Operar buques, un negocio arriesgado de por sí, ahora suma las amenazas cibernéticas o delitos electrónicos, un espectro vibrante y muy fragmentado que suele estar compuesto, por un lado, de personas o entidades con motivaciones económicas y, por otro lado, Estados o individuos motivados por motivos políticos.

Como ocurre con cualquier «mercado» naciente, su dinámica está en permanente movimiento a medida que los recién llegados agregan nuevos mecanismos y esquemas de funcionamiento. Incluso, en 2020, una empresa especializada ha creado un índice eCrime Index (ECX) para representar esta nueva industria, destaca un reporte de Alphabulk.

Varios ciberataques en la industria del transporte marítimo han ocupado los titulares a lo largo de los años y han involucrado a líneas navieras Top como Maersk, MSC, CMA CGM y también a Bourbon, empresa offshore en quiebra, que fue golpeada por un ciberataque en abril de 2021.

Más recientemente, Bureau Veritas (BV) admitió que sus sistemas habían sido pirateados, luego de lo cual publicó un comunicado de prensa que decía:

«El sábado 20 de noviembre de 2021, el sistema de ciberseguridad de Bureau Veritas detectó un ciberataque. En respuesta, todos los procedimientos de ciberseguridad del grupo se activaron de inmediato. Se tomó una decisión preventiva para desconectar temporalmente nuestros servidores y datos para proteger a nuestros clientes y a la empresa mientras se llevan a cabo más investigaciones y medidas correctivas. Esta decisión genera una indisponibilidad parcial o ralentización de nuestra servicios e interfaces de cliente».

Dos días después, el 24 de noviembre, DNV emitió un comunicado de prensa anunciando la compra del especialista en ciberseguridad Applied Risk: «DNV y Applied Risk tienen como objetivo construir juntos la práctica de ciberseguridad industrial más grande del mundo. Nosotros combinaremos más conocimiento especializado de la industria con más experiencia en ingeniería y mejores prácticas de seguridad para ayudar a nuestros clientes a crear una poderosa fuerza de defensa contra nuevos riesgos de seguridad cibernética».

De este modo ya existen dos sociedades de clasificación, una afectada por un ciberataque mientras que la otra tiene como objetivo crear la industria industrial más grande del mundo en prácticas de seguridad cibernética.

De acuerdo con Alphabulk, en la actualidad, el transporte marítimo no ocupa un lugar destacado en la larga lista de industrias a las que se dirige la delincuencia electrónica, pero esto podría cambiar.

Esto porque según señala la consultora hay dos tipos de delitos electrónicos: dirigido y no dirigido.

El infame ataque de malware NotPetya contra Maersk en junio de 2017 fue el ejemplo perfecto de un delito electrónico no dirigido. Según informes, NotPetya fue desarrollado por el ejército ruso con el fin de deshabilitar los sistemas de TI de instalaciones energéticas y militares ucranianos durante la crisis de Crimea. (NotPetya no debe confundirse con el ataque de Petya, un ransomware utilizado para extorsionar y extraer dinero a los usuarios infectados a cambio de una clave de descifrado).

Sin embargo, el ataque de NotPetya se salió de control, infectando las oficinas de Maersk en Odessa, que a su vez infectó a la sede de Maersk en Dinamarca, y posteriormente se trasladó a todas las oficinas del grupo en todo el mundo. En suma, Maersk fue la víctima colateral de un ciberataque no dirigido.

NotPetya tenía dos componentes principales: una herramienta de penetración llamada EternalBlue, creada por la Agencia de Seguridad Nacional (NSA) que se filtró a principios de 2017, y Mimikatz, un software que podría recuperar las contraseñas de los usuarios y reutilizarlas para infectar máquinas específicas.

Aunque Microsoft había publicado un parche para EternalBlue, las máquinas sin parche seguían siendo la norma en todo el mundo, lo que permitía que el malware se extendiera rápidamente.

Ataques dirigidos

Un buen ejemplo de estos casos fue el ataque de Israel a la planta de enriquecimiento de uranio de Natanz en Irán. El Mosad (instituto de Inteligencia y Operaciones Especiales de Israel) presuntamente creó un malware llamado Stuxnet que fue activado por la elección de idioma en la computadora que infectó.

Aunque la planta de Natanz no estaba conectada a Internet, se introdujo en la planta una llave USB infectada que posteriormente cambió la velocidad de rotación de las centrifugadoras en la planta, provocando su avería.

Al igual que en el caso del ataque ruso a Ucrania, numerosas víctimas colaterales también se vieron afectadas, con hasta 30.000 sistemas informáticos afectados en Irán.

Por razones aún por explicar, algunos sistemas de TI también se vieron afectados en Europa (principalmente en Francia y Alemania) y en Asia. (principalmente en India e Indonesia).

Otras técnicas de ataque

Aún hay muchas otras formas utilizadas por los ciberdelincuentes, que incluyen ingeniería social, spear phishing, subversión de la cadena de suministro y suplantación de identidad.

La ingeniería social es una técnica en la que los delincuentes intentan influir en un individuo de una empresa específica para que revele una contraseña o introduzca una llave USB en una computadora. Subvertir la cadena de suministro es una técnica en la que el equipo se infecta antes de instalarlo, una forma de ataque que ya tiene historial en el shipping.

Frente a esta creciente amenaza, las navieras están invirtiendo en ciberseguridad, muy a menudo con la intención de construir un sistema para evitar que los atacantes entren en el interior. Este es un enfoque peligroso dado el ingenio de los ciberdelincuentes.

Un mejor enfoque es el que sigue Maersk. Esto es un compromiso entre protección y resiliencia.

Alphabulk estima que la industria naviera debería organizarse a nivel industrial para compartir información sobre el tema. Otras industrias han creado Centros de análisis e intercambio de información. Se ha sugerido al Baltic Exchange que albergue dicha estructura y se espera una respuesta.