Los 50.000 barcos que navegan por el mar en cualquier momento dado han pasado a formar parte de la lista cada vez más larga de objetos que se pueden piratear. Los expertos en ciberseguridad han demostrado no hace mucho lo fácil que es hackear el equipamiento de navegación de un barco. Esto se produce solo unos años después de que unos investigadores demostrasen que podían engañar al GPS de un superyate para que modificase su rumbo. Hubo un tiempo en el que los objetos como los coches, las tostadoras y los remolcadores solo hacían aquello para lo que estaban originalmente diseñados. Hoy en día, el problema es que también están todos conectados a Internet.
La historia hasta ahora
Las historias sobre ciberseguridad marítima no van a hacer más que multiplicarse. El sector marítimo ha tardado mucho en darse cuenta de que los barcos, como todo lo demás, ahora forman parte del ciberespacio. La Organización Marítima Internacional (OMI), el organismo de Naciones Unidas encargado de regular el espacio marítimo, ha tardado tiempo y ha sido un poco lento a la hora de plantearse una regulación adecuada en lo que se refiere a la ciberseguridad.
En 2014, la OMI consultó a sus miembros para saber cómo deberían ser las normas sobre ciberseguridad marítima. Al cabo de dos años, publicó sus normas provisionales sobre gestión de riesgos de ciberseguridad, que son generales y no son específicamente marítimas. Por eso no es de extrañar que ahora se estén pirateando embarcaciones.
La complejidad del sector marítimo
Hay varios problemas fundamentales que hacen que al sector marítimo le resulte especialmente difícil abordar la ciberseguridad.
En primer lugar, existen muchas clases distintas de navíos y todos ellos operan en entornos muy diferentes. Estos navíos suelen tener diferentes sistemas informáticos integrados. Y, significativamente, muchos de estos sistemas están hechos para durar más de 30 años. En otras palabras, muchos buques llevan sistemas operativos desfasados e incompatibles, que son a menudo los más propensos a sufrir ciberataques.
En segundo lugar, los usuarios de estos sistemas informáticos marítimos cambian continuamente. Las tripulaciones de los barcos son muy dinámicas y cambian con frecuencia con poca antelación. Como consecuencia de ello, los miembros de las tripulaciones utilizan a menudo sistemas con los que no están familiarizados, lo que aumenta las posibilidades de que se produzcan incidentes de ciberseguridad relacionados con los errores humanos. Además, para el mantenimiento de los sistemas de a bordo, entre los que se incluyen los de navegación, se contrata con frecuencia a terceras partes muy diversas, por lo que es perfectamente posible que la tripulación de un barco no sepa muy bien cómo interactúan entre ellos los diferentes sistemas.
Una tercera complicación es la conexión entre los sistemas de a bordo y los terrestres. Muchas compañías marítimas se mantienen en constante comunicación con sus navíos, por lo que la ciberseguridad del barco también depende de la ciberseguridad de las infraestructuras terrestres que la hacen posible. Las consecuencias de esta dependencia quedaron de manifiesto en 2017 cuando un ciberataque a los sistemas de A.P. Moller-Maersk provocó retrasos de los cargamentos en toda su flota. Esto resulta especialmente problemático para la OMI, que puede regular las normativas portuarias, pero que tiene muy poco control sobre los sistemas en su conjunto y los procedimientos de los operadores marítimos.
Pasos en la dirección correcta
En 2017, la OMI modificó dos de sus códigos generales de gestión de la seguridad para incluir explícitamente la cibersecuridad. El Código Internacional para la Protección de los Buques y las Instalaciones Portuarias (PBIP) y el Código Internacional de Gestión de la Seguridad (IGS) detallan la manera en que los puertos y los operadores marítimos deberían realizar los procedimientos de gestión de riesgos. Si la ciberseguridad fuese una parte esencial de estos procedimientos se garantizaría por lo menos que los operadores son conscientes de los riesgos cibernéticos.
Esperemos que esto sea el inicio de un enfoque más holístico de la regulación de la ciberseguridad marítima. Los conocimientos adquiridos gracias a estas nuevas evaluaciones de los riesgos cibernéticos pueden permitir a la OMI desarrollar una serie de regulaciones de la ciberseguridad más amplias. Hay muchos objetivos fáciles de alcanzar, por ejemplo, mediante la armonización de algunos requisitos del equipamiento con los estándares actuales de ciberseguridad adoptados por otros sectores.
Hacer que vire el barco
No cabe duda de que el sector marítimo anda a la zaga de otros sectores del transporte, como el sector aeroespacial, en lo que a ciberseguridad se refiere. Y da la impresión de que no tiene mucha prisa por arreglar las cosas. Después de todo, las modificaciones específicamente cibernéticas del IGS y del PBIP no entrarán en vigor hasta el 1 de enero de 2021, y no son más que el principio de un viaje. Por eso el sector marítimo parece estar especialmente mal preparado para enfrentarse a los desafíos del futuro, como la ciberseguridad de los barcos totalmente autónomos.
Lo positivo es que el lento y continuo desarrollo de las regulaciones de ciberseguridad al menos brinda la oportunidad de aprender de otros sectores y entender totalmente los riesgos de la ciberseguridad marítima, en lugar de tomar decisiones apresuradas y sin suficiente información.
El desarrollo de unas normativas sólidas de ciberseguridad marítima va a ser un proceso muy lento y, posiblemente, difícil. Pero el barco ha empezado a virar.
Fuente: ElPais