El sector marítimo, crucial para el 90% del comercio mundial, está experimentando un incremento sin precedentes en ciberataques sofisticados. Grupos de amenazas persistentes avanzadas (APT), operadores de ransomware y hacktivistas están intensificando sus ofensivas, impulsados por la escalada de conflictos geopolíticos.
Un informe reciente de Cyble documentó más de 100 incidentes el año pasado, dirigidos a compañías navieras, puertos y redes logísticas en todo el mundo. Por ejemplo, hacktivistas pro-palestinos han explotado datos del Sistema de Identificación Automática (AIS) para interrumpir buques vinculados a Israel, mientras que actores afiliados a Rusia han comprometido puertos europeos que apoyan a Ucrania. Paralelamente, grupos patrocinados por el Estado chino han infiltrado sociedades de clasificación que certifican flotas globales, utilizando malware avanzado como ShadowPad y VELVETSHELL para acceso persistente y filtración de datos.
Un incidente notable en marzo de 2025 involucró al grupo antiiraní Lab Dookhtegan, que interrumpió las comunicaciones de terminales de muy pequeña apertura (VSAT) en 116 buques iraníes. Este ataque cortó los enlaces entre buques y entre buques y puertos en medio de acciones militares estadounidenses contra los rebeldes hutíes en Yemen. Este suceso destaca la integración de operaciones cibernéticas con la guerra cinética, donde la interferencia electrónica (como la manipulación del GPS) en puntos estratégicos como el Golfo Pérsico y el Estrecho de Ormuz compromete la navegación, aumentando los riesgos de colisiones y fallas operativas en zonas de alto tráfico.
Riesgos Cibernéticos en el Comercio Global y Tácticas de los Atacantes
Los grupos APT han intensificado sus campañas. Mustang Panda de China ha infectado sistemas de buques de carga en Noruega, Grecia y los Países Bajos con malware basado en USB para espionaje industrial y posibles ataques de ransomware. De manera similar, APT41 ha utilizado el framework DUSTTRAP para evadir análisis forenses en ataques contra objetivos logísticos en el Reino Unido, Italia, España, Turquía, Taiwán y Tailandia, incorporando puertas traseras para persistencia a largo plazo.
Otros actores relevantes incluyen a APT28 (vinculado a Rusia), que se ha centrado en las cadenas de suministro de la OTAN que apoyan a Ucrania, y Crimson Sandstorm de Irán, dirigido a las rutas marítimas del Mediterráneo. Grupos como Turla/Tomiris y RedCurl de Rusia han empleado unidades USB infectadas para espionaje en redes de transporte de Asia y el Pacífico, con RedCurl ejecutando más de 40 ataques contra entidades en Australia, Singapur y Hong Kong. Además, Chamel Gang (vinculada a China) ha desplegado ransomware contra empresas de logística, a menudo extrayendo datos sensibles, como planos de barcos, antes del cifrado.
Filtración de Datos y Vulnerabilidades Clave
Los mercados de la dark web han mostrado una proliferación de datos marítimos comprometidos. Se ha encontrado 1 TB de archivos internos de un contratista de defensa europeo, que incluyen código fuente de submarinos, documentos técnicos clasificados y simuladores navales, a la venta en foros como DarkForums. Filtraciones similares abarcan datos operativos de una empresa europea de tecnología marina, como telegramas NMEA para sistemas de control de motores, y registros confidenciales de autoridades marítimas de América del Sur y Medio Oriente. Estas filtraciones exponen vulnerabilidades como la vigilancia offline y firewalls obsoletos.
Los ataques a puertos estadounidenses han revelado certificados SSL, claves privadas y credenciales de inicio de sesión, subrayando la alta exposición del sector a ataques a la cadena de suministro. Cyble destaca vulnerabilidades de alta prioridad (CVE), como:
- CVE-2025-5777 y CVE-2025-6543 en Citrix NetScaler para acceso remoto de barco a costa.
- CVE-2025-52579 en Emerson ValveLink para sistemas de control marino.
- CVE-2024-2658 en Schneider Electric EcoStruxure para automatización industrial.
- CVE-2024-20418 en Cisco URWB para conectividad de puertos.
- Fallas heredadas en servidores web COBHAM SAILOR 900 VSAT, que podrían permitir la ejecución remota de código y ataques de denegación de servicio.
Medidas de Defensa y Recomendaciones
Para contrarrestar estas amenazas, Cyble recomienda implementar medidas robustas como:
- Prohibir dispositivos USB personales en zonas operativas.
- Implementar aislamiento de red a través de puertas de enlace unidireccionales y VLAN para sistemas de grúas.
- Implementar blindaje de RF para bloquear transmisiones no autorizadas.
- Establecer controles de acceso basados en el tiempo.
- Aplicar bloqueo geográfico de IP durante períodos de tensión.
- Utilizar actualizaciones verificadas por blockchain para sistemas de información y visualización de cartas electrónicas (ECDIS).
La seguridad de la cadena de suministro exige:
- Deshabilitar el acceso remoto a equipos fabricados en el extranjero.
- Imponer el soporte de los proveedores «justo a tiempo».
- Exigir listas de materiales de software (SBOM) firmadas criptográficamente.
La gestión de vulnerabilidades debe priorizar las vulnerabilidades explotadas conocidas (KEV) de CISA, la segmentación de red entre TI y tecnología operativa (OT), y realizar simulacros de respuesta a incidentes marítimos que simulen escenarios de APT y ransomware. Los controles de acceso deben eliminar las credenciales predeterminadas, exigir la autenticación multifactor y alinearse con regulaciones como IACS UR E26/E27 y la Directiva NIS2 para salvaguardar los flujos comerciales globales.
