Guerra informática y derecho internacional humanitario
No hace falta ser experto en seguridad informática para saber que, en nuestras sociedades hiperconectadas y tan dependientes de lo digital, todo lo que funcione con una interfaz de internet es vulnerable a amenazas cibernéticas que pueden provenir de cualquier parte del mundo.
Hemos pedido al experto del CICR en guerra informática y derecho internacional humanitario, Tilman Rodenhäuser, que nos ayude a dilucidar qué se pone en juego en los debates intergubernamentales –hoy en auge– sobre los riesgos actuales y futuros que presenta el ciberespacio, de qué manera la aplicación del derecho internacional humanitario (DIH), también conocido como las "leyes de la guerra" o el "derecho de los conflictos armados", puede ayudar a evitar las considerables amenazas a las que están expuestas las personas civiles y por qué las cuestiones relativas al mundo cibernético atañen a todos los Estados.
1. ¿Por qué las operaciones militares cibernéticas representan una preocupación humanitaria?
Los ciberataques y sus consecuencias ocupan un lugar muy alto en la agenda internacional. Nuestra preocupación, como organización humanitaria, consiste en que este tipo de operaciones también están volviéndose parte de los conflictos armados de hoy en día y pueden alterar el funcionamiento de infraestructuras y servicios vitales para la población civil.
Por ejemplo, los sistemas sanitarios están cada vez más digitalizados y conectados, pero no suelen estar bien protegidos, por lo cual son particularmente vulnerables a ciberataques. Muy a menudo, en conflictos armados, las redes de agua y electricidad o los hospitales son dañados por bombardeos, y los servicios funcionan de manera parcial, en el mejor de los casos. Imagínense qué pasaría si a eso le sumamos un incidente informático a gran escala. Las consecuencias pueden ser devastadoras. Las personas civiles que se hallan en medio de conflictos y violencia ya la pasan bastante mal de por sí para que venga otra amenaza a empeorar su terrible situación.
Por otra parte, dependemos cada vez más de tecnologías nuevas y digitales para dar apoyo a los programas humanitarios, por ejemplo, capturando y utilizando información para fundamentar y adaptar respuestas o facilitando la comunicación bidireccional entre el personal humanitario y las poblaciones civiles afectadas por conflictos armados o violencia. Pero esto también nos expone a ciberoperaciones que podrían afectar nuestra capacidad de brindar protección y ayuda en emergencias humanitarias.
También observamos un riesgo cada vez más alto de que se produzcan daños deliberados y no deliberados a poblaciones afectadas, particularmente mediante el uso (indebido) de datos por las partes beligerantes, así como de la difusión de información errónea o incorrecta y de discursos de odio.
Si bien pocos Estados han reconocido públicamente haber recurrido a este tipo de medios en apoyo de sus operaciones militares, se calcula que más de 100 Estados han desarrollado o están desarrollando capacidades militares informáticas. Por suerte, las ciberoperaciones durante los conflictos armados no ocurren en un vacío legal: se rigen por el derecho internacional humanitario (DIH).
2. Casi a diario oímos hablar de "ciberataques". ¿Cuándo se aplica el derecho internacional humanitario a esas operaciones?
En efecto, todos los días se realizan infinidad de operaciones de este tipo, desde ciberdelito, pasando por ciberespionaje, hasta lo que muchos denominan "operaciones patrocinadas por el Estado". Para la mayoría de ellas, no rige el DIH: este se aplica únicamente a las ciberoperaciones ejecutadas en el contexto de un conflicto armado.
Lo cierto es que la posibilidad de que el DIH se aplique a este tipo de operaciones es un tema controvertido en el marco de los procesos encomendados por la ONU en la materia. No obstante, la controversia disminuye cuando hablamos con quienes se vinculan con el tema en la práctica. En ese ámbito, casi nadie cuestiona la aplicabilidad del DIH a las ciberoperaciones durante los conflictos armados. De lo contrario, acabaríamos en una situación absurda en la cual atacar un hospital con un misil estaría prohibido por el DIH, pero esa prohibición no protegería a las computadoras, los dispositivos médicos y las redes de ese mismo hospital contra los peligros de un ciberataque.
Desde nuestra perspectiva, el derecho es claro al respecto: el DIH limita las ciberoperaciones durante los conflictos armados de la misma manera que limita el empleo de cualquier otra arma, medio o método de guerra en un conflicto armado, ya sean nuevos o tradicionales.
La Corte Internacional de Justicia también ha expresado esta postura.
Lo que resulta más complicado es decidir si una ciberoperación puede, por sí misma, determinar la aplicación del DIH. En relación con los conflictos armados internacionales, el consenso es que "existe un conflicto armado cada vez que se recurre a la fuerza armada entre Estados". Pero ¿cuándo se llega a este punto en el marco de ciberoperaciones en las que no hay destrucción ni daños físicos a la infraestructura militar o civil? Aún no está claro.
Únase a nosotros y aprenda sobre guerra informática
3. ¿La guerra informática solo atañe a Estados tecnológicamente avanzados?
No, y tampoco debería ser así. El ciberespacio, por naturaleza, es un lugar altamente interconectado. Por eso, los ciberataques contra un Estado pueden afectar a muchos otros, de manera deliberada o accidental, estén donde estén.
Hemos visto esta dinámica en los últimos años, en los que el software malicioso (también conocido como malware) se ha esparcido rápidamente, sin dejar, prácticamente, a ningún país exento: ha paralizado dependencias gubernamentales, empresas y centros de logística, lo que ha significado costos multimillonarios en pérdidas y reparaciones. En tiempos de conflicto armado, estos efectos indiscriminados y globales de las operaciones militares cibernéticas pueden evitarse o, al menos, limitarse, si se respeta el DIH.
La regulación eficaz de las ciberoperaciones durante conflictos armados, por lo tanto, es una preocupación de todos los Estados, sin importar su nivel de desarrollo tecnológico, sus capacidades informáticas o su participación en esos conflictos.
4. ¿El derecho internacional humanitario actual es adecuado y suficiente para regir en el ciberespacio o es necesario formular una nueva convención específica?
Una de las grandes ventajas del derecho internacional humanitario, tal como ha señalado la Corte Internacional de Justicia, es que está diseñado de manera tal que se aplica a "todas las formas de guerra y todos los tipos de armas", incluidas "las del futuro".
Las normas básicas son sencillas: está prohibido atacar a personas civiles y bienes de carácter civil; no se han de utilizar armas ni ataques de manera indiscriminada; se prohíben los ataques desproporcionados; se deben respetar y proteger los servicios médicos.
Las mismas normas y principios, entre ellos, los principios de humanidad, necesidad militar, distinción, proporcionalidad y precauciones, se aplican a todas las operaciones militares, sean cinéticas o cibernéticas, y deben respetarse.
No obstante, algunas cuestiones siguen suscitando gran debate entre Estados y expertos, por lo cual ameritan esclarecimiento. Por ejemplo, hay desacuerdo respecto de si los datos de carácter civil, propios del ciberespacio, merecen la misma protección que los bienes de carácter civil. Estas diferencias de interpretación jurídica siempre han existido, independientemente de los cuestionamientos a la aplicabilidad del derecho como tal.
La decisión de si es necesaria o no una nueva convención que se aplique al ciberespacio excede la cuestión del recurso a las ciberoperaciones en conflictos armados: abarca un espectro mucho más amplio de cuestiones relativas al derecho internacional.
Desde nuestra perspectiva, en caso de que se formulen nuevas normas para regular las ciberoperaciones durante conflictos armados, deben partir del marco jurídico vigente y fortalecerlo, en especial, el DIH. Hasta que se formulen nuevas normas, toda ciberoperación que se ejecute en un conflicto armado debe cumplir lo establecido por el DIH.
5. ¿El derecho internacional humanitario legitima la militarización del ciberespacio o la guerra informática?
No. Afirmar que el derecho internacional humanitario se aplica a las ciberoperaciones durante conflictos armados no legitima la guerra informática, de la misma manera que tampoco legitima ninguna otra forma de guerra.
De hecho, este miedo en torno de la posible legitimización de la guerra surgió en reiteradas ocasiones en los intercambios entre Gobiernos. Los Estados aludieron a ese temor en 1977, al declarar, en el preámbulo del Protocolo (I) adicional a los Convenios de Ginebra de 1949, que el derecho internacional humanitario no "puede interpretarse en el sentido de que legitime o autorice cualquier acto de agresión u otro uso de la fuerza incompatible con la Carta de las Naciones Unidas."
El derecho internacional humanitario y la Carta de las Naciones Unidas son marcos normativos separados, pero complementarios. En concreto, la Carta de la ONU prohíbe el uso de la fuerza a menos que se trate de legítima defensa o una situación autorizada por el Consejo de Seguridad. También exige que las controversias internacionales se solucionen por medios pacíficos. No obstante, en caso de que se desate un conflicto armado, se aplicará el derecho internacional humanitario a fin de establecer protecciones esenciales para bienes de carácter civil y para personas que no participan (civiles) o que han dejado de participar (por ejemplo, soldados heridos o personas detenidas) en las hostilidades.
El DIH no reemplaza ni relega la Carta de las Naciones Unidas, sino que añade un nivel de protección adicional para todas las víctimas de la guerra en el desafortunado caso de que estalle un conflicto armado.
Vea también:
- Gisel, Rodenhäuser, Dörmann, Twenty years on: International humanitarian law and the protection of civilians against the effects of cyber operations during armed conflicts (International Review of the Red Cross, 2020)
- Humanitarian Law & Policy Blog, Human Costs of Cyber - Blog Series, mayo-junio de 2019