“el ciberespacio como un nuevo reto del derecho internacional. la ciberguerra en el derecho...
TRANSCRIPT
“El ciberespacio como un nuevo reto del Derecho
Internacional. La ciberguerra en el Derecho Internacional
Humanitario”
TRABAJO FIN DE MÁSTER
MÁSTER EN ESTUDIOS ESTRATÉGICOS Y SEGURIDAD
INTERNACIONAL
UNIVERSIDAD DE GRANADA
Realizado por
María Rosa Reyes Manzano
Prof. Dra. Pilar Pozo. Tutora del trabajo fin de Máster
2012/2013
“El ciberespacio como un nuevo reto del Derecho Internacional. La ciberguerra en el
Derecho Internacional Humanitario”
INTRODUCCIÓN ............................................................................................................ 3
I. El ciberespacio como un nuevo espacio para la guerra: aspectos problemáticos ......... 4
1. Breve referencia a sus características ....................................................................... 4
1.1.1 El Anonimato y la difícil cuestión de la atribución de las acciones ............... 7
1.1.2 Interconectividad de la esfera civil y militar .................................................. 8
2. Restricciones impuestas por el Derecho Internacional al ciberespacio .................. 10
3. Hacia dónde camina el ciberespacio. Distintas concepciones ................................ 11
II. Ciberoperaciones y Derecho Internacional Humanitario ........................................... 12
1.Ciberataques y conflicto armado ............................................................................. 14
2.1.1 Adaptación del concepto de ataque armado al ciberespacio. Escala y efectos
................................................................................................................................. 18
2.1.2 Requisitos para que las ciberoperaciones originen una situación calificable
como conflicto armado ............................................................................................ 20
2.1.3 Actores de la ciberguerra ................................................................................ 22
2. La determinación del régimen jurídico aplicable. Problemática con el Derecho
Internacional Humanitario .......................................................................................... 23
2.2.1 Los principios y reglas aplicables del Derecho Internacional a la ciberguerra
................................................................................................................................. 24
III. Conclusiones ............................................................................................................. 26
BIBLIOGRAFÍA ............................................................................................................ 29
INTRODUCCIÓN
El Derecho Internacional Humanitario tiene sus orígenes inmediatos en el siglo XIX,
aunque sus antecedentes más remotos se ubican en tiempos ancestrales debido a que el
fenómeno de la guerra ha coexistido con el hombre (Salmón 2004, 59).
Distintos acontecimientos ocurridos en el siglo XIX se encuentran en el origen del
Derecho Internacional Humanitario contemporáneo. La batalla de Solferino de 1859
derivó en la adopción del primer tratado de DIH en 1864, el Convenio para mejorar la
suerte de los militares heridos en campaña, y con ello el nacimiento del llamado
«Derecho de Ginebra» que busca proteger a las víctimas de los conflictos armados.
En 1868 se promulga la Declaración de San Petersburgo, que prohíbe el uso de ciertos
proyectiles, dando origen al «Derecho de La Haya», que limita el uso de ciertos
métodos y medios de combate. Este esfuerzo codificador va a continuar, pero las
Conferencias de Paz de fines del siglo XIX e inicios del XX no pudieron evitar el
desencadenamiento de la primera guerra mundial, lo que puso de manifiesto las
múltiples deficiencias del DIH y supuso un incremento de las normas sobre la materia.
La II Guerra Mundial provoco una nueva reacción de la comunidad internacional. Esta
vez no solo se adoptaron nuevos tratados con el fin de mejorar y complementar las
normas existentes, sino que se establecieron mecanismos de represión criminalizando
las conductas que transgredían las normas humanitarias. En 1949 se adopta en Ginebra
cuatro Convenios para proteger a distintas víctimas de los conflictos armados: Convenio
I para aliviar la suerte que corren los heridos y enfermos de las fuerzas armadas en
campaña; Convenio II para aliviar la suerte que corren los heridos, los enfermos y los
náufragos de las fuerzas armadas en el mar, Convenio III relativo al trato debido a los
prisioneros de guerra y Convenio IV relativo a la protección debida a las personas
civiles en tiempos de guerra (Salmón 2004, 62). Así, la comunidad internacional ha ido
marcando el ritmo en la evolución del Derecho Internacional Humanitario, adaptándose
a las nuevas necesidades.
Desde los años 90 hemos experimentado una de las revoluciones tecnológicas más
importantes de la historia. Como consecuencia de ésta ha aparecido un nuevo ámbito de
ejercicio de soberanía por los Estados, el ciberespacio, completamente construido por el
hombre, y donde la guerra ha encontrado un nuevo medio de desarrollo.
En este contexto se plantea la necesidad de delimitar si las ciberoperaciones pueden
calificarse como un conflicto armado, en qué circunstancias, qué efectos deben producir
para considerarse como tal, y si para adquirir dicha categoría de conflicto armado
necesitan ir acompañadas de un conflicto armado convencional, con sus
correspondientes secuelas en el mundo físico.
Determinar la existencia de un conflicto armado es el primer paso en el análisis del
Derecho Internacional Humanitario, el régimen aplicable dependerá de la naturaleza de
dicho conflicto. Una vez identificado y clasificado el conflicto armado, deben
examinarse los principios aplicables al contexto de las ciberoperaciones relevantes.
La importancia de este tema radica en que aunque hasta la actualidad las ciberguerras no
han producido efectos para los civiles, estas nuevas “armas” poseen un enorme
potencial para producir daños de gran envergadura a la población.
Resolver este problema jurídico requiere analizar qué se entiende por ciberespacio,
cuáles son sus características, así como los principios que rigen en él, para determinar
finalmente si las normas del Derecho Internacional son aplicables a este nuevo espacio.
Estamos ante un ámbito incipiente y “regulado”, pero poco estudiado, cuya relación con
el Derecho Internacional Humanitario es incluso cuestionada desde algunos sectores.
I. El ciberespacio como un nuevo espacio para la guerra: aspectos problemáticos
1. Breve referencia a sus características
El ciberespacio se define como “el conjunto de un dominio global dentro del entorno de
la información cuyo carácter único y distintivo viene dado por el uso de la electrónica y
el espectro electromagnético para crear, almacenar, modificar, intercambiar y explotar
información a través de redes interdependientes e interconectadas utilizando las
tecnologías de información y comunicaciones” (Kuehl, 2009). “El ciberespacio no es ni
una misión ni una operación. Es un escenario estratégico, operacional y táctico”1
1 Doctora Lani Kass, directora del Air Force Cyberspace Task Force de la USAF.
Como primera característica del ciberespacio, podemos decir que es el único espacio de
los que existen2 construido completamente por el hombre. Esto conlleva que pueda ser
modificado por éste en cualquier momento, incluso podríamos arriesgarnos a decir que
podría ser destruido por el ser humano. Sin embargo, la práctica nos va demostrando
que ha adquirido un estatus autónomo, con unas características propias y con una
importancia que hacen imposible su destrucción
(Melzer, 2011). Se caracteriza
igualmente, por abarcar un dominio casi infinito pero limitado hasta donde sea capaz de
llegar el ser humano con sus medios materiales. Se trata por tanto, de un entorno físico
incluso de mayor extensión que los tradicionales (Monografías CESEDEN, 2012).
Por otro lado, es el ámbito que más personas aglutina, dado que en él encontramos
personas de todos los lugares del mundo, de ahí la necesidad de controlarlo, ya que su
incidencia puede ser máxima y afectar a un gran número de personas al mismo tiempo.
Del mismo modo, el elemento humano resulta ser el factor más decisivo en su empleo y
desarrollo, lo que exige un área de competencia y experiencias profesionales
diferenciadas al resto de dominios que requiere una formación específica.
El ciberespacio es un espacio libre y volátil que cambia constantemente a través de la
innovación tecnológica. Es un ámbito que no está sujeto a barreras naturales ni
geopolíticas, dado que la información viaja sin fronteras. Esto le ha permitido adquirir
un importante grado de sofisticación pero también la incidencia de nuevos riesgos fruto
de este nuevo y complejo entramado, que ha proporcionado por otro lado, unas ventajas
incalculables de forma trasversal en muchos aspectos. La ausencia de barreras también
ha propiciado que al ciberespacio tengan acceso, en pie de igualdad, tanto los Estados
como otros actores no estatales.
Este nuevo espacio no es el equivalente a los ámbitos terrestre, naval, aéreo y espacial,
es una réplica del mundo físico3, en el cual siguen existiendo las mismas necesidades y
vulnerabilidades pero donde las reglas de funcionamiento son básicamente distintas. Es
por ello, que una de las cuestiones que pasaremos a desarrollar es sí las normas de estos
2 Junto a los tres espacios clásicos (terrestre, marítimo y aéreo), encontramos el ciberespacio, que es lo
que se ha venido a denominar el “quinto dominio”. 3 Hay discrepancia entre autores que consideran que el ciberespacio se trata de un espacio nuevo, que
constituye un quinto espacio, como es el caso de Lynn, que habla de la aparición de un quinto dominio,
así como Carlos Enriquez Gonzalez en “Estrategia internacional para el Ciberespacio” (pág. 73) hace
referencia a un dominio más, con sus características y singularidades. Por otro lado, encontramos a
autores como Libicki (2009), así como el teniente coronel Gómez de Ágreda, que defienden que el
ciberespacio no es un ámbito más agregado al resto, sino que constituye una réplica del mundo físico,
constituido por tres niveles, físico, sintáctico y semántico.
ámbitos, distintos al ciberespacio, no se pueden extrapolar a este último, dado que las
necesidades que comporta son igualmente distintas.
Estamos ante un espacio descentralizado, que se va construyendo con las aportaciones
de cada cual y que no interfiere con el espacio que ocupan los otros tres, sino que
permea a todos e interacciona con ellos. El Ciberespacio es un componente fundamental
de los tres commons físicos, actuando como factor multiplicador de las capacidades de
los mismos y teniendo la capacidad de alterarlos sin perder su carácter inmaterial. Del
mismo modo, se constata que muchos de los espacios tradicionales están generando
dependencia respecto al ciberespacio.
El ciberespacio permite un flujo de información de forma rápida a cualquier parte del
mundo en un espacio de tiempo relativamente corto. Esto puede ocasionar un escenario
de mayor conflicto, donde se pueden gestar enfrentamientos de mayores dimensiones,
que combinados con otras actuaciones de fuerza, constituyen una verdadera guerra, la
ciberguerra (Gómez de Ágreda, 2012). Esto igualmente puede propiciar que el impacto
mediático y la alarma social no sean siempre proporcionales al grado de amenaza real.
Los sistemas tradicionales, de los que venimos hablando, precisan de sistemas de armas
para hacer sentir el poder territorial, naval o aéreo. El ciberespacio no. Las armas no son
cinéticas. En el ciberespacio también existen armas defensivas y ofensivas, pero son de
otra índole totalmente diferente. Las armas defensivas están compuestas por
dispositivos de análisis y control de tráfico de red, hardware y software de seguridad.
Estas armas del mismo modo, son de acceso a todos los actores de la red, lo que rompe
el monopolio estatal sobre la violencia.
Pero sin duda, una de las características más importantes del ciberespacio es la falta de
conocimiento y la falta de perspectiva amplia y multidisciplinar. A esto hay que sumarle
la falta de formación de los líderes para comprender el alcance del ciberespacio en la
sociedad actual.
La solución podemos encontrarla en el establecimiento de estrategias y estructuras
multidisciplinares que permitan abordar la utilización de las redes informáticas de la
forma más eficiente y segura4, permitiendo una mayor conocimiento de los riesgos y
oportunidades del ciberespacio por parte de los usuarios.
1.1.1 El Anonimato y la difícil cuestión de la atribución de las acciones
Igual que el entorno virtual otorga gran relevancia y visibilidad a los individuos, tiene la
capacidad de convertir a cualquiera en invisible, voluntaria o involuntariamente. Esta
invisibilidad es la que ocasiona importantes problemas a la hora de aplicar las normas
en este ámbito. La aplicación de las normas se ajusta a la delimitación material,
personal, temporal y espacial claramente establecida previamente en la ley, siendo la
dificultad en la delimitación lo genera inseguridad jurídica e imposibilidad de atribuir
responsabilidad a los autores de las acciones sancionables.
El anonimato ofrece ventajas e inconvenientes, contrapone diversos intereses, entre los
que están la libertad y privacidad y dificulta la atribución de responsabilidades por
aquellos que utilizan el ciberespacio de forma fraudulenta.
Para algunos la seguridad pasa por hacerse invisibles, por pasar desapercibidos. Hay
demasiados usuarios en el ciberespacio y demasiadas herramientas de búsqueda como
para creer que podemos escondernos en el ciberespacio5.
El anonimato podría mantener sus cualidades en el ciberespacio, sin contribuir a que
este ámbito quede al margen de la ley, si cada persona gozase de un código personal de
acceso a internet que necesariamente tuviese que estar vinculado a sus datos personales,
donde irremediablemente la responsabilidad quedaría atribuida a esa persona
independientemente de que esta persona forme parte o no parte de una organización o
actúe bajo el Estado u otro actor no estatal organizado. Optar por el establecimiento de
algunos protocolos y leyes pueden ayudarnos en la atribución de responsabilidad, pero
poco más (ISN ETH, 2013).
Al no existir mecanismos en la actualidad para luchar contra esto, existe el peligro de
que se puedan utilizar las infraestructuras cibernéticas del Estado sin consentimiento por
parte de éste, atribuyéndosele finalmente la autoría aunque no haya sido el responsable.
Esto además puede contribuir a que simples errores en el uso de los medios cibernéticos
4 Ideas extraídas de la entrevista personal efectuada a Ángel Gómez de Ágreda, en el Ministerio de
Defensa, el 14 de mayo de 2013. 5 Entrevista a Ángel Gómez de Ágreda, 2013.
ocasionen una hostilidad hacia otro Estado, lo que puede provocar el inicio de un
conflicto armado.
No podrá haber por tanto responsabilidad a nivel internacional si es imposible
determinarse el sujeto responsable de dicho acto. Si no es posible identificar al autor de
una operación determinada ni el vínculo que guarda la operación con el conflicto
armado, resulta extremadamente difícil determinar sí el Derecho Internacional
Humanitario es aplicable a la operación, por lo que puede ser un ámbito donde rija la
impunidad.
1.1.2 Interconectividad de la esfera civil y militar
Lo que se ha venido a llamar interconectividad entre la esfera civil y militar, como una
de los aspectos que ha traído el ciberespacio, ha tenido incidencia en determinados
aspectos, no solamente produciendo dificultades, sino proporcionando una mayor
comunicación y democratización de las conductas militares, las cuales se ven en última
instancia legitimadas por la sociedad a través de la opinión pública.
El uso de lo que se ha venido a denominar los “social media” por los militares ha sido
muy debatido. Normalmente este se recomienda para el nivel más bajo de la cadena
militar. La falta de diálogo que ha habido tradicionalmente entre la esfera militar y la
ciudadanía, está cambiando evidentemente con esta interconexión entre estos ámbitos
(Jones y Baines 2013, 72-78).
Esta relación entre ambas esferas puede ser consecuencia en ocasiones de una pérdida
de control por parte de los militares, de su capacidad de controlar el mensaje o el objeto
de dicho mensaje. Pero del mismo modo, esto ha producido una mayor
democratización, que permite a los ciudadanos estar más cerca de lo que ocurre. Esto
supone llenar de poder a los individuos y descentralizar la toma de decisiones.
Para los militares resulta muy complicado controlar los efectos sociales. Las
percepciones de la sociedad en muchas ocasiones pueden contravenir los intereses que
se deben perseguir desde el plano militar. Muchos consideran que la apertura del
diálogo es un gran problema y que lo conveniente es hacer creer que tienen influencia
en el discurso.
Lo ideal sería crear un proceso de diálogo constructivo, que probablemente llevaría
aparejado cesión de control por parte de los militares, pero que puede tener una clara
incidencia positiva en un periodo de tiempo relativamente corto. Una de las
repercusiones puede ser la adquisición por parte de los militares de una serie de
cuestiones humanitarias y de derechos humanos, una mayor concienciación de las
necesidades de la sociedad, que les permitiría una mejor legitimación y consecución del
objetivo militar que persiguen. Un objetivo en el que la sociedad finalmente se vería
reflejada.
Por último, tenemos que decir que la interconectividad también propicia otra clase de
relación entre lo público y lo privado, que tiene lugar cuando la empresa privada decide
asistir a un actor estatal para que éste mejore sus capacidades de ciberdefensa o
desarrolle un arsenal cibernético, que puede comprometer al país en cuestión (Torres,
2012).
El ciberespacio es el ámbito propicio donde se está desarrollando lo que ha venido a
denominarse la comunicación estratégica, sin embargo la interconectividad en la
distintas manifestaciones que hemos mencionado anteriormente, hace que esta
comunicación se lleve en pie de igualdad entre las esferas más bajas de la cadena militar
y los ciudadanos o grupos de presión con capacidades relevantes.
Uno de los principios rectores del Derecho Internacional Humanitario es el principio de
distinción, que establece que las partes en un conflicto armado deben distinguir en todo
momento entre combatientes y objetivos militares, por un lado, y personas civiles y
bienes de carácter civil, por el otro, y atacar sólo a los objetivos legítimos
(CICR,
2010).En el ciberespacio esta distinción resulta muy complicada, dado que tanto
combatientes como civiles utilizan los mismos cauces y métodos para circular por la
red. No se les puede distinguir, como ocurre en la guerra convencional, por su
vestimenta o cualquier otra simbología que represente neutralidad o les permita
identificarse como civiles. Estas dos esferas la civil y la militar aparecen en este ámbito
más estrechamente relacionadas que nunca. Esto no tiene porque entenderse como un
inconveniente, siempre y cuando no constituya una merma en los derechos y la
protección de los civiles. Es sumamente difícil determinar la participación directa de los
civiles en las hostilidades cuando el modus operandi en la red sigue el mismo
procedimiento que el de un combatiente, aunque los fines que persiguen ambos sean
totalmente contrapuestos. Son estos fines, el uso que se pretende hacer de las
infraestructuras cibernéticas lo que nos va a permitir distinguir entre un combatiente y
un civil. No es imposible por tanto dicha distinción, pero para ello tenemos que
despojarnos de los criterios clásicos que operan en otros ámbitos, para centrarnos en un
análisis caso por caso, que es lo que exige el ciberespacio.
Problema parecido suscita la delimitación de objetivos militares y civiles, dado que en
la mayoría de las ocasiones las infraestructuras son comunes, y lo que se considera
como un objetivo militar queda aun difuso y sin delimitar, encontrándonos con una
inseguridad jurídica que pone en duda cual es el bien que se debe proteger.
En relación al principio de proporcionalidad, adopta en este contexto quizás unas
connotaciones más similares al resto de espacios, dado que se interpreta y aplica con la
misma extensión y finalidad. La inmunidad relativa de muchos bienes civiles, cuando se
ha permitido identificarlos, requiere un juicio de proporcionalidad para determinar hasta
qué punto, con el fin de conseguir los objetivos militares es posible producir daños
colaterales a los bienes civiles.
2. Restricciones impuestas por el Derecho Internacional al ciberespacio
En la última década, muchos autores que se aproximaban al estudio del ciberespacio,
hacían referencia al carácter desregulado6 de éste, una falta de control legal que era su
máxima característica, la que le permitía desarrollarse a una velocidad vertiginosa ante
la falta de límites materiales.
Posteriormente esta concepción fue cambiando entre aquellos que empezaron a observar
que había reglas de Derecho Internacional, universales y de ius cogens, a las cuales no
se podía renunciar, y que eran también directamente aplicables a este ámbito, y entre las
que se encontraba el Derecho Internacional Humanitario7.
6 En la actualidad parece estar consensuada la idea de que el ciberespacio está regulado. Lo que crea
discrepancia actualmente es como delimitar el régimen aplicable a este nuevo espacio, sin embargo en un
primer momento autores como Negroponte consideraban que la solución a los problemas originados por
el ciberespacio no pasaba por su regulación, por lo que mantenía el carácter desregulado de éste ámbito.
Robert Kaplan en el mismo sentido, sostenía que este espacio hacía inviable una regulación debido a su
rapidez evolutiva. 7 Por otro lado, encontrábamos autores como Edward Barrett y Dunlap que consideraban que el
ciberespacio estaba regulado y que el Derecho Internacional Humanitario era plenamente aplicable a este
nuevo medio de conducción de la guerra.
El problema no radica tanto en que se trate de un ámbito al margen de la ley, si no en
ver hasta qué punto su configuración y caracteres permiten aplicarle normas que ya
existen en la actualidad para otras materias. Normas que para algunos similares y para
otros poseen matices reseñablemente distintos, lo que dificulta la interpretación y
aplicación del derecho.
En este sentido, más que hablar de las restricciones impuestas por el Derecho
Internacional al ciberespacio, habría que hablar de las restricciones impuestas por el
ciberespacio al Derecho Internacional, dado que es necesario delimitar el ámbito del
primero para que sea efectiva la aplicación del Derecho Internacional en sus distintas
vertientes. El problema es aplicar las normas del Derecho Internacional a los nuevos
conceptos, a las características peculiares de la tecnología implicada (Melzer, 2011).
En la actualidad resulta difícil admitir que pueda existir un derecho consuetudinario
aplicable en el ciberespacio, por lo que su regulación jurídica proviene de normas
convencionales. Una de las mayores dificultades que encuentra el ciberespacio para ser
regulado a este nivel, es el ritmo vertiginoso de la tecnología, que hace que quede
obsoleto cualquier tratado sobre este tema antes de entrar en vigor.
3. Hacia dónde camina el ciberespacio. Distintas concepciones
La percepción del ciberespacio por parte de los países occidentales y parte de los países
de oriente presenta notables divergencias. No hay una concepción del ciberespacio igual
para todos8.
Los intereses comerciales y específicamente la protección de la propiedad intelectual en
el ciberespacio constituyen la preocupación prioritaria para los países occidentales. Por
el contrario, en el caso de los países de oriente la preocupación esencial estriba en que el
ciberespacio es una poderosa arma de información, un ámbito que les resulta imposible
de controlar, y que puede llegar a cuestionar la legitimidad de sus sistemas políticos.
Esto es lo que ha generado en los Estados un interés por la regulación del ciberespacio,
dado que hay una serie de intereses que inciden en las bases de sus sistemas y que
requieren protección. Esto ha llevado a cuestionarse si realmente el ciberespacio se
8 Ideas extraídas de la entrevista personal efectuada a Ángel Gómez de Ágreda, en el Ministerio de
Defensa, el 14 de mayo de 2013.
concebirá como tradicionalmente se gesto, con el dominio del Estado westfaliano, o si
por el contrario encontraremos un ámbito en el que aparezcan e influyan en la
determinación de su regulación otros actores no estatales, que inciden en la creación de
un nuevo derecho que albergue no solo a los Estados, sino a todos aquellos actores que
intervienen en el ciberespacio. Se trata de establecer si es conveniente una
heterroregulación o autorregulación por el propio ciberespacio. Por otro lado, algunos
siguen defendiendo la anarquía en el ciberespacio como la única forma de preservar sus
características y continuo desarrollo.
Es hora de decidir hacia donde queremos caminar en el ciberespacio. Visiones tan
distintas del papel del ciberespacio entre los distintos Estados y sensibilidades tan
diferentes entre las distintas generaciones, convierten en una labor extremadamente
difícil el hecho de llegar a un acuerdo sobre unas normas de comportamiento cívico para
el espacio virtual equivalentes a las que rigen nuestra convivencia física. Esto complica
la tarea de conseguir un convenio internacional en esta materia, por lo que sería más
adecuado fijar un código de conducta que evite que internet se convierta en un entorno
inhabitable9.
II. Ciberoperaciones y Derecho Internacional Humanitario
El Derecho Internacional Humanitario es un conjunto de normas internacionales de
origen convencional y consuetudinario, específicamente destinado a ser aplicado en los
conflictos armados, internacionales o no, que limita, por razones humanitarias, el
derecho de las partes en conflicto a elegir libremente los métodos (modos) y medios
(armas) de hacer la guerra y que protege a las personas y los bienes afectados o que
puedan resultar afectados por ella.
El panorama actual de los conflictos nos lleva obligatoriamente a preguntarnos hasta
qué punto las ciberoperaciones caen bajo la protección del Derecho Internacional
Humanitario, dado que en la actualidad están en un ámbito incipiente. Sin embargo,
parece no haber duda de que van a ser determinantes en la consecución de la guerra o
como mecanismo autónomo, cuando éstas generen una hostilidad.
9 Entrevista a Ángel Gómez de Ágreda, 2013.
Cabe preguntarse igualmente, si estas ciberoperaciones van a suponer una amenaza para
la paz y la seguridad internacional, o un uso de la fuerza, y si esto puede llevar al
Consejo de Seguridad a tomar las correspondientes medidas, incluyendo fuerzas
militares, con el objetivo de mantener y restablecer la paz internacional.
Resulta por tanto necesario, pasar a definir la noción de ciberoperación, cúales son sus
efectos y objetivos, y si estos están contemplados en el Derecho Internacional
Humanitario.
Las ciberoperaciones10
son aquellas operaciones realizadas contra un ordenador,
mediante un ordenador o un sistema informático, utilizando para ello el flujo de datos.
Esas operaciones pueden tener distintos objetivos, como por ejemplo infiltrar un sistema
informático y recopilar, exportar, destruir, cambiar o encriptar datos, o activar, alterar o
manipular de otro modo procesos controlados por el sistema que ha sido infiltrado. La
tecnología puede utilizarse en la guerra y, en determinadas circunstancias, algunas de
estas operaciones pueden constituir ataques en el sentido definido por el derecho
internacional humanitario (Droege, 2011).
Las operaciones cibernéticas en sí mismas, no tienen porque producir una hostilidad o
conflicto armado entre las partes, los ciberataques en cambio, adquieren una escala y
efectos que los diferencia de las ciberoperaciones y que pueden dar lugar a un conflicto
armado entre dos partes organizadas. De ahí la importancia de delimitar ante qué
situación estamos, dado que las armas legales de las que dispondremos en uno u otro
caso serán distintas. Por esta razón, se hace necesario distinguir la terminología
específica para las operaciones desarrolladas en el ciberespacio, la cual debe ser
cuidadosamente distinguida de la terminología técnica del Derecho Internacional, tal
como fuerza, ataque armado o ataque.
El derecho internacional humanitario o DIH sólo entra en juego si las operaciones
cibernéticas se cometen en el contexto de un conflicto armado, sea entre Estados, entre
Estados y grupos armados organizados, o entre grupos armados organizados (Droege,
2011).
10 La mayor parte de la bibliografía que encontramos en esta materia proviene del exterior de nuestras
fronteras, donde la mayoría de los textos se encuentran en inglés, por lo que al hablar de operaciones nos
encontraremos con la siguiente definición: Cyber operations as “computer network attack”.
Las ciberoperaciones pueden dar lugar a un conflicto armado, cuando estas originan una
hostilidad entre varias partes con intereses contrapuestos, e igualmente pueden derivar
en un ciberataque, cuando la ciberoperación lleva implícita el uso de la fuerza.
Términos como "ataques cibernéticos" o incluso "terrorismo cibernético" evocan los
métodos de guerra, pero las operaciones a las que se refieren no se realizan
necesariamente durante un conflicto armado. Las operaciones cibernéticas pueden
utilizarse, y de hecho se utilizan, en delitos cometidos en situaciones cotidianas que
nada tienen que ver con situaciones de guerra.
En cambio, las ciberoperaciones calificadas como “uso de la fuerza” contra otro Estado,
no solo caen bajo la prohibición general del art. 2.4 de la Carta, sino que también
podrían dar lugar al desencadenamiento de un conflicto armado internacional (Melzer,
2011), que produce la aplicación universal y obligatoria del Derecho Internacional
Humanitario.
1.Ciberataques y conflicto armado
Uno de los mayores problemas con los que se ha encontrado esta nueva materia es la
necesidad de constante encuadramiento de nuevos conceptos en las categorías jurídicas
existentes, comprobar si su definición, en la mayoría de los casos inexistente se ajusta a
la de un derecho previo establecido, en el caso que nos ocupa al Derecho Internacional
Humanitario.
Podemos llegar a una definición de ciberataque a través del análisis del propio término,
concluyendo que se trata de una ciberoperación que ha implicado un uso de la fuerza, si
entendemos por ataque, idéntico significado del que se desprende el Derecho
Internacional Humanitario.
Por otro lado, cabe decir que el Derecho Internacional Humanitario no establece una
definición de lo que se entiende por conflicto armado. Del mismo modo, ni los cuatro
Convenios de Ginebra, del 12 de agosto de 1949, ni sus Protocolos Adicionales, del 8
de junio de 1977, contienen una definición en sentido propio del mismo. Únicamente en
el marco del Protocolo Adicional a los Convenios de Ginebra relativo a la protección de
las víctimas de los conflictos armados sin carácter internacional (Protocolo Adicional II)
se señalan los requisitos de aplicación de dicho tratado, lo que no supone una definición
general de conflicto armado ni un esquema a seguir necesariamente en todos los casos
de conflicto armado no internacional.
Como señala Tomuschat, (Tomuschat 2003, 259), aunque generalmente resulta
apropiado adoptar una interpretación flexible de los conceptos en los que descansa el
DIH, debe tenerse sumo cuidado al definir conflicto armado. Si el umbral es
excesivamente bajo se corre el riesgo de favorecer el bandidaje y la delincuencia común
que se encuentran dentro del ámbito de acción de la policía y las leyes penales internas.
Por el contrario, si el umbral es excesivamente alto se puede generar situaciones de
desprotección para las víctimas de los conflictos armados.
Resulta importante, por ello, identificar los elementos que la doctrina, práctica de los
propios estados y jurisprudencia internacionales han considerado relevantes en la
definición de conflicto armado.
En cuanto a la jurisprudencia internacional resulta un referente ineludible la posición del
Tribunal Penal para la Ex Yugoslavia, que en el caso de Dusko Tadic planteó que existe
conflicto armado cuando:
“Se recurre a la fuerza entre estados o hay una situación de violencia armada prolongada
entre autoridades gubernamentales y grupos armados organizados o entre estos grupos
dentro de un Estado”11
.
Por su parte, el Tribunal Penal para Ruanda ha señalado en al menos dos importantes
casos, Akayesu y Musema, que:
“El término «conflicto armado» en sí mismo sugiere la existencia de hostilidades entre
fuerzas armadas organizadas en mayor o menor medida” (Salmón 2004, 59).
Esta caracterización de conflicto armado enfatiza al menos cuatro elementos
fundamentales: la fuerza o violencia armada, la prolongación en el tiempo, la
organización del grupo que participa en el conflicto y la inclusión del conflicto armado
entre grupos junto al de las tradicionales nociones de conflicto armado internacional o
no internacional entre la autoridad estatal y el grupo armado.
11 Prosecutor vs. Tadic a/k/a «Dule», caso n.° IT-94-1-T, Opinión y sentencia del 7 de mayo de 1997,
parágrafo 628.
El problema está, una vez que hemos pasado a delimitar conceptualmente los anteriores
términos, en hacer un análisis caso por caso de las situaciones que se nos presenten,
guiándonos también de los precedentes de los que contamos, dado que las
ciberoperaciones no siguen un patrón fijo de actuación, lo cual hace que no podamos
hablar de unas características de las ciberoperaciones que las definan en toda
circunstancia, dado que éstas operan de forma diversa en función de la situación. Es por
ello, que necesitamos hacer un estudio caso por caso, para determinar qué
ciberoperaciones pueden constituir un conflicto armado y consecuentemente qué
principios de Derecho Internacional Humanitario le son aplicables del mismo modo.
Otra cuestión controvertida que hay que sumar a la anterior se refiere a la posibilidad de
considerar bajo el término “fuerza”, así entendido por el Derecho Internacional
Humanitario, a aquellas ciberoperaciones que directamente no causan muertes, herida o
destrucción. Esto también tiene gran importancia a la hora de determinar la legitimidad
del uso de la legítima defensa, dado que si no hay fuerza no se pueden emplear las
medidas de la legítima defensa. Habrá que buscar medidas proporcionales.
Todo pasa por tanto, por el estudio de la ciberoperación, que nos permite ver cuando
este constituye un ataque en el sentido entendido por el Derecho Internacional.
La cantidad e incidencia práctica de las ciberoperaciones ha ido en aumento en los
últimos años. En 2007, la aviación israelí bombardeó una instalación nuclear secreta en
Siria. El ataque aéreo fue precedido de un ciberataque que engañó a los sistemas de
defensa aérea, e impidió detectar la incursión de los aviones en el territorio sirio (Torres
2012, 12). En enero de 2009, aviones de combate franceses no pudieron despegar de sus
portaaviones al ser desactivados, por medio de virus informáticos, su sistema
electrónico. En enero de este mismo año en Estados Unidos, hackers robaron
información ultrasecreta de Joint Strike Fighter o F-35, el cual era el proyecto del
sistema de armas más costoso en la historia de Estados Unidos. Poco más tarde, en este
mismo país, se produjo la deshabilitación de las páginas web del Departamento del
Tesoro y de Estado, de la Comisión Federal del Comercio, del Pentágono y de la Casa
Blanca (Ministerio de Defensa Nacional, 2009). Del mismo modo, en 2009
investigadores canadienses descubrieron una red de espionaje ciberglobal controlada en
gran parte por servidores en China. Los objetivos militares y políticos, cuyas redes se
monitorearon, sugirieron un importante papel de China en la operación (Benedicto,
2012).
Sin duda, el ciberataque más importante hasta la actualidad ha sido el llevado a cabo
contra Estonia. El 15 de abril de 2007, el Gobierno Estonio decidió desplazar del centro
de Tallín el monumento del Soldado de Bronce, lo cual generó un fuerte enfrentamiento
diplomático con Rusia. Un día después, empezó el ataque cibernético. A lo largo de esa
semana todas las páginas web gubernamentales y de los diferentes partidos políticos
habían sido bloqueadas. A la semana siguiente, los medios de comunicación del país
quedaron completamente desconectados, haciendo imposible que se informara al mundo
de lo que estaba ocurriendo. En este momento se llevo a cabo el ataque más importante;
Los hackers desconectaron todo el sistema bancario, bloquearon las páginas web y los
cajeros electrónicos dejaron de funcionar. Durante tres semanas, los sitios web del
Gobierno, los bancos, los medios de comunicación y todas las universidades fueron
sistemáticamente atacados y desconectados. Aunque Estonia no puede estar segura de la
identidad de los atacantes, sus planes fueron publicados en Internet, incluso antes de que
comenzara el mismo. En los foros de habla rusa y grupos de chat, los investigadores
encontraron instrucciones detalladas sobre cómo enviar mensajes perturbadores contra
los sitios Web de Estonia (Landler, 2007). Los ataques se detuvieron y lo que terminó
considerándose la primera ciberguerra llegó a su fin. Estonia inmediatamente acuso al
gobierno de Rusia, pero nada ha podido ser demostrado (Ministerio de Defensa
Nacional, 2009).
Como podemos comprobar, no son pocos los antecedentes que encontramos ya sobre
esta materia. Una vez llevada a cabo una ciberoperación e identificada ésta, tenemos
que comprobar su legalidad, ver si la ciberoperación constituye un supuesto lícito de
uso de la fuerza de acuerdo con el Derecho Internacional y si el ataque se ha ajustado a
las normas de Derecho Internacional Humanitario; a las reglas que rigen las condiciones
en un conflicto armado (Pozo, 2011). A la vista del último de los hechos expuestos,
podemos concluir que el ataque no queda amparado por el derecho inherente a la
legítima defensa e igualmente tampoco se respetaron los principios de distinción y
proporcionalidad establecidos en el DIH.
Es el análisis objetivo y práctico del caso en concreto el que nos va a permitir distinguir
entre una ciberoperación, que no constituyen un conflicto armado, de las que si lo
constituyen y se rigen por tanto por el DIH. Igualmente podemos distinguir cuando esta
ciberoperación se configura como un ataque armado, que permitirá que sea aplicable la
legítima defensa contemplada en el artículo 51 de la Carta de Naciones Unidas. Del
mismo modo cabe reseñar, que no hay consenso entre los especialistas para delimitar
cuando un ciberataque es una amenaza o uso de la fuerza. Es complicado determinar
cuando existe una amenaza, dado que para que esta se produzca tiene que haber un nexo
entre la ciberoperación y la acción que ha sido interpretada como una amenaza, y este
nexo en ocasiones es imposible de determinar, por lo que nuevamente tendremos que
atenernos al análisis del caso en concreto.
Las ciberoperaciones, casi siempre se sitúan en una zona gris, entre las tradicionales
fuerzas militares y otras formas de coerción; esto lo comprobamos al ver que tampoco
ha habido consenso a la hora de determinar si las ciberoperaciones que no causan
muerte, daño o destrucción deben considerarse prohibidas en virtud del art. 2.4 de la
Carta (Melzer, 2011).
Los problemas a la hora de delimitar las ciberoperaciones inciden en que el derecho de
la guerra se aplique en una extensión determinada. Pocos autores se cuestionan la
posibilidad de que los ciberataques adquieran las repercusiones de una guerra,
independientemente de que consideren que las normas de la guerra se deban adaptar a
las nuevas características del ciberespacio, con el objetivo de una mayor efectividad de
las normas. Una opinión disidente la encontramos en Thomas Rid, el cual cuestionaba la
existencia misma de la ciberguerra (Rid, 2005) como una guerra en el sentido entendido
por el DIH. La argumentación de Rid se basaba en las ideas de Clausewitz, al sostener
que la guerra tiene que tener tres componentes fundamentales: motivación política,
carácter instrumental y potencial letal. Rid sostenía que la ciberguerra carece de este
último elemento, y que una guerra sin violencia, no es guerra.
2.1.1 Adaptación del concepto de ataque armado al ciberespacio. Escala y efectos
En este punto, conviene enfatizar la carencia de una definición jurídica precisa de
ataque armado, lo que genera las discrepancias en la calificación de situaciones
complejas (Pozo, 2011) y la extrapolación del término al ciberespacio.
Un ataque armado comporta cierta escala y efectos (Schmitt, 2013) y la cuestión estriba
en cómo esta escala y efectos se manifiestan en el ciberespacio. Se considera que para
que una ciberoperación sea considerada como ataque armado tienen que concurrir una
serie de condiciones, matizadas por el ámbito en el que operan.
Si atendemos en primer lugar a la definición que se da de ataque armado por el DIH,
tenernos que tener en cuenta en primer lugar que el Protocolo I y el derecho
consuetudinario contienen una definición específica del término que no es idéntica a la
que se establece en otras ramas del derecho (XXXI Conferencia Internacional de Cruz
Roja 2011, 42). El Protocolo I en su artículo 49.1 define el ataque como “actos de
violencia”, lo que denota empleo de la fuerza. Los ataques que comportan daño físico
pueden calificarse como actos de violencia en el sentido del DIH. Igualmente el artículo
52.2 del Protocolo I, sostiene que los ataques se limitan sólo a aquellos objetivos que
contribuyan eficazmente a las acciones militares o cuya destrucción total o parcial
ofrezca, en las circunstancias del caso, una ventaja militar definitiva.
Esta interpretación literal del Derecho Internacional impediría considerar a las
ciberoperaciones como un ataque armado (Schmitt, 2012), y la mayor repercusión sería
que no les sería de aplicación bajo ninguna circunstancia la legítima defensa. Lo cual no
las priva en cambio de generar un conflicto armado.
A mi modo de ver, los actos de violencia no necesariamente requieren u componente
cinético, basta con que los resultados sean iguales a los que puede producir este tipo de
violencia. Podría constituir de esta forma un ataque en el sentido del art.49 (Melzer,
2011).
Existen dos puntos de vista distintos de lo que se entiende por ataque armado. Por un
lado, aquel que limita el conflicto armado internacional a situaciones donde el ataque
armado ha ocurrido. Los ataques son actos de violencia. El DIH solo se aplica si el
conflicto es armado, intervenido por fuerzas armadas.
El dilema estriba en que en la práctica los países pueden llevar a cabo ataques severos
en un primer momento no destructivos, que pueden justificar operaciones de conflicto
armado, es decir, ataques cinéticos por parte de los combatientes.
El otro punto de vista está basado en la definición más liberal de Dürmann de ataque,
que incluyen operaciones que tienen como objetivos a civiles y objetivos civiles
independientemente de si ellos causan un daño o muerte física. Los ataques a estas
personas ya constituyen un ataque.
A la luz de lo expuesto, podemos decir que, la consideración de ataque o no, puede
atender tanto por los efectos que produce como por los objetivos que persigue. De una u
otra clasificación dependerá que consideremos ataque uno u otro aspecto. Del mismo
modo, no podemos olvidar la dificultad de la determinación de los objetivos en el
contexto de una ciberguerra.
Siempre que se produzca un ataque, aunque no necesariamente tiene que ser así, va a
haber un conflicto armado. La intensidad de los ataques va a ser un factor muy
importante, porque de esta intensidad y organización de los ataques, va a depender que
un conflicto se califique como conflicto armado no internacional o constituya un
conflicto armado internacional. Las leyes aplicables en uno u otro caso serán distintas.
Muchos conflictos por la gravedad e intensidad de los conflictos terminan
internacionalizándose, aplicándose de esta manera el Convenio III y Protocolo II.
Todo lo anterior hace que puedan incluirse las ciberoperaciones que no producen daños
o muertes, dado que estas claramente desencadenan un conflicto armado. Aunque el
ataque representa la forma predominante de operaciones de combate, sería equivocado
asumir que las ciberoperaciones no consideradas como ataque no son sujetas a normas
de IHL que conducen las hostilidades
(Melzer, 2011). Las normas de Derecho
Internacional Humanitario se aplicarán sin que la gravedad y los efectos del ciberataque
sean excesivos. El conflicto armado comienza cuando el intercambio armado entre los
Estados ocurre, independientemente de la escala o los efectos de las hostilidades.
Para entrar dentro de las hostilidades recogidas por el DIH, las ciberoperaciones en
cuestión tienen que causar un daño directo y este debe ser desigual a favor de la parte
beligerante y en detrimento de la otra. La identificación de un ciberataque puede llegar a
ser complicada, lo que da lugar a una difusa interpretación y valoración de todos los
aspectos expuestos anteriormente.
2.1.2 Requisitos para que las ciberoperaciones originen una situación calificable
como conflicto armado
El DIH no menciona concretamente las ciberoperaciones, ni la definición de conflicto
armado, lo que denota una importante labor interpretativa para la concurrencia en un
supuesto de hecho de ambas circunstancias.
La experiencia de dicha labor interpretativa ha demostrado que las ciberoperaciones
pueden dar lugar a un conflicto armado. Es por ello, que la comunidad internacional se
ha visto en la necesidad de fijar unos requisitos que nos permitan distinguir, a la luz de
los hechos acontecidos, sí estamos o no, ante un supuesto en el que los actores
involucrados se ven obligados al desarrollo de la hostilidad conforme a los principios
del Derecho Internacional Humanitario.
Las ciberoperaciones pueden tener diversos objetivos y producir diversos efectos tanto
de forma inmediata como de manera previsible. La evaluación de los Estados de la
ciberoperación exige unos requisitos más flexibles, a diferencia de los establecidos para
la calificación de éstas como ataque armado, dado que lo que se pretende es que los
principios básicos del Derecho Internacional Humanitario sean de aplicación ante una
clara hostilidad entre dos partes. Una vez determinados estos requisitos y la existencia
de un conflicto armado, es cuando se tendrá que valorar la magnitud de la hostilidad y la
incidencia real de ésta.
Por lo tanto, el término ciberoperación incluye pero no se limita al ciberataque. Ciertas
ciberoperaciones son gobernadas por la ley del conflicto armado, incluso cuando estas
operaciones no alcanzan el nivel de ataque. Del mismo modo, ocurre en ocasiones que
las ciberoperaciones no alcanzan el nivel para considerarse conflicto armado (Schmitt,
2013).
Para que podamos hablar de conflicto armado tiene que haber conexión entre la
ciberactividad y el conflicto armado para que la ley del conflicto armado pueda
aplicarse. El derecho de los conflictos armados rige cualquier ciberactividad que
conduce una parte en conflicto armado contra su oponente. Esta actividad se tiene que
perpetrar en orden a contribuir a originar esfuerzos militares, es decir, exige un objetivo
determinado.
La problemática en la aplicación de la ley radica en la dificultad de identificar la
existencia de ciberoperaciones (el origen de éstas), los objetivos que persigue, así como
los efectos precisos que produce. Una de las mayores dificultades se encuentra en el
carácter no cinético de las hostilidades que producen las ciberoperaciones.
Finalmente, el Tribunal Internacional para Yugoslavia concluyó que un conflicto
armado existe cuando se recurre a una fuerza entre los Estados, flexibilizando así los
requisitos que tienen que concurrir en las ciberoperaciones y haciendo una
interpretación expansiva del término.
Hablamos por tanto de ciberguerra, cuando las ciberoperaciones han dado lugar a un
conflicto armado, en cambio, las ciberoperaciones si no dan lugar a conflicto armado, y
no constituyen una ciberguerra, las podemos encontrar tanto en tiempo de paz como de
guerra. Estas ciberoperaciones solo estarían amparadas por el DIH, en tiempo de guerra
y en tiempos de paz por el Derecho Internacional de los Derechos Humanos. Por otra
parte, las ciberoperaciones que sólo constituyen una amenaza desde el ciberespacio, no
alcanzan el umbral de la ciberguerra y tampoco el de aplicación del DIH. La
controversia ha estado por tanto en determinar hasta qué punto las ciberoperaciones
pueden conducir por ellas mismas a un conflicto armado sin la concurrencia paralela de
hostilidades convencionales
(XXXI Conferencia Internacional de la Cruz Roja 2011,
42). Esto dependerá de si las calificamos como amenaza, uso de la fuerza o un conflicto
armado. Por lo que finalmente será una labor de interpretación de las ciberoperaciones
de forma objetiva a partir de la práctica de los Estados.
2.1.3 Actores de la ciberguerra
En el ciberespacio, el acercamiento entre los efectos que puede provocar un individuo y
los que puede conseguir un Estado se hace cada vez mayor. Además el ciberespacio
permite a los individuos asumir papeles tradicionalmente reservados a los Estados.
Debemos adaptar el Derecho Internacional Humanitario a los nuevos actores, como ya
en su momento se hizo al añadir protocolos adicionales cuando se constato que las
guerras a partir de los años sesenta habían dejado de ser monopolio de los actores
estatales. Este es el ámbito donde los participantes en él cuentan con un mayor grado de
igualdad. Estamos ante un nuevo escenario donde ya los actores inmersos en el
conflicto no se limitan a los Estados y los movimientos de Liberación Nacional. Por
ello, debemos adaptar el derecho a esta nueva realidad. Este amplio margen de
actuación y libertad de barreras de entrada con la que cuentan los distintos actores que
están apareciendo en el ciberespacio, hace que el Estado se tenga que plantear el papel
que quiere ejercer en este nuevo ámbito y cuáles son las capacidades con las que cuenta.
Para operar en el ciberespacio con la agilidad necesaria, los Estados deberán adaptar sus
estructuras mismas al nuevo entorno donde deben moverse. Hay que combatir la
burocratización excesiva con la que cuenta el Estado, para poder hacer frente de forma
rápida a los retos del ciberespacio.
Los ciberataques tradicionalmente se perpetraban por personal muy especializado que
en la mayoría de los casos formaban parte de las fuerzas armadas del Estado, en cambio
en la actualidad encontramos personal muy especializado que trabaja de forma
autónoma, para empresas u organizaciones internacionales. Se ha perdido entre los
actores el privilegio que suponían trabajar para el Estado. Además no son vulnerables
frente al él, lo que ha cambiado mucho la ética de los actores que pasan a participar en
el ciberespacio. Esto es una cuestión bastante preocupante, lo que hace que nos
planteemos la urgente necesidad de concienciación sobre el uso del ciberespacio, de la
necesidad de la ética (Barret 2013, 4-17) en un ámbito que proporciona infinitas
oportunidades y donde la libertad es su máximo exponente.
Otra cuestión importante es que en el ciberespacio los territorios no son invadidos ni
ocupados, lo que prolonga el tiempo en el que pueden operar. La delimitación de los
distintos actores resulta muy complicada y más complicado aun resulta ver la incidencia
del ataque que estos están perpetrando, y ver cuando están incidiendo de forma directa
en la población civil. Esto tendrá como consecuencia que la respuesta por parte de la ley
será bastante más tardía y esto puede en último término perjudicar a los civiles.
2. La determinación del régimen jurídico aplicable. Problemática con el Derecho
Internacional Humanitario
Es erróneo pensar que la mayoría de las leyes en conflicto armado tienen un
espacio/dominio específico de aplicación. Por eso es igualmente erróneo cuando se
sostiene que el ciberespacio esta desregulado (ISN ETH, 2013). Pero esto no nos puede
llevar a interpretar que todas las normas del Derecho Internacional Humanitario son
aplicables a la ciberguerra, dado que ésta tiene una serie de características que no se
pueden asimilar en todos sus términos a la guerra convencional.
En opinión del CICR, los medios y métodos de la guerra que incluyen la tecnología
cibernética están sujetas a normas del DIH, cuando se utiliza en un conflicto armado por
una parte en ese conflicto o en su nombre (XXXI Conferencia Internacional de la Cruz
Roja 2011, 42).
Para algunos estudiosos de la materia las dificultades en el régimen aplicable estriban
más bien en cuestiones técnicas que legales, en otros en una interpretación extensiva de
las normas del DIH, y en cambio para otros la cuestión reside en una nueva realidad que
merece un tratamiento jurídico distinto, lo cual no impide que ciertos principios en uno
y otro ámbito coincidan (Melzer, 2011). Me decantaría por esta última postura.
Conciliar la emergencia del ciberespacio como un nuevo ámbito de guerra con el marco
jurídico que rige los conflictos armados, es una tarea desafiante en varios aspectos
(XXXI Conferencia Internacional de la Cruz Roja 2011, 49). Estamos en un ámbito
donde la delimitación personal resulta imposible a la luz del DIH, dado que no se
pueden utilizar los mismos criterios para delimitar a un combatiente y un militar como
viene recogido en los Convenios de Ginebra y sus protocolos. El estatuto de prisionero
de guerra no tiene cabida en este contexto. En relación a la aplicación espacial del
derecho tampoco cabe similitud, dado que en el ciberespacio no hay puede establecerse
ninguna delimitación ni ámbito donde ejerza la soberanía un Estado, lo que también
dificulta la posibilidad de establecer las potencias o actores neutrales.
El Derecho Internacional puede cristalizar normas de comportamiento en el
ciberespacio (Joyner y Lotriante 2001, 825-865) pero esto debe complementarse con el
establecimiento de un régimen jurídico que se adapte a las circunstancias del
ciberespacio, dado que de distinta manera no se verán protegidos los intereses que
propugna el Derecho Internacional Humanitario.
2.2.1 Los principios y reglas aplicables del Derecho Internacional a la ciberguerra
En primer lugar, tenemos que determinar si realmente hay conflicto armado, y una vez
que ocurra esto, entonces ya es cuando tenemos que pasar a considerar que principios se
pueden extrapolar, cuales se podrían aplicar a la ciberguerra.
En consonancia con lo expuesto en el apartado anterior, tenemos que reseñar que los
principios aplicables a la ciberguerra son principalmente los que se aplican en el
Derecho Internacional Humanitario recogido en los Convenios de Ginebra y las
Convencines de la Haya, pero adaptados a los matices y características del ciberespacio
y de lo que comúnmente se conoce como ciberguerra12
.
12 Richard Clarke (2010) define la ciberguerra del siguiente modo:
Los principios fundamentales del DIH que pueden tienen vigencia en la ciberguerra son
el principio de humanidad, buena fe, necesidad militar, neutralidad, distinción,
limitación de medios, proporcionalidad, precaución y prevención del sufrimiento
innecesario.El mínimo legal que se establece inculca valores individuales y una moral
institucional, que es necesaria para el cumplimiento de la ley, y es que legalidad y ética
están relacionadas (ISN ETH, 2013).
Para Charles Dunlap, la cultura relevante para el respeto del Derecho Internacional
Humanitario no es la cultura de la legalidad o el culto de los abogados, sino que radica
en la cultura profesional del honor de los soldados y lo que ellos son capaces de hacer o
no hacer en el campo de batalla (ISN ETH, 2013) y esto también está presente en la
ciberguerra. Lo sostenido por Dunlap es correcto pero requiere complementarlo con un
amplio conocimiento del derecho y a partir de este conocimiento que estos actúen
conforme a él.
La adaptación de los principios del Derecho Internacional a la ciberguerra plantea
problemas de diversa naturaleza. En primer lugar, la determinación de cuando estamos
realmente ante una situación objetiva de ciberguerra. La infección del ordenador de un
adversario beligerante con un virus malicioso constituirá un acto de ciberguerra
mientras que un bombardeo aéreo de un ciber comando militar no. En segundo lugar,
otro de los inconvenientes que tenemos que tener en cuenta es el hecho de que la
ciberguerra aunque se desarrolle en el ciberespacio esto no excluye que produzca
efectos en áreas distintas del dominio cibernético, lo que hace que los principios se vean
adaptados a las diversas características del caso concreto al que nos encontramos.
El mayor inconveniente que encontramos es que no ha existido un amplio diálogo en la
interpretación y aplicación de las reglas y principios del Derecho Internacional en la
ciberguerra y tampoco las implicaciones de la tecnología y el potencial militar han sido
lo suficientemente exploradas en este ámbito. Esta dificultad en la trasposición de las
reglas preexistentes y los principios a este nuevo dominio se solucionaría con una
interpretación clásica del tratado en su conjunto, con una buena medida de sentido
común. Otras requieren en cambio, una decisión política unánime por el legislador
“se denomina ciberguerra cualquier penetración no autorizada por parte de, en nombre de, o en apoyo a,
un gobierno en los ordenadores o en las redes de otra nación, en la que el propósito es añadir, alterar o
falsificar información o causar daños a, o perturbar el adecuado funcionamiento de, un ordenador, un
dispositivo de red o los objetos controlados por el sistema informático”. Lectura 3.
internacional, de la comunidad internacional de Estados. Lo que podría implicar un
nuevo tratado. Me genera más confianza esta segunda posibilidad frente a la primera,
que siempre volvería a caer en los errores de base, y no terminaría de solucionar el
problema (Melzer, 2011).
Los principios del DIH para ser eficaces en el ciberespacio, tienen que ser utilizados de
forma flexible, adaptándolos a las circunstancias. Esta flexibilidad crea mucha
reticencias, dado que muchos ven en esta modulación de los principios una vía para su
vulneración, pero de eso depende el compromiso de los Estados en esta materia, que no
deja de tener la misma finalidad que la que un día hizo que se crease el DIH, que es la
de humanizar la guerra, y frente a estos objetivos es frente a lo que se tiene que ser
congruente y responsable.
III. Conclusiones
La evolución tecnológica ha permitido el desarrollo de nuevos conflictos con
características propias, que requieren la adaptación del derecho con la finalidad de que
el principio de humanidad se vea en todo contexto salvaguardado.
El Derecho Internacional Humanitario tal y como lo conocemos sigue vigente en la
actualidad y seguirá guiando los conflictos futuros, los cuales no serán ajenos al
ciberespacio.El DIH se ha ido adaptando a todas y cada una de las circunstancias que se
le han ido presentando en los distintos contextos de la guerra, pero las circunstancias
que plantea la ciberguerra son ahora distintas.
La ciberguerra se desarrolla en un ámbito, el ciberespacio, que goza de sus propias
características, unas características que no contempla el Derecho Internacional. En esto
último parece haber un mayor consenso, pero la cosa cambia, cuando nos referimos al
Derecho Internacional Humanitario, dado que muchos estudiosos de la materia
consideran que siempre que hay un conflicto armado, una guerra, deben ser de
aplicación las normas del derecho de la guerra, independientemente de cómo se
desarrolle esta, dado que existen unas reglas universales, que tienen que regir en todos
los ámbitos. Justo en este punto es donde surge la cuestión de sí podemos considerar
que la ciberguerra constituye un conflicto armado en el sentido recogido por el DIH.
A la vista del análisis de derecho y de la práctica, podemos establecer que los
ciberataques si pueden considerarse actos de guerra, a pesar de que sus efectos no sean
letales.
Mas importante aún resulta, que a pesar de que la ciberguerra no da lugar a
consecuencias humanitarias dramáticas, lo que puede incidir en que su interés en
conceder ciertos derechos o adoptar ciertos compromisos por parte de los Estados se vea
debilitado, sin embargo, no podemos despreciar el potencial de la ciberguerra para
originar la consecución de una tragedia es enorme, y puede ir en aumento cuanta mayor
dependencia vayamos teniendo de internet. Es por ello que en virtud de los objetivos
que se persiguen y de los futuros efectos que pueden desencadenarse se hace preciso,
para alcanzar la finalidad del DIH, que algunos principios del Derecho Internacional
Humanitario se apliquen a la ciberguerra. No se cuestiona la necesidad de la vigencia de
ciertos principios del Derecho Internacional en la ciberguerra, lo que se plantea es si las
normas jurídicas existentes que han de aplicarse son lo suficientemente claras, si tienen
en cuenta las características específicas de la tecnología empleada en ciberguerra, así
como los efectos previsibles que pueden tener desde el punto de vista humanitario.
La ciberguerra requiere un tratamiento normativo propio que se adapte a sus
características, porque a pesar de que muchos principios del DIH sean extrapolables, se
corre el riesgo de que su puesta en práctica carezca de viabilidad y fiabilidad. Del
mismo modo la ciberguerra es algo incipiente, donde los Estados aun no han decidido
en ponerse de acuerdo en sus puntos básicos, lo cual hace aun más difícil su
delimitación. Probablemente la solución pase, más que por reformular el DIH, lo cual
podría comprometer el consenso y compromiso con el que se gestó tras la II Guerra
Mundial, pase por estudiar caso por caso, por establecer inicialmente un código de
conducta que se ajuste a las características del ciberespacio, y permitir su adaptación a
la práctica concreta de ciberguerra que se vaya desarrollando.
Los Estados deben examinar si los nuevos métodos y armas empleadas en la ciberguerra
son compatibles con las obligaciones establecidas, con las responsabilidades adquiridas
por los Estados en relación con los principios del Derecho Internacional extrapolables al
ciberespacio, pero sobretodo en relación a la respuesta moral frente a las generaciones
venideras.
El Ciberespacio requiere la gestión del riesgo más que su erradicación, concienciar a los
usuarios del dicho riesgo para su correcta utilización, dado que como sostiene Ángel
Gómez de Agreda13
en el ciberespacio estamos forjando nuevas personalidades, nuevas
identidades y nuevas formas de relación que replican, como si fuera en un universo
paralelo las actividades que llevamos a cabo en el mundo físico14
.
13
Ángel Gómez de Ágreda es Teniente Coronel del Ejército del Aire y Profesor del Departamento de
Estrategia y Relaciones Internacionales. Escuela Superior de las Fuerzas Armadas. CESEDEN. 14
Ideas extraídas de la entrevista personal efectuada a Ángel Gómez de Ágreda, en el Ministerio de
Defensa, el 14 de mayo de 2013.
BIBLIOGRAFÍA
Barret, E. “Warfare in a new domain: The Ethics of military cyberoperations”, Journal
of Military Ethics, 12:1, 4-17, abril 2013.
Benedicto,M.A “EEUU ante el reto de los ciberataques”. Instituto de Estudios
Estratégicos. Documento de opinión 37/2012.
Boyle, A. “Moving Towards Tallinn: Drafting the Shape of Cyber Warfare”, American
Security Project, 2012.
Comité Internacional de la Cruz Roja. Guerra y Derecho: http://www.icrc.org/spa/war-
and-law/index.jsp
CICR. “Medios y métodos de la guerra”, 2010.
Droege, C. “No hay lagunas jurídicas en el Ciberespacio”, CICR, 2011.
Franzese, P. “Sovereignty in Cyberspace: Can it exist?, The Air Force Law Review.
Cyberlaw Edition, Vol. 64, 2009.
Gómez de Ágreda, A. “El ciberespacio como escenario del conflicto. Identificación de
las amenazas”, El Ciberespacio. Nuevo escenario de confrontación, Centro Superior de
Estudios de la Defensa Nacional. Monografías del CESEDEN, 126, 2012.
ISN ETH Zurich, “Cyber Lawfare?”, 26 de abril de 2013.
Jones, N, y Baines, P. “Losing control? Social Media and Military influence. The Rusi
Journal, febrary 2013. Vol.158.
Joyner, C; Lotriante, C. “Information Warfare as an International coertion: elements of
a legal framework”, EJIL, 2001.
Kuehl, D. “Cyberspace and Cyberpower: Defining the Problem”, Cyberpower and
National Security, 2009.
Landler, M. y Markoff, J: “War Fears Turn Digital After Data Siege in Estonia”, 29 de
mayo de 2007.
Lewis, J. “A Note on the Laws of War in Cyberspace”. CSIS, abril 2010.
Lewis, J. "Cyber Attacks, Real or Imagined, and Cyber War," CSIS, Julio 2011
Liles, S y Roger, M. “Applying Traditional Military Principles to Cyber warfare”, 4th
International Conference on Cyber Conflict, NATO Publications, 2012.
López, P. “Deontología y autorregulación en el ciberespacio”. Tesis doctoral,
Universidad Complutense de Madrid, 2003.
Lord, K. y Sharp, T. America´s Cyber Future. Security and Prosperity in the
Information Age. Center For a New American Security. Vol.1, junio 2011.
Melzer, N. “Cyberwarfare and International Law”, UNIDIR RESOURCES, 2011.
Ministerio de Defensa Nacional. “Ciberseguridad y Ciberdefensa: una primera
aproximación”. Dirección de Estudios Sectoriales. Nota de investigación 3. Dirección
de programa, octubre 2009.
Pozo, P. “La utilización de drones en los conflictos actuales: una perspectiva del
Derecho Internacional”. Instituto de Estudios Estratégicos, Nº37, 2011.
Rid, T. “Cyber War Not Take Place”, Journal of Strategic Studies, King´s College
London, UK, octubre, 2005.
Salmón, E. “Introducción al Derecho Internacional Humanitario”. Instituciones de
Democracia y Derechos Humanos. Pontificia Universidad Católica de Perú y CICR,
2004.
Schmitt, M. “Attack as a Term of Art in International Law: The Cyber Operations
Context”, 4th
International Conference on Cyber Conflict, NATO Publications, 2012.
Schmitt, M. “Cyber Operations in International Law: The Use of Force, Collective
Security, Self-Defense, and Armed Conflicts”, en Proceedings of a Workshop on
Deterring CyberAttacks: Informing Strategies and Developing Options for U.S. Policy
pp. 151-178
Schmitt, M. “Classification of Cyber Conflict”, Journal of Conflict & Security Law,
Vol.17, 2012, pág. 245-260.
Schmitt, M. Manual on the International Law applicable to cyber warfare. Cambridge
University Press, 2013.
Schmitt, M. “International Law in Cyberspace: The Koch Speech and Tallinn Manual
Juxtaposed”. Harward International Law Journal, 2012.
Taddeo, M. “An Analysis For a Just Cyber Warfare”, 4th
International Conference on
Cyber Conflict, NATO Publications, 2012.
Torres, M. y Garcia, J. “Conflictos bélicos y gestión de la información. Una revisión
tras la guerra de Irak y Afganistán”, Confines, 2009.
Torres, M. “Información y conflictos bélicos en la era de internet”, Seguridad y Defensa
hoy, 2008.
Torres, M. “La Ciberguerra”. Universidad de Granada, 2012, pág. 12.
Tomuschat, C. Human Rights between idealism and realism. Oxford: Academy of
European Law of the European University Institute / Oxford University Press, 2003, p.
259
XXXI Conferencia Internacional de la Cruz Roja “El derecho internacional humanitario
y los desafíos de los conflictos armados contemporáneos”. Ginebra, Suiza, 2011.
Ziolkowski, K. “Ius ad bellum in Cyberespace. Some Thoughts on the Schmitt criteria
for use of Force”,4th
International Conference on Cyber Conflict, NATO Publications,
2012.