El 27 de junio de 2017 pasará a la historia como el día en el que el sector del transporte tomó conciencia de las trágicas consecuencias que se pueden derivar de un ciberataque. Y es que, en dicha fecha, la operativa de la naviera danesa A.P. Moller – Maersk se paralizó totalmente como consecuencia de un ataque de ‘ramsomware‘ Petya que afectó tanto a los sistemas de sus oficinas centrales como de numerosas de sus instalaciones en todo el mundo.
En ningún caso este suceso puede considerarse como un hecho aislado, sino como un primer signo de una tendencia que se verá incrementada en los próximos años dada la dependencia tecnológica e importancia estratégica del transporte. En este sentido, el último estudio sobre cibercriminalidad en España, elaborado por el Ministerio del Interior, sitúa al transporte como el tercer sector estratégico cuyas infraestructuras tuvieron más incidentes de ciberseguridad a lo largo del año 2017,sólo precedido por el sector financiero y el de la energía.
Pues bien, a nadie se le escapa que el ciberataque sufrido por un transportista puede afectar también a las mercancías transportadas. Surge así la cuestión jurídica de si el transportista ha de responder por dichos perjuicios, ya que sobre él pesa la obligación legal de entregar las mercancías en destino en el mismo estado y condición en que las recibió en origen.
Teniendo en cuenta que ninguna normativa de transportes considera un ciberataque como un supuesto específico de exoneración de la responsabilidad, sólo cabe preguntarse si este tipo de eventos puede ser considerado como un supuesto de caso fortuito o fuerza mayor que excluya la responsabilidad del transportista.
Para resolver esta cuestión hay que partir de la base de que lo que hacen los ciberataques para conseguir su resultado dañoso es aprovecharse de las brechas de seguridad que presenta el software. Así, dentro del ámbito de las vulnerabilidades del software, se distinguen las denominadas ‘zero-day‘, también llamadas vulnerabilidades de ‘día cero‘ o ‘zero-day exploits‘, del resto.
La particularidad de las vulnerabilidades ‘zero-day‘ es que, conforme al estado de evolución tecnológica, su existencia es completamente desconocida hasta que se produce el ciberevento. De tal manera que el fabricante del correspondiente software, a la hora de su elaboración, no pudo ni conocer ni prever la existencia de dicha vulnerabilidad.
Sólo en aquellos supuestos en los que nos encontremos ante un ciberataque ‘zero-day‘ podremos estar hablando de un supuesto de fuerza mayor o caso fortuito. En el resto de los casos, el ciberataque podría haberse evitado por parte de la víctima de haber tenido debidamente actualizados y protegidos sus sistemas.
Y es que los proveedores de software cada cierto tiempo facilitan a sus usuarios actualizaciones o parches de sus programas que tienen por objeto salvaguardar su correcto mantenimiento y funcionamiento, lo que incluye la protección frente a los nuevos riesgos cibernéticos que van surgiendo. Por tanto, una vez que dichas actualizaciones están disponibles, le corresponde a los usuarios implementarlas, ya que de lo contrario su falta de actuación será un elemento coadyudante del éxito del ciberataque y por tanto se les considerará responsables de sus consecuencias.
Finalmente, hay que resaltar que la normativa de transportes presume la responsabilidad del transportista, de tal manera que éste ha de probar las circunstancias que configuran la fuerza mayor o caso fortuito si quiere exonerarse de su responsabilidad. En el caso de un ciberataque, le corresponderá al transportista no sólo demostrar que tenía implementadas las correspondientes medidas de prevención sino además que se trataba de una vulnerabilidad ‘zero-day‘.
Por tanto, los transportistas han de ser conscientes de los ciberriesgos que plantea su sector, adoptando aquellas medidas pertinentes para evitarlos. De lo contrario, serán considerados responsables de los daños y perjuicios causados a las mercancías como consecuencia de un ciberataque.