• Enviar
  • Imprimir

No hay lagunas jurídicas en el ciberespacio

16-08-2011 Entrevista

La "guerra cibernética" y el derecho internacional humanitario. Los responsables de la adopción de políticas y los jefes militares de todo el mundo analizan las consecuencias de la guerra cibernética. Cordula Droege, experta jurídica del CICR, explica que el actual marco jurídico es aplicable a esta situación y debe respetarse incluso en el ámbito de la cibernética.

¿Qué significa "guerra cibernética" y por qué es un tema de interés para el CICR?

El concepto de la guerra cibernética es un tanto impreciso y, al parecer, su significado varía según quién lo use. En el marco de este debate, a diferencia de las tradicionales operaciones militares cinéticas, la guerra cibernética se refiere a los medios y métodos de guerra que se basan en la tecnología de la información y se usan en el contexto de un conflicto armado en el sentido del derecho internacional humanitario.

Del mismo modo, los términos como "ataques cibernéticos," "operaciones cibernéticas" o "ataques contra las redes informáticas" no tienen un significado jurídico acordado a nivel internacional y se usan en diferentes contextos (no siempre vinculados con conflictos armados) y con distintos significados. Utilizaremos aquí el término más amplio de "operaciones cibernéticas" para referirnos a las operaciones realizadas contra un ordenador, o mediante un ordenador o un sistema informático, utilizando para ello el flujo de datos.

Esas operaciones pueden tener distintos objetivos, por ejemplo infiltrar un sistema informático y recopilar, exportar, destruir, cambiar o encriptar datos, o activar, alterar o manipular de otro modo procesos controlados por el sistema que ha sido infiltrado. La tecnología puede utilizarse en la guerra y, en determinadas circunstancias, algunas de estas operaciones pueden constituir ataques en el sentido definido por el derecho internacional humanitario.

Las operaciones cibernéticas pueden dar lugar a preocupaciones de índole humanitaria, en particular cuando su efecto no se limita a los datos contenidos en el sistema informático o en el ordenador afectados. En efecto, habitualmente se pretende que esas operaciones tengan efectos en el "mundo real". Por ejemplo, al interferir con los sistemas informáticos de apoyo, se pueden manipular los sistemas de tráfico aéreo, los sistemas de oleoductos o las plantas nucleares del enemigo. El potencial efecto humanitario de algunas operaciones cibernéticas es, como se ve, de enorme magnitud. Las operaciones cibernéticas realizadas hasta ahora, por ejemplo, en Estonia, Georgia e Irán, no parecen haber tenido consecuencias graves para la población civil. Sin embargo, al parecer es técnicamente factible interferir con los sistemas de control de los aeropuertos, otros sistemas de transporte, diques o plantas nucleares a través del ciberespacio. Por consiguiente, no se pueden descartar la materialización de escenarios potencialmente catastróficos como la colisión de aeronaves, la emisión de sustancias tóxicas desde plantas químicas, o la perturbación de la infraestructura y los servicios vitales como las redes eléctricas o de abastecimiento de agua. Las principales víctimas de tales operaciones serían, con toda probabilidad, las personas civiles.

¿Se aplica el derecho internacional humanitario a las operaciones cibernéticas?

El derecho internacional humanitario o DIH sólo entra en juego si las operaciones cibernéticas se cometen en el contexto de un conflicto armado, sea entre Estados, entre Estados y grupos armados organizados, o entre grupos armados organizados. Por ende, es preciso distinguir la cuestión general de la seguridad cibernética, de la cuestión específica que representan las operaciones cibernéticas en un conflicto armado. Los términos como "ataques cibernéticos" o incluso "terrorismo cibernético" evocan los métodos de guerra, pero las operaciones a las que se refieren no se realizan necesariamente durante un conflicto armado. Las operaciones cibernéticas pueden utilizarse, y de hecho se utilizan, en delitos cometidos en situaciones cotidianas que nada tienen que ver con situaciones de guerra. Gran parte de las operaciones que se describen en términos coloquiales como "ataques cibernéticos" son, de hecho, ataques que consisten en explotar la red con el fin de recopilar datos en forma ilícita, y se producen fuera del contexto de los conflictos armados. Pero en situaciones de conflicto armado, el DIH se aplica cuando las partes recurren a medios y métodos de guerra basados en operaciones cibernéticas.

Si el DIH se aplica a las operaciones cibernéticas, ¿qué dice acerca de ellas?

El DIH no menciona concretamente las operaciones cibernéticas. Por esta razón, y porque la explotación de la tecnología cibernética es relativamente novedosa y, en ocasiones, parece introducir un cambio cualitativo completo en los medios y métodos de guerra, en algunos casos se ha señalado que el DIH no está adaptado a este ámbito y no puede aplicarse a la guerra cibernética. No obstante, el hecho de que el DIH no contenga referencias específicas a las operaciones cibernéticas no significa que esas operaciones no estén sujetas a sus normas. Si los medios y métodos de la guerra cibernética producen los mismos efectos en el mundo real que las armas convencionales (destrucción, desorden, daños, lesiones o muerte), se rigen por las mismas normas que las armas convencionales.

La tecnología evoluciona sin cesar, y el DIH es suficientemente amplio para abarcar todas las nuevas tecnologías. El DIH prohíbe o limita el uso de determinadas armas (por ejemplo, las armas químicas o biológicas, o las minas antipersonal). Pero, a través de sus normas generales, regula todos los medios y métodos de guerra, incluido el uso de todas las armas. En particular, el artículo 36 del Protocolo adicional I a los Convenios de Ginebra establece lo siguiente: "Cuando una Alta Parte contratante estudie, desarrolle, adquiera o adopte una nueva arma, o nuevos medios o métodos de guerra, tendrá la obligación de determinar si su empleo, en ciertas condiciones o en todas las circunstancias, estaría prohibido por el presente Protocolo o por cualquier otra norma de derecho internacional aplicable a esa Alta Parte contratante". Más allá de la obligación concreta que impone a los Estados partes, esta norma demuestra que las disposiciones generales del DIH se aplican a las nuevas tecnologías.

Esto no excluye la posibilidad de que sea necesario seguir desarrollando esta rama del derecho a medida que evolucionen las tecnologías o que sus consecuencias humanitarias se comprendan mejor. La determinación de esa necesidad incumbe a los Estados. Mientras tanto, es importante destacar que no hay lagunas jurídicas en el ciberespacio. Más allá de esta afirmación, se plantean muchas preguntas sobre la forma de aplicar el DIH en la práctica.

¿Por qué la aplicación de las normas del DIH al ciberespacio plantea dificultades?

A excepción de, presumiblemente, los expertos técnicos que los desarrollan y aplican, los medios y métodos de la guerra cibernética aún no se comprenden cabalmente. Por otra parte, el desarrollo de nuevas tecnologías suele mantenerse confidencial. Dicho esto, para determinar si los medios y métodos de la guerra cibernética son cualitativamente diferentes de los utilizados en la guerra convencional, lo más importante es entender cómo podría utilizarse la tecnología y qué efectos tendría en un conflicto armado.

Un aspecto del ciberespacio que parece plantear algunas dificultades es el anonimato de las comunicaciones. En las operaciones cibernéticas cotidianas, el anonimato es la norma, no la excepción. A veces, parece imposible rastrear al originador de una operación cibernética. Puesto que todas las leyes se basan en la atribución de responsabilidad (en el DIH, la responsabilidad se atribuye a una parte en un conflicto o a un individuo), se plantean importantes dificultades. En particular, si no es posible identificar al autor de una operación determinada ni, por ende, el vínculo de la operación con un conflicto armado, resulta extremadamente difícil determinar incluso si el DIH es aplicable a la operación.

Otra característica del ciberespacio es, desde luego, la interconectividad. Las interconexiones entre los sistemas informáticos -civiles y militares- podrían obstaculizar incluso la aplicación de las normas más fundamentales del DIH.

¿Qué normas del DIH son aplicables a las operaciones cibernéticas? ¿Cómo pueden aplicarse en el mundo de la interconectividad?

Todas las normas del DIH que rigen la conducción de las hostilidades son potencialmente aplicables durante un conflicto armado, pero su pertinencia y su forma de aplicación en este contexto dan lugar a complicados interrogantes. Antes de citar algunos ejemplos, es importante recordar que uno de los principales objetivos del DIH es proteger a la población y los bienes civiles contra los efectos de las hostilidades.

Me referiré a algunas normas fundamentales del DIH, a fin de ilustrar no sólo su importancia para las operaciones cibernéticas sino también los difíciles problemas que plantea su aplicación al ciberespacio. Esas normas se relacionan con los principios de distinción, de proporcionalidad y de precaución.

 

El principio de distinción y la prohibición de los ataques indiscriminados y desproporcionados

El principio de distinción exige que las partes en un conflicto distingan, en toda circunstancia, entre civiles y combatientes y entre bienes civiles y objetivos militares.
Sólo se permiten los ataques contra los combatientes o los objetivos militares. Se prohíben los ataques indiscriminados, esto es, aquellos que no están dirigidos o no pueden dirigirse contra un objetivo militar concreto o cuyos efectos no pueden limitarse conforme a lo estipulado en el DIH. Del mismo modo, se prohíben los ataques contra los objetivos militares o los combatientes si es previsible que causen víctimas o daños civiles incidentales que serían excesivos en relación con la ventaja militar concreta y directa que se espera obtener. Estos ataques se suelen denominar "ataques desproporcionados".

Esto significa que, al planificar y llevar a cabo operaciones cibernéticas, los únicos objetivos permisibles en el marco del DIH son los objetivos militares, como los ordenadores o los sistemas informáticos utilizados en apoyo de la infraestructura militar o de infraestructura utilizada específicamente para fines militares. De ello se desprende que no se puede atacar, por ejemplo, sistemas informáticos utilizados en centros de salud, escuelas y otras instalaciones puramente civiles. Desde esta perspectiva, la preocupación humanitaria es que el ciberespacio se caracteriza por la interconectividad. Consiste en innumerables sistemas informáticos interconectados en todo el mundo. En muchos casos, los sistemas informáticos militares parecen estar interconectados con sistemas comerciales y civiles y depender de ellos en forma total o parcial. Por esta razón, podría resultar imposible lanzar un ataque cibernético contra infraestructuras militares y limitar los efectos a ese único objetivo. Por ejemplo, el uso de un gusano que se duplica a sí mismo y no puede controlarse, y que podría, por tanto, causar daños considerables a la infraestructura civil, constituiría una infracción del DIH.

 

Obligación de tomar precauciones

La parte responsable de un ataque debe, en la máxima medida posible, tomar las precauciones necesarias para evitar o minimizar los daños incidentales a la infraestructura civil o a las personas civiles. Para ello, debe verificar la índole de los sistemas que se atacan y el posible daño que podría causar el ataque. También significa que debe cancelar un ataque si comprueba que causará daños o víctimas incidentales excesivos.

Además, las partes en los conflictos tienen la obligación de tomar las precauciones necesarias contra los efectos de los ataques. Por consiguiente, sería aconsejable que, a fin de proteger a la población civil contra los efectos incidentales de los ataques, evaluaran si los sistemas informáticos militares están suficientemente separados de los civiles. La dependencia de los sistemas y las conexiones informáticas militares de sistemas administrados por contratistas civiles que también se usan con fines civiles podría dar lugar a preocupaciones.

Por otra parte, la tecnología de la información también podría servir para limitar los daños incidentales a personas o infraestructura civiles. Por ejemplo, puede ser menos dañino perturbar ciertos servicios utilizados con fines militares y civiles que destruir la infraestructura por completo. En tales casos, el principio de precaución impone plausiblemente a los Estados la obligación de elegir el medio menos dañino para lograr su objetivo militar.

¿Qué hace el CICR en relación con la guerra cibernética?

Hay que tener presente que,  pese a todo lo que se diga en los medios de comunicación sobre el potencial militar y el impacto humanitario de la guerra cibernética, estamos lejos de entender esos fenómenos con claridad. Sin embargo, es indudable que las operaciones cibernéticas pueden tener consecuencias desastrosas para las personas civiles. Por esta razón, el CICR sigue de cerca su evolución y recuerda a las partes en los conflictos su obligación de respetar el DIH. También prestamos mucha atención a una serie de iniciativas cuya finalidad es aclarar el derecho aplicable a las operaciones cibernéticas en los conflictos armados. Nuestro propósito es reafirmar la aplicabilidad del DIH, prevenir el debilitamiento del DIH causado por la aparición de nuevas normas y recordar a las partes que intervienen en conflictos que, en el mundo de la interconectividad, la obligación de respetar a la población civil es, con toda probabilidad, mayor que nunca.

 

  • Vea también: Applicability of the Additional Protocols to Computer Network Attacks, por Knut Dörmann, 2004

Fotos

 

Cordula Droege, asesora legal del CICR