¿Cuándo un ciberataque es un crimen de guerra?

El daño causado por los ciberataques en la guerra de Ucrania parece nimio si se compara con las atrocidades de los combates sobre el terreno. Pero eso no significa que no esté ocurriendo o que los civiles estén a salvo.

El 24 de febrero, el mismo día en que Rusia invadió Ucrania, un ciberataque dirigido al satélite de comunicaciones KA-SAT interrumpió las comunicaciones militares de Ucrania. El ataque —que las autoridades estadounidenses atribuyeronEnlace externo a la agencia de espionaje militar rusa— se extendió más allá de las fronteras de Ucrania. Dejó sin acceso a internet a decenas de miles de personas en toda Europa, desde Francia hasta Ucrania. Un mes después del ataque, unas 2 000 turbinas eólicas en Alemania seguían sin funcionarEnlace externo.

Al día siguiente, un puesto de control fronterizo entre Ucrania y Rumanía fue atacadoEnlace externo por un malware de eliminación de datos —un programa informático malicioso— que ralentizó los trámites de las personas refugiadas que intentaban huir del país. Se desconoce aún quién realizó el ataque.

Estos son solo dos de los 35 importantes ciberataques contra infraestructuras esenciales y civiles en Ucrania que, desde el inicio de la guerra, la ONG con sede en Ginebra CyberPeace Institute ha registrado en su sitio webEnlace externo. Bruno Halopeau, jefe de tecnología y análisis cibernético de la organización, afirma que, aunque la mayoría de los ataques han sido contra objetivos militares, instituciones públicas y medios de comunicación, las personas civiles —de manera intencionada o no— también se han visto afectadas.

Según el derecho internacional humanitario (DIH), los ataques contra civiles pueden constituir crímenes de guerra.  

«Hacemos un seguimiento de la situación y recogemos pruebas para estar en condiciones de aportar pruebas de lo ocurrido si en algún momento hay una investigación», dice Halopeau. En su sitio web, dicha ONG enumera y describe los ciberataques, el daño social que han causado y detalles sobre a quién se le imputan.

«Lo que publicamos en nuestra web es una parte de la información que tenemos», explica Halopeau. Una información que está disponible para posibles procedimientos legales futuros. El CyberPeace Institute también recoge estas pruebas para evaluar si los países respetan los tratados internacionales que han firmado, y para identificar lagunas en la normativa.

Leyes de guerra en la era digital

El derecho internacional humanitario —también conocido como leyes de guerra— impone límites al desarrollo de las hostilidades y busca proteger a las personas civiles, el personal médico, los soldados heridos y los prisioneros de guerra.

Está prohibido atacar directamente a la población civil. Y también lo está utilizar armas cuyos efectos no puedan limitarse a objetivos militares. En el mundo físico, por ejemplo, eso significa no atacar un hospital o no bombardear zonas densamente pobladas. Pero en el mundo digital las cosas se complican.

Halopeau reconoce que es muy difícil diseñar un malware (programa maligno) que únicamente afecte a sistemas específicos y no a una amplia gama de ellos. Prueba de esto es el hackeo del servicio de internet KA-SAT.

La actual guerra entre Rusia y Ucrania, que se ha extendido al ciberespacio, también está difuminando la línea entre personas civiles y soldados.

El 26 de febrero, el Gobierno de Ucrania hizo un llamamientoEnlace externo a los piratas hackers (piratas informáticos) aficionados del mundo para que se unieran a su «ejército informático» y lanzaran ataques contra objetivos rusos. El primer día de la guerra, el colectivo mundial de hackers Anonymous declaróEnlace externo que estaba participando en una ciberguerra contra Moscú.

Halopeau duda que muchos «guerreros cibernéticos» sean conscientes de lo que implica su participación en el conflicto según el derecho internacional humanitario.

«Al tomar parte activa en este conflicto, sin saberlo, pueden perder su protección legal como civiles y ser tratados como combatientes. Se exponen a las represalias del Estado al que atacan y son susceptibles de ser perseguidos después de la guerra», afirma.

Guardián del derecho internacional humanitario

El Comité Internacional de la Cruz Roja (CICR) —como guardián del derecho internacional humanitario— presta mucha atención a los últimos acontecimientos en el campo de batalla, se compromete de manera confidencial con los Estados para recordarles las normas vigentes y evalúa si hay que modificar la legislación.

«Vemos una realidad en la que las operaciones cibernéticas cada vez son más frecuentes en los conflictos armados. Y una de las funciones clave del CICR es hacer hincapié en el posible coste humano de esas operaciones, el posible coste para las personas civiles», manifiesta Tilman Rodenhäuser, asesor jurídico del CICR.  

El derecho internacional humanitario se estableció en un mundo en el que todavía no había ciberataques. ¿Siguen sus normas siendo válidas hoy en día?

«No podemos aspirar a nuevas reglas de conflicto armado con cada desarrollo tecnológico que vemos», responde Rodenhäuser.

No obstante, algunos aspectos legislativos siguen abiertos a la interpretación. Una de las normas más antiguas del DIH es la protección de los objetivos civiles. Durante muchos años, los datos civiles —entendidos como documentos confidenciales guardados en archivos físicos, por ejemplo— no podían ser legalmente dañados o destruidos. Pero ¿qué dice la legislación si esos mismos datos se almacenan de manera digital?

«La protección de los datos no se aborda explícitamente en las normas del derecho internacional humanitario», declara Rodenhäuser, quien añade que los expertos jurídicos y los Estados tienen opiniones divergentes sobre cómo se aplica el derecho internacional humanitario en este caso.

Para el CICR, es importante que los Estados interpreten el derecho vigente de manera que los civiles y las infraestructuras civiles gocen del mismo nivel de protección que tenían en el pasado. Y que las armas cibernéticas estén sujetas a los mismos límites que los medios tradicionales de guerra.

«Si los Estados vinieran y dijeran: No, en realidad los datos son un juego limpio, y los datos pueden ser dañados y borrados en los conflictos armados sin consecuencias legales, entonces eso sería una verdadera preocupación humanitaria, y tendríamos que pensar en nuevas reglas», dice Rodenhäuser.

Pero las nuevas normas del derecho internacional tienen que ser negociadas por los Estados. Una vez que existe un tratado, hay que firmarlo y ratificarlo: un proceso largo y complicado, sobre todo teniendo en cuenta que las normas actuales del DIH obligan a prácticamente todos los Estados.

«Es fundamental que estas normas acordadas se respeten también en lo que respecta a las operaciones cibernéticas, porque la gran mayoría de lo que consideramos una amenaza para los civiles en realidad está cubierta por las normas existentes», afirma Rodenhäuser.

La posición de la comunidad internacional

Saber si el derecho internacional —incluido el DIH— se aplica al ciberespacio y de qué manera ha sido objeto de muchos debates multilaterales en las Naciones Unidas durante las dos últimas décadas.

En 2013, cuando un grupo de expertos gubernamentales elaboró un informe aprobado por consenso en el que se afirmaba que el uso de las tecnologías de la información por parte de los Estados estaba sujeto al derecho internacional, se produjo un gran avance. Pero la cuestión de cómo se aplica el derecho seguía abierta.

En 2019 se creó un nuevo grupo de trabajo en la ONU abierto a los 193 Estados miembros. Su objetivo era hacer un seguimiento de las conclusiones de los expertos gubernamentales. 

«El reto era volver a sentar a todo el mundo alrededor de la mesa y restablecer el consenso», dice Jürg Lauber, embajador de Suiza ante la ONU en Ginebra y antiguo presidente del grupo de trabajo.

Según Lauber, su tarea se complicó por el «aumento de las tensiones políticas entre las grandes potencias» y los «intentos de reescribir las normas por parte de un pequeño grupo de países».

Al final, el grupo de trabajo concluyó que el derecho internacional también se aplica a la ciberguerra. Pero no pudo llegar a un acuerdo sobre cómo aplicarlo.

«En el fondo se ha avanzado, pero no ha sido un gran salto. Sin embargo, ahora el apoyo es mucho más amplio porque todo el mundo ha tenido la oportunidad de participar en el debate», expone Lauber.

Se ha creado un nuevo grupo de trabajo en la ONU para el periodo 2021-2025.

«Espero que puedan ir más allá […] está claro que hay una brecha entre que todos los Estados miembros estén de acuerdo en la aplicabilidad del derecho internacional existente y lo que vemos que está sucediendo con la cibertecnología que se utiliza de manera ilegal».

¿Crímenes de guerra?

Juzgar crímenes de guerra por atrocidades cometidas en el campo de batalla físico es un proceso largo y difícil que llevará años. A esta complejidad se suma el ciberespacio. Descubrir quién está detrás de un ciberataque es muy difícil, ya que fácilmente pueden lanzarlos otros por delegación.

«A veces se requieren años de investigación para saber realmente cómo se planeó un atentado, cómo se llevó a cabo, quién lo ordenó y qué individuos estaban detrás», dice Halopeau, que añade que, por lo general, se necesita información del mundo real para corroborar los rastros virtuales: si un gobierno ha estado involucrado, el nombre de las personas que han trabajado en un momento dado en un lugar determinado, fotografías, etc.

«Hay que combinar mucha información que no está disponible inmediatamente. Y esto, en el mejor de los casos, cuando se sabe más o menos que solamente hay un atacante», expresa Halopeau.

En la guerra de Ucrania, los Estados nación, pero también los grupos criminales y los individuos han realizado ciberataques. «Y entonces habrá que definir la responsabilidad de las personas que han participado y esto va a resultar muy complicado», predice Halopeau.

Halopeau cree que es posible que algunos ciberataques que hayan perjudicado a civiles —como el realizado contra el KA-SAT o los hackeos del control fronterizo entre Ucrania y Rumanía— puedan interesar a la Corte Penal Internacional (CPI), que ya ha iniciado una investigación sobre presuntos crímenes de guerra en Ucrania sobre el terreno. Hasta ahora, la CPI no ha investigado la guerra informática.

A pesar de los horrores, la guerra de Ucrania puede servir de lección sobre la necesidad de reforzar los procesos de rendición de cuentas en el ciberespacio, afirma Halopeau.

«Este es uno de los primeros conflictos en los que se utilizan ciberataques a esta escala. […] Así que creo que, en lo que respecta al derecho internacional humanitario, debe haber un debate para reconocer cómo puede ser utilizado el ciberespacio para dañar a las personas y prevenir comportamientos inadecuados», indica el jefe de tecnología y análisis cibernético de la ONG CyberPeace Institute con sede en Ginebra.

Editado por Imogen Foulkes

Traducido del inglés por Lupe Calvo