Panamá Ports Company es miembro de Hutchison Ports, que cuenta con una red de 53 puertos en 24 países de Asia, Oriente Medio, África, Europa, América y Australasia. Como conocedor de la materia, ¿en qué situación diría que se encuentra, a grandes rasgos, la ciberseguridad de los puertos latinoamericanos?
La ciberseguridad en los puertos latinoamericanos se encuentra en un proceso de maduración acelerada, pero aún presenta desafíos significativos en comparación con sus contrapartes europeas y asiáticas. Si bien es cierto que la pandemia del COVID-19 forzó un proceso de digitalización acelarada en todo el entorno logístico, los esfuerzos por establecer un marco legal y operativo efectivo se han quedado un poco atrás.
De acuerdo a la quinta edición del Índice Global de Ciberseguridad publicado por la Unión Internacional de Telecomunicaciones, Panamá se encuentra en el nivel 3 de 5 (establishing); es decir, que está desarrollando el marco regulatorio y operativo necesario para construir una estrategia coherente y efectiva para gestionar la ciberseguridad. En este sentido, la ratificación del Convenio de Budapest, la aprobación de la Ley de Privacidad de Datos, los cambios en el Código Penal para adecuarlo a los nuevos delitos cibernéticos, la estructuración de un plan nacional de ciberseguridad e infraestructuras críticas, la creación y operación del CSIRT y el Anteproyecto de Ley sobre Inteligencia Artificial son prueba fehaciente de esta estrategia nacional.
¿Qué sistemas y redes son los más críticos para las operaciones de un puerto desde el punto de vista de la ciberseguridad?
En el entorno portuario, la ciberseguridad juega un papel crucial, ya que los puertos son infraestructuras críticas que dependen de una variedad de sistemas tecnológicos para gestionar sus operaciones diarias.
Algunos de ellos son el sistema de gestión de terminales, conocido en inglés como TOS (Terminal Operating System), al ser el responsable de la coordinación del flujo de carga y descarga de los puertos; los sistemas de Internet de las Cosas, en especial los de control industrial, responsables de la operatividad de las grúas y del equipo pesado; los sistemas de videovigilancia y de seguridad física, que de ser comprometidos pueden abrir la puerta a actividades ilícitas; los sistemas de facturación y gestión de mercancía, responsables del control de inventarios, documentación aduanera y trazabilidad de las cargas; y los sistemas de suministro de energía y de redes de comunicaciones, que si son comprometidos podrían causar un paro completo de la operación.
¿Cuáles son las principales ciberamenazas que más sufre el sector portuario en la región y las que más teme?
El sector portuario en Panamá enfrenta múltiples amenazas cibernéticas que abarcan desde ataques de phishing hasta ataques más sofisticados como el ransomware. De igual forma, se ve un crecimiento exponencial en la explotación de vulnerabilidades en los sistemas informáticos e industriales y la cadena de suministro, así como en los ataques distribuidos de denegación de servicio.
Dado el papel estratégico de los puertos panameños en el comercio global y el incremento en la actividad cibercriminal en Latinoamérica, la necesidad de preparar y capacitar al personal en técnicas de higiene en ciberseguridad sigue siendo una de las prioridades. Si tomamos en cuenta que el correo electrónico y la navegación web son los vectores principales de contagio, las campañas de concientización con ejemplos de situaciones reales son fundamentales para minimizar el riesgo de rupturas en la ciberseguridad.
El Canal de Panamá tiene una gran trascendencia desde el punto de vista del comercio mundial, y por tanto, a nivel geoestratégico, al conectar directamente el Océano Atlántico con el Pacífico. ¿Han percibido un mayor número de ciberataques y de la actividad de los ciberdelincuentes?
El incremento en la actividad criminal cibernética en América Latina y el Caribe es un hecho irrefutable. Según estadísticas presentadas por FortiGuard Labs de Fortinet para el año 2023, nuestra región sufrió 200.000 millones de intentos de ataques, lo que representa alrededor del 15 por ciento del total global. Panamá recibió 4.000 millones de esos intentos, que si bien es cierto que es poco, muestra incrementos importantes respecto al año pasado.
Esto obliga a fortalecer nuestras estrategias de ciberseguridad y a trabajar más colaborativamente con los distintos sectores de nuestro ecosistema logístico. Una de las iniciativas en las que hemos venido trabajando conjuntamente con otros miembros del sector es la creación de una mesa multisectorial de ciberseguridad, con el propósito de establecer mecanismos de colaboración para enfrentar de una manera holística posibles escenarios de compromiso.
¿Cuáles son los principales puntos a considerar a la hora de establecer una política de ciberseguridad en el sector portuario?
Establecer una política de ciberseguridad robusta en el sector portuario implica un enfoque integral que cubra tanto la tecnología como el factor humano. Las medidas deben enfocarse en la prevención, la rápida detección de amenazas y la capacidad de respuesta ante incidentes para mitigar posibles daños. Y para ello existen una serie de frameworks o marcos de referencia en los que nos podemos apoyar. Tomando en cuenta nuestra cercanía con los Estados Unidos, prevalece la tendencia de utilizar marcos de referencia como el desarrollado por el Instituto Nacional de Estándares y Tecnología de Estados Unidos o NIST, por sus siglas en inglés. El NIST se basa en cinco funciones clave: identificar, proteger, detectar, responder y recuperar. Además, es bastante flexible, lo que le permite adaptarse a empresas de distintos tipos y de diferentes sectores.
Otro estándar a considerar es el IEC 62443, que se ha convertido en el estándar de facto para la ciberseguridad en los sistemas de control industrial y se aplica en sectores como el logístico, portuario, energía y otras industrias críticas.
En todo caso, para poder establecer una política de ciberseguridad es fundamental iniciar con un análisis de continuidad de negocio o Business Impact Analisys (BIA). El BIA permitirá identificar los riesgos asociados con los procesos comerciales críticos de la organización y los recursos asociados necesarios para garantizar la resiliencia operativa y la continuidad de las operaciones en caso de un incidente, sea éste de ciberseguridad o de otra naturaleza. Una vez identificados esos procesos críticos y los sistemas y recursos involucrados, podemos definir un plan basado en las cinco funciones que indica el NIST.
De igual forma, es fundamental realizar un análisis exhaustivo de las amenazas específicas que enfrenta el sector, como ataques de ransomware, phishing, spear-phishing y ataques distribuidos de denegación de servicio, para así poder identificar las áreas más vulnerables, incluidos los sistemas operacionales y de control industrial.
La identificación clara de los roles y responsabilidades de los distintos actores es otro aspecto crítico a considerar.
