Home/Artículos/Ciberseguridad Marítima

Ciberseguridad Marítima

Autor: Abg. Gustavo García[1]

Sumario

I. Introducción. II. Definición e importancia de la Ciberseguridad Marítima. III. Alcance y tipos de amenazas usuales / métodos. IV. Organizaciones vinculadas con la materia. V. Breve reseña de ciberataques reportados en el sector marítimo. VI. Regulación en la materia / Experimento Mayflower (Inteligencia Artificial). VII. Conclusiones. Referencias Bibliográficas.

Palabras claves: Seguridad informática, ciberseguridad marítima, ciberataque, inteligencia artificial, hackers, ciberdelincuencia, sector marítimo, riesgos cibernéticos.

I. Introducción

El intercambio de información, datos, procesos y en general el manejo global de la comunicación se efectúa a través de redes interconectadas, que se han desarrollado, en sus orígenes más remotos desde la década del sesenta, al lograr conectar entre sí las primeras computadoras.

Sin embargo, el avance tecnológico durante los últimos treinta (30) años, ha facilitado la introducción y uso de nuevas plataformas de comunicación, entre las que destaca, el Internet (Interconnected Networks), como la mayor red interconectada de computadoras u ordenadores en el mundo. A través de esta, compartimos todo tipo de información, gracias a unos protocolos denominados TCP/IP. A esta red, como bien lo explican expertos en la materia, no debemos confundirle con la World Wide Web (WWW / la Web), que es un protocolo de uso masivo, cuya función es permitir compartir e intercambiar determinado tipo de información a través de internet.

En tal sentido, existen otros servicios o protocolos que hacen uso de esta red interconectada a nivel mundial (transmisión de otros tipos de archivos, televisión, telefonía, correo electrónico). En consecuencia, es evidente que a través de este medio o canal de comunicación en red (Internet), se transmiten e intercambian millones de datos con fines sociales, comerciales, militares, entre otros.

Así las cosas, este espacio virtual o ciberespacio es usado por un sinnúmero de personas, empresas de distintos sectores (bancario, transporte, salud, telecomunicaciones, comercio) y gobiernos para cumplir con diversos fines. Uno de los sectores más importantes, por lo que representa comercialmente en el mundo, es el sector marítimo.

En efecto, el ciberespacio es explotado con usos e intereses variados, quedando sometido en muchas ocasiones al ataque de intrusos, que con interés malsano buscan hacer daños a equipos u obtener información ilegítimamente.

En nuestro caso, nos referiremos a la ciberseguridad marítima, considerando que distintos actores del sector, tales como: armadores, operadores portuarios, empresas de seguro o clubes de P & I y otros; hacen uso imprescindible del ciberespacio, permaneciendo expuestos constantemente a distintos tipos de riesgos y ataques generales (como los dirigidos a la mayoría de los usuarios) o a ciberataques particulares con fines de destrucción o daños específicos a nivel operacional o de protección al transporte marítimo o ciertas infraestructuras.

La delincuencia cibernética, es una realidad antagónica que aumenta y se fortalece en el espacio virtual y que cada día afecta de múltiples maneras a mayor cantidad de usuarios en el mundo, incluyendo a las empresas o actores que operan en el sector marítimo.

Por tal razón, así como a nivel físico procuramos la existencia de herramientas y protocolos de seguridad que nos ayudan a prevenir y/o atacar el delito, en el ciberespacio; es necesario -igualmente- ejercer acciones y tomar medidas en contra de este mismo fenómeno.

Sobre la base de las consideraciones expuestas, a través del presente ensayo o artículo, repasaremos, entre otras cosas; la concepción e importancia de la ciberseguridad, con especial énfasis en el sector marítimo. Mencionaremos el alcance y tipos de amenazas comunes, con su correspondiente identificación de riesgos. Finalmente, haremos referencia a las directrices de la Organización Marítima Internacional (OMI) u otras existentes en la materia para contrarrestar los riesgos cibernéticos y procurar los mayores estándares de seguridad y protección marítima.

II.- Definición e importancia de la Ciberseguridad Marítima

A efectos de conceptualizar o definir la ciberseguridad marítima, distingamos esta figura en su concepción primaria o base, teniendo en cuenta las siguientes menciones:

«La ciberseguridad es la práctica de proteger los sistemas, redes y programas de ataques digitales. Estos ataques cibernéticos suelen tener como objetivo acceder, modificar o destruir información sensible, extorsionar a los usuarios o interrumpir los procesos comerciales ordinarios. La aplicación de medidas eficaces de ciberseguridad es especialmente difícil hoy porque hay más dispositivos que personas y los atacantes son cada vez más innovadores».[2] (Traducción libre / subrayado propio).

En tal sentido, la ciberseguridad, también denominada seguridad de tecnología de la información, seguridad informática o seguridad cibernética; tendría como objetivo la protección de sistemas informáticos contra la intervención o accesos no autorizados, aplicando «(…) tecnologías, procesos y controles para proteger sistemas, redes, programas, dispositivos y datos de los ataques cibernéticos».[3] (Traducción libre).

El avance de la tecnología produce cada día mayores ventajas o utilidades a nuestras vidas y al desenvolvimiento de las empresas, pero esto viene acompañado de riesgos y amenazas que ya no forman parte de la ciencia – ficción, por el contrario, son verídicas. De ahí la importancia de la seguridad de los sistemas informáticos, considerando que restituir la información o restablecer las condiciones de un equipo o sistema; o de la gestión ordinaria de una empresa, al margen del impacto que esto pueda tener en cada caso, no siempre es posible y representa -en abundantes sucesos- una pérdida económica, difícil de recuperar.

Así, los protocolos o sistemas que sirven o forman parte de la seguridad informática, deben estar en constante desarrollo y actualización, no son estáticos; considerando que cada día surgen nuevas formas o amenazas contra las cuales lidiar.

Una de las secuelas del delito informático -en ocasiones- es una afectación de la credibilidad o reputación de una empresa, que pudiera hacerle perder clientes y/o usuarios o al menos afectar la confianza de estos sobre sus operaciones. A título de ejemplo, uno de los mayores ciberataques reportados durante los últimos años, lo sufrió Yahoo en el año 2014, no tanto por su impacto económico, si no por lo relacionado a la información vulnerada por hackers que obtuvieron datos y acceso a las cuentas de al menos, quinientos millones de usuarios (500.000.000), lo cual afectó gravemente la imagen de esa empresa, sufriendo la baja de un sinnúmero de ellos que se retiraron de su plataforma.

Lo anterior, es un ejemplo de una empresa conocida o popular a nivel comercial y social en la prestación de servicios de correo electrónico y otros; sin embargo, en ciertos niveles o escalas, cada sector, como el bancario, el relacionado con telecomunicaciones, salud, plataformas de redes sociales como twitter, u otros sectores como el eléctrico o desde luego el sector marítimo, cuentan también con ejemplos o casos que exponen claramente los riesgos existentes en este sentido.

A nivel marítimo, no son muchos los casos de ciberataques que se conozcan a gran escala en comparación con otros sectores, probablemente por razones de protección a la reputación o imagen, muchas empresas, armadores u otros actores relacionados con el transporte marítimo, son reservados con los hechos o incidencias que les han convertido en víctimas, aunque cada día existe un mayor nivel de consciencia y de acción en relación a este tema.

Sin embargo, uno de los acontecimientos emblemáticos de ciberataques en el sector, lo sufrió en junio de 2017, una de las principales empresas de transporte marítimo a nivel mundial, Maerks. Ese año, se dio a nivel global uno de los mayores ciberataques masivos que se conozca. Un evento que afectó a miles de empresas y gobiernos en el mundo, particularmente en países como Holanda, España, Reino Unido, Francia, Rusia, Ucrania entre otros. Se trató de un ramsomware (que describiremos más adelante), que cifraba o bloqueaba máquinas, ordenadores y otros sistemas conectados a una misma red. La forma inmediata de proceder a desbloquearles, era pagando un rescate en bitcoins.

Una de las tantas víctimas de este ataque -como referimos- fue Maerks, que se vio impedida de procesar sus órdenes relacionada con el despacho, recepción y logística asociada a miles de contenedores, afectando en cadena a sus proveedores y consumidores. Lo que ocasionó, entre otras cosas, problemas en varios puertos de descarga. A tal punto, que un día después del ciberataque, es decir el 28 de junio de 2017, esta empresa afirmaba en un comunicado -reportado en varios medios- que: «Los sistemas informáticos están apagados en varios sitios y en distintas unidades de negocio, hemos contenido el problema y estamos trabajando en un plan de recuperación con socios informáticos claves y agencias de seguridad cibernética global».[4]

Las consecuencias más graves de este ataque, se extendieron para Maerks, al menos hasta las dos primeras semanas de julio de ese año, debido al nivel de afectación a sus volúmenes, que le llevaron a estimar sus pérdidas en un monto máximo aproximado de Doscientos Cincuenta y Seis millones de Euros (€.-256.000.000,00) o unos Trescientos Millones de Dólares (USD.- 300.000.000,00)[5]. Dejando en evidencia, una vez más, la importancia de la ciberseguridad como forma de contrarrestar el delito informático y sus consecuencias.

En este propósito, y con base a las Directrices sobre la gestión de los riesgos cibernéticos marítimos[6] emitidas por la Organización Marítima Internacional (OMI), pudiéramos corroborar que la ciberseguridad marítima; consiste en la reciente práctica y manejo de sistemas, procedimientos y/o herramientas informáticas que tienen como objetivo proteger y minimizar potenciales daños relacionados o derivados de sucesos (ciberdelitos) que puedan causar fallos o alteraciones operacionales, de seguridad o protección al transporte marítimo, considerando la digitalización, automatización e integración de los procedimientos y sistemas que sirven a este tipo de transporte.

En especial, y de acuerdo a las directrices y lineamientos en la materia, emitidas por la OMI y que detallaremos más adelante, tendría como objetivo; la seguridad informática relacionada -entre otros- con: los sistemas de puente, sistemas de propulsión y gestión de máquinas y control en Buques, sistemas de comprobación y control de accesos, servicios a pasajeros (casos de Buques de pasaje y servicios asociados), sistemas administrativos y de bienestar de la tripulación, sistemas de comunicación, sistemas de manipulación y carga (lo cual, desde luego incluye a los puertos, su manejo, control de infraestructura y servicios asociados).

III.- Alcance y tipos de amenazas usuales / métodos

Las empresas de seguridad en materia informática a nivel mundial al igual que algunas agencias de gobierno, manejan un listado de las categorías o tipos comunes de amenazas que orbitan -en general- a cualquier tipo de usuario o sector que tenga algún tipo de actividad o presencia en el ciberespacio, incluyendo el marítimo. A continuación, tomaremos como referencia, lo que kaspersky[7], empresa de ciberseguridad privada con sede principal en Rusia y Reino Unido, ha listado en este sentido:

1.- Malware: software malicioso. Es una de las ciberamenazas más usuales. El malware es software desarrollado con el fin de interrumpir o causar daños en el equipo de un usuario legítimo. Se transmite a través de un archivo adjunto de correos electrónicos no solicitados o de descargas aparentemente legítimas. Suele utilizarse para exigir cantidades de dinero o con fines políticos. Entre los tipos de malware más comunes, destacan:

1.1.- Virus: un programa específico, que se introduce en archivos limpios y se expande por todo el sistema informático, infectando esos archivos con código malicioso.

1.2.- Troyanos: variante de malware con apariencia de software legitimo, que una vez descargado por un usuario, causa determinados daños o recopila datos de posible interés para el cibercriminal.

1.3.- Spyware: un programa que registra en secreto lo que haces como usuario, sin que lo notes (al menos por un tiempo), tiene como objetivo -generalmente- captar datos financieros (bancarios, de tarjetas de crédito, transferencias, entre otros).

1.4.- Ramsomware: este tipo de malware bloquea datos, información y archivos del usuario, acompañado de amenazas de borrado, salvo que se pague un rescate. Este es el tipo de malware, que referimos en el inciso II del presente trabajo, y que afectó a la empresa Maerks en el año 2017, causándole pérdidas cercanas a los Trescientos Millones de Dólares (USD.- 300.000.000,00).

1.5.- Adware: software de publicidad, utilizados como medio para difundir o contagiar varios tipos de malware.

1.6.- Botnets: se refiere a un grupo o redes de computadoras ya infectadas pertenecientes a un usuario, usadas por los cibercriminales para realizar faenas en línea, con distintos fines sin el permiso del usuario.

2.- Inyección de código SQL: una inyección de este tipo de código (Structured Query Language) toma el control de bases de datos, en la búsqueda, por lo general, de información confidencial.

3.- Phishing: a este le pudiéramos considerar un clásico. Consiste en atacar y enviar a las potenciales víctimas correos electrónicos con apariencia legítima asociada a empresas, bancos u otros; requiriendo información confidencial. Si el usuario es inducido con éxito a compartir los datos requeridos, pasa a ser víctima del delito con las consecuencias que puedan provocar los cibercriminales al obtener y disponer de sus datos e información.

4.- Ataque de Intermediario o del tipo “Man in the middle”: consiste en una técnica para interceptar la comunicación entre dos personas o un usuario conectado a la red y proceder a robarle sus datos. Generalmente, el ciberdelicuente logra este tipo de transgresión cuando uno o ambos usuarios, hacen usos de redes wifi “no seguras”, como son comunes en aeropuertos u otros espacios abiertos al público en general.

5.- Ataque de denegación de servicio: consiste en impedir que un sistema informático responda a las solicitudes u órdenes de un usuario legítimo, normalmente sobrecargando determinadas redes y/o servidores. Esto puede impedir que un ente u organización pueda cumplir con sus funciones o actividades, en el sector que sea.

Como ya se ha aclarado, lo anterior representa una lista de amenazas transversal a cualquier tipo de usuario, empresas u otros actores que hagan uso del ciberespacio, trabajen en redes, dispongan de acceso remoto para el manejo e intercambio de información, etc. Existen otros tipos de amenazas, riesgos y métodos desarrollados por los cibercriminales, evidenciados -incluso- por los últimos acontecimientos ocurridos en este sentido desde diciembre de 2019 a julio de 2020; a plataformas financieras, de gobiernos, de redes sociales, o las que se desprenden del aprovechamiento del confinamiento, medidas de cuarentena y teletrabajo consecuencia del COVID19 a nivel mundial. Sin embargo, a efectos de este ensayo y salvo otras referencias relevantes en el sector marítimo, que expondremos más adelante, consideramos que la lista enunciada ilustra el panorama general de riesgos y métodos utilizados con fines dañinos en este contexto.

IV.- Organizaciones vinculadas con la materia

La consciencia y necesidad para asumir los desafíos que representa la ciberseguridad a nivel global, va en aumento. A modo de referencia, el World Economic Forum -ha catalogado en sus últimas reuniones- la ciberdelincuencia como uno de los principales riesgos y amenazas para la economía mundial. Motivando la participación de los países para que compartan información relacionada con las amenazas en esta materia, y colaboren de forma conjunta en la lucha y programación de estándares de ciberseguridad.

Entre las principales agencias gubernamentales y organizaciones que son referentes en la materia, y que han formulado estándares y recomendaciones aplicables en forma transversal a distintos tipos de sectores, resaltan: (i) El Instituto Nacional de Estándares y Tecnología (NIST), adscrita al Departamento de Comercio de los Estados Unidos de Norteamérica; (ii) El Centro Nacional de Seguridad Cibernética (NSCS), del Gobierno del Reino Unido; (iii) El Centro Australiano de Ciberseguridad (ACSC), que a la fecha y desde el mes de junio de 2020 se encuentra luchando contra una fuerte ola de ciberataques a empresas y entes del Gobierno de Australia, presumiblemente provenientes y apoyados por otro país, que públicamente aún no han señalado, mientras realizan las investigaciones; (iv) la Agencia Europea de Seguridad de las Redes y de la Información – ENISA, de la Unión Europea; entre otros.

Por su parte, en lo que respecta al sector marítimo; la Organización Marítima Internacional (OMI), igualmente ha dictado algunas directrices en materia de ciberseguridad (como ampliaremos más adelante) dirigida -principalmente- a los actores que hacen vida en el sector. Apoyándose en otras organizaciones, como el Consejo Marítimo Internacional y del Báltico (BIMCO); INTERTANKO e INTERCARGO.

Por último, a modo de referencia en el siguiente mapa, referido por la Unión Internacional de Telecomunicaciones (UIT), es posible apreciar los niveles de compromiso y avances por países en materia de ciberseguridad (al -2018- y sin mayores cambios en la actualidad); expresados en una gama de colores que van desde azul claro (máximo compromiso) hasta azul oscuro (compromiso bajo). A Venezuela, pudiéramos considerarla en un nivel de compromiso intermedio:

Mapa de niveles de compromiso y avances en materia de ciberseguridad por pais. Fuente: Unión Internacional de Trabajadores

Fuente: Unión Internacional de Telecomunicaciones (UIT)[8]

V.- Breve reseña de ciberataques reportados en el sector marítimo

En general, los ciberataques conocidos han estado dirigidos a ciertas empresas navieras o armadores, operadores portuarios y a buques / plataforma. Algunas de estas acciones, han afectado el comercio a una escala relevante (como el caso de Maerks -2017- referido en el capitulo II del presente artículo, que afectó igualmente a terceros); también podrían identificarse o materializarse casos que pudieran afectar el medio ambiente, o la seguridad y vida humana en el mar.

Al respecto, y sobre la base de algunas menciones e investigaciones realizadas, entre otros, por Crawford Crawford[9], es posible señalar que, sobre la base de la tecnología intervenida se ha detectado:

(i) Vulneración o alteración del sistema de cartas de navegación -denominadas ECDIS – que sustituye las cartas náuticas que otros tiempos se disponían en papel;

(ii)Intervención remota de los AIS, que constituye uno de los sistemas de comunicación de un buque o nave a otra, con el fin de intercambiar datos relacionados con la posición para evitar colisiones o abordajes. En este caso, se han destacado las prácticas que han llevado a cabo empresas de seguridad, para demostrar que es posible a nivel de -sistemas- crear “buques fantasmas” con ubicación determinada, con el fin de ser reconocidos como reales y eventualmente provocar el cambio de rumbo de otras naves;

(iii) Los GNSS / GPS sistemas de navegación – posicionamiento global, también pueden ser objeto de ciberataques, y poner en riesgo el transporte marítimo y la vida humana en el mar, al afectar -entre otras cosas- el sistema de posicionamiento de la nave y los datos asociados a la cartografía electrónica.

Algunos casos reales conocidos en el sector, y reseñados igualmente por Crawford [10] y otras fuentes noticiosas o profesionales asociadas al sector, son los siguientes:

  • White Rose of Drax: aunque se trató de una prueba, en el año 2013, investigadores de la Universidad de Texas – Austin; demostraron la posibilidad de tomar control de un buque, manipulando remotamente su GPS. El yate White Rose of Drax, navegaba por el mediterráneo y en un lapso de 30 minutos se transmitieron señales falsas de un GPS de uso civil, hasta llegar a dominar las señales reales del GPS y el sistema de navegación del Yate. Ante esto, el capitán y los tripulantes a bordo intentaron tomar algunas acciones correctivas, siguiendo finalmente por error el rumbo que les marcaba el GPS por ordenes de los hackers.

  • Maerks: hemos referido en otros apartados de este trabajo, el ataque y los daños ocasionados a esta empresa naviera a mediados del año 2017, producto de un ciberataque mundial del tipo Ramsonware. En complemento a lo dicho, es oportuno indicar que de acuerdo a información compartida desde la Presidencia de Maerks en relación a ese suceso, la empresa se vio en la necesidad de sustituir un total de cuarenta y cinco mil (45.000) computadoras y cuatro mil (4.000) servidores.

  • IRISL: la mayor compañía naviera de Irán, sufrió un ciberataque en el mes de agosto del año 2011. Los ciberdelicuentes, lograron acceder remotamente a los servidores de la empresa, afectando la data relacionada con tarifas, fechas de entregas y lugares de ubicación de miles de contenedores, provocando incluso la entrega errónea de carga en destinos y puertos equivocados.

  • Plataformas petroleras: se conocen varios incidentes y sucesos que han interrumpido el funcionamiento y/o traslados de plataformas petroleras de un punto a otro, como el caso en el año 2010 de una plataforma que estaba siendo traslada desde Corea del Sur a Brasil, y sufrió en determinado momento una fuerte inclinación ordenada por los “sistemas de control de la plataforma” que estaban siendo intervenidos remotamente. Quienes investigaban el suceso, se percataron de este particular tras diecinueve (19) días de navegación.

Otro ataque informático, ocurrió a una plataforma petrolera que se encontraba en proceso de construcción en el año 2012, y que llegó a sufrir una escora de 17º, produciendo un accidente que afectó a 89 trabajadores, y la estructura de apoyo de la plataforma, produciendo cuantiosos daños al astillero. Este menoscabo fue producto del control de los sistemas de bomba por parte de unos hackers.

Países, como Australia y España, entre otros, han reportado ciberataques a sus puertos. En este último, es conocido un episodio reportado por la Autoridad Portuaria de Barcelona, que durante el mes de septiembre de 2018, notificó la alteración del cronograma de entrega y recepción de mercancías, producto de la intervención y acción de delincuentes informáticos.

VI.- Regulación en la materia / Experiencia Mayflower (Inteligencia Artificial)

La seguridad de los viajes por mar, y en general del transporte marítimo, es uno de los compromisos asumidos por la Organización Marítima Internacional (IMO, por sus siglas en inglés). En tal sentido, y como lo expresa Gabaldón:

«Los convenios de la OMI sobre seguridad marítima incluyen una serie de normas que, en su mayoría, son de carácter técnico, alcanzan gran extensión y se disponen generalmente a modo de Anexos (…). En su conjunto conforman una reglamentación internacional de seguridad y de prevención de la contaminación bastante precisa y uniforme, de modo que viene a facilitar notablemente el tratamiento de las inspecciones y controles a nivel mundial».[11]

En tal sentido, refiere el profesor Gabaldón que, por su carácter eminentemente detallista y técnico, las reglas contenidas en estos convenios, son objeto de actualización y revisión permanente, producto -entre otras cosas- de los resultados en la investigación de siniestros, así como del continuado avance de la ciencia y la tecnología.[12]

Así, el Convenio Internacional para la Seguridad de la Vida Humana en el Mar (SOLAS/74/88) -que tiene su origen, como consecuencia del hundimiento del Titanic, ocurrido en abril del año 1912- se considera con sus correspondientes enmiendas y actualizaciones, en el instrumento o tratado internacional más importante en materia de seguridad marítima. Es un convenio, altamente técnico e incluye prescripciones relacionadas con la construcción, la explotación o equipamiento asociado para garantizar la seguridad de las operaciones y la vida humana en el mar. En el año 1994, a través del proceso de enmienda del SOLAS, se incorporó con carácter obligatorio el capítulo IX, contentivo del denominado Código Internacional de la Seguridad (Código IGS o ISM code), que tiene como objetivo general garantizar la operación y gestión de los buques en condiciones de seguridad, así como prevenir la contaminación.

Sobre la base y propósitos del referido Código IGS, el Comité de Seguridad Marítima de la OMI, adoptó la Resolución MSC.428 (98) en fecha 16 de junio de 2017, denominada Gestión de los Riesgos Cibernéticos Marítimos en los Sistemas de Gestión de la Seguridad, que junto a la Circular MSC-FAL.1/Circ.3; Directrices sobre la gestión de los riesgos cibernéticos marítimos, constituyen lineamientos para el manejo, prevención y definición de acciones dirigidas a proteger el transporte marítimo ante las nuevas amenazas cibernéticas o informáticas que desafían el sector.

En efecto, estos instrumentos hacen un llamado a las Administraciones, operadores y propietarios de buques, agentes navieros, fabricantes de equipos, proveedores de servicios, puertos e instalaciones portuarias, entre otros actores del sector marítimo; a trabajar y agilizar las labores para salvaguardar el transporte marítimo de las amenazas, actuales y emergentes, sobre activos tecnológicos que puedan producir fallos operacionales, de seguridad o protección del transporte marítimo, al ponerse en peligro información o sistemas.

En concreto, las Directrices sobre la gestión de los riesgos cibernéticos marítimos, no limitan a la propia normativa OMI, la práctica o formulas de ciberseguridad que cada ente o actor pueda implementar. Al contrario, les insta a remitirse a las prescripciones que puedan definir las Administraciones de los Estados de abanderamiento, y a cualquier otra norma o práctica adicional a las del sector, que les permita implantar o asumir los procedimientos de gestión de riesgos que estimen pertinentes.

Se trata entonces de complementar la clásica gestión de seguridad y protección establecidas por la OMI, considerando que muchos de los sistemas vulnerables se encuentran interconectados o asociados a una red cibernética. La lista -referencial- resalta como sistemas vulnerables, según habíamos adelantado: los sistemas del puente, los sistemas de manipulación y gestión de la carga, los sistemas de propulsión y gestión de las máquinas y de control de suministro eléctrico, los sistemas de control de acceso, los sistemas de servicio a los pasajeros y de organización de los mismos, los sistemas administrativos y de bienestar de la tripulación, los sistemas de comunicación.[13] Hecha la observación anterior, con base a estas directrices y a efectos de sus pautas:

«(…) se entiende por gestión de los riesgos cibernéticos el proceso de identificación, análisis, evaluación y comunicación de riesgos de índole cibernética y de aceptación, evitación, transferencia o mitigación de esos riesgos hasta un nivel aceptable, teniendo en cuenta los costos y las ventajas para los interesados».[14]

Este instrumento –Circular MSC-FAL.1/Circ.3– de la OMI, inspirado o fundamentado en parte, en algunas pautas contenidas en las normas de ciberseguridad de infraestructuras críticas, emitidas por el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos, mencionado en el Capitulo IV del presente trabajo; establece el marco de acciones principales para la gestión de riesgos pero adaptadas al sector, a saber:

«1. Identificar: definir funciones y responsabilidades del personal en la gestión de riesgos cibernéticos, e identificar los sistemas, activos, datos y capacidades que, si se interrumpen, planean riesgos para las operaciones de los buques.
2. Proteger: implantar procedimientos y medidas para el control de los riesgos, así como planificación para contingencias, a fin de proteger ante cualquier suceso cibernético y garantizar la continuidad de las operaciones del transporte marítimo.
3. Detectar: dar lugar a las actividades necesarias para detectar un suceso cibernético oportunamente.
4. Responder: crear e implantar actividades y planes para dar resiliencia y restaurar los sistemas necesarios para las operaciones o servicios de transporte marítimo que hayan sido afectados por un suceso cibernético.
5.- Recuperar: determinar medidas para restaurar sistemas cibernéticos necesarios para las operaciones de transporte marítimo (…).»[15]

Este marco referencial de acciones, son directrices que deben ser ampliadas y desarrolladas por medidas mucho más detalladas, que en parte pudieran llegar a tener carácter confidencial, por razones obvias. Así, la Circular MSC-FAL.1/Circ.3, señala que entre las normas y orientaciones adicionales que deben atenderse, están:

(i) Las Directrices sobre ciberseguridad a bordo de los buques, emitidas y elaboradas por las siguientes organizaciones del sector: BIMCO, la Asociación Internacional de Líneas de Cruceros (CLIA); ICS, INTERCARGO, INTERTANKO, OCIMF, IUMI;

(ii) Norma ISO/IEC 27001: Information technology – Security techniques – Information security management systems – Requirements, publicada en conjunto por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (CEI). Al respecto es importante señalar que esta normativa ISO, ha sido objeto de constantes actualizaciones y mejoras desde 2017 a la fecha, por lo cual la recomendación es verificar la versión aplicable al momento de consultar o tenerla como herramienta de trabajo. La verificación de las versiones actuales de los instrumentos sugeridos por la OMI, está igualmente avalada por estas directrices.

(iii) Y el NIST Cybersecurity Framework o marco de mejora de la ciberseguridad de las infraestructuras críticas, del Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos, ya referido.

Por último, es fundamental destacar que, con base al Punto 2 de la Resolución MSC.428 (98), la primera verificación anual que se realizará para validar el cumplimiento de las directrices y normas referidas a la gestión de riesgos cibernéticos, de forma obligatoria, será a partir del 1 de enero de 2021.

Experimento Mayflower

La gestión de los riesgos en el sector marítimo se ha centrado históricamente en operaciones de contorno material o físico, sin embargo, hemos evidenciado que la automatización, digitalización e integración de sistemas manejados en red e interconectados entre sí y/o manejados o controlados a través de protocolos que hacen uso total o parcial del ciberespacio, es cada día mayor, lo cual justifica la necesidad de implantar medidas de ciberseguridad eficientes en el sector marítimo.

En tal sentido, y a efectos de ilustrar esta realidad, ya son conocidos, los esfuerzos hechos por la OMI y algunas empresas privadas -especialmente- durante los últimos dos (02) años para evaluar, definir y determinar todo lo relacionado a la navegación de embarcaciones o naves sin tripulación, entre las cuales destacan los denominados “Buques autónomos” o Buques MASS (Marine Autonomous Surface Ship), concebidos básicamente para navegar sin depender de la interacción humana (o esta disminuida al máximo nivel), controlados por programas y sistemas de inteligencia artificial que gestionen a través de algoritmos previamente establecidos cualquier acción a tomar, incluyendo incidentes o eventualidades producidos durante una travesía o viaje.

Al respecto, y no siendo el objetivo de este trabajo ampliar lo relacionado a este tema, tengamos en cuenta -al menos- que existe una clasificación o grado de mayor o menor autonomía para la navegación, que disminuirá en una determinada escala, la participación e interacción de tripulación o presencia humana a bordo. Lo relevante, es destacar el protagonismo de la tecnología e intervención de procesos cibernéticos que pudieran ser vulnerados en estos casos, con graves consecuencias.

En este contexto, se tiene programado para el mes de septiembre de 2020, aunque a riesgo de suspender o modificar la fecha, producto de la situación mundial derivada del COVID19; que el primer buque, sin tripulación humana y controlado por Inteligencia Artificial (IA) cruce el Atlántico, en una ruta que evocará el cuatrocientos (400) aniversario del legendario viaje del antiguo Mayflower, que en 1620 transportó, desde el Puerto de Plymouth, Reino Unido, a los primeros ingleses que llegaron a la costa de Massachusetts, en los Estados Unidos de Norteamérica.

Aquel mítico viaje tuvo una duración de sesenta (60) días, el nuevo Mayflower, capitaneado y dirigido -como referimos- por un sistema de Inteligencia Artificial, haría esta misma ruta en unos doce (12) días y a una velocidad máxima de 20 nudos (36 kilómetros) por hora. En efecto, se trata de un proyecto experimental desarrollado por ingenieros de IBM y una organización de investigación marina, denominada ProMare, que se han propuesto utilizar tecnología relacionada con IA y cloud, así como otras asociadas a redes, para lograr el mayor grado de autonomía posible, superando los límites y funciones de buques autónomos, que hoy dependen -aún- en gran medida de controles humanos.

Resulta evidente, que este viaje experimental, permitirá conocer el desenvolvimiento de la Inteligencia Artificial en situaciones reales de navegación, que podrían incluir, según las circunstancias que se le presenten, peligros potenciales o reales sobre los cuales deberá tomar un conjunto de decisiones. En ocasiones el sistema a bordo no tendrá ningún tipo de conexión satelital y dependerá exclusivamente de los datos, programación o decisiones que logre tomar o descifrar la IA, en su condición de “capitán” (aunque este sea un concepto por definir y regular en mayor detalle, en este contexto).

La relevancia de este experimento, a efectos de lo expuesto en el presente trabajo; es señalar que -adicionalmente a las tareas y otros experimentos que realizará el Mayflower- relativos a la contaminación marina, el funcionamiento de IA en estos entornos, el manejo de los sistemas críticos del buque, entre otros; se aprovechará este viaje para instalar unos módulos y protocolos de ciberseguridad marítima (de lo cual, no se conocen mayores detalles), que pongan a prueba el carácter de inviolabilidad o de disminución de riesgos cibernéticos, que pudieran representar peligros para la seguridad de la nave en estos casos. Lo cual redundará, por supuesto, en la mejora de las medidas de ciberseguridad existentes en el sector.

VII.- Conclusiones

  • El avance y desarrollo de la tecnología durante los últimos años, ha facilitado la comunicación y desenvolvimiento de nuestras vidas en diferentes ámbitos, incluyendo áreas de gobierno, empresariales, entre otras.
  • El uso del espacio virtual o ciberespacio y/o cualquier otro sistema de redes interconectadas, que contengan prestaciones para la transmisión de datos, información, órdenes u otros procesos; se encuentran constantemente bajo riesgos y amenazas cibernéticas, que -anualmente- se materializan en efectivos ciberataques, que provocan cuantiosas pérdidas económicas, daños a la imagen o reputación, y otros tipos de menoscabo a gobiernos y empresas de diferentes sectores.
  • Algunos actores del sector marítimo, han sido víctima de graves ciberdelitos a nivel global y se encuentran permanentemente expuestos.
  • Importantes organizaciones especializadas en seguridad cibernética, públicas y privadas, se encuentran mejorando y desarrollando nuevos marcos de acción y protocolos que permitan disminuir los potenciales ataques cibernéticos.
  • La Organización Marítima Internacional (OMI); ha desarrollado los últimos años, directrices y lineamientos relacionados con la gestión de riesgos cibernéticos aplicables a distintos actores del sector marítimo. A partir del 1 de enero de 2021, iniciará la fase de verificación de cumplimiento obligatorio de tales directrices.
  • Los lineamientos y pautas emitidos por la OMI, deben ser ampliados por los propios protocolos de ciberseguridad de los Estados de abanderamiento, y por la normativa emitida por BIMCO, CLIA, ICS, OCIMF, IUMI, INTERCARGO, INTERTANKO y por el Framework o Marco de Mejora de la Ciberseguridad en infraestructuras críticas dictado por el Instituto Nacional de Estándares y Tecnología (NIST), adscrito al Departamento de Comercio de los Estados Unidos de Norteamérica.
  • El conocimiento, preparación y toma de consciencia a diferentes niveles en materia de ciberseguridad, es el primer paso para la protección de procesos, datos, información y acciones que diariamente ejercemos en lo individual y en lo colectivo, en contextos diferentes. Cada día, enfrentaremos mayores retos en esta silenciosa pero poderosa batalla, y debemos estar preparados para contrarrestarla.

Referencias Bibliográficas.-

Publicación en Medio Impreso:

Gabaldón, J., (2012). Derecho Marítimo Internacional público y privado y contratos internacionales. Madrid, España: Marcial Pons.

Publicaciones en Medios Electrónicos:

Crawford, J (s.f.). Ciberataque al Transporte Marítimo, [Documento en Línea}, Disponible en: https://revistamarina.cl/revistas/2019/3/jcrawfordc.pdf [Consultado: 2020, julio 21].

Directrices sobre la gestión de los Riesgos Cibernéticos Marítimos (2017), Circular MSC-FAL.1/Circ.3. Organización Marítima Internacional (OMI), [Documento en Línea], Disponible en: http://www.imo.org/es/OurWork/Security/Guide_to_Maritime_Security/Documents/MSC-FAL.1-Circ.3%20-%20Directrices%20Sobre%20La%20Gestión%20De%20Los%20Riesgos%20Cibernéticos%20Mar%C3%ADtimos%20(Secretar%C3%ADa)%20(1).pdf

[Consultado: 2020, julio 17].

Gestión de los Riesgos Cibernéticos Marítimos en los Sistemas de Gestión de la Seguridad (2017), Resolución MSC.428(98). Organización Marítima Internacional (OMI), [Documento en Línea], Disponible en: http://www.imo.org/es/OurWork/Security/Guide_to_Maritime_Security/Documents/Pages%20from%20MSC%2098-23-Add.1%20-%20Anexo%2010.pdf [Consultado: 2020, julio 17].

Global Cybersecurity Index (2018). International Telecommunication Union (ITU), [Transcripción en Línea], Disponible en: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf [Consultado: 2020, julio 21].

La naviera danesa Maersk contínúa afectada de forma parcial por el ciberataque (2017). Agencia EFE. [Transcripción en Línea], Disponible en: https://www.efe.com/efe/espana/portada/la-naviera-danesa-m-rsk-continua-afectada-de-forma-parcial-por-el-ciberataque/10010-3310015 [Consultado: 2020, julio 23].

Maersk calcula que el ciberataque le costó entre 171 y 256 millones de euros (2017). El País. [Transcripción en Línea], Disponible en: https://elpais.com/economia/2017/08/16/actualidad/1502901718_899223.html [Consultado: 2020, julio 23].

¿Qué es la ciberseguridad?, [Transcripción en Línea], Disponible en: https://latam.kaspersky.com/resource-center/definitions/what-is-cyber-security [Consultado: 2020, julio 22].

What is Cybersecurity? Definition and Best Practices, [Transcripción en Línea], Disponible en: https://www.itgovernance.co.uk/what-is-cybersecurity [Consultado: 2020, julio 20].

What is Cybersecurity?, [Transcripción en Línea], Disponible en: https://www.cisco.com/c/en/us/products/security/what-is-cybersecurity.html [Consultado: 2020, julio 20].

  1. Abogado. Especialista en Derecho Mercantil y Derecho Marítimo Internacional. Socio de SOV Consultores S.C., Caracas – Venezuela / 03 de agosto de 2020.
  2. What is Cybersecurity?, [Transcripción en Línea], Disponible en:https://www.cisco.com/c/en/us/products/security/what-is-cybersecurity.html
  3. What is Cybersecurity? Definition and Best Practices, [Transcripción en Línea], Disponible en:https://www.itgovernance.co.uk/what-is-cybersecurity
  4. La naviera danesa Maersk contínúa afectada de forma parcial por el ciberataque (28 de junio de 2017). Agencia EFE. [Transcripción en Línea], Disponible en:https://www.efe.com/efe/espana/portada/la-naviera-danesa-m-rsk-continua-afectada-de-forma-parcial-por-el-ciberataque/10010-3310015
  5. Maersk calcula que el ciberataque le costó entre 171 y 256 millones de euros (16 de agosto de 2017). El País. [Transcripción en Línea], Disponible en:https://elpais.com/economia/2017/08/16/actualidad/1502901718_899223.html
  6. Circular MSC-FAL.1/Circ.3. Organización Marítima Internacional (OMI), [Documento en Línea], Disponible en: http://www.imo.org/es/OurWork/Security/Guide_to_Maritime_Security/Documents/MSC-FAL.1-Circ.3%20-%20Directrices%20Sobre%20La%20Gestión%20De%20.pdf
  7. ¿Qué es la ciberseguridad?, [Transcripción en Línea], Disponible en:https://latam.kaspersky.com/resource-center/definitions/what-is-cyber-security
  8. Global Cybersecurity Index (2018). International Telecommunication Union (ITU), [Transcripción en Línea], Disponible en:https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf
  9. Crawford, J (s.f.). Ciberataque al Transporte Marítimo (…), 17-18, [Transcripción en Línea], Disponible en: https://revistamarina.cl/revistas/2019/3/jcrawfordc.pdf
  10. Ibídem, 19,20.
  11. Gabaldón, J., (2012). Derecho Marítimo Internacional público y privado y contratos marítimos internacionales, 116. Madrid, España: Marcial Pons.
  12. Ídem.
  13. Directrices sobre la gestión de los riesgos cibernéticos marítimos, MSC-FAL.1/Circ.3, Ob. Cit., 2.1.1
  14. Ibídem, 3.1.
  15. Ibídem, 3.5.
Volver a nuestro blog