La ciberseguridad en los buques de pasajeros: formar a una tripulación que nunca trabaja en una oficina

La mayoría de los cursos de formación en ciberseguridad parten de un entorno de trabajo bastante estándar: un ordenador, una ubicación fija y un horario regular. Para la tripulación de un buque de pasajeros, nada de eso es aplicable. Trabajan en turnos rotativos, pasan semanas en el mar, comparten dispositivos y rara vez tienen acceso a un entorno de oficina estable. Mientras tanto, el panorama de amenazas para la ciberseguridad de los buques de pasajeros empeora año tras año. En la primera mitad de 2024, la empresa de seguridad Marlink registró más de 23 400 detecciones de malware en 1800 buques supervisados. En 2025, los incidentes cibernéticos marítimos se habían disparado un 103 % respecto al año anterior. Casi la mitad de esos incidentes comenzaron con phishing. Lo mismo ocurre con la ciberseguridad de los buques de carga: el tipo de buque cambia, pero el punto de entrada humano sigue siendo el mismo.

El Convenio STCW se refiere a la cubierta, no al buzón de entrada.

Para la gente de mar que trabaja en buques que cumplen el Código ISPS, el certificado de sensibilización en materia de seguridad del Convenio STCW es un requisito legal. La formación abarca lo que cabría esperar: reconocer las amenazas físicas a bordo, controlar el acceso a las zonas restringidas, comprender los niveles de seguridad y saber cómo informar de actividades sospechosas. Constituye una base sólida y, en lo que respecta a la seguridad física, cumple perfectamente su función.

Las amenazas digitales son un tema totalmente distinto. Es posible que el tripulante que reacciona correctamente ante una persona no autorizada en la pasarela no se lo piense dos veces antes de hacer clic en un enlace de un mensaje que parece proceder del sistema de gestión de la compañía naviera. La concienciación sobre la seguridad física y la concienciación sobre la seguridad digital son habilidades distintas. El Convenio STCW no aborda el phishing, la ingeniería social ni el robo de credenciales. Esa laguna es real y cada vez se aprovecha más.

La NIS2 convierte la concienciación digital en una obligación legal

Los operadores marítimos europeos se enfrentan ahora a presiones procedentes de dos frentes. El primero es la propia amenaza. El segundo es la normativa. En virtud de la Directiva NIS2, las empresas de transporte marítimo están clasificadas como operadores de servicios esenciales. Esto conlleva un deber de diligencia documentado, obligaciones de notificación de incidentes y un requisito explícito de invertir en la sensibilización de los empleados en materia de seguridad. Cómo se traduce esto en la práctica se explica en la guía NIS2 de Guardey para 2026, que detalla los requisitos de formación en materia de concienciación que deben cumplir las organizaciones afectadas.

Formación que funciona sin necesidad de un escritorio ni de un horario fijo

Aquí es donde surge el reto práctico. Los módulos anuales de aprendizaje electrónico se diseñaron para empleados de oficina. Las investigaciones indican que hasta el 90 % de los conocimientos adquiridos en la formación anual se pierden en cuestión de semanas, pero para un tripulante que regresa tras pasar cuatro semanas en el mar, el intervalo entre sesiones de formación puede ser mucho mayor. Los formatos tradicionales simplemente no se adaptan al ritmo del trabajo marítimo.

El modelo más eficaz es breve y frecuente: sesiones semanales de dos o tres minutos, accesibles desde cualquier dispositivo y que se pueden completar cuando la agenda lo permita. La formación en concienciación sobre seguridad de Guardey se basa precisamente en ese enfoque, con microformaciones diseñadas para dispositivos móviles que utilizan la gamificación para mantener el interés a lo largo del tiempo. Para una plantilla que rara vez se encuentra en su puesto de trabajo, esto no es una simple comodidad. Es la diferencia entre un programa de formación que realmente llega a las personas y uno que solo existe sobre el papel.

Las compañías de buques de pasajeros que ya han garantizado el cumplimiento del Convenio STCW cuentan con la capa de seguridad física necesaria. La Directiva NIS2 exige ahora también la capa digital. La buena noticia es que el formato más adecuado para cumplir con esa obligación es, precisamente, el que mejor se adapta a las condiciones de trabajo en el sector marítimo: breve, móvil y continuo.