Un golpe al delito informático

Por David Walsh

Para muchos, la palabra “ciberseguridad” evoca un sombrío mundo de delincuentes de alto perfil y “hacktivistas” que se enriquecen y se hacen famosos a la vez que influencian la política mundial. Nombres como Guccifer y Anonymous suenan como nombres de historieta y, por cierto, los miembros de este último grupo usan máscaras de una popular novela gráfica cuando aparecen en público.

Sin embargo, la realidad diaria es mucho menos atractiva, y en muchos casos incluso más costosa y dañina que estas excepciones de triste fama. Un informe conjunto de 2018 de la compañía de seguridad informática McAfee y la organización sin fines de lucro Centro de Estudios Estratégicos e Internacionales (Center for Strategic and International Studies, CSIS) de los EE. UU. determinó que el costo del delito informático en todo el mundo era mayor de 600 000 millones de dólares por año, es decir el 0,8 % del producto bruto mundial (GDP). Existen estimaciones menos conservadoras que colocan este número mucho más arriba, con subinformación del delito informático por parte de las víctimas, así como deficiente recolección de datos gubernamental, entre las razones.

Una de las características definitorias del delito informático es que se realiza a escala. Un proveedor de Internet citado por McAfee/CSIS informó 80 000 millones de exploraciones de datos malintencionados por día, mientras que la Oficina Federal de Investigaciones de los EE. UU. (U.S. Federal Bureau of Investigations) informó un promedio de 4000 ataques diarios de ransomware perpetrados solo en 2016, muchos de los cuales infligieron graves daños al comercio mundial.

A la vanguardia del esfuerzo global de combate al delito informático y el fortalecimiento de la ciberseguridad está el Comité de buques y tecnología marina de ASTM International (F25) y su Subcomité de aplicaciones informáticas (F25.05). A primera vista, puede parecer un sitio inverosímil para tal esfuerzo. Sin embargo, dado que el 90 % del comercio mundial se realiza por mar, según la Organización Marítima Internacional (International Maritime Organization, IMO) de las Naciones Unidas, este comité encaja de manera lógica. Y con las embarcaciones oceánicas actuales cada vez más avanzadas tecnológicamente y basadas de manera más intensa en sistemas computarizados para la navegación, propulsión y comunicación, la amenaza a estas embarcaciones por parte de los ciberataques ha crecido exponencialmente.

Hay mucho en juego

El Subcomité de aplicaciones informáticas ha publicado un estándar relacionado con la informática: la Guía estándar de ciberseguridad y mitigación de los ciberataques (F3286). Ahora el subcomité tiene en camino un segundo estándar, más específico: la Guía para la inclusión de los riesgos informáticos en los sistemas de gestión de la seguridad marítima (WK67401).

“Hoy en día, a medida que los barcos se vuelven más complejos, los sistemas se automatizan más, por lo que crece la probabilidad de que un infiltrado se introduzca en el sistema y comience a manipularlo”, señala Robert Sheen, vicepresidente de operaciones de Ocean Shipholdings Inc. y miembro del Subcomité de aplicaciones informáticas. “La razón es la conectividad”.

Existen numerosas razones por las que los delincuentes informáticos hackean los sistemas de a bordo de las embarcaciones oceánicas. Una es el espionaje o inteligencia comercial. Otra es un operación militar de un país dirigida a dañar a otro país. Y la amenaza del terrorismo está siempre presente en el mundo de hoy. Pero la selección de embarcaciones comerciales como objetivo de piratería y secuestro a fin de obtener una recompensa monetaria es la más común, y la más rentable para los perpetradores. Desde buques de carga hasta buques-tanque de petróleo, es mucho lo que está en juego.

“Esas embarcaciones llevan a bordo una gran cantidad de dólares. Y existe una gran cantidad de dólares invertida en estas compañías de navegación”, comenta Todd Ripley, presidente del Comité F25 e ingeniero general de la Administración Marítima de los EE. UU. (U.S. Maritime Administration), que forma parte del Departamento de Transporte del los EE. UU. (U.S. Department of Transportation). “Entonces, son un blanco fácil”.

Los ataques a estos objetivos están haciéndose más frecuentes y más sofisticados, lo que impulsó a la Guardia Costera de los EE. UU. (U.S. Coast Guard) a emitir una sombría advertencia en julio, luego de un ciberataque a una gran embarcación de carga que entraba al puerto de Nueva York y Nueva Jersey: “Con motores que se controlan con un mouse y la creciente dependencia de los sistemas electrónicos de cartografía y navegación, la protección de estos sistemas con las medidas de ciberseguridad apropiadas es tan esencial como el control del acceso físico al barco o la realización del mantenimiento de rutina en la maquinaria tradicional”.

Infiltrados

Muchos pueden preguntarse quiénes serían los “infiltrados” que perpetran tales actos. Son operaciones sofisticadas, que requieren recursos y personal mayores que los que tendría un solo individuo. Las empresas criminales organizadas —los “piratas” y “guerreros” ilustrados en la cultura popular— son muy a menudo los perpetradores.

“Una nación del sudeste asiático era realmente mala en este sentido”, comenta Sheen. “Descubrimos que se habían hackeado los sistemas de algunos de los agentes de carga y consolidadores de carga. Se metió gente [en los sistemas informáticos] y averiguó no solo qué tipos de carga iban en los barcos, sino también los lugares exactos de estiba”.

Esto convirtió la misión de estos piratas en una de abordaje, descarga y fuga en la noche. Sus operaciones pasaron a ser ataques precisos en lugar de emboscadas fortuitas. Sin embargo, aunque los ataques intencionales de actores externos son peligrosos y a menudo costosos, resulta ser que una de las formas más comunes de ciberataque proviene de una fuente inusual: el barco mismo.

“Hemos tenido algunos ejemplos de miembros de la tripulación que enchufan memorias flash en puertos USB, y ahí hay un virus”, comenta Ripley. “Eso deshabilita todo el equipo del puente; quizá no sea un ataque intencional, pero afecta las operaciones y la seguridad”.

Según Ripley, ha habido ejemplos similares de ataques no intencionales causados por terceros, como el personal técnico que hace reparaciones o mantenimiento. “Enchufan una computadora que no se ha mantenido correctamente e introducen errores en el equipo de alimentación o la sala de máquinas”, explica. “Los [ataques] que no son intencionales son los más frecuentes, por lo que con un poco de ciberhigiene y cibermantenimiento podemos protegernos”.

Prevención de un ataque

La protección de los sistemas informáticos de a bordo contra un ataque —intencional o no intencional— es exactamente lo que el Subcomité de aplicaciones informáticas planea hacer con su estándar propuesto más reciente. El WK67401 sigue los pasos de la Guía de ciberseguridad y mitigación de los ciberataques F3286, publicada en 2017. Ripley caracteriza esta guía como un buen primer paso, ya que aborda la necesidad de la ciberseguridad y proporciona recomendaciones generales: “El primer [estándar] fue más bien general sobre el tema: una especie de paraguas para resguardarse. El estándar que le sigue será más específico”.

La guía propuesta, orientada hacia los sistemas de gestión de la seguridad (safety management systems, SMS), está prevista para incorporarse al Código de Gestión de seguridad internacional (International Safety Management, ISM) de la IMO, un estándar internacional para la gestión y operación segura de los barcos. A fin de que cualquier embarcación del mundo cumpla con el Código ISM y reciba el Certificado de gestión de seguridad (safety management certificate, SMC) y el Documento de cumplimiento (document of compliance, DOC) que le permite operar en “alta mar”, debe contar con un SMS aprobado. El SMS de un barco, que cubre desde la documentación de lesiones de la tripulación hasta los procedimientos de operación con mal tiempo, garantiza su operación segura y eficiente. Sin embargo, hasta ahora, no se ha requerido al SMS que incluya la ciberseguridad.

Sheen comenta que los redactores originales del Código ISM no tenían idea de los peligros que los ciberataques irían a plantear algún día. “[El Código ISM] nunca encaró temas como el de la ciberseguridad porque en los primeros años de la década de 1990, cuando se desarrolló por primera vez, nadie había siquiera pensado en eso”.

Pero la IMO está pensando ahora en eso, al adoptar en 2017 una resolución que impone que para recibir un DOC, toda organización que opere embarcaciones oceánicas debe incluir, para el 1 de enero de 2021, un sistema de ciberseguridad en cada SMS.

Y en lugar de proporcionar una descripción general, la guía propuesta proporciona muchos de los detalles específicos mencionados por Ripley. “¿Tiene control de la versión de su software? ¿Conoce dónde están todos los puntos de acceso a sus equipos informáticos? ¿Dónde se pueden enchufar memorias USB? ¿Su personal está capacitado sobre problemas informáticos? Cosas como esas”.

Tomar la iniciativa

Hay dos factores que hacen de ASTM International la organización ideal para liderar el desarrollo de estándares de ciberseguridad marítima, señala Sheen. Uno es la reputación general de ASTM como un respetado desarrollador de estándares, pero el otro es la posición única de ASTM en el mundo de las regulaciones marítimas.

“En primer lugar, ASTM realmente es una organización reconocida, que se caracteriza por establecer estándares para todos los sectores”, señala Sheen, antes de pasar el segundo factor. “Incluso las regulaciones de la Guardia Costera [de los EE. UU.] se refieren a los estándares y guías de ASTM. Por eso, ya está establecida la experiencia de ASTM en materia de reglamentaciones. Aprovechar eso para elaborar una guía de una organización conocida por el desarrollo de estándares trae credibilidad a lo que tratamos de hacer”.

Ripley no podría estar más de acuerdo. “Dentro del entorno de ASTM, podemos integrar a todos y abordar todas las consideraciones del lado gubernamental y de lado comercial. Y eso aporta mucha fuerza a la iniciativa”.

Prevención

Con un informe reciente de la compañía de software SentinelOne de los EE. UU., que indica que en 2017 el 45 % de las compañías de los EE. UU. que sufrieron un ciberataque pagaron un rescate para que se desbloqueen los archivos -con un costo promedio de casi 1 millón de dólares-, la necesidad de proteger los sistemas informáticos de a bordo y detener estos ataques antes de que comiencen, es urgente. Pero los estándares que está desarrollando el Comité sobre buques y tecnología marina contribuirán en gran medida a frustrar el próximo ciberataque con pedido de rescate.

“Lo que tenemos que examinar es la prevención”, comenta Sheen. “De eso se trata todo este tema de la ciberseguridad”.