En plena era digital, los buques ya no solo surcan los mares, también navegan por redes de datos que los conectan con el mundo. Pero esta conectividad, que abre la puerta a una eficiencia operativa sin precedentes, también expone al sector marítimo a un nuevo tipo de amenaza: los ciberataques.
El último informe elaborado por Thetius, CyberOwl y HFW, ‘The Lifecycle Dilemma’, alerta a toda la industria naval sobre la urgencia de integrar la ciberseguridad en cada etapa del ciclo de vida de un buque, desde su concepción hasta su operación diaria.
Amenazas en aumento y preparación deficiente
Según el informe, las cifras son claras: en 2023, el 14% de las organizaciones marítimas encuestadas admitieron haber pagado rescates tras sufrir ciberataques, con un coste medio de 3,2 millones de dólares. En 2024, esta cifra bajó al 7%, con pagos generalmente inferiores a los 100.000 dólares. ¿Es esto una buena señal? En parte sí, pero no necesariamente porque los buques estén mejor protegidos, sino porque algunos armadores simplemente optan por no pagar.
El problema de fondo persiste, ya que solo uno de cada seis armadores sabe realmente cómo debería ser un buque ciberseguro en el momento de su entrega. Y únicamente el 17% de los astilleros afirma tener experiencia interna en ciberseguridad. Estos datos reflejan una carencia preocupante de conocimientos y procedimientos estandarizados en toda la cadena de suministro marítima.
Actores afectados por los ciber incidentes. Fuente: ‘The Lifecycle Dilemma’.
Diseño: el primer eslabón, el más débil
El diseño de un buque marca el inicio de su vida operativa, y debería ser también el punto de partida de su estrategia de ciberseguridad. Sin embargo, el informe revela que solo el 32% de los armadores incluye la ciberseguridad en los equipos encargados de nuevos proyectos. Las decisiones críticas, como la segmentación de redes, la selección de sistemas seguros de origen o la capacidad de monitorización, se suelen tomar tarde o directamente se omiten.
Los nuevos requisitos E26 y E27 del IACS, que entraron en vigor en julio de 2024, buscan estandarizar las exigencias de ciberseguridad para nuevos buques y sistemas a bordo. El E26 regula el diseño y operación de buques ciberseguros; el E27, la certificación de los sistemas de los fabricantes (OEMs). Pero estas normas no se aplican a los buques existentes, lo que fragmenta el panorama normativo.
Construcción: un laberinto de responsabilidades difusas
Durante la construcción, las decisiones técnicas deben alinearse con los requerimientos de seguridad. No obstante, el informe destaca una falta de claridad generalizada sobre quién debe garantizar qué aspectos. “El astillero espera que el armador defina los requisitos; el armador espera que el astillero los implemente; los OEMs operan como cajas negras… y así sucesivamente”, señala uno de los testimonios recogidos.
La integración de sistemas sigue siendo una pesadilla. Diferencias mínimas entre OEMs dificultan la compatibilidad, mientras que muchos de estos proveedores carecen de madurez cibernética. El 90% afirma que los armadores les exigen pruebas de gestión de riesgos, pero solo el 10% aplica principios de seguridad desde el diseño.
Operación: sistemas heredados, tripulación sin apoyo
Una vez en funcionamiento, los buques siguen enfrentándose a un entorno de riesgo creciente. Los sistemas antiguos, aún operativos, no fueron concebidos para resistir amenazas cibernéticas. Según el informe, el 60% de los incidentes detectados en 2024 fueron causados por malware, y el 77% de estos casos tuvo origen en dispositivos USB.
Las soluciones aplicadas suelen ser reactivas y parciales. Se intenta tapar agujeros en vez de construir una defensa estructural. La tripulación, por su parte, se enfrenta a una formación deficiente, ya que el 93% considera que necesita más preparación, y muchos oficiales no saben cómo reaccionar ante un incidente real. El resultado es que las respuestas a los ataques son lentas, descoordinadas y, en muchos casos, ineficaces.
Fuente: ‘The Lifecycle Dilemma’.
Consecuencias legales y comerciales
Tal y como indica el informe, la ciberseguridad ya no es solo una cuestión técnica. El incumplimiento de los requisitos como el E26 puede suponer la pérdida de la clasificación del buque, la anulación de pólizas de seguro o reclamaciones por incumplimiento del deber de navegabilidad. Las navieras deben entender que invertir en ciberseguridad no es un gasto, sino una garantía de continuidad operativa y protección reputacional.
Un enfoque de ciclo de vida completo
El informe concluye que solo un enfoque holístico y coordinado puede reducir la exposición al riesgo. Algunas claves para lograr esto son:
Integrar la ciberseguridad desde el diseño, no como solución post-incidente: Esto implica que las decisiones clave de seguridad deben tomarse desde el inicio del proyecto, incluyendo la elección de arquitecturas de red segmentadas, sistemas con certificación de seguridad y mecanismos de monitorización continua.
Exigir a los OEMs transparencia y cumplimiento de estándares: Los fabricantes de equipos deben proporcionar documentación clara sobre las medidas de seguridad implementadas, actualizaciones periódicas y respuesta ante vulnerabilidades. La relación entre armadores y OEMs debe basarse en acuerdos contractuales sólidos que incluyan requisitos cibernéticos.
Armonizar los procedimientos de seguridad en buques nuevos y antiguos: Aunque la normativa E26 se aplica solo a nuevas construcciones, es recomendable extender sus principios al resto de la flota para mantener un estándar común y facilitar auditorías, formación y mantenimiento.
Formar a la tripulación con ejercicios prácticos y soporte en tiempo real: La preparación debe ir más allá de los cursos teóricos. Se recomienda implementar simulacros reales, avisos contextuales y acceso a asistencia 24/7 en caso de incidentes.
Establecer protocolos claros de respuesta ante incidentes: Toda la cadena de mando debe saber qué hacer, a quién acudir y cómo reaccionar en caso de ataque. Esto incluye desde la detección inicial hasta la contención, recuperación y notificación a terceros implicados, como aseguradoras o autoridades portuarias.
Un reto colectivo
La ciberseguridad de un buque no depende de un solo actor. Armadores, astilleros, OEMs, tripulación, aseguradoras y autoridades deben trabajar de forma conjunta y coordinada. La seguridad digital es, en última instancia, un factor clave de navegabilidad.
El mar ya no es solo un espacio físico, sino que es también un entorno digital vulnerable. Navegar por él exige nuevas competencias, nuevas alianzas y, sobre todo, una mentalidad preventiva.
notiveraz