No es necesario ser un experto en ciberseguridad para ver que en las sociedades de hoy en día altamente interconectadas y digitalmente dependientes, todo lo que tenga una interfaz de Internet es vulnerable a las amenazas cibernéticas desde cualquier parte del mundo.
Le pedimos a un experto del CICR en guerra cibernética y derecho internacional humanitario, Tilman Rodenhäuser, que nos revele lo que está en juego en el pico actual de los debates intergubernamentales sobre las amenazas existentes y potenciales en el ciberespacio, cómo aplicar el derecho internacional humanitario , también mencionado como las leyes de la guerra o el derecho de los conflictos armados, a las operaciones cibernéticas militares pueden ayudar a evitar las amenazas importantes que plantean a los civiles y por qué las cuestiones cibernéticas conciernen a todos los Estados.
1. ¿Por qué las operaciones cibernéticas militares son una preocupación humanitaria?
Los ciberataques y sus consecuencias están en la cima de la agenda en todo el mundo. Lo que nos preocupa, como organización humanitaria, es que las operaciones cibernéticas militares también se están convirtiendo en parte de los conflictos armados actuales y pueden interrumpir el funcionamiento de la infraestructura crítica y los servicios vitales para la población civil.
Por ejemplo, los sistemas de salud están cada vez más digitalizados y conectados, pero a menudo están desprotegidos, por lo que son particularmente vulnerables a los ciberataques . Con demasiada frecuencia, en los conflictos armados, la infraestructura de agua y energía, o los hospitales, resultan dañados por los bombardeos y los servicios funcionan solo parcialmente, si es que funcionan: ¡imagínense un gran incidente cibernético encima! Esto puede tener consecuencias devastadoras. Los civiles atrapados en conflictos y violencia ya están luchando lo suficiente como para ver empeorar sus dificultades.
También dependemos cada vez más de tecnologías nuevas y digitales para apoyar los programas humanitarios, por ejemplo, capturando y utilizando información para informar y ajustar las respuestas o facilitando la comunicación bidireccional entre el personal humanitario y los civiles afectados por conflictos o violencia. Pero esto también nos hace vulnerables a las operaciones cibernéticas que podrían afectar nuestra capacidad para proteger y ayudar durante las emergencias humanitarias.
También vemos un riesgo creciente de daño intencional y no intencional a las poblaciones afectadas , en particular a través del (mal) uso de datos por parte de las partes en conflicto o la difusión de información errónea, desinformación y discurso de odio.
Si bien pocos Estados han reconocido públicamente que han utilizado medios cibernéticos en apoyo de sus operaciones militares, se estima que más de 100 Estados han desarrollado, o están desarrollando, capacidades cibernéticas militares. Afortunadamente, las operaciones cibernéticas durante los conflictos armados no ocurren en un vacío legal: se rigen por el derecho internacional humanitario (DIH).
2. Casi a diario escuchamos sobre «ciberataques». ¿Cuándo se aplica el derecho internacional humanitario a tales operaciones?
De hecho, hay innumerables operaciones cibernéticas que ocurren todos los días, desde el delito cibernético hasta el espionaje cibernético, hasta lo que muchos denominan «operaciones patrocinadas por el Estado». Para la mayoría de ellos, el DIH no se aplica: el DIH se aplica solo a las operaciones cibernéticas que se llevan a cabo en el contexto de un conflicto armado.
Es cierto que la cuestión de si el DIH se aplica a las operaciones cibernéticas es un punto de controversia en los procesos cibernéticos en curso establecidos por mandato de la ONU. Pero el tema es menos controvertido cuando hablamos con los profesionales. En este caso, casi nadie discute que el DIH se aplica a las operaciones cibernéticas durante los conflictos armados. Decir lo contrario daría lugar a una situación absurda en la que atacar un hospital con un misil estaría prohibido por el DIH, pero esta prohibición no protegería las computadoras, dispositivos médicos y redes del mismo hospital contra los peligros del ciberataque.
En nuestra opinión, la ley es clara al respecto: el DIH limita las operaciones cibernéticas durante los conflictos armados del mismo modo que limita el uso de cualquier otra arma, medio y método de guerra en un conflicto armado, ya sea nuevo o antiguo.
Esta opinión también ha sido adoptada por la Corte Internacional de Justicia (véase aquí , párr. 86).
Una cuestión más compleja es si una operación cibernética puede desencadenar por sí misma la aplicación del DIH. En cuanto a los conflictos armados internacionales, el consenso es que “existe un conflicto armado siempre que se recurre a la fuerza armada entre Estados”. Pero, ¿cuándo se llega a este punto en situaciones que involucran operaciones cibernéticas que no destruyen ni dañan físicamente la infraestructura militar o civil? Eso sigue sin estar claro (véanse aquí los párrafos 253 a 256).
3. ¿No afecta la «guerra cibernética» sólo a los Estados tecnológicamente avanzados?
No es así y no debería. El ciberespacio está muy interconectado por naturaleza. Como tal, los ataques llevados a cabo en el ciberespacio contra un Estado pueden afectar a muchos otros , deliberada o incidentalmente, dondequiera que estén ubicados.
Vimos esta dinámica en los últimos años, cuando el malware se propagó rápidamente y prácticamente no dejó ningún país sin afectar, congelando agencias gubernamentales, paralizando corporaciones y paralizando centros logísticos, con un costo de miles de millones en pérdidas y reparaciones . En tiempos de conflicto armado, estos efectos indiscriminados y globales de las operaciones cibernéticas militares pueden evitarse, o al menos limitarse, si se respeta el DIH.
Por tanto, la regulación eficaz de las operaciones cibernéticas durante los conflictos armados es de interés para todos los Estados, sea cual sea su nivel de desarrollo tecnológico, sus capacidades cibernéticas militares o su participación en conflictos armados.
4. ¿Es el derecho internacional humanitario existente adecuado y suficiente para aplicarse en el ciberespacio, o es necesaria una nueva ciberconvención?
Una de las grandes fortalezas del derecho internacional humanitario es, como lo señaló la Corte Internacional de Justicia, que está diseñado de tal manera que se aplica ‘a todas las formas de guerra y a todo tipo de armas’, incluidas ‘las del futuro’.
Las reglas básicas son sencillas: está prohibido apuntar a civiles y objetos civiles; no deben utilizarse armas y ataques indiscriminados; se prohíben los ataques desproporcionados; los servicios médicos deben ser respetados y protegidos.
Las mismas reglas y principios, incluidos los principios de humanidad, necesidad militar, distinción, proporcionalidad y precauciones, se aplican a todas las operaciones militares, ya sean cinéticas o cibernéticas, y deben respetarse.
Sin embargo, hay cuestiones que siguen siendo muy debatidas entre los Estados y otros expertos y necesitan aclaración. Por ejemplo, existe un desacuerdo sobre si los datos civiles, que son exclusivos del ciberespacio, gozan de la misma protección que los objetos civiles. Tales desacuerdos sobre interpretaciones legales siempre han existido sin cuestionar la aplicabilidad de la ley como tal.
Decidir si se necesita una nueva convención para el ciberespacio va más allá del uso de operaciones cibernéticas durante los conflictos armados: se trata de un espectro mucho más amplio de cuestiones de derecho internacional.
En nuestra opinión, en caso de que se desarrollen nuevas reglas para regular las operaciones cibernéticas durante los conflictos armados, deben basarse en el marco jurídico existente y fortalecerlo, en particular el DIH. Y hasta que se desarrollen reglas adicionales, cualquier operación cibernética durante un conflicto armado debe cumplir con las reglas existentes del DIH.
5. ¿El derecho internacional humanitario legitima la militarización del ciberespacio o la guerra cibernética?
No. Afirmar que el derecho internacional humanitario se aplica a las operaciones cibernéticas durante los conflictos armados no legitima la guerra cibernética, al igual que el DIH no legitima ninguna de las otras formas de guerra.
De hecho, este temor sobre una posible legitimación de la guerra se planteó repetidamente en las discusiones intergubernamentales. Pero los Estados abordaron ese temor en 1977 al afirmar, en el preámbulo del Primer Protocolo Adicional a los Convenios de Ginebra de 1949, que el derecho internacional humanitario no debe ‘interpretarse como que legitima o autoriza ningún acto de agresión o cualquier otro uso de la fuerza que sea incompatible con el Carta de las Naciones Unidas ‘.
El derecho internacional humanitario y la Carta de las Naciones Unidas son distintos pero complementarios. Concretamente, la Carta de la ONU prohíbe el uso de la fuerza que no sea en defensa propia o cuando sea autorizado por el Consejo de Seguridad de la ONU. También requiere que las controversias internacionales se resuelvan por medios pacíficos. Sin embargo, si estalla un conflicto armado, entonces se aplica el derecho internacional humanitario para establecer protecciones esenciales para los bienes civiles y para las personas que no (civiles) o que ya no (por ejemplo, soldados heridos o detenidos) participan en las hostilidades.
El DIH no reemplaza ni anula la Carta de la ONU, sino que agrega un nivel de protección para todas las víctimas de la guerra en el desafortunado caso de que estalle una guerra.
Ver también
- CICR, Documento de posición: derecho internacional humanitario y operaciones cibernéticas durante los conflictos armados , 2019 (disponible en árabe, chino, español, francés, inglés y ruso)
- Gisel, Rodenhäuser, Dörmann, Veinte años después: el derecho internacional humanitario y la protección de los civiles contra los efectos de las operaciones cibernéticas durante los conflictos armados (IRRC, 2020)
- Blog de políticas y derecho humanitario, Los costos humanos de la cibernética – Serie de blogs , mayo – junio de 2019