Por: Leonardo Ferreiro (*).
Lamentablemente, el origen de muchas de las normas que regulan el transporte y la logística internacional surgen como respuesta a eventos trágicos. El «Convenio internacional para prevenir la contaminación por los buques» (o MARPOL) nace después del hundimiento del Torrey Canyon, en 1967, y el consecuente desastre ecológico; el «Código Internacional de Gestión de la Seguridad» (o ISM), por el hundimiento del Herald of Free Enterprise, en 1987; y el «Código internacional para la protección de los buques y de las instalaciones portuarias» (o ISPS), el C-TPAT y Megaports por el ataque con aviones de línea a las torres gemelas del 11 de septiembre de 2001.
En ciberseguridad ya hemos experimentado incidentes que afectaron los servicios esenciales, logística, puertos y al comercio global, representando pérdidas millonarias. Sin embargo, pareciera ser necesaria una tragedia de mayor magnitud para que la comunidad internacional y de los principales actores de la cadena de aprovisionamiento internacional reaccionen.
Te puede interesar: La ciberseguridad crece al ritmo de la aceleración digital
Como nos enseñó el caso del Titanic, la inversión en tecnología no es suficiente. El Titanic era un buque modernísimo en su tiempo, construido con la más avanzada tecnología. Fue uno de los primeros buques que tenía mamparos, formando compartimentos transversales sellados para impedir que una vía de agua pudiera inundar todo el casco, que estaba hecho de planchas de acero unidas con tres millones de remaches de acero y de hierro. Pero igualmente se hundió. Del análisis de su naufragio se desprende que su vulnerabilidad se debió a errores humanos, aparentemente menores en su construcción (no todos los remaches del casco tenían la misma composición y, por lo tanto, no todos tenían la misma resistencia al esfuerzo de corte) y en la operación y evaluación de riesgo (ignoraron sucesivos avisos de hielo e icebergs de otros barcos menores, manteniendo el rumbo y aumentando la velocidad). Por ello, asumir que comprar los mejores productos de ciberseguridad es suficiente, representaría no haber aprendido la lección, y seguir esperando que la industria y la comunidad internacional regulen este tema, es arriesgarse a ser protagonista del próximo evento.
Estado de situación
Incluso antes de que Rusia invadiera Ucrania, las empresas de transporte, logística y toda la cadena de aprovisionamiento sufrían ciberataques tras ciberataques. Sin embargo, en los últimos meses, esta situación se fue intensificando al punto de que la Oficina de Aduanas y Protección Fronteriza de los Estados Unidos (US-CBP) alertó, en uno de sus boletines, que los ataques de ransomware a la cadena de suministro están socavando la seguridad nacional y causarán una mayor congestión en los puertos de entrada y demoras en los envíos.
La Oficina Federal de Investigaciones (FBI) dice que las pandillas de ransomware violaron, durante 2021, las redes de al menos 649 organizaciones de múltiples sectores de infraestructura crítica de EE. UU. Sin embargo, este número seguramente sea mayor, ya que el FBI solo comenzó a rastrear los incidentes en el sector de infraestructura crítica a partir de junio de 2021 (JBS), y que no se incluyen ataques no denunciados.
Guerra cibernética o no, el ransomware se ha disparado de forma alarmante. El mundo se está preparando para un nuevo nivel de guerra cibernética, pero mientras tanto, la mayoría de los piratas informáticos no necesitan ningún estímulo geopolítico. Repasemos los casos más destacados:
Este espiral creciente de ataques de ciberseguridad sucede al mismo tiempo que, producto de la pandemia, se han acelerado los procesos de transformación digital en toda la cadena logística y de aprovisionamiento. De hecho, al mismo momento que crece geométricamente la cantidad y variedad de ciberataques, los actores de la cadena de aprovisionamiento global amplían su superficie vulnerable dada la convergencia de las tecnologías informáticas y operacionales (IT-OT), así como por la aceleración en la integración digital entre los diferentes nodos de la red y en automatización inteligente de los procesos.
Muchas veces se asocia logística con empresas globales de renombre, cuando en realidad la compleja red de organismos públicos y privados que hacen posible la cadena de aprovisionamiento global es muy heterogénea, con niveles de digitalización y apetitos de riesgo cibernético muy dispares. Como diría el filósofo escocés Thomas Reid, «la cadena de suministro es tan fuerte como el más débil de los eslabones que la componen».
Para gestionar estas redes, complicadas y de gran volumen, las empresas de logística dependen cada vez más de sistemas altamente automatizados que garantizan la entrega «justo a tiempo», combinando múltiples modos de transporte y orquestando la intervención de diferentes organismos de control. La historia reciente demuestra que la industria logística es un sector altamente vulnerable a los ciberataques.
Ver infografìa (CÓMO AFECTAN LOS CIBER ATAQUES A LAS OPERACIONES INDUSTRIALES )
No más Titanic
No son necesarios más y peores incidentes de seguridad para tomar cartas en el asunto. Este es un problema de negocio y por lo tanto debe ser abordado en ese ámbito.
La industria debe acordar las normas mínimas de ciberseguridad que permitan una transformación digital segura para todos los nodos de la red, porque no alcanza que las empresas con gran economía de escala inviertan en seguridad digital. Sino que también lo deben hacer los organismos de control y, sobre todo, las empresas medianas y pequeñas, que son las que permiten que la red tenga el nivel de dinamismo y capilaridad para integrar a productores y consumidores de todas las geografías.
Es necesario tomar conciencia que, mientras esto no suceda, la pequeña ventaja en precio que un solo nodo inseguro puede tener al no invertir en seguridad es suficiente para afectar el negocio de toda la red, sencillamente porque todos están conectados.
(*) Socio y Director en BTR Consulting, Magíster en Logística y Gestión Portuaria, con experiencia en la Industria de Logística y liderando la práctica de Ciberseguridad OT-Operational Technology.
Nota publicada en Revista Énfasis edición mayo 2022. Ingresá aqui.