¿Están los piratas informáticos marítimos encontrando el camino libre?

En un momento en el que bandas armadas atacan a los buques que navegan por el mar Rojo y el mar Negro es, a efectos prácticos, una zona de guerra, puede parecer exagerado afirmar que la piratería informática es, posiblemente, la mayor amenaza actual para la continuidad de las operaciones en el sector marítimo.

Sin embargo, la transformación del sector marítimo, que ha pasado de ser un negocio de nicho, aislado por un ancho de banda reducido y aplicaciones a medida, a convertirse en un objetivo de gran valor con relevancia política y económica, le ha atraído una atención indeseada.

Por supuesto, existen contramedidas y una combinación de directrices normativas y estándares del sector ha ayudado a equilibrar las probabilidades, pero este es un juego que sigue inclinándose a favor de los atacantes más que de los defensores.

Existe una gran diferencia entre los líderes, los seguidores y los rezagados, y es entre este último grupo donde la preocupación debería ser mayor.

Hasta hace poco, estos últimos confiaban en el software antivirus y en cruzar los dedos, pero ahora que la balanza se inclina a favor de los hackers, está entrando en juego una combinación de protección proactiva y regulación.

El cumplimiento de las normativas de ciberseguridad sigue siendo una experiencia nueva para la mayoría de las empresas navieras. Esto comenzó con las adiciones de la OMI de 2021 al Código ISM, que en realidad eran una guía de buenas prácticas más que una base normativa. Las normas TMSA y SIRE exigen mayores cargas de la prueba, pero estas son específicas de cada sector del mercado.

La Guardia Costera de EE. UU. tiene previsto introducir medidas regionales y la OMI tiene la ciberseguridad en su agenda para futuras regulaciones, pero, mientras tanto, las normas más recientes son los Requisitos Unificados E26 y E27 de la IACS.

El UR E26, que establece bases obligatorias de ciberseguridad para los buques de nueva construcción —con una normativa complementaria, el E27, para los sistemas a bordo—, es posiblemente el primer ejemplo de normas tangibles en materia de ciberseguridad, pero, aun así, solo representa un listón relativamente bajo en cuanto a requisitos de cumplimiento.

Su aplicación exclusiva a los buques de nueva construcción plantea una cuestión importante: ¿por qué iban los armadores a aplicar las normas de protección cibernética solo a estos buques, si tienen activos de uno o dos años de antigüedad y de valor similar en el mar, presumiblemente con perfiles de riesgo similares?

Por supuesto, organismos como las sociedades de clasificación ofrecen anotaciones y orientación para los buques existentes, pero la preocupación será siempre que los elementos que no son obligatorios no se prioricen.

¿Por qué no protegen sus activos existentes en la misma medida o en mayor medida? El valor de los activos será similar, el riesgo de la carga igual o mayor, y el impacto en el balance y la continuidad del negocio de un ataque exitoso sería el mismo o mayor.

Como dice el viejo refrán de los pastores de cabras andorranos: «Un hombre con dos casas no deja una abierta para proteger la otra».

Al aplicar las normas mínimas de la IACS únicamente a los buques de nueva construcción y no a los ya existentes, los armadores están asumiendo un riesgo adicional en lugar de reducir su perfil de riesgo global.

La capacidad de los rebeldes hutíes para atacar buques que consideran directamente vinculados a sus enemigos ilustra la facilidad con la que se accede a los datos sobre la propiedad y el despliegue de la flota. Cada vez hay menos lugares donde esconderse.

Es probable que aumente la presión para que se adopten medidas similares en los buques existentes, y los fletadores y las aseguradoras son los más indicados para ejercer presión sobre los armadores a fin de garantizar que el cumplimiento sea uniforme en toda la flota.

En realidad, tendrán que ir más allá. Las disposiciones de las UR de la IACS no están exentas de críticas, ya que hay quienes temen que el cumplimiento se base en el mero cumplimiento de requisitos en lugar de en acciones positivas. Esto pasa por alto la realidad de que alcanzar un consenso dentro de la IACS, al igual que en muchas organizaciones similares, es una cuestión de compromiso.

La creciente presión en materia de ciberseguridad permite a las compañías navieras cumplir con los estándares básicos y les da libertad para ir más allá, adoptando enfoques más rigurosos en términos de tecnología, formación, procedimientos y concienciación.

La evidencia de las normas industriales probadas y contrastadas es que pueden integrar la concienciación sobre los riesgos cibernéticos en la cadena de suministro y convertirla en una condición para hacer negocios.

Los armadores tendrán que afrontar la incómoda verdad de que, para mantener su estatus como operadores de buena reputación en los que vale la pena invertir, deberán implementar una auditoría cibernética exhaustiva en todas sus flotas, utilizando la norma UR E26 como punto de partida, pero no como punto final.

Tore Morten Olsen 

Presidente, Sector Marítimo, Marlink

Este artículo fue publicado el 23 de abril de 2025 por Ship Technology