Hay una fecha que los expertos en seguridad digital repiten con inquietud creciente: el 2029. Ese año, según un análisis reciente de Google, podría materializarse el llamado Q-Day, el momento en que un computador cuántico sea lo suficientemente poderoso como para descifrar los códigos que hoy protegen desde el PIN de una tarjeta débito hasta los archivos clasificados de un gobierno. La mayoría de organizaciones en el mundo apenas empieza a entender lo que eso significa. En Bogotá, una empresa lleva más de 30 años de trayectoria y ocho años haciendo exactamente eso: construir la infraestructura criptográfica que organizaciones de toda la región necesitarán cuando ese momento llegue. Se llama Cyte.
Cyte nació con una convicción que entonces sonaba prematura: que la criptografía sería el eje sobre el que giraría la economía digital del futuro. Hoy tienen presencia en más de ocho países y clientes como ACH Colombia, la Pontificia Universidad Javeriana, Alianza Fiduciaria, Homecenter, entre otros. “Reconocemos el papel crucial que desempeñará la tecnología criptográfica en el futuro de la sociedad”, dice Milton Quiroga, su gerente general. “Nuestro compromiso es ser habilitadores de ese cambio”.
“Estamos a menos de tres años del Q-Day. Una organización típica tiene ese tiempo para prepararse, y la mayoría ni siquiera sabe qué es eso”, explicó Milton Quiroga, gerente general de Cyte.
La computación cuántica es, en esencia, una nueva forma de calcular. Explicó Quiroga que “a diferencia de los computadores actuales, basados en la arquitectura de von Neumann, que opera con bits de ceros y unos, los sistemas cuánticos aprovechan propiedades de la física subatómica para procesar información de manera exponencialmente más veloz y eficiente. Sus aplicaciones positivas son enormes: nuevos materiales, baterías con autonomías impensables, simulación de moléculas que hoy ningún supercomputador puede modelar”.
Pero existe un reverso oscuro: un adversario equipado con capacidad cuántica podría romper los sistemas de cifrado que sostienen la economía digital: transacciones bancarias, registros de propiedad, firmas digitales, comunicaciones de Estado. “Imagínate que alguien pudiera falsificar la firma digital de la escritura de tu apartamento”, plantea Quiroga. “¿Qué pasa con los 15 años que estuviste pagando puntualmente la hipoteca?” Este escenario es el Q-Day, y Cyte lleva años desarrollando productos para que las organizaciones no lleguen a ese punto sin defensa.
Quiroga traza además una analogía con la historia reciente de la guerra. En Ucrania, las ciberarmas llegaron antes que los tanques. En Venezuela, los sistemas de radar quedaron neutralizados digitalmente antes de cualquier operación en tierra. “Primero vienen las ciberarmas, y a la vuelta del tiempo vienen los drones y los aviones”, afirma. La computación cuántica elevaría esa capacidad ofensiva a una escala sin precedentes, convirtiendo infraestructuras críticas, gasoductos, redes eléctricas, acueductos, en blancos vulnerables. Bogotá, por ejemplo, tiene calculada su capacidad de almacenamiento de gasolina. Un ataque cuántico a los sistemas de control de los poliductos de Ecopetrol podría vaciar esa reserva sin disparar un solo tiro.
Frente a ese panorama, Cyte ha desarrollado durante los últimos ocho años un amplio portafolio de soluciones basadas en criptografía post-cuántica. Entre este conjunto de tecnologías, destacan tres productos especializados en la protección de información crítica frente a ataques de computadores cuánticos, los cuales ya operan en bancos y empresas de varios países de la región.
Crypto-Vault protege los flujos de información entre organizaciones y entidades financieras: garantiza, por ejemplo, que el archivo con el que una empresa le ordena al banco dispersar la nómina llegue íntegro y verificado, sin haber sido alterado o suplantado. Notyfind, por su parte, hace el inventario de todos los certificados digitales de una organización, “una empresa grande puede acumular fácilmente 800, y los migra a tecnología post-cuántica”, explica. Y Web-Armor añade una capa de protección sobre la infraestructura existente sin necesidad de detener operaciones.
Este último punto resume uno de los mayores desafíos que Cyte ha enfrentado y resuelto en sus tres décadas de trayectoria: cómo actualizar tecnología crítica sin interrumpir el negocio. “Es como cambiar una llanta con el carro en movimiento a 150 kilómetros por hora”, explica Quiroga. La solución está en lo que la empresa llama criptoagilidad: la capacidad de actualizar los mecanismos criptográficos de una plataforma de forma rápida y modular, sin grandes intervenciones ni cierres de sistema. Es, según Quiroga, “el ingrediente fundamental de nuestra salsa secreta” y la diferencia práctica entre una organización que sobrevivirá al Q-Day y una que no.
En Colombia, el sector más expuesto es el financiero, aunque no el único. La Superintendencia Financiera ya ha comenzado a enviar alertas a los bancos, pero la respuesta habitual sigue siendo, reconoce Quiroga con preocupación, una pregunta: “¿Por qué debería importarme?” El análisis que Cyte ha realizado sobre las principales organizaciones del país arroja como diagnóstico desalentador que “prácticamente todo el país es vulnerable a un ataque cuántico. Estamos muy mal.”
Paradójicamente, el panorama en la región presenta contrastes importantes. Cyte cuenta con clientes en más de ocho países y ha observado distintos niveles de avance en la adopción de tecnologías de criptografía post-cuántica. Aunque algunos mercados han sido históricamente percibidos como más avanzados en materia tecnológica, la preparación frente a la transición criptográfica no necesariamente sigue ese mismo patrón.
La razón es que “en un país donde los delitos informáticos suelen quedar impunes, el perpetrador sale por vencimiento de términos y se va con el dinero robado, las organizaciones aprendieron a invertir en prevención porque saben que la justicia no llegará después”. Un entorno de altos riesgos impulsa pioneros por necesidad en defensa digital. Tanto, que en Europa les preguntan con genuina curiosidad por qué Colombia está tan adelantada en este campo.
Con menos de tres años para el umbral estimado del Q-Day, Cyte intensifica su llamado a la acción. El paralelismo con el problema del año 2000, cuando hubo que sacar a programadores jubilados del retiro para revisar código obsoleto antes de la medianoche del 31 de diciembre de 1999, resulta elocuente. Esta vez, al menos, existe la inteligencia artificial para acelerar los diagnósticos. Pero la ventana se cierra, y aún se está a tiempo para combatir la amenaza, advierte quien lleva 30 años estudiándola y poniéndola en práctica en las empresas.