50,000 barcos son candidatos para el pirateo, cuando todos están conectados a Internet. Las historias sobre seguridad marítima van a multiplicarse, tal como ahora está sucediendo.
El problema se complica porque existen muchas clases distintas de navíos y todos operan en entornos muy diferentes.
Estos navíos suelen tener diferentes sistemas informáticos integrados y, significativamente, muchos de estos sistemas están hechos para durar 30 años.
Esto quiere decir que muchos buques llevan sistemas operativos desfasados e incompatibles, que son a menudo los más propensos a sufrir ciberataques.
En segundo lugar, los usuarios de estos sistemas informáticos marítimos cambian continuamente. Las tripulaciones de los barcos son muy dinámicas y cambian con frecuencia con poca anticipación.
Como consecuencia de esto, los miembros de las tripulaciones utilizan a menudo sistemas con los que no están familiarizados, con lo que aumentan las posibilidades de que se produzcan incidentes de ciberseguridad relacionados con errores humanos.
Además, para el mantenimiento de los sistemas de abordo, entre los que se incluyen los de navegación, se contrata con frecuencia terceras partes muy diversas, por lo que es perfectamente posible que la tripulación de un barco no sepa muy bien cómo interactúan entre sí los diferentes sistemas.
Una tercera complicación es la conexión entre los sistemas de abordo y los terrestres. Muchas compañías marítimas se mantienen en constante comunicación con sus navíos, por lo que la ciberseguridad del barco también depende de la ciberseguridad de las infraestructuras terrestres que la hacen posible.
Las consecuencias de esta dependencia quedaron de manifiesto en 2017 cuando un ciberataque a los sistemas de A.P. Moller-Maersk provocó retrasos de los cargamentos en toda su flota.
Esto resulta especialmente problemático para la Organización Marítima Internacional (OMI) que puede regular las normativas portuarias, pero tiene muy poco control sobre los sistemas en su conjunto y los procedimientos de los operadores marítimos.
En 2017, la OMI modificó dos de sus códigos generales de gestión de la seguridad para incluir explícitamente la ciberseguridad.
El Código Internacional para la Protección de los Buques y las Instalaciones Portuarias (PBIP) y el Código Internacional de Gestión de la Seguridad (IGS) detallan la manera en que los puertos y los operadores marítimos deberían realizar los procedimientos de gestión de riesgos.
Si la ciberseguridad fuera una parte esencial de estos procedimientos se garantizaría por lo menos que los operadores sean conscientes de los riesgos cibernéticos.
Se tiene confianza de que esto sea el inicio de un enfoque más holístico de la regulación de la ciberseguridad marítima. Los conocimientos adquiridos gracias a estas nuevas evaluaciones de los riesgos cibernéticos, pueden permitir a la OMI desarrollar una serie de regulaciones de la ciberseguridad más amplias.
Hay muchos objetivos fáciles de alcanzar, por ejemplo, mediante la armonización de algunos requisitos del equipamiento con los estándares actuales de ciberseguridad adoptados por otros sectores.
El sector marítimo está especialmente mal preparado para enfrentar desafíos del futuro.
No cabe duda que el sector marítimo anda a la zaga de otros sectores del transporte, como el sector aeroespacial, en lo que a ciberseguridad se refiere. Y da la impresión de que no tiene mucha prisa por arreglar las cosas.
Después de todo, las modificaciones específicamente cibernéticas del IGS y del PBIP no entrarán en vigor hasta el 1 de enero de 2021, y no son más que el principio de un viaje. Por eso el sector marítimo parece estar especialmente mal preparado para enfrentarse a los desafíos del futuro como la ciberseguridad de los barcos autónomos.
Lo positivo es que el lento y continuo desarrollo de la regulación al menos brinda la oportunidad de aprender de otros sectores y entender totalmente los riesgos de la ciberseguridad marítima, en lugar de tomar decisiones apresuradas y sin suficiente información.
El desarrollo de alguna normatividad sólida de seguridad marítima va a ser un proceso muy lento y, probablemente difícil. Pero el barco ha empezado a virar.