• Enviar
  • Imprimir

¿Qué limites impone el derecho de la guerra a los ataques cibernéticos?

28-06-2013

Preguntas y respuestas - ¿Tiene la guerra cibernética límites y normas? ¿Están protegidos contra los ataques cibernéticos los ordenadores, las redes y las infraestructuras cibernéticas de los civiles? La respuesta es sí, según asevera un grupo internacional de juristas y de expertos militares en el Manual Tallinn*, documento en cuya elaboración ha participado el CICR en calidad de observador. Este documento explica que el Manual Tallinn, al demostrar la relevancia del derecho internacional humanitario en todo tipo de conflictos armados, representa un importante avance con miras a reducir el sufrimiento humano.

¿Por qué la guerra cibernética es motivo de preocupación para el CICR?

El término "guerra cibernética" ha sido empleado por varias personas en referencia a situaciones distintas. En el manual, por "guerra cibernética", se entiende los medios y métodos de hacer la guerra empleados en operaciones cibernéticas que alcanzan el umbral de un conflicto armado o que se conducen en el marco de un conflicto armado, en el sentido del derecho internacional humanitario. Para el CICR, las guerras de esta índole son motivo de preocupación debido a la vulnerabilidad de las redes cibernéticas y al coste humanitario que pueden entrañar. Cuando los ordenadores o las redes de un Estado son objeto de un ataque, una infiltración o un bloqueo, la población civil puede verse privada de servicios básicos como el abastecimiento en agua potable, la asistencia sanitaria y el suministro eléctrico. En caso de paralización de los sistemas de posicionamiento global por satélite (GPS), es posible que haya víctimas civiles, por ejemplo, si se interrumpen las operaciones de vuelo de los helicópteros de rescate que prestan servicios vitales. Las presas, las centrales nucleares y los sistemas de control aéreo también son vulnerables en caso de ataque cibernético, a causa de su dependencia de los ordenadores. El grado de interconexión de las redes es tal que puede resultar difícil limitar los efectos de un ataque dirigido contra parte del sistema sin causar daños a otros equipos o sin perturbar el conjunto. El bienestar, la salud o incluso la vida de cientos de miles de personas podrían verse afectados. Uno de los cometidos del CICR es recordar, a todas las partes en conflicto, que se deben tomar, en todo momento, las medidas de precaución necesarias para preservar la vida de la población civil. Las guerras tienen normas y límites que son aplicables en caso del uso tanto de armas cibernéticas como de fusiles, proyectiles de artillería o misiles.

En el manual publicado recientemente por un grupo de juristas y de expertos militares, conocido como el Manual Tallinn, se establece que el DIH se aplica en caso de guerra cibernética y se describen las modalidades de aplicación de las normas del DIH en este ámbito. ¿Por qué es importante?

Nos satisface observar que los expertos reflexionan sobre las consecuencias de la guerra cibernética y sobre el derecho aplicable en tal caso. El recurso a operaciones cibernéticas en los conflictos armados puede entrañar consecuencias humanitarias devastadoras. Al juicio del CICR, es crucial identificar cauces para limitar el coste humanitario de las operaciones cibernéticas y, en particular, para reafirmar la pertinencia del DIH cuando se usa esta nueva tecnología en conflictos armados. Eso es exactamente lo que aseveran los expertos en el Manual Tallinn. Los medios y métodos de hacer la guerra evolucionan con el paso del tiempo y es palmario que no se asemejan a los que existían cuando se redactaron los Convenios de Ginebra en 1949; no obstante, el DIH sigue siendo aplicable en todas las actividades que las partes conducen durante un conflicto armado, y se debe respetar. No se puede descartar, sin embargo, que quizás sea necesario continuar desarrollando el derecho a fin de que brinde suficiente protección a la población civil, a medida que evolucionan las tecnologías cibernéticas o se comprenden mejor sus consecuencias humanitarias. Esta cuestión deberá ser zanjada por los Estados.

Si bien el Manual Tallinn es un documento no vinculante, elaborado por un grupo de expertos, esperamos que pueda contribuir de forma provechosa a fomentar las deliberaciones entre Estados relativas a esta compleja cuestión. Deseamos igualmente que tanto los Estados como los grupos armados no estatales velen por el cumplimiento de sus obligaciones internacionales cuando recurran a operaciones cibernéticas en los conflictos armados. Actualmente, se debate mucho sobre la correcta interpretación y aplicación del derecho internacional, incluido el DIH, respecto de las actividades desplegadas por los Estados y por los actores no estatales en el ciberespacio. El CICR continuará ofreciendo asesoramiento especializado en materia de DIH para encarar estos retos.

Ello no significa que el DIH es aplicable en cualquier operación cibernética o en todas las que se suele denominar "ataques cibernéticos" en el lenguaje corriente. El DIH no regula las operaciones cibernéticas que no guardan relación con una situación de conflicto armado. Las empresas y los Gobiernos están tan expuestos al espionaje cibernético, a los crímenes cibernéticos y a otras actividades cibernéticas malintencionadas como a los ataques cibernéticos que incumben al DIH. Si bien pueden emplearse medios técnicos similares para proteger una infraestructura cibernética del espionaje o de un ataque, el derecho por el que se rigen estas operaciones es distinto. Por lo tanto, resulta fundamental determinar las circunstancias en las que se puede considerar que una operación cibernética se conduce durante un conflicto armado o da lugar, de por sí, a un conflicto armado, de tal modo que quepa aplicar el DIH.

¿Qué se establece en el Manual Tallinn sobre el ámbito de aplicación del DIH en el ciberespacio?

En el Manual Tallinn, se ofrecen interesantes perspectivas a este respecto. Por ejemplo, se mantiene la conocida clasificación de conflictos armados internacionales y los no internacionales y se reconoce que las operaciones cibernéticas pueden constituir, en sí mismas, un conflicto armado en función de las circunstancias y, en particular, en función de los efectos destructores que causen. En el manual, se entiende por "ataque cibernético", en el marco del DIH, "una operación cibernética, ofensiva o defensiva, de la que quepa razonablemente prever que causará heridas o la muerte a personas o que dañará o destruirá bienes". No obstante, el quid de la cuestión radica en los detalles, esto es, en lo que ha de entenderse como "daño" en el mundo digital. Tras un intenso debate, la mayoría de los expertos acordó que, además del daño físico, la pérdida de funcionalidad de un bien también puede constituir un daño. Al juicio del CICR, es irrelevante que un bien haya sido inutilizado debido al uso de medios cinéticos o al recurso a una operación cibernética. Este asunto es de suma importancia en la práctica porque, en caso contrario, la prohibición de atacar de forma directa a personas y bienes civiles, que se dispone en el DIH, no sería aplicable en una operación cibernética cuya finalidad es inutilizar una red civil.

¿Cuál fue la función del CICR en este proceso? ¿Se reflejan en el manual las posiciones de la Institución?

El CICR participó, en calidad de observador, en las deliberaciones de los expertos que redactaron el Manual Tallinn, para que éste reflejara, en la medida de lo posible, las disposiciones existentes del DIH y mantuviera la protección que esta rama del derecho confiere a las víctimas de conflictos armados. Las 95 normas que se incluyen en el manual reflejan las cuestiones que fueron objeto de consenso por parte de los expertos. El CICR concuerda generalmente con la formulación de las normas, con algunas excepciones: por ejemplo, contrariamente a las conclusiones del estudio del CICR sobre el DIH consuetudinario, no se incluyen los bienes culturales en la norma por la cual se recuerda la prohibición de emprender represalias bélicas contra determinadas personas y determinados bienes que gozan de protección especial. En el manual, también se presentan útiles comentarios acerca de las normas, incluidas las discrepancias entre los expertos. Por ejemplo, una de las divergencias concierne la obligación que incumbe a las partes en un conflicto armado de adoptar todas las precauciones factibles para proteger de los efectos de los ataques cibernéticos a la población y a los bienes civiles bajo su control;  si bien en los comentarios del manual se afirma que el ámbito de aplicación de esta norma se limitaría a los conflictos armados internacionales, el CICR considera que la obligación ha de aplicarse en todo tipo de conflicto armado.

¿Cuáles son los principales desafíos que plantea la guerra cibernética?

Sólo existe un ciberespacio, compartido por usuarios civiles y militares, en el que todo está interconectado. Los principales desafíos radican en garantizar que los ataques se dirigen exclusivamente contra objetivos militares y en velar constantemente por la preservación de la vida de la población y  las infraestructuras civiles. Además, los muertos entre la población civil y los daños en los objetos civiles que se pueden causar incidentalmente no deben ser excesivos en relación con la ventaja militar directa y concreta que se prevé alcanzar por medio de un ataque cibernético. Si no se pueden respetar estas condiciones, no se debe atacar. A este respecto, en el manual se recuerda oportunamente que, por daños colaterales, se entiende los efectos tanto directos como indirectos de un ataque y que debe tenerse en cuenta todo efecto indirecto previsto, cuando se efectúa la evaluación de la proporcionalidad, en las fases de planificación y de ejecución de un ataque, cuestión extremadamente pertinente en el ciberespacio. Estas problemáticas ponen de manifiesto la importancia de que los Estados tomen extremas precauciones cuando recurran a ataques cibernéticos.

¿Son los piratas informáticos un objetivo legítimo en caso de guerra cibernética?

El término "piratas informáticos" abarca a tantas personas y tantos tipos de actividades que es imposible afirmar que éstos pueden ser, como tales, blanco de un ataque. La mayor parte de las operaciones cibernéticas no guarda relación con conflictos armados, de modo que el DIH ni siquiera es aplicable.  Incluso en situación de conflicto armado, la mayoría de los piratas informáticos son civiles y, por lo tanto, están protegidos contra los ataques directos en virtud del DIH. No obstante, pueden ser objeto de sanciones y acciones penales, si sus actos vulneran otras ramas del derecho.

La situación es diferente si los piratas informáticos participan directamente en las hostilidades y lanzan un ataque cibernético en apoyo de una parte en un conflicto armado. En tal caso, no pueden esperar que el enemigo permanezca impasible y,  durante el ataque cibernético y la fase de preparación que forma parte integrante del mismo, pierden la protección jurídica contra los ataques directos.

¿Puede resultar provechoso el uso de la tecnología cibernética en caso de conflicto armado?

Cuando los Estados despliegan operaciones militares, tienen la obligación de evitar o, al menos, de reducir al mínimo el número de víctimas civiles y los daños a las infraestructuras civiles que puedan causar incidentalmente. Si bien no se subestiman las dificultades, es imposible descartar que los avances tecnológicos pueden dar lugar, en el futuro, al desarrollo de armas cibernéticas que, en determinadas circunstancias, podrían causar menos víctimas y daños colaterales que las armas convencionales, y reportar la misma ventaja militar. El CICR seguirá examinando de cerca  la evolución de la situación.

* Tallinn Manual on the International Law Applicable to Cyber Warfare (Manual Tallinn sobre el derecho internacional aplicable en la guerra cibernética), elaborado por un grupo internacional de expertos, por invitación del Centro de Excelencia de Defensa Cibernética Cooperativa de la Organización del Tratado del Atlántico Norte (OTAN), Cambridge University Press, 2013.