Ante el goteo incesante de ataques a las empresas, también a las marítimas, e incluso a su propia página web, la Organización Marítima Internacional (OMI) ha decidido establecer una serie de recomendaciones y directrices para que las compañías del sector certifiquen que disponen de sistemas de prevención ante los ciberataques. En un terreno todavía muy yermo, donde la legislación española aún no se ha pronunciado, la resolución de la OMI, prevista para 2021, obliga a que se desarrolle una directiva europea para que los armadores establezcan medidas de prevención y sistemas de detección de los ciberataques.
Desde 2017, cuando la naviera MSC sufrió un apagón digital, hasta los recientes ataques a Cosco, CMA-CGM o la propia OMI, las autoridades se han dado cuenta de la necesidad de legislar en este ámbito. El abogado especializado en derecho marítimo del bufete Albors, Galiano y Portales, Jaime Albors, reconoce que se trata de un problema que “han sufrido las grandes navieras, pero que con la Covid-19 se ha extendido a las pequeñas empresas. De esta preocupación, ha surgido la importancia de protegerse de los ciberataques”.
La pandemia del coronavirus ha ido acompañada de un incremento de los ciberataques. Una de las razones es la implantación del teletrabajo, que ha abierto las puertas a los ‘piratas’ cibernéticos, ya que los sistemas de conexión digitales se han desplazado de los centros operativos. “Uno de los errores que se han cometido es que no se han producido análisis preventivos”, explica Albors.
En manos de las sociedades de clasificación
Aunque todavía no se ha concretado la normativa que impulsará la OMI, Jaime Albors comenta que “serán recomendaciones genéricas y directrices, que dejarán la responsabilidad en manos de las sociedades de clasificación”. De todas formas, está previsto que el Consejo Marítimo Internacional y del Báltico (BIMCO), organización que agrupa al 60% de la flota mercante mundial e incluye a armadores, fletadores, agentes comerciales y corredores marítimos, pueda desarrollar la legislación para adaptarla a la realidad marítima. “La normativa exigirá que se realice un análisis preventivo de los riesgos cibernéticos, pero puede que no sea suficiente”. Albors cree que, una vez más, “el derecho llega tarde y más en temas de ciberseguridad”.
A nivel global, la ciberdelincuencia se regula a través del Convenio de Budapest, que entró en vigor en 2004, un tratado internacional vinculante en materia penal, que establece herramientas legales para perseguir penalmente aquellos delitos cometidos ya sea en contra de sistemas o medios informáticos. El acuerdo señala “la necesidad prioritaria de aplicar una política penal común entre todos los miembros, así como de mejorar la cooperación internacional con el fin de proteger a la sociedad frente a la ciberdelincuencia”.
Cubiertos por las pólizas P&I
A pesar de que los riesgos cibernéticos que pueda sufrir un buque están cubiertos por las pólizas P&I, un seguro de responsabilidad civil, en el que el armador abona primero la indemnización y después debe intentar recuperarla (cláusula de previo pago), es el propio armador el que ha de asumir la responsabilidad en la prevención. De hecho, Albors comenta que en el despacho de abogados se han encontrado con casos en que algunas empresas marítimas han pagado los fletes a un ciberdelincuente, desconociéndolo, y luego han recibido la reclamación por impago del armadores. “Son delitos simples, pero que tienen una estructura compleja detrás para prevenirlos y detectarlos”.
Paralelamente, ante la llegada de los buques autónomos, en los que la OMI trabaja desde hace tres años para adaptar los tratados marítimos, Albors precisa que “la ciberdelincuencia puede ser un escollo para garantizar que los barcos estén totalmente protegidos”. En este ámbito, la organización también tiene el reto de encajar la ‘Marine Autonomous Surface Ships’, el reglamento sobre buques autónomos a una nueva realidad, dominada por los ataques cibernéticos.
¿Empresas preparadas?
Más del 40% de las firmas españolas de los sectores logístico y de transporte han obtenido la calificación de expertas o intermedias en el análisis de su ciberpreparación, según se desprende del Informe de Ciberpreparación de Hiscox 2020, la cuarta edición del estudio internacional anual realizado por la aseguradora especializada en seguros para empresas y profesionales en la que analiza el nivel de detención, respuesta y resolución ante incidentes cibernéticos o brechas de seguridad de más de 5.569 entidades representativas por tamaño y sector de actividad de ocho países (Alemania, Bélgica, España, Estados Unidos, Francia, Gran Bretaña, Irlanda, y Países Bajos).
La ciberdelincuencia, favorecida por el anonimato
En la jornada ‘Perspectiva criminológica: seis aspectos para comprender el cibercrimen y afrontar sus riesgos’, celebrada este año por el Colegio de la Abogacía de Barcelona (ICAB), la entidad mostró su preocupación por los retos que plantean los ciberataques para equilibrar los derechos fundamentales y ciberseguridad. En la sesión, el catedrático de Derecho Penal de la Universidad Internacional de Catalunya (UIC), José Ramón Agustina, resaltó que “el anonimato en las redes” puede facilitar la comisión de ciberdelitos.
Agustina señaló que la ciberdelincuencia crece en un contexto marcado por el anonimato, la versatilidad –que se puedan tener distintas personalidades– y el “aceleramiento de las transacciones”, y resaltó la importancia del factor humano, ya que en algunas ocasiones no se cumplen correctamente los protocolos de seguridad. En este sentido, instó a que el sistema jurídico aborde las posibles fugas en ciberseguridad, tras resaltar que solo un 10% de las denuncias policiales llegan a la Fiscalía.
Por su parte, la fiscal de Sala del Tribunal Supremo (TS) contra la criminalidad informática, Elvira Tejada, aseguró que la ciberdelincuencia es una materia “tremendamente viva” que requiere acciones de todos los agentes implicados.
De las herramientas para combatirla a través de la prevención y los sistemas de riesgos y análisis, dependerá la evolución futura las empresas y la legislación que regule y enmarque los delitos relacionados con los ciberataques.
Fuente: Naucher Global
