Los hackers están recurriendo cada vez más a la inteligencia artificial

Los analistas observaron un aumento constante de las amenazas habituales que utilizan infraestructuras de comando y control (C&C) para crear amenazas de botnets, cuyo número y complejidad van en aumento. El phishing sigue siendo la principal táctica utilizada por los atacantes para acceder a las redes corporativas, aunque el Centro de Operaciones de Seguridad (SOC) también detectó un aumento del tráfico malicioso incluido en listas negras.

Según el informe, los actores maliciosos están evolucionando sus patrones de ataque y lanzando campañas fraudulentas que eluden controles de seguridad anteriormente eficaces, como la autenticación de dos factores, lo que obliga a los defensores a reaccionar y elevar el nivel de seguridad para garantizar la protección de las operaciones. Durante 2024, una parte significativa de las amenazas neutralizadas por el SOC ha seguido el vector de ataque más común observado desde 2022: el phishing. Sin embargo, en este periodo se ha producido un notable aumento de una forma más avanzada conocida como «phishing de proxy inverso». El phishing es un método clásico en el que los atacantes se hacen pasar por entidades legítimas (como bancos o proveedores de servicios) para engañar a los usuarios y que estos faciliten información confidencial, como credenciales de inicio de sesión o datos financieros. El phishing tradicional suele basarse en sitios web falsos o correos electrónicos fraudulentos para capturar los datos de los usuarios. «Phishing de proxy inverso».

El phishing es un método clásico en el que los atacantes se hacen pasar por entidades legítimas (como bancos o proveedores de servicios) para engañar a los usuarios y que estos faciliten información confidencial, como credenciales de inicio de sesión o datos financieros. El phishing tradicional suele basarse en sitios web falsos o correos electrónicos fraudulentos para capturar los datos de los usuarios. El phishing tradicional suele basarse en sitios web falsos o correos electrónicos fraudulentos para capturar los datos de los usuarios. El «phishing de proxy inverso», por su parte, es una versión más sofisticada. En lugar de limitarse a crear un sitio web falso, el atacante configura un «proxy» que se interpone entre el sitio web legítimo y la víctima. Este proxy captura las credenciales del usuario y, en tiempo real, las reenvía al sitio real, haciendo que la víctima crea que todo es normal. El peligro de este método radica en que puede eludir la autenticación multifactorial (MFA), que se utiliza habitualmente para proteger sistemas sensibles. El phishing de proxy inverso es una técnica utilizada para robar credenciales o eludir la autenticación multifactorial. Una vez que los atacantes obtienen acceso a una red, pueden desplegar una infraestructura C&C para controlar de forma remota los sistemas comprometidos. Esto podría permitir la creación de botnets: grandes redes de dispositivos infectados utilizados para actividades maliciosas como los ataques de denegación de servicio distribuido (DDoS). 

En 2024, Marlink adquirió Diverto y Port IT para el creciente sector de la ciberseguridad. ¿Qué sinergias espera obtener? 

Nicolas Furgé: Marlink ha aunado los recursos de Diverto y Port-IT con las soluciones cibernéticas de Marlink para hacer frente al crecimiento de las amenazas cibernéticas y a la creciente necesidad de cumplimiento normativo. Esta estructura combina la experiencia existente en Marlink con las habilidades, los recursos y la presencia geográfica derivadas de la adquisición de Diverto y Port-IT. Unos 150 expertos cibernéticos se centrarán en desarrollar y ofrecer las soluciones que los clientes necesitan para abordar los nuevos retos cibernéticos.

¿Cómo se protegen usted y sus sistemas contra los ciberataques? 

Furgé: Lo ideal es que los propietarios y operadores empiecen desde cero. Incluso si ha implementado múltiples capas de protección (por ejemplo, antivirus, software de seguridad para terminales o de red), debe comprender su postura de seguridad global, dónde existen los riesgos y cómo son las amenazas. Eso puede implicar realizar evaluaciones de vulnerabilidad y pruebas de penetración para comprender cuál es su nivel de seguridad actual y cuál debe alcanzar. Gestionamos una cartera de Centros de Operaciones de Seguridad, incluido uno dedicado al sector marítimo, que apoyará la detección proactiva de amenazas, así como soluciones defensivas para redes, protegiendo los activos hasta el nivel de los usuarios individuales.

En su opinión, ¿aumenta el riesgo cibernético con los nuevos buques, ya que se puede instalar más tecnología digital, o disminuye porque estos nuevos buques y sus propias tecnologías están mejor protegidos contra los ciberataques?

Furgé: Podría decirse que el aumento del uso de la tecnología digital a bordo sí incrementa el riesgo cibernético. El mayor volumen de ancho de banda disponible para los usuarios y, por lo tanto, el aumento del tráfico, hace que el sector esté más expuesto. Esto es especialmente cierto en el caso de Internet LEO, ya que el mayor uso por parte de la tripulación aumenta inherentemente los riesgos de ataques de phishing y de ingeniería social. La ciberseguridad para Internet LEO se aplica como parte de la configuración típica de red híbrida que implementamos para armadores y operadores. El informe del SOC marítimo publicado el año pasado por Marlink también señalaba que los hackers están aumentando su uso de la IA para atacar objetivos y superar la autenticación de dos factores, por lo que los armadores deben prepararse para un aumento de los riesgos en el futuro.

¿Qué deben hacer los armadores? 

Furgé: Además de evaluar los riesgos y las amenazas específicas a las que se enfrentan, los armadores deben recordar que la mayoría de los incidentes cibernéticos tienen su origen en el comportamiento humano. Los sistemas mejor diseñados ayudarán a los usuarios a actuar de forma segura y coherente, pero en todos los casos los armadores deben asegurarse de que la tripulación esté formada para ser consciente de las amenazas y comprenda lo que debe hacer para protegerse a sí misma, a sus compañeros y a su empleador frente a las amenazas cibernéticas. Los armadores también deben comprender cómo les afecta la normativa, que se está endureciendo a medida que aumenta el riesgo cibernético. La más reciente, la URE26 de la IACS, tiene como objetivo proporcionar un conjunto mínimo de requisitos para la ciberresiliencia de los buques. Destinada al diseño, la construcción, la puesta en servicio y la vida operativa de los buques de nueva construcción, es probable que en el futuro se extiendan requisitos equivalentes a los buques existentes. Su requisito relacionado, el URE27, tiene por objeto proporcionar las capacidades mínimas de seguridad para que los sistemas y equipos se consideren ciberresilientes y está destinado a los proveedores de equipos de terceros. Otros regímenes regionales, algunos específicos del sector y otros de carácter más general, pueden imponer severas sanciones económicas por incumplimiento.

Preguntas: Michael Meyer

Nicolas Furgé 

Presidente de Marlink Cyber

Este artículo fue publicado el 24 de abril de 2025 por HANSA – Revista Marítima Internacional