¿Están los puertos protegidos frente a los ciberataques?
La actividad marítima y su optimización operativa dependen cada vez más de las tecnologías de la información, así que la ciberseguridad se ha convertido en un requisito indispensable para los puertos. El cibercrimen es una amenaza que se extiende por todo el ecosistema marítimo. Repasamos los principales retos de la cadena de suministro para protegerse.
“Llevo 30 años trabajando en este sector y puedo decir que los cibercriminales están transformando el negocio a gran velocidad porque no tienen que ceñirse a ningún estándar, colaboran entre distintos grupos y utilizan herramientas muy sofisticadas. No es imposible ganarles la batalla, pero tenemos que mejorar mucho para adelantarnos a ellos”. Así resumía Lluís Vera, CEO de Ackcent, durante el último Smart Ports: piers of the future la percepción de los expertos de que el cibercrimen es un negocio muy rentable y es muy complicado avanzarse a la acciones planeadas por la ciberdelincuencia.
¿Ciberresilencia o ciberseguridad?
Antes de entrar en los porqués de esta afirmación, definamos el concepto de ciberresilencia y ciberseguridad. Según la descripción que el World Economic Forum ofrece en su white paper ‘Unpacking Cyber Resilience’, acabado de publicar, “la ciberresiliencia no es lo mismo que la ciberseguridad; sin embargo, la ciberseguridad es esencial para lograr la ciberresiliencia".
Existen numerosas definiciones de ciberresiliencia, pero la más relevante para los fines de este documento la proporciona el National Institute of Standards and Technology (NIST):
- «La capacidad de anticipar, resistir, recuperarse y adaptarse a condiciones adversas, tensiones, ataques o compromisos en sistemas que utilizan o están habilitados por recursos cibernéticos».
Al considerar la resiliencia cibernética, es importante tener una visión amplia de lo que es el riesgo cibernético, explica el informe del World Economic Forum: "el ciberriesgo puede referirse a cualquier riesgo que surja del uso por parte de una organización de sus servicios de información y tecnología digital o de su uso por parte de otros en la cadena de suministro o en el entorno empresarial más amplio".
El informe reconoce que, en última instancia, no existe la ciberseguridad al 100%. "Las organizaciones deben actuar partiendo de la base de que se producirán incidentes cibernéticos significativos”, señalan, y apuntan que “la ventaja de esta definición es que permite una gama más amplia de escenarios de riesgo cibernético”.
“Es un campo complicado, pero tenemos que hacer algo. En el puerto de Los Ángeles invertimos en tecnologías, personas y procesos para intentar nivelar el terreno de juego con los criminales. Además, contamos con un centro específico de resiliencia contra el cibercrimen”, explicó Tony Zhong, director de Seguridad de la Información del puerto californiano, durante el reciente Smart Ports: piers of the future.
Ciberataques a la cadena de suministro
Según la Guardia Costera de Estados Unidos, los ataques de ransomware en la infraestructura portuaria aumentaron un 80% en 2023, causando disrupciones que van mucho más allá de las pérdidas financieras, ya que pueden provocar interrupciones de la cadena de suministro con efectos en cascada en las economías mundiales. Puertos de Australia o el de Seattle, también han sido víctimas del cibercrimen en los últimos meses.
Entre otras recomendaciones, el World Economic Forum sugiere que las organizaciones deben evaluar su exposición a los riesgos dentro de la cadena de suministro. Cuando no sea posible alcanzar el nivel requerido de garantía de seguridad y resistencia dentro de la cadena de suministro, deberían considerar cómo se pueden diseñar esta relación de dependencias o cómo contener de otro modo los incidentes dentro de la cadena de suministro.
Esta evaluación requerirá un seguimiento continuo del entorno de amenazas para comprender la probabilidad de que la cadena de suministro se vea comprometida. Al considerar esos riesgos, las organizaciones también tendrán que autoevaluarse para calibrar si los compromisos de la cadena de suministro podrían tener consecuencias lo suficientemente graves como para requerir un refuerzo contra estos riesgos que se propagan.
Primer diagnóstico: falta inversión en ciberseguridad
Un informe de DNV constata que el volumen global de ciberataques en el sector marítimo creció un 38 % entre 2021 y 2022. Sin embargo, la adopción de medidas preventivas y mitigadoras en el sector ha sido lenta. Según otro informe de la misma empresa denominado Maritime Cyber Priority, en 2023 solo el 40% de 800 profesionales encuestados afirmó que su organización invierte lo suficiente en ciberseguridad.
“Necesitamos recursos y apoyos de nuestra propia organización porque la seguridad, las herramientas y las tecnologías necesarias para hacer frente al cibercrimen son muy costosas. Pero no podemos permitirnos, como autoridad portuaria, no invertir. En términos de financiación, creo que cada organización tiene que analizar lo que puede permitirse y establecer prioridades según el nivel de riesgo existente”, admite Zhong, desde el puerto de Los Ángeles.
Para Lluís Vera, de Ackcent, la complejidad del aspecto financiero reside en que, a menudo, los gerentes no ven un retorno claro de la inversión realizada. “Mi opinión es que las empresas no están invirtiendo lo suficiente porque necesitamos profesionales bien preparados y mucha tecnología para proteger a las organizaciones”, lamenta.
Segundo diagnóstico: poco personal cualificado
“Existe escasez de profesionales de la ciberseguridad en nuestro campo. Encontrar al profesional adecuado es un reto, ya que somos pocos con las habilidades específicas, incluso en grandes ciudades como Los Ángeles”, se lamenta su director de Seguridad de la Información, Tony Zhong.
“La demanda supera a la oferta. Eso significa que hay escasez de profesionales y no esperamos que la situación mejore en el futuro. Debemos desarrollar una visión estratégica y tratar de construir una cantera de expertos. En nuestro caso, algo que ha funcionado fue invitar a profesionales de otros ámbitos con experiencia en negocios, IT o psicología para formarlos e intentar así llenar este vacío”, apuntó Vera como posible solución.
Otra cuestión que señala Zhong es que la ciberseguridad no descansa y que, por tanto, requiere de turnos que cubran todas las horas del día durante todo el año, ya que, como compartió con la audiencia, la mayoría de ciberataques se producen durante festivos o fines de semana largos, cuando suele haber menos personal.
Cristian Medrano, director de Seguridad de la Información del Port de Barcelona y moderador de la mesa redonda sobre ciberseguridad de la última edición de Smart Ports: piers of the future, compartió un dato demoledor: hasta un 60% de profesionales que trabajan en ciberseguridad cambiarían de carrera si surgiera la posibilidad de hacerlo.
La IA, ¿solución a los retos de ciberseguridad?
Al hilo de esta estadística, Medrano lanzó la pregunta de si la Inteligencia Artificial es aliada o enemiga de la ciberseguridad y si puede ayudar a resolver las problemáticas mencionadas.
“Nosotros utilizamos la IA para mejorar nuestras capacidades y tiempos para detectar y responder a las amenazas. También la utilizamos como tecnología predictiva, para analizar cómo el malware, por ejemplo, migra o muta o cambia, y para aumentar la eficiencia y automatización”, explicó Vera.
El experto en ciberseguridad señaló, no obstante, que desde el otro lado también la están aprovechando para usos delictivos y recordó que, a menudo, “es más difícil defenderse que atacar”. Volvió a insistir en la necesidad de contar con expertos que sepan entrenar y utilizar la IA para estos propósitos.
Por su parte, Zhong definió la IA como “amiga y enemiga”, ya que el calificativo depende del propósito para el cual es utilizada.
“En las operaciones de ciberseguridad, queremos tener la mayor cantidad de visibilidad posible en nuestra infraestructura. Así que si tenemos herramientas como la IA que puedan ayudarnos a conseguirlo, por supuesto que vamos a explorarlas”, apuntó.
El experto del puerto de Los Ángeles también reflexionó sobre la necesidad de entender dónde se ubican los datos obtenidos, ya que la información utilizada para la seguridad tiene que estar protegida.
“¿Se encuentra en la nube?¿En las propias instalaciones? Tenemos que entender toda la gobernanza que existe detrás del conjunto de datos. Por eso, además de la IA, estamos investigando las herramientas de almacenamiento de información y si estas se encuentran, por ejemplo, en Estados Unidos o en el extranjero”, añadió.
¿De dónde viene el riesgo?
Durante el 5th Annual Global Maritime Transportation System Cyber Security Symposium se debatió ampliamente sobre la naturaleza de los ciberatacantes que atacan al sector marítimo. Se identificaron tres categorías principales de actores que coinciden con los señalados por Zhong:
- naciones
- grupos criminales organizados
- hackers
En cuanto a los estados, durante el simposio se señaló en concreto a Rusia, considerado el agresor cibernético más activo y con capacidades ofensivas muy desarrolladas. China y el desarrollo de malware por parte de piratas informáticos de aquel país, también fue identificado como una amenaza.
También se reconoció que, con diferencia, el tipo más frecuente de ataques contra el sector tiene una motivación delictiva, con el objetivo de extorsionar a las empresas y a sus empleados. Los ciberdelincuentes varían enormemente en la sofisticación y escala de sus actividades.
Sin embargo, incluso en el extremo inferior del riesgo de amenazas, el gran número de actividades de este tipo dirigidas a organizaciones grandes y complejas como los puertos representan un riesgo grave, continuo y creciente.
En el otro lado de la moneda, hay que señalar que el entorno normativo en torno a la ciberseguridad está evolucionando rápidamente. La resolución sobre ciberseguridad de la Organización Marítima Internacional exige que los propietarios, operadores y gestores dispongan de un sistema de gestión de la ciberseguridad.
Esto se está ampliando con la aplicación de los nuevos requisitos unificados (UR) de la IACS para la ciberseguridad, el E26 y E27, que obligan a propietarios, astilleros y proveedores a incorporar barreras de ciberseguridad en sus sistemas y buques, y a que sean verificadas por las sociedades de clasificación de buques.
A día de hoy, no parece que la batalla contra la ciberdelincuencia esté ganada. No obstante, se han identificado las trabas y aquellos recursos que pueden modificar el tablero del riesgo cibernético en el futuro.