Panamá Ports Company es miembro de Hutchison Ports, que cuenta con una red de 53 puertos en 24 países de Asia, Oriente Medio, África, Europa, América y Australasia. Como conocedor de la materia, ¿en qué situación diría que se encuentra, a grandes rasgos, la ciberseguridad de los puertos latinoamericanos?
La ciberseguridad en los puertos latinoamericanos se encuentra en un proceso de maduración acelerada, pero aún presenta desafíos significativos en comparación con sus contrapartes europeas y asiáticas. Si bien es cierto que la pandemia del COVID-19 forzó un proceso de digitalización acelarada en todo el entorno logístico, los esfuerzos por establecer un marco legal y operativo efectivo se han quedado un poco atrás.
De acuerdo a la quinta edición del Índice Global de Ciberseguridad publicado por la Unión Internacional de Telecomunicaciones, Panamá se encuentra en el nivel 3 de 5 (establishing); es decir, que está desarrollando el marco regulatorio y operativo necesario para construir una estrategia coherente y efectiva para gestionar la ciberseguridad. En este sentido, la ratificación del Convenio de Budapest, la aprobación de la Ley de Privacidad de Datos, los cambios en el Código Penal para adecuarlo a los nuevos delitos cibernéticos, la estructuración de un plan nacional de ciberseguridad e infraestructuras críticas, la creación y operación del CSIRT y el Anteproyecto de Ley sobre Inteligencia Artificial son prueba fehaciente de esta estrategia nacional.
¿Qué sistemas y redes son los más críticos para las operaciones de un puerto desde el punto de vista de la ciberseguridad?
En el entorno portuario, la ciberseguridad juega un papel crucial, ya que los puertos son infraestructuras críticas que dependen de una variedad de sistemas tecnológicos para gestionar sus operaciones diarias.
Algunos de ellos son el sistema de gestión de terminales, conocido en inglés como TOS (Terminal Operating System), al ser el responsable de la coordinación del flujo de carga y descarga de los puertos; los sistemas de Internet de las Cosas, en especial los de control industrial, responsables de la operatividad de las grúas y del equipo pesado; los sistemas de videovigilancia y de seguridad física, que de ser comprometidos pueden abrir la puerta a actividades ilícitas; los sistemas de facturación y gestión de mercancía, responsables del control de inventarios, documentación aduanera y trazabilidad de las cargas; y los sistemas de suministro de energía y de redes de comunicaciones, que si son comprometidos podrían causar un paro completo de la operación.
¿Cuáles son las principales ciberamenazas que más sufre el sector portuario en la región y las que más teme?
El sector portuario en Panamá enfrenta múltiples amenazas cibernéticas que abarcan desde ataques de phishing hasta ataques más sofisticados como el ransomware. De igual forma, se ve un crecimiento exponencial en la explotación de vulnerabilidades en los sistemas informáticos e industriales y la cadena de suministro, así como en los ataques distribuidos de denegación de servicio.
Dado el papel estratégico de los puertos panameños en el comercio global y el incremento en la actividad cibercriminal en Latinoamérica, la necesidad de preparar y capacitar al personal en técnicas de higiene en ciberseguridad sigue siendo una de las prioridades. Si tomamos en cuenta que el correo electrónico y la navegación web son los vectores principales de contagio, las campañas de concientización con ejemplos de situaciones reales son fundamentales para minimizar el riesgo de rupturas en la ciberseguridad.
El Canal de Panamá tiene una gran trascendencia desde el punto de vista del comercio mundial, y por tanto, a nivel geoestratégico, al conectar directamente el Océano Atlántico con el Pacífico. ¿Han percibido un mayor número de ciberataques y de la actividad de los ciberdelincuentes?
El incremento en la actividad criminal cibernética en América Latina y el Caribe es un hecho irrefutable. Según estadísticas presentadas por FortiGuard Labs de Fortinet para el año 2023, nuestra región sufrió 200.000 millones de intentos de ataques, lo que representa alrededor del 15 por ciento del total global. Panamá recibió 4.000 millones de esos intentos, que si bien es cierto que es poco, muestra incrementos importantes respecto al año pasado.
Esto obliga a fortalecer nuestras estrategias de ciberseguridad y a trabajar más colaborativamente con los distintos sectores de nuestro ecosistema logístico. Una de las iniciativas en las que hemos venido trabajando conjuntamente con otros miembros del sector es la creación de una mesa multisectorial de ciberseguridad, con el propósito de establecer mecanismos de colaboración para enfrentar de una manera holística posibles escenarios de compromiso.
¿Cuáles son los principales puntos a considerar a la hora de establecer una política de ciberseguridad en el sector portuario?
Establecer una política de ciberseguridad robusta en el sector portuario implica un enfoque integral que cubra tanto la tecnología como el factor humano. Las medidas deben enfocarse en la prevención, la rápida detección de amenazas y la capacidad de respuesta ante incidentes para mitigar posibles daños. Y para ello existen una serie de frameworks o marcos de referencia en los que nos podemos apoyar. Tomando en cuenta nuestra cercanía con los Estados Unidos, prevalece la tendencia de utilizar marcos de referencia como el desarrollado por el Instituto Nacional de Estándares y Tecnología de Estados Unidos o NIST, por sus siglas en inglés. El NIST se basa en cinco funciones clave: identificar, proteger, detectar, responder y recuperar. Además, es bastante flexible, lo que le permite adaptarse a empresas de distintos tipos y de diferentes sectores.
Otro estándar a considerar es el IEC 62443, que se ha convertido en el estándar de facto para la ciberseguridad en los sistemas de control industrial y se aplica en sectores como el logístico, portuario, energía y otras industrias críticas.
En todo caso, para poder establecer una política de ciberseguridad es fundamental iniciar con un análisis de continuidad de negocio o Business Impact Analisys (BIA). El BIA permitirá identificar los riesgos asociados con los procesos comerciales críticos de la organización y los recursos asociados necesarios para garantizar la resiliencia operativa y la continuidad de las operaciones en caso de un incidente, sea éste de ciberseguridad o de otra naturaleza. Una vez identificados esos procesos críticos y los sistemas y recursos involucrados, podemos definir un plan basado en las cinco funciones que indica el NIST.
De igual forma, es fundamental realizar un análisis exhaustivo de las amenazas específicas que enfrenta el sector, como ataques de ransomware, phishing, spear-phishing y ataques distribuidos de denegación de servicio, para así poder identificar las áreas más vulnerables, incluidos los sistemas operacionales y de control industrial.
La identificación clara de los roles y responsabilidades de los distintos actores es otro aspecto crítico a considerar.
«El intercambio de información es esencial para proteger las infraestructuras críticas en el entorno marítimo»
Establecer quiénes son los responsables de la ciberseguridad dentro de la organización es crucial para garantizar la adecuada gestión y monitoreo de las políticas de seguridad y para ejecutar de forma exitosa los planes de recuperación de negocio.
Dada la naturaleza interconectada de los puertos, también es vital definir y construir canales de colaboración entre los distintos actores, incluidos proveedores, agencias gubernamentales y otros puertos, para compartir información sobre amenazas y vulnerabilidades de manera oportuna.
Grandes puertos como el de Barcelona, en España, han sufrido ciberataques que han perjudicado enormemente su operativa. ¿Cómo colaboran e intercambian información concretamente con otras autoridades portuarias u organizaciones en materia de seguridad cibernética?
La colaboración y el intercambio de información entre autoridades portuarias y otras organizaciones, tanto nacionales como internacionales, en materia de seguridad cibernética es esencial para proteger las infraestructuras críticas en el entorno marítimo.
A nivel local se ha establecido una Mesa Multisectorial de Ciberseguridad, en la que participa el CSIRT gubernamental, que busca establecer mecanismos de cooperación en temas de mejores prácticas e intercambio de información.
Normativas como el Código Internacional de Protección de Buques e Instalaciones Portuarias de la Organización Marítima Internacional nos obligan a compartir información sobre seguridad, incluyendo ciberseguridad, entre autoridades portuarias y otros actores internacionales.
De igual forma, participamos en distintas actividades de formación sobre ciberseguridad organizadas por la Comisión Interamericana de Puertos y la Business Software Alliance, buscando mejorar la cultura de ciberseguridad en toda la cadena logística marítima. Al ser parte de una corporación global, compartimos información de amenazas (threat intelligence) con nuestros puertos hermanos, incluyendo indicadores de compromiso, tendencias sobre nuevas amenazas, vulnerabilidades emergentes y comportamientos maliciosos globales, regionales y locales.
En su opinión, ¿cuáles son los desafíos en términos de ciberseguridad a los que se enfrentará, a corto plazo, una entidad portuaria o cualquier organización que ofrezca un servicio esencial?
A pesar de los avances que se han venido realizando en la región, y de manera más específica en Panamá, enfrentamos una serie de desafíos comunes que deben abordarse para que consolidemos nuestra posición en torno a la ciberseguridad.
El primero es el fortalecimiento de la infraestructura. Muchos de los puertos de la región aún operan con infraestructuras tecnológicas obsoletas o fragmentadas, lo que dificulta la implementación de medidas de ciberseguridad robustas. Por otro lado, se necesita seguir fortaleciendo las capacidades técnicas del sector: desarrollar, implementar y fortalecer centros de respuesta a incidentes y extenderlos al sector privado y adoptar estándares de ciberseguridad a nivel nacional y sectorial, ya que los niveles de madurez varían de un sector a otro, lo que crea vulnerabilidades en la cadena logística.
El segundo reto es el desarrollo de capacidades. Panamá y la región se encuentran por debajo del promedio global en iniciativas de desarrollo de capacidades y conciencia en ciberseguridad, de acuerdo al Índice de la Unión Internacional de Telecomunicaciones. La falta de programas educativos extensos en temas de digitalización, automatización, inteligencia artificial y ciberseguridad, así como de campañas de concientización pública y privada, limita el crecimiento de las habilidades técnicas y de protección digital en el sector.
En cuanto a la protección de infraestructuras críticas, se requiere armonizar las distintas leyes existentes de forma que se definan, regulen y protejan dichas infraestructuras. Esto es una necesidad urgente, más si tomamos en cuenta el creciente riesgo de ciberataques a sectores sensibles como el transporte, la salud, la energía y la cadena de abastecimiento. Es importante recalcar que múltiples actores conforman la cadena logística, incluyendo proveedores externos; todos ellos con distintos niveles de madurez en temas tecnológicos y de ciberseguridad. Y esto aumenta la exposición a riesgos si no se implementan controles de seguridad adecuados en todos los puntos de la cadena.
Por último, otro desafío es establecer un frente común a las amenazas. El crimen organizado y los hackers malintencionados son conscientes de las debilidades de la infraestructura cibernética de la región. Si ellos trabajan colectiva y estructuradamente, desarrollar estrategias nacionales y sectoriales para enfrentar de forma conjunta estas amenazas es fundamental.
