Sin cifrado seguro contra ataques cuánticos, la infraestructura crítica se derrumbará bajo nuevas amenazas.

Durante décadas, RSA y la criptografía de curva elíptica (ECC) han formado la columna vertebral de la seguridad digital. Desde la protección de la banca en línea hasta las comunicaciones militares, estos algoritmos han resistido la prueba del tiempo, principalmente porque se basan en problemas matemáticos que son computacionalmente costosos de resolver con computadoras clásicas. Pero el status quo está bajo ataque. La inteligencia artificial, especialmente cuando se combina con nuevos modelos computacionales y se alimenta de computación cuántica, comenzará a erosionar las bases aparentemente impenetrables de estos esquemas criptográficos.

El problema con RSA y ECC

La seguridad de RSA se basa en la dificultad de factorizar enteros grandes, el producto de dos números primos grandes. ECC se basa en la dureza del problema del logaritmo discreto de la curva elíptica (ECDLP). En la computación clásica, estos problemas son prácticamente insolubles dentro de un marco de tiempo razonable cuando los tamaños de las claves son lo suficientemente grandes.

Pero aquí está el punto clave: ambos sistemas solo son seguros porque nadie ha encontrado una forma más rápida de romperlos, aún. Y ahora, la IA está aumentando la presión.

La IA no se trata solo de chatbots

Olvide la charla sobre ChatGPT escribiendo poemas o Midjourney generando avatares de anime. El verdadero poder de la IA radica en su capacidad para reconocer patrones, optimizar espacios de búsqueda y iterar sobre soluciones más rápido que cualquier codificador o analista humano. Cuando se aplica a la criptografía, la IA no está descifrando códigos en el sentido de Hollywood, sino que está profundizando en las estructuras matemáticas que hacen que RSA y ECC sean “problemas difíciles”.

Los modelos de aprendizaje automático, especialmente las redes neuronales, han sido cada vez más efectivos para predecir estructuras matemáticas, aproximar funciones complejas y guiar algoritmos heurísticos. En criptanálisis, esto se traduce en:

• Identificar claves débiles más rápido.
• Explotar fallos de implementación a escala.
• Acelerar técnicas de factorización técnicas.
• Aprender patrones en operaciones de curvas elípticas.

Aprendizaje automático en factorización

El talón de Aquiles de RSA es la factorización de enteros. Los ataques tradicionales como el Sieve de Cuerpo de Número General (GNFS) ya requieren recursos masivos pero son teóricamente factibles. Ahora la IA está supercargando estos métodos.

La investigación reciente explora cómo las redes neuronales podrían usarse para predecir la estructura de los campos numéricos utilizados en la factorización. En lugar de confiar en la fuerza bruta, la IA ayuda a priorizar caminos que son más probablemente conducir a una descomposición exitosa.

También hay trabajo en el entrenamiento de modelos para revertir la ingeniería de información de claves parciales o aproximar claves privadas a partir de datos filtrados, una tarea que era anteriormente in factible debido a la complejidad. La IA está convirtiendo esa complejidad en un problema de optimización soluble.

ECC y ataques mejorados con IA

ECC a menudo se considera más seguro que RSA porque logra una seguridad comparable con tamaños de claves mucho más pequeños. Pero esa superficie más pequeña también es más sensible a ataques de precisión, y la IA está capitalizando eso.

La IA se está utilizando para:

• Acelerar el algoritmo de Pollard’s Rho, una de las herramientas principales utilizadas para atacar ECC. Al optimizar el recorrido a través del espacio de la curva elíptica, el aprendizaje automático puede reducir significativamente los tiempos de colisión.
• Realizar ataques de canal lateral, donde los modelos entrenados con datos de consumo de energía o electromagnéticos pueden inferir claves privadas utilizadas en operaciones ECC.
• Generar exploits específicos de curvas, donde los modelos de IA analizan las propiedades aritméticas de las curvas para identificar aquellas que son más débiles o susceptibles de ataque.

Ataques de canal lateral al siguiente nivel

Tradicionalemente, los ataques de canal lateral (SCA) requieren acceso físico y herramientas de medición de alta resolución. La IA está haciendo que estos ataques sean remotos y automatizados. Por ejemplo, los modelos de aprendizaje profundo pueden ser entrenados para clasificar variaciones sutiles en el tiempo de cálculo, el consumo de energía o incluso las emisiones acústicas para deducir claves privadas.

El mayor avance es que la IA no necesita conocer los fundamentos teóricos del sistema que está atacando, solo necesita suficientes datos de entrenamiento. Una vez entrenados, estos modelos pueden atravesar operaciones criptográficas como una sierra, sorteando las protecciones matemáticas por completo.

Sinergia pre y post cuántica

Puede pensar que la computación cuántica es la verdadera amenaza existencial para RSA y ECC. Y tendría razón, el algoritmo de Shor ejecutado en una computadora cuántica lo suficientemente poderosa destruiría a ambos.

Pero aquí está la vuelta: la IA está actuando como un puente hacia la ventaja cuántica. Mientras esperamos a que las máquinas cuánticas maduren, la IA está haciendo que los ataques clásicos de hoy sean más rápidos, escalables y efectivos. Algunos investigadores incluso están desarrollando modelos de IA inspirados en la cuántica para simular el comportamiento de algoritmos cuánticos como Shor o Grover utilizando hardware clásico.

En efecto, la IA está acortando el plazo para que estos esquemas criptográficos se vuelvan obsoletos, incluso antes de que llegue la supremacía cuántica.

Implicaciones para la seguridad

La amenaza que la IA plantea a RSA y ECC ya no es una preocupación teórica, es un hecho. Este cambio en el panorama criptográfico está siendo tomado en serio por gobiernos, agencias de ciberseguridad y empresas privadas. El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU., por ejemplo, ha estado liderando la transición global hacia la criptografía post-cuántica. Después de años de investigación, NIST ha finalizado un conjunto de algoritmos resistentes a la cuántica, incluyendo CRYSTALS-Kyber y CRYSTALS-Dilithium, diseñados para resistir tanto ataques clásicos como cuánticos. Es importante destacar que estos algoritmos también están siendo probados para garantizar su resistencia contra el criptanálisis asistido por IA, lo que subraya cómo el aprendizaje automático ya es un factor en la planificación de la seguridad.

Al mismo tiempo, los sistemas heredados que aún dependen de RSA y ECC se están convirtiendo en vulnerabilidades críticas. Estos esquemas obsoletos están ampliamente integrados en sistemas que forman la columna vertebral de nuestras vidas digitales, desde Redes Privadas Virtuales (VPNs) utilizadas por trabajadores remotos hasta firmware que controla desde routers hasta dispositivos médicos. Si no se actualizan, estos componentes pueden servir como puntos de entrada para atacantes que explotan ataques asistidos por IA clásicos hoy o avances cuánticos mañana.

Amenazas a la infraestructura crítica

Aún más preocupante es el riesgo para la infraestructura crítica. Las redes de energía, las plantas de tratamiento de agua, los sistemas de transporte y las redes de salud a menudo funcionan con pilas de software obsoletas o difíciles de actualizar que dependen de RSA o ECC. Un ataque exitoso a estos sistemas, especialmente uno dirigido a sus controles criptográficos, podría causar interrupciones y peligros reales para la seguridad pública. En el contexto de amenazas de actores estatales, estos sistemas son objetivos particularmente tentadores para el espionaje y el sabotaje.

Qué necesita cambiar

Aquí está la realidad: si todavía está desplegando RSA o ECC en nuevos sistemas, ya está atrasado. La IA no necesita romper completamente estos sistemas para hacerlos inseguros, solo necesita debilitarlos lo suficiente como para hacer que la explotación sea práctica para actores estatales o adversarios bien financiados.

Las defensas modernas necesitan pivotar:

• Adoptar criptografía post-cuántica como esquemas basados en retículos, hash o polinomios multivariantes esquemas.
• Investigar plataformas tecnológicas que proporcionen agilidad criptográfica para hacer que las actualizaciones criptográficas sean fáciles y sin dolor.
• Invertir en métodos criptográficos resistentes a la IA, es decir, algoritmos diseñados específicamente para resistir el análisis mejorado por IA.
• Realizar pruebas de equipo rojo con IA, simular adversarios inteligentes que utilizan el aprendizaje automático para someter a prueba la pila de seguridad.
• Revisar la higiene de implementación: muchos ataques de IA tienen éxito porque las implementaciones son descuidadas, no porque la teoría esté defectuosa.

En resumen

La IA está haciendo lo que ya ha hecho en otras industrias: encontrar eslabones débiles más rápido de lo que podemos parchearlos. RSA y ECC no están muertos, pero la escritura está en la pared. La vieja guardia de la criptografía ya no puede mantenerse sin desafío. O evolucionamos, o nos quedamos atrás.

Los ataques asistidos por IA están haciendo que los esquemas de cifrado antiguos sean obsoletos. Los gobiernos y los investigadores están implementando nuevos estándares de criptografía post-cuántica para prepararse para lo que está por venir. Mientras tanto, los sistemas obsoletos que aún utilizan RSA o ECC, especialmente en infraestructuras críticas como redes de energía o hospitales, están cada vez más en riesgo. Estos sistemas podrían ser vulnerados con efectos devastadores, especialmente por actores estatales.

Esperar para actuar ya no es una opción. La seguridad ahora significa ser flexible, proactivo y listo para amenazas tanto de IA como de potencia cuántica. Así que el mensaje a las industrias de infraestructura crítica es claro: comience a pensar como un adversario empoderado por la IA, porque eso es exactamente quién viene por sus datos.