Sábado, 23 de Noviembre de 2024 | ISSN 0719-241X
logo mundo marítimo

Enviar un mensaje al Editor

Ciberataques en la industria marítima: una realidad que exige preparación y resiliencia

Nombre
e-mail
País
Mensaje

Ciberataques en la industria marítima: una realidad que exige preparación y resiliencia

Otras industrias han formado asociaciones defensivas, mientras el sector naviero toma sus primeras medidas
Edición del 06 de Diciembre de 2021

Operar buques, un negocio arriesgado de por sí, ahora suma las amenazas cibernéticas o delitos electrónicos, un espectro vibrante y muy fragmentado que suele estar compuesto, por un lado, de personas o entidades con motivaciones económicas y, por otro lado, Estados o individuos motivados por motivos políticos. Como ocurre con cualquier "mercado" naciente, su dinámica está en permanente movimiento a medida que los recién llegados agregan nuevos mecanismos y esquemas de funcionamiento. Incluso, en 2020, una empresa especializada ha creado un índice eCrime Index (ECX) para representar esta nueva industria, destaca un reporte de Alphabulk.

Varios ciberataques en la industria del transporte marítimo han ocupado los titulares a lo largo de los años y han involucrado a líneas navieras Top como Maersk, MSC, CMA CGM y también a Bourbon, empresa offshore en quiebra, que fue golpeada por un ciberataque en abril de 2021.

Más recientemente, Bureau Veritas (BV) admitió que sus sistemas habían sido pirateados, luego de lo cual publicó un comunicado de prensa que decía:

"El sábado 20 de noviembre de 2021, el sistema de ciberseguridad de Bureau Veritas detectó un ciberataque. En respuesta, todos los procedimientos de ciberseguridad del grupo se activaron de inmediato. Se tomó una decisión preventiva para desconectar temporalmente nuestros servidores y datos para proteger a nuestros clientes y a la empresa mientras se llevan a cabo más investigaciones y medidas correctivas. Esta decisión genera una indisponibilidad parcial o ralentización de nuestra servicios e interfaces de cliente".

Dos días después, el 24 de noviembre, DNV emitió un comunicado de prensa anunciando la compra del especialista en ciberseguridad Applied Risk: "DNV y Applied Risk tienen como objetivo construir juntos la práctica de ciberseguridad industrial más grande del mundo. Nosotros combinaremos más conocimiento especializado de la industria con más experiencia en ingeniería y mejores prácticas de seguridad para ayudar a nuestros clientes a crear una poderosa fuerza de defensa contra nuevos riesgos de seguridad cibernética".

De este modo ya existen dos sociedades de clasificación, una afectada por un ciberataque mientras que la otra tiene como objetivo crear la industria industrial más grande del mundo en prácticas de seguridad cibernética.

De acuerdo con Alphabulk, en la actualidad, el transporte marítimo no ocupa un lugar destacado en la larga lista de industrias a las que se dirige la delincuencia electrónica, pero esto podría cambiar.

Esto porque según señala la consultora hay dos tipos de delitos electrónicos: dirigido y no dirigido.

Ataques no dirigidos

El infame ataque de malware NotPetya contra Maersk en junio de 2017 fue el ejemplo perfecto de un delito electrónico no dirigido. Según informes, NotPetya fue desarrollado por el ejército ruso con el fin de deshabilitar los sistemas de TI de instalaciones energéticas y militares ucranianos durante la crisis de Crimea. (NotPetya no debe confundirse con el ataque de Petya, un ransomware utilizado para extorsionar y extraer dinero a los usuarios infectados a cambio de una clave de descifrado).

Sin embargo, el ataque de NotPetya se salió de control, infectando las oficinas de Maersk en Odessa, que a su vez infectó a la sede de Maersk en Dinamarca, y posteriormente se trasladó a todas las oficinas del grupo en todo el mundo. En suma, Maersk fue la víctima colateral de un ciberataque no dirigido.

NotPetya tenía dos componentes principales: una herramienta de penetración llamada EternalBlue, creada por la Agencia de Seguridad Nacional (NSA) que se filtró a principios de 2017, y Mimikatz, un software que podría recuperar las contraseñas de los usuarios y reutilizarlas para infectar máquinas específicas.

Aunque Microsoft había publicado un parche para EternalBlue, las máquinas sin parche seguían siendo la norma en todo el mundo, lo que permitía que el malware se extendiera rápidamente.

Ataques dirigidos

Un buen ejemplo de estos casos fue el ataque de Israel a la planta de enriquecimiento de uranio de Natanz en Irán. El Mosad (instituto de Inteligencia y Operaciones Especiales de Israel) presuntamente creó un malware llamado Stuxnet que fue activado por la elección de idioma en la computadora que infectó.

Aunque la planta de Natanz no estaba conectada a Internet, se introdujo en la planta una llave USB infectada que posteriormente cambió la velocidad de rotación de las centrifugadoras en la planta, provocando su avería.

Al igual que en el caso del ataque ruso a Ucrania, numerosas víctimas colaterales también se vieron afectadas, con hasta 30.000 sistemas informáticos afectados en Irán.

Por razones aún por explicar, algunos sistemas de TI también se vieron afectados en Europa (principalmente en Francia y Alemania) y en Asia. (principalmente en India e Indonesia).

Otras técnicas de ataque

Aún hay muchas otras formas utilizadas por los ciberdelincuentes, que incluyen ingeniería social, spear phishing, subversión de la cadena de suministro y suplantación de identidad.

La ingeniería social es una técnica en la que los delincuentes intentan influir en un individuo de una empresa específica para que revele una contraseña o introduzca una llave USB en una computadora. Subvertir la cadena de suministro es una técnica en la que el equipo se infecta antes de instalarlo, una forma de ataque que ya tiene historial en el shipping.

Se necesita resiliencia

Frente a esta creciente amenaza, las navieras están invirtiendo en ciberseguridad, muy a menudo con la intención de construir un sistema para evitar que los atacantes entren en el interior. Este es un enfoque peligroso dado el ingenio de los ciberdelincuentes.

Un mejor enfoque es el que sigue Maersk. Esto es un compromiso entre protección y resiliencia.

Alphabulk estima que la industria naviera debería organizarse a nivel industrial para compartir información sobre el tema. Otras industrias han creado Centros de análisis e intercambio de información. Se ha sugerido al Baltic Exchange que albergue dicha estructura y se espera una respuesta.

Por MundoMarítimo

Políticas de Privacidad

La política que en el presente documento se indica, tiene por objeto informar a los usuarios de MundoMaritimo sobre el proceder de nuestra empresa respecto del tratamiento de los datos de carácter personal recogidos a través de nuestros portales.

1 | Recolección:

Cuando Usted requiere los servicios de MundoMaritimo, se recoge información personal como su nombre, rut, dirección, etc, a través de correo electrónico o formularios. Nuestro sitio no utiliza actualmente cookies, para registrar o recabar información del usuario, pero, podrá en cualquier momento y a su sola discreción y sin necesidad de autorización, utilizarlas, comprometiéndose dar el tratamiento y protección señalado precedentemente a dichos datos.

Para qué se utiliza la información recolectada.

Toda la información recolectada de los usuarios en MundoMaritimo tiene por objetivo:

(1) Brindar servicios, contenidos y publicidad personalizada al usuario en su navegación por los portales de MundoMaritimo

(2) Realizar estudios internos sobre los datos demográficos, intereses y comportamiento de nuestros usuarios. La información se utiliza para entender y servir mejor a nuestros usuarios.

2. Uso:

Estos datos que usted proporciona libre y voluntariamente, tienen por objeto dar un mejor servicio, información y utilidades a nuestros usuarios. Usted tiene el derecho de no aceptar entregarlos, renunciando a los beneficios que nuestro sitio web entrega.

Si decide aportar dichos datos, nos obligamos con usted a mantener una conducta clara y regular, sometida a la política que a continuación expresamos, de la cual usted es informado y que acepta.

Nuestra política respecto de los datos recogidos es la siguiente:

La responsabilidad por la veracidad de los datos recogidos por esta vía, es exclusiva del usuario.

3. Seguridad:

Mantenemos una base de datos Off-Line, la que asegura a sus clientes total privacidad, respecto de los datos proporcionados a MundoMaritimo.

Por otra parte, una reconocida empresa externa proveedora de servicios de conectividad y hosting debidamente certificada, "aloja" nuestros sitios en sus servidores web, los 365 días del año, los siete días de la semana y las veinticuatro horas, lo que asegura que nuestro sitio tenga la menor posibilidad de "caída" en la web o intrusiones de "hackers" que vulneren nuestro Portal.

4. Calidad:

Sin perjuicio de las responsabilidades que al usuario le corresponden, MundoMaritimo tendrá especial cuidado al recolectar, mantener, usar, publicar o distribuir la información personal vinculada a los usuarios y visitantes, verificando que los datos sean correctos, completos y adecuados para cumplir con los fines para los que serán utilizados.

5. Modificación:

El usuario que haya entregado previamente datos o información personal a MundoMaritimo, podrá solicitar su modificación, corrección o eliminación, enviando un correo electrónico a [email protected], indicando su nombre, rut, dirección, teléfono, y expresando claramente que información de la que hubiere entregado desea modificar o eliminar.

En todo caso, y como medida de seguridad, MundoMaritimo se reserva el derecho de verificar la autenticidad de la comunicación.

6. Publicación e intercambio:

MundoMaritimo, como norma general, no transferirá, cederá, venderá o de otra manera proveerá sus datos de carácter personal a persona alguna. MundoMaritimo podría transferir, revelar o ceder los datos recopilados a sus usuarios, a terceros de acuerdo a las siguientes circunstancias:

(1) En caso de tener la aprobación explícita del usuario, sus datos de carácter personal pueden ser usados por terceros para efectos de realizar marketing directo, llamadas telefónicas, para enviar correos electrónicos, entre otros. El usuario tiene el derecho y la opción de poder denegar la recepción de esta información por parte de terceros.

(2) En el caso de "contactos de negocios", sus datos de carácter personal pueden ser usados por terceros sólo para efectos de poder completar y ejecutar la transacción que motivó la entrega o recolección de esa información.

(3) Aquella información que sea requerida por la ley, una orden judicial u otro procedimiento legalmente válido que así lo exija.

7. Uso de información vinculada a terceros:

En caso de tener la aprobación correspondiente, MundoMaritimo usará la información del usuario para comunicarle e informarle, a través del correo electrónico, acerca de:

(1) Modificaciones a sus servicios o productos existentes, aparición de nuevos servicios o productos, u otros especificados por el usuario.

(2) Información, ofertas o cualquier tipo de promoción de marketing que MundoMaritimo pueda otorgarle al usuario.

(3) Sugerencia por parte del usuario acerca de ,"recomienda esta noticia a un amigo"

8. Servicios prestados por terceras empresas en el sitio:

Eventualmente, MundoMaritimo, puede contratar los servicios de empresas externas, con el fin de entregar nuevos servicios y productos a través de este sitio web. La información recabada en su caso por dichas empresas, se regirá por el acuerdo del usuario de la misma.

Si tiene alguna duda o pregunta sobre nuestra política de privacidad, le rogamos contactarse a [email protected]

9. Publicidad asociada

Respecto a los servicios de anuncios publicitarios o información promocional, con el objeto de presentarle servicios asociados que puedan ser de su interés, tenemos vínculos con otras compañías a las que permitimos colocar publicidad en nuestras páginas. Estas compañías podrían individualmente solicitar su información directamente con usted, siendo exclusiva responsabilidad de ellas el manejo y manipulación de esta información.

Finalmente, MundoMaritimo no garantiza la privacidad de la información personal del usuario, si éste suministra o difunde información en guías telefónicas públicas, reportajes de prensa, publicaciones, zonas de chateo, boletines u otras similares. Dicha información podrá ser recopilada por terceros, con o sin su consentimiento. El usuario revela esa información bajo su responsabilidad.