. Entonces, por ejemplo, cada vez que tú despliegas una aplicación, un servicio en la nube, etcétera, esto tiene que autenticarse para que yo les diga a los sistemas “yo soy el último que llegó y estos son mis derechos”. Y yo tengo que autenticarlos porque si no habría una repudiación. Entonces tenemos una parte de nuestro portafolio que le da la identidad digital y la seguridad digital a todas las máquinas. Entonces, piensa en la inteligencia artificial manejando máquinas y ponemos respuestas autónomas. Fíjate el riesgo que podría tener que yo incorpore una máquina no autorizada en una cadena de comandos de la inteligencia artificial. Eso puede pasar, entonces es importante tener el control no solo en la inteligencia artificial, lo que hablamos en la parte de computación cuántica, sino de garantizar que las acciones van a ser ejecutadas únicamente por los dispositivos que yo quiero que sean autorizados, eso es lo que tiene que ver con la autenticación de máquina a máquina.

Todos nosotros estamos viendo los lamentables incidentes que están ocurriendo en otras geografías, pero algo que es muy interesante es que, lo que decían los analistas es que esperaban que la respuesta a los países que han sido atacados no venga solo por misiles y no venga solo por ataques físicos, sino que venga por ciberataques. Entonces yo creo que eso está poniendo en evidencia lo importante que es que nosotros como industria tengamos una estrategia de protección contra ataques cibernéticos. Ustedes nos ayudan muchísimo en el proceso de dar esto a conocer. Y la verdad es que, si los clientes no se preparan para esta nueva llegada de la computación cuántica y poscuántica, junto con la capacidad de inteligencia artificial generativa, tienen los ingredientes ideales para un desastre a nivel de ciberseguridad. Eso, eso es un hecho, va a ocurrir y a lo que nosotros nos toca es irles ayudando a todos los actores en la industria a que estén mejor preparados.