La necesidad de prevenir la ciberguerra desde un enfoque normativo

Las herramientas filtradas de la Agencia de Seguridad Nacional (NSA) estadounidense han sido utilizadas para hackear miles de ordenadores en todo el mundo [Foto vía tekzup.com].

Los avances en la tecnología nos han otorgado un gran poder, pero también es una gran responsabilidad el uso que se le está dando. El creciente número de ataques informáticos ha transformado el ciberespacio en una especie de campo de batalla donde se lleva a cabo la guerra cibernética o “ciberguerra”. Ejemplo de ello son algunos de los mayores ciberataques de los últimos años o las continuas informaciones e investigaciones de Estados Unidos sobre ciberataques dirigidos a empresas, compañías populares en el país o incluso al propio gobierno.

No obstante, el concepto de ciberguerra está abierto a muchas interpretaciones que van desde las operaciones cibernéticas realizadas por los estados en el contexto de un conflicto armado, pasando por la aplicación del derecho internacional humanitario, a las actividades ilícitas de todo tipo realizadas por actores no estatales dentro del mundo cibernético, incluyendo los delincuentes y grupos terroristas. Se debe tener presente que ni todos los delitos cibernéticos constituyen un ciberataque, ni todos los ciberataques se enmarcan dentro de la ciberguerra. Algunos expertos han sugerido que para ser considerado como ciberguerra, el ataque cibernético debe producirse o bien en el contexto de un conflicto armado o bien que produzca los efectos equivalentes a un ataque convencional. Asimismo, estas acciones son llevadas a cabo por actores estatales para penetrar en las redes de otra nación con el propósito de causar un daño.

Otras definiciones también incluyen actores no estatales, como grupos terroristas, compañías, formaciones políticas o extremistas, hacktivistas y organizaciones criminales transnacionales.

Imagen digital de un ciberataque global [Foto: Christiaan Colen vía Flickr].

Debido a la amenaza que suponen y pueden suponer este tipo de ataques, cuestiones sobre el ciberespacio han ido ocupando cada vez un mayor espacio en las agendas políticas de los países. La seguridad se enfrenta a uno de sus mayores retos en un mundo altamente globalizado donde la tecnología está cada vez más presente en la vida diaria, siendo ésta una realidad que no entiende de fronteras ni naciones. Es por ello que los estados hacen cada vez más hincapié en la importancia de protegerse eficazmente contra estos ataques y desarrollar mecanismos de ciberdefensa.

Estas consideraciones son necesarias a la hora de estudiar un posible marco jurídico de aplicación. Asimismo, es preciso, por tanto, señalar que la ley vigente de la guerra es difícilmente aplicable en el contexto de un ataque cibernético, sobre todo partiendo del hecho de que estas leyes están desarrolladas a raíz  de la Segunda Guerra Mundial. Además, es un desafío abordar ataques que no tienen consecuencias físicas directas.

En el marco de un conflicto entre estados, las operaciones cibernéticas podrían tener consecuencias muy graves, ya que el efecto que producen no se limita al sistema informático. En este contexto, podemos hablar de las denominadas infraestructuras críticas, definidas por la Comisión Europea mediante la Directiva 2008/114/CE del 8 de diciembre como “aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas”. Así, por ejemplo, los sistemas de control de tráfico aéreo, los conductos de gas o las redes de transmisión y distribución eléctrica pueden resultar objetivos en el marco de un conflicto bélico virtual, afectando al funcionamiento de los servicios del país.

Desde la aplicación de un posible marco legal, el primer obstáculo al que nos enfrentamos es la propia naturaleza del derecho como un ámbito que necesariamente es lento en adaptar la legislación a las nuevas realidades de la sociedad. Mientras que, por el contrario, la tecnología avanza cada día, lo que la convierte en una materia altamente cambiante. Así nos encontramos con un marco legal inadecuado para tratar con eficacia las operaciones cibernéticas, pero que es necesario para limitar su acción y sus posibles repercusiones.

Fotografía artística que representa al grupo de hacktivismo Anonymous, con su tradicional máscara de Guy Fawkes [Foto vía pexels.com].

Un grupo de expertos legales y militares publicaron recientemente un manual, conocido como el Manual de Tallin, en el que se afirma que el Derecho Internacional Humanitario (DIH) se aplica a la ciberguerra y expone cómo se desarrollan las normas del DIH en este ámbito. Aunque este manual es un documento no vinculante, ofrece una amplia visión sobre las consecuencias de la ciberguerra y la ley aplicable en ella, con el fin de resaltar la importancia de los efectos de la tecnología cuando es utilizada en los conflictos armados, o las consecuencias de las operaciones cibernéticas sobre la población. Este documento viene a resaltar que los medios y métodos de guerra evolucionan con el tiempo y que no son claramente los mismos que cuando se redactaron los Convenios de Ginebra en 1949, pero que el DIH sigue aplicándose a todas las actividades realizadas por las partes en el curso de un conflicto armado y debe ser respetado.

En la Conferencia Mundial de Seguridad de Múnich, celebrada en febrero de 2017, el ministro de asuntos exteriores de Holanda anunció la creación de una nueva comisión global no gubernamental sobre la estabilidad del ciberespacio. Ésta tiene como objetivo el desarrollo de propuestas de normas y políticas para mejorar la seguridad, la estabilidad internacional y guiar el comportamiento de los estados en el ciberespacio.

La comisión misma declara que “los conflictos entre los estados tomarán nuevas formas y las actividades cibernéticas tendrán probablemente un papel preponderante en este nuevo entorno inestable, aumentando así el riesgo de socavar el uso pacífico del ciberespacio.”

El hecho de que este tipo de ataques estén aumentando en número y alcance sugiere, en consecuencia, que los estados deben llegar a un consenso en cuanto a cuándo un ataque cibernético constituye un ataque armado o uso de la fuerza. También sugiere que hay una necesidad de crear un marco jurídico más amplio para regular la ciberguerra y sus consecuencias. La comunidad internacional ha tomado conciencia de este nuevo tipo de guerra y sus repercusiones; no obstante, crear y aplicar normas a este tipo de fenómenos es sumamente complejo y deberá hacerse desde la aquiescencia de todos los actores internacionales. Mientras que el derecho y la política sigan teniendo una mayor efectividad de actuación en un marco nacional, el ciberespacio es una realidad que no conoce de estados ni fronteras y que requerirá el esfuerzo y compromiso de todos si se quiere mantener la paz.

Ésta es una explicación sin ánimo de lucro.

Leave a Reply