**Nuevos requisitos de la MTSA: protección obligatoria para sistemas OT y auditorías externas en el sector marítimo**

—

### 1. Introducción

El sector marítimo se enfrenta a una transformación normativa sin precedentes en materia de ciberseguridad, tras la actualización de la Maritime Transportation Security Act (MTSA) en Estados Unidos. Esta legislación, pionera desde su promulgación en 2002 tras los atentados del 11-S, incorpora ahora obligaciones explícitas para la protección de sistemas de tecnología operacional (OT), auditorías de seguridad por terceros independientes y la creación de roles híbridos de ciberseguridad OT en puertos y terminales. El endurecimiento de la MTSA responde al alarmante incremento de ciberataques dirigidos a infraestructuras críticas marítimas y busca alinear la industria con los estándares internacionales y las exigencias regulatorias como la NIS2 europea.

—

### 2. Contexto del Incidente o Vulnerabilidad

La digitalización de los sistemas marítimos ha supuesto una mejora en la eficiencia operativa, pero también ha expuesto a los actores del sector a amenazas sofisticadas. Los sistemas OT, responsables de controlar grúas, esclusas, bombas y otros elementos esenciales para la operación portuaria, se han convertido en objetivos atractivos para cibercriminales, grupos APT y actores estatales. Incidentes recientes, como el ataque de ransomware a la Autoridad Portuaria de Houston en 2021 y la paralización de terminales en Maersk por NotPetya en 2017, han evidenciado la necesidad de una regulación más estricta y específica para los entornos OT marítimos.

—

### 3. Detalles Técnicos

La nueva versión de la MTSA establece la obligatoriedad de planes de protección específicos para sistemas OT. Estos planes deben contemplar la identificación y el inventario de activos OT, evaluación de riesgos, establecimiento de controles de acceso, segmentación de redes y monitorización continua de eventos. Entre los vectores de ataque identificados por la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) destacan:

– Acceso remoto no autorizado (TA0001, MITRE ATT&CK)
– Explotación de vulnerabilidades en PLCs y SCADA (por ejemplo, CVE-2023-34362 en MOVEit, CVE-2022-1154 en Siemens SIMATIC)
– Ransomware especializado en entornos industriales (utilizando frameworks como Cobalt Strike o Metasploit para el movimiento lateral)
– Ataques de denegación de servicio (DoS) contra sistemas críticos

Los indicadores de compromiso (IoC) incluyen tráfico anómalo entre segmentos IT y OT, uso de credenciales por defecto, y la presencia de herramientas como Mimikatz o PsExec en redes OT.

La normativa exige además auditorías de ciberseguridad OT realizadas por terceros independientes, quienes deben aplicar metodologías reconocidas (NIST SP 800-82, ISA/IEC 62443) y reportar hallazgos críticos a las autoridades portuarias y a la Guardia Costera de EE.UU.

—

### 4. Impacto y Riesgos

Las consecuencias de un fallo de seguridad en sistemas OT marítimos pueden ser devastadoras, incluyendo interrupciones del tráfico portuario, sabotaje de procesos logísticos, daños físicos a instalaciones y graves repercusiones económicas. Según datos de Allianz Global Corporate & Specialty, los incidentes cibernéticos en el transporte marítimo han incremento un 400% desde 2019, con pérdidas económicas superiores a los 200 millones de dólares por incidente de media.

Además, la falta de segregación entre redes IT y OT incrementa el riesgo de propagación de amenazas como ransomware, poniendo en peligro la continuidad operativa y la integridad de los datos. El cumplimiento de la MTSA se convierte así en un imperativo no solo legal, sino estratégico para la resiliencia del sector.

—

### 5. Medidas de Mitigación y Recomendaciones

Para cumplir con las nuevas exigencias de la MTSA, se recomienda a los responsables de seguridad marítima implementar las siguientes medidas:

– Inventario y clasificación de activos OT críticos.
– Segmentación y aislamiento de redes OT frente a redes corporativas IT.
– Aplicación de políticas de acceso mínimo necesario y autenticación multifactor.
– Actualización y parcheo regular de dispositivos y sistemas SCADA/PLC.
– Monitorización continua y correlación de eventos mediante SIEM e IDS/IPS adaptados a entornos OT.
– Realización periódica de auditorías externas e internas basadas en marcos como IEC 62443.
– Formación específica y continua del personal en ciberseguridad OT.

—

### 6. Opinión de Expertos

Según Javier López, CISO de una multinacional logística: “La integración de auditorías externas y la exigencia de planes OT en la MTSA coloca al sector marítimo en una senda de madurez similar a la de la industria energética o del agua. Es fundamental que las empresas vean la ciberseguridad no como un coste, sino como palanca de continuidad y competitividad”.

Por su parte, la consultora Gartner señala que “para 2026, más del 80% de los operadores portuarios globales estarán sujetos a auditorías de ciberseguridad OT, y el incumplimiento puede derivar en sanciones superiores a los 10 millones de dólares, además de sanciones administrativas bajo marcos como GDPR o NIS2”.

—

### 7. Implicaciones para Empresas y Usuarios

Las empresas portuarias deben adaptar sus políticas de seguridad, destinar recursos a la protección de OT y redefinir perfiles profesionales. La figura del responsable híbrido de ciberseguridad OT, que combine conocimientos en automatización industrial y ciberseguridad, se convierte en imprescindible. Asimismo, los contratos con terceros y proveedores deben incluir cláusulas específicas de ciberseguridad OT.

Para los usuarios finales y clientes logísticos, la implementación rigurosa de estas medidas incrementará la confianza en la fiabilidad y seguridad de los servicios portuarios, reduciendo riesgos de interrupciones y filtraciones de datos sensibles.

—

### 8. Conclusiones

La actualización de la MTSA marca un punto de inflexión en la protección de infraestructuras marítimas críticas. La obligatoriedad de planes de seguridad OT, auditorías independientes y la profesionalización del rol híbrido de ciberseguridad refuerza la resiliencia del sector ante un panorama de amenazas cada vez más complejo. El cumplimiento normativo no solo es una exigencia legal, sino una garantía de continuidad operativa y reputacional frente a los desafíos actuales y futuros.

(Fuente: www.darkreading.com)