Funcionarios de la Guardia Costera y de la agencia marítima federal de Estados Unidos aseguraron el 5 de abril a los legisladores del Congreso que se están abordando rápidamente las posibles vulnerabilidades a los ataques cibernéticos contra los puertos del país.
La urgencia que se vio subrayada por las revelaciones de que en muchos de los 361 puertos del país operan grúas de doble uso fabricadas en China, que potencialmente podrían sabotear las infraestructuras vitales.
La Guardia Costera informó en febrero de que más de 200 grúas fabricadas en China operaban en puertos estadounidenses, con posibles amenazas identificadas en 92 de ellas, lo que llevó al presidente Joe Biden, en una orden ejecutiva del 21 de febrero, a autorizar un programa de ciberseguridad reforzado dentro de un paquete de infraestructuras portuarias de 20,000 millones de dólares, de la Ley Bipartidista de Infraestructuras (BIL) de 2021.
«El aumento del uso de sistemas automatizados en las plataformas marítimas y las instalaciones portuarias y de carga crea enormes eficiencias, pero introduce vectores de ataque adicionales para los ciberdelincuentes malintencionados», dijo el contraalmirante John Vann, que dirige el Comando Cibernético de la Guardia Costera, en una audiencia conjunta del Congreso en el Puerto de Miami.
Gran parte de la audiencia ante el Subcomité de Guardacostas y Transporte Marítimo del Comité de Transporte e Infraestructuras de la Cámara de Representantes y el Subcomité de Transporte y Seguridad Marítima del Comité de Seguridad Interior de la Cámara de Representantes se centró en la infraestructura portuaria, tras la catástrofe del 26 de marzo, cuando un buque portacontenedores chocó contra el puente Francis Scott Key de Baltimore, provocando su derrumbe, causando seis muertos y el cierre de uno de los puertos más activos de la Costa Este.
Estos problemas de infraestructura fueron abordados por un panel ampliando la audiencia sobre el terreno del Puerto de Miami, que en un principio iba a debatir la ciberseguridad portuaria y la preocupación por las grúas de fabricación china.
«Las amenazas cibernéticas y los riesgos de ciberataque han aumentado con el avance de la tecnología, en particular en el entorno portuario con la implementación de la automatización y diversas tecnologías operadas por software» que equilibran «la eficiencia de nuestros puertos con (…) el aumento de las vulnerabilidades», dijo el contraalmirante Vann.
El colega de la guardia costera, el contraalmirante Wayne Arguin, comandante Adjunto para Política de Prevención, y William Paape, Administrador Asociado de Puertos y Vías Navegables de la Administración Marítima de Estados Unidos (MARAD), se unieron al contraalmirante Vann para explicar cómo la orden ejecutiva de febrero autorizaba respuestas inmediatas a las ciberamenazas.
Desde 2021, se han encontrado más de 12 módems celulares que pueden utilizarse a distancia en grúas fabricadas por Shanghai Zhenhua Heavy Industries Company (ZPMC), un fabricante propiedad del Partido Comunista Chino. Casi el 80 por ciento de las grúas utilizadas en los puertos estadounidenses son fabricadas por ZPMC.
«Las grúas buque-costa que se ciernen sobre nuestros muelles, incluidas las de aquí, aunque son fundamentales para nuestras operaciones portuarias», están «bajo el control directo del Partido Comunista Chino», dijo el presidente de la Subcomisión de Transporte y Seguridad Marítima del Comité de Seguridad Nacional de la Cámara de Representantes, el diputado Carlos Giménez (R-Fla.).
«Este cuasi monopolio permite al ZPMC (Shanghai Zhenhua Heavy Industries Company) de comprometer las grúas consolidadas en Estados Unidos, podría causar fallos de funcionamiento o facilitar el ciberespionaje en los puertos estadounidenses», dijo el Sr. Gimenez, señalando que las grúas tienen componentes que «incluyen controladores lógicos programables, que controlan muchos sistemas de grúas de barco-tierra, así como accionamientos y motores de grúas» que pueden ser manipulados a distancia.
Medidas inmediatas
La orden ejecutiva del 21 de febrero prohíbe a los puertos estadounidenses la compra de grúas ZPMC y autoriza a PACECO Corp, una filial estadounidense de Mitsui E&S, a empezar a fabricar en el país grúas buque-costa, y pone en marcha tres iniciativas, dijo el contraalmirante Vann.
La «Guardia Costera ha invertido en el crecimiento y maduración del Mando Cibernético de la Guardia Costera» para reforzar las capacidades de sus tres equipos de protección cibernética (CPT), que fueron creados en 2021 «para identificar probables intrusiones en la red portuaria por parte del actor de la República Popular China, conocido ahora como ‘Volt Typhoon'», agregó.
Los CPT trabajan con el equipo de Preparación Cibernética Marítima de la Guardia Costera, con la orden ejecutiva que también añade un refuerzo para «comprometerse regularmente con el apoyo de la industria y los comités de seguridad marítima de la zona para la planificación y ejecución de ejercicios cibernéticos», dijo el contraalmirante.
El tercer componente, añadió el Sr. Vann, es la publicación de un «tercer informe anual sobre tendencias y perspectivas cibernéticas en el entorno marítimo», que ofrecerá «perspectivas y tendencias clave para ayudar a la industria y a otras partes interesadas a identificar y abordar los riesgos cibernéticos actuales y emergentes».
La nueva directiva «faculta a la Guardia Costera para prescribir condiciones y restricciones para la seguridad de las instalaciones y embarcaciones frente al mar y los puertos, incluidos los requisitos de notificación de incidentes cibernéticos reales o de amenaza», dijo el contraalmirante Arguin.
Bajo sus nuevas autoridades, agregó, la Guardia Costera está «exigiendo acciones específicas de gestión de riesgos para todos los propietarios y operadores de grúas fabricadas por empresas de la República Popular de China».
«Si bien los requisitos específicos se consideran información de seguridad sensible y no se pueden compartir públicamente», dijo el contraalmirante Arguin, «nuestros capitanes de puertos de todo el país están trabajando directamente con los propietarios y operadores de grúas para garantizar el cumplimiento».
También el 21 de febrero, la Guardia Costera publicó una propuesta de norma que «establecería los requisitos básicos de ciberseguridad para buques, instalaciones, e instalaciones de la Plataforma Continental Exterior», dijo e contraalmirante, señalando que el período de comentarios públicos para la norma propuesta «está abierto y el servicio hace hincapié en la necesidad de la participación pública.»
El Sr. Paape, cuya agencia MARAD gestiona 25,000 millas de canales navegables y 3,500 terminales marítimas en todo el país, que generan 5.4 billones de dólares en actividad económica anual y emplean a 30 millones de estadounidenses, dijo que varias otras iniciativas cibernéticas se están poniendo en marcha en virtud de la orden ejecutiva.
El MARAD preside la Red Nacional de Preparación Portuaria (National Port Readiness Network), que «garantiza la preparación de los puertos marítimos estratégicos comerciales para apoyar el despliegue de fuerzas militares y contingencias nacionales» con otras ocho agencias federales y mandos militares.
El MARAD publicó una «Notificación de Oportunidad de Financiación» que ofrece subvenciones a los puertos para «salvaguardar contra los riesgos potenciales de seguridad», dijo el Sr. Paape, añadiendo que «cada solicitud seleccionada para la financiación federal debe demostrar la consideración y mitigación de los riesgos físicos y de ciberseguridad. Los proyectos que no aborden adecuadamente estos riesgos deberán hacerlo antes de recibir fondos».
El presupuesto de defensa del año fiscal 2023 ordenó a MARAD encabezar «un estudio para evaluar si existen riesgos de seguridad cibernética o seguridad nacional planteados por las grúas de fabricantes extranjeros» en los puertos estadounidenses, que se entreguen pronto, dijo a continuación.
Ley de seguridad e inspección de grúas portuarias
«Yo elogio a la administración por esta acción inicial, pero creo que tenemos que seguir examinando este tema crítico y garantizar que nuestros puertos estén protegidos de las amenazas a la seguridad», dijo el Sr. Giménez, exgerente de la ciudad de Miami y alcalde del condado de Miami-Dade, que sirvió 25 años como bombero de Miami.
Si bien los estudios de la Guardia Costera y el MARAD, las iniciativas y las recomendaciones de nuevas medidas son buenas, también ha «reunido a un grupo» de legisladores de la comisión China Select y de Seguridad Nacional de la Cámara de Representantes para «investigar algunas de las vulnerabilidades asociadas con las grúas portuarias fabricadas por la RPC y las consecuencias de tener una cadena de suministro que depende excesivamente de equipos de nuestro mayor oponente geopolítico».
El Sr. Giménez indicó que su propuesta de «Ley de Seguridad e Inspección de Grúas Portuarias» garantizaría que la Guardia Costera y las agencias federales «responsables de salvaguardar los puertos marítimos tengan las herramientas y autoridades necesarias para disuadir a los actores hostiles de operar contra nuestros puertos».
El presidente de la Subcomisión de Guardacostas y Transporte Marítimo de la Comisión de Transportes e Infraestructuras de la Cámara de Representantes, el representante, Daniel Webster(R-Fla.), afirmó que la amenaza no se limita a las grúas y señaló que el puerto de Los Ángeles «se enfrenta a unos 40 millones de ciberataques al mes».
«También debemos afrontar la realidad de la influencia de China en el ámbito marítimo —porque esto va en aumento— lo que, si no se controla, amenaza con derrocar u oprimir o destruir o perturbar el sector del transporte marítimo mundial», afirmó el representante.
Los principales equipos portuarios «como las grúas de las terminales (…) y los sistemas de gestión logística desarrollados por China proporcionan el seguimiento de los envíos y otros servicios logísticos, al tiempo que recopilan importantes cantidades de datos que podrían utilizarse para múltiples fines o para obtener ventajas económicas desleales», afirmó el Sr. Webster.
En una carta del 29 de febrero (pdf) dirigida al presidente de ZPMC USA Corp. con sede en Nueva Jersey, Richard Pope, y al presidente y CEO de ZPMC con sede en Shanghai, Liu Chengyun, el Comité Selecto de Competencia Estratégica del Comité de Seguridad Nacional de la Cámara de Representantes exigió conocer la finalidad de los módems celulares descubiertos entre los componentes de las grúas de la sala de servidores de un puerto marítimo estadounidense que alberga equipos de cortafuegos y redes.
«Estos componentes no contribuyen al funcionamiento de las grúas ni de la infraestructura marítima y no forman parte de ningún contrato existente entre ZPMC y el puerto marítimo estadounidense receptor», dice la carta, señalando que la planta de fabricación de ZPMC está junto a la planta de construcción naval más avanzada de China, donde el régimen del PCCh construye portaaviones, y alberga avanzadas capacidades de inteligencia.
Aunque la investigación sigue en curso, los comités identificaron serias preocupaciones en cuanto a la relación de ZPMC con el PCCh, en particular dado el reciente descubrimiento de malware chino en infraestructuras vitales relacionadas con el sistema portuario.
En el marco de otra investigación sobre ciberseguridad, también se descubrió que algunos de los módems en cuestión tenían conexiones activas con los componentes operativos de las grúas STS, lo que sugiere que podrían estar controladas a distancia por un dispositivo que nadie sabía que estaba allí.
En febrero, la asesora adjunta de Seguridad Nacional de la Casa Blanca, Anne Neuberger, declaró ante la prensa que las grúas estaban diseñadas para poder ser utilizadas desde una ubicación remota, lo que las dejaba expuestas a este tipo de explotación.
«Por su diseño, estas grúas pueden controlarse, repararse y programarse desde lugares remotos», declaró la Sra. Neuberger. Estas características hacen que las grúas fabricadas en China sean potencialmente vulnerables».
Por ello, la carta sugiere que todos los puertos estadounidenses con grúas ZPMC podrían estar ya, o corren el riesgo de estar, comprometidos por el PCCh.
El coronel retirado del ejército John Mills dijo a The Epoch Times que las grúas eran efectivamente una extensión de la operación global de cibercrimen del PCCh, que podría ser utilizada durante una invasión de Taiwán para sembrar el caos en Estados Unidos.
«Esas grúas de contenedores no son grúas», dijo el Sr. Mills. «Son puntos finales de IP en un sistema mundial de recopilación de inteligencia».
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.