El Giro Crítico hacia la
Ciberseguridad en Alta Mar:
La Convergencia de las Normas
Navales y la ISO/IEC 27001
Cuando un barco en alta mar se convierte en un centro de datos flotante, la línea entre un riesgo informático y un desastre físico desaparece. Esto es lo que los datos de 2025 confirman, y lo que exigen las normas vigentes.
Durante décadas, un buque mercante en mitad del océano se consideraba una entidad relativamente aislada, expuesta casi exclusivamente a los riesgos de la naturaleza y a las amenazas físicas tradicionales. Sin embargo, la era de la conectividad total —impulsada por constelaciones satelitales de órbita baja y redes hiperconectadas— ha transformado los barcos en auténticos centros de datos flotantes.
Los números de 2025 no dejan margen para la complacencia: según el 2026 Maritime Cyber Threat White Paper de CYTUR, los incidentes de ciberseguridad en el sector marítimo se duplicaron el año pasado, pasando de 408 en 2024 a 828 casos registrados. Los ataques específicos a sistemas de Tecnología Operacional (OT) a bordo crecieron un 150%, y el GPS spoofing alcanzó aproximadamente 1.000 perturbaciones diarias, afectando a más de 40.000 embarcaciones en todo el mundo.
Para los líderes de calidad y cumplimiento, este escenario exige un cambio de paradigma: la ciberseguridad marítima ya no es un asunto exclusivo del departamento de informática. Es un pilar crítico de la continuidad del negocio y la gestión de riesgos corporativos, con un impacto económico promedio de USD 4,5 millones por incidente.
La Vulnerabilidad de los Sistemas OT
A diferencia de una empresa en tierra, donde la ciberseguridad se enfoca principalmente en proteger la propiedad intelectual o los datos financieros —Tecnología de la Información o IT—, en alta mar el peligro más crítico reside en la Tecnología Operacional (OT).
IT — Tecnología de Información
- Correo y comunicaciones
- Wi-Fi de tripulación
- Sistemas administrativos
- Gestión documental
- Acceso a internet por satélite
de ataque
OT — Tecnología Operacional
- Motores de propulsión
- Sistema de gobierno (timón)
- Válvulas de combustible
- ECDIS (navegación)
- Planta eléctrica y lastres
Los sistemas OT controlan las funciones físicas del buque. Un ataque cibernético que logre atravesar la barrera entre IT y OT no busca robar contraseñas: busca —y puede lograr— el encallamiento de un megaportacontenedores, el apagón total de la planta eléctrica (blackout) o un desastre ecológico por vertido de hidrocarburos.
En 2025 se registraron casos de hackeo de sistemas ECDIS (cartas de navegación digitales), control remoto de válvulas de lastre y cifrado de los Sistemas de Mantenimiento Planificado (PMS) de buques para exigir rescates. El acceso se logra principalmente por tres vías: phishing dirigido a la tripulación, redes Wi-Fi públicas no protegidas y memorias USB comprometidas introducidas a bordo.
Fuente: Trend Micro / Cydome Annual Report 2025–2026
El Escudo Normativo: IACS UR E26 y UR E27
Para responder a esta crisis, la Asociación Internacional de Sociedades de Clasificación (IACS) estableció dos requisitos unificados de cumplimiento obligatorio que entraron en vigor el 1 de julio de 2024 para todos los buques de nueva construcción contratados a partir de esa fecha.
Resiliencia Cibernética del Buque
Se centra en el buque como sistema integrado. Exige que las redes IT y OT estén adecuadamente segregadas para que un virus que entre por el Wi-Fi de la tripulación no pueda alcanzar el sistema de control del motor. Cubre diseño, construcción, puesta en servicio y vida operacional.
Resiliencia de Sistemas y Equipos a Bordo
Define los estándares de seguridad a nivel de equipo individual, obligando a los fabricantes de hardware y software marítimo a entregar sistemas con seguridad nativa y parches de actualización verificados. Opera como vía de homologación de tipo para proveedores.
«Los datos de incidentes de 2024 y 2025 demuestran que la ciberseguridad marítima ya no es una ‘opción’, sino una cuestión directamente vinculada al ‘derecho a operar’ de un buque.»
Cho Yong Hyun — CEO, CYTUR Inc.Vinculando las Normas Navales con la ISO/IEC 27001:2022
Las navieras y los operadores logísticos necesitan un marco de gobernanza que traduzca las exigencias técnicas marítimas en un Sistema de Gestión estructurado y auditable. Aquí es donde la ISO/IEC 27001:2022 —versión actualmente vigente del estándar internacional de Sistemas de Gestión de Seguridad de la Información (SGSI)— se convierte en la herramienta estratégica de elección.
Su implementación en el sector marítimo no es un ejercicio burocrático: es la forma en que la alta dirección convierte el cumplimiento técnico de las UR E26/E27 en política de empresa verificable y auditable.
Evaluación de Riesgos Basada en el Entorno
Obliga a mapear no solo los servidores de la oficina central, sino cada interfaz tecnológica a bordo de toda la flota: ECDIS, sistemas de propulsión, válvulas de lastre, equipos de comunicación satelital. Se determina el impacto de la pérdida de integridad en cada sistema crítico.
Segregación de Redes y Control de Acceso
Los controles del Anexo A exigen políticas estrictas de separación de sistemas, alineadas directamente con la IACS UR E26. Al certificar bajo ISO 27001:2022, la dirección garantiza que existan cortafuegos robustos entre la red de entretenimiento, el sistema administrativo y la red industrial de la sala de máquinas.
Respuesta a Incidentes y Continuidad del Negocio
Los buques operan a miles de millas del soporte técnico. ISO 27001:2022 obliga a diseñar planes de respuesta a incidentes cibernéticos específicos para tripulaciones: protocolos para activar navegación en modo degradado o analógico si los sistemas de control se ven comprometidos, salvaguardando la vida humana a bordo.
Gestión de Proveedores de la Cadena de Suministro
Los buques modernos dependen de decenas de proveedores que se conectan remotamente para mantenimiento de motores o actualizaciones de cartografía. ISO 27001:2022 exige evaluar la seguridad de estos terceros, cerrando una de las vías de acceso más frecuentes en los incidentes documentados de 2025.
La ciberseguridad en alta mar ha dejado de ser una hipótesis de ciencia ficción para convertirse en una realidad operativa diaria. Con 828 incidentes documentados en 2025 y un costo promedio de USD 4,5 millones por evento, las navieras que se limiten a cumplir con lo mínimo exigido en las inspecciones portuarias quedarán rezagadas ante amenazas cada vez más sofisticadas.
La adopción de la ISO/IEC 27001:2022, en perfecta armonía con los requisitos técnicos IACS UR E26/E27 —vigentes desde julio de 2024—, proporciona a las empresas del sector una ventaja competitiva concreta: convierte el cumplimiento normativo en cultura organizacional, integra la seguridad digital desde el diseño del buque, y proporciona el marco de evidencia auditable que los armadores, aseguradoras y autoridades portuarias comenzarán a exigir de forma creciente.
Para los lectores de MundoCalidad: la seguridad digital del buque es, hoy, un problema de calidad total. No del departamento de IT. No del capitán. De la organización completa, desde la sala de máquinas hasta la sala de juntas.
