Los ciberataques contra infraestructuras esenciales —como las centrales eléctricas o las redes de telecomunicaciones— pueden causar un daño real a la ciudadanía. Según el derecho internacional humanitario, los ataques contra civiles pueden constituir crímenes de guerra.
Antilavadodedinero / Swissinfo
«Si los Estados vinieran y dijeran: No, en realidad los datos son un juego limpio, y los datos pueden ser dañados y borrados en los conflictos armados sin consecuencias legales, entonces eso sería una verdadera preocupación humanitaria, y tendríamos que pensar en nuevas reglas», dice Rodenhäuser.
Pero las nuevas normas del derecho internacional tienen que ser negociadas por los Estados. Una vez que existe un tratado, hay que firmarlo y ratificarlo: un proceso largo y complicado, sobre todo teniendo en cuenta que las normas actuales del DIH obligan a prácticamente todos los Estados.
«Es fundamental que estas normas acordadas se respeten también en lo que respecta a las operaciones cibernéticas, porque la gran mayoría de lo que consideramos una amenaza para los civiles en realidad está cubierta por las normas existentes», afirma Rodenhäuser.
La posición de la comunidad internacional
Saber si el derecho internacional —incluido el DIH— se aplica al ciberespacio y de qué manera ha sido objeto de muchos debates multilaterales en las Naciones Unidas durante las dos últimas décadas.
En 2013, cuando un grupo de expertos gubernamentales elaboró un informe aprobado por consenso en el que se afirmaba que el uso de las tecnologías de la información por parte de los Estados estaba sujeto al derecho internacional, se produjo un gran avance. Pero la cuestión de cómo se aplica el derecho seguía abierta.
En 2019 se creó un nuevo grupo de trabajo en la ONU abierto a los 193 Estados miembros. Su objetivo era hacer un seguimiento de las conclusiones de los expertos gubernamentales.
«El reto era volver a sentar a todo el mundo alrededor de la mesa y restablecer el consenso», dice Jürg Lauber, embajador de Suiza ante la ONU en Ginebra y antiguo presidente del grupo de trabajo.
Según Lauber, su tarea se complicó por el «aumento de las tensiones políticas entre las grandes potencias» y los «intentos de reescribir las normas por parte de un pequeño grupo de países».
Al final, el grupo de trabajo concluyó que el derecho internacional también se aplica a la ciberguerra. Pero no pudo llegar a un acuerdo sobre cómo aplicarlo.
«En el fondo se ha avanzado, pero no ha sido un gran salto. Sin embargo, ahora el apoyo es mucho más amplio porque todo el mundo ha tenido la oportunidad de participar en el debate», expone Lauber.
Se ha creado un nuevo grupo de trabajo en la ONU para el periodo 2021-2025.
«Espero que puedan ir más allá […] está claro que hay una brecha entre que todos los Estados miembros estén de acuerdo en la aplicabilidad del derecho internacional existente y lo que vemos que está sucediendo con la cibertecnología que se utiliza de manera ilegal».
¿Crímenes de guerra?
Juzgar crímenes de guerra por atrocidades cometidas en el campo de batalla físico es un proceso largo y difícil que llevará años. A esta complejidad se suma el ciberespacio. Descubrir quién está detrás de un ciberataque es muy difícil, ya que fácilmente pueden lanzarlos otros por delegación.
«A veces se requieren años de investigación para saber realmente cómo se planeó un atentado, cómo se llevó a cabo, quién lo ordenó y qué individuos estaban detrás», dice Halopeau, que añade que, por lo general, se necesita información del mundo real para corroborar los rastros virtuales: si un gobierno ha estado involucrado, el nombre de las personas que han trabajado en un momento dado en un lugar determinado, fotografías, etc.
«Hay que combinar mucha información que no está disponible inmediatamente. Y esto, en el mejor de los casos, cuando se sabe más o menos que solamente hay un atacante», expresa Halopeau.
En la guerra de Ucrania, los Estados nación, pero también los grupos criminales y los individuos han realizado ciberataques. «Y entonces habrá que definir la responsabilidad de las personas que han participado y esto va a resultar muy complicado», predice Halopeau.
Halopeau cree que es posible que algunos ciberataques que hayan perjudicado a civiles —como el realizado contra el KA-SAT o los hackeos del control fronterizo entre Ucrania y Rumanía— puedan interesar a la Corte Penal Internacional (CPI), que ya ha iniciado una investigación sobre presuntos crímenes de guerra en Ucrania sobre el terreno. Hasta ahora, la CPI no ha investigado la guerra informática.
A pesar de los horrores, la guerra de Ucrania puede servir de lección sobre la necesidad de reforzar los procesos de rendición de cuentas en el ciberespacio, afirma Halopeau.
«Este es uno de los primeros conflictos en los que se utilizan ciberataques a esta escala. […] Así que creo que, en lo que respecta al derecho internacional humanitario, debe haber un debate para reconocer cómo puede ser utilizado el ciberespacio para dañar a las personas y prevenir comportamientos inadecuados», indica el jefe de tecnología y análisis cibernético de la ONG CyberPeace Institute con sede en Ginebra.