El Derecho Internacional Humanitario impone algunos límites, pero además el Comité Internacional de la Cruz Roja (CICR) se ha esforzado por hacer un llamado a los estados para que tomen posición al respecto. En este blog le explico cuáles son y qué dicen las normas internacionales sobre las ciberoperaciones.
Las reglas de Derecho Internacional Humanitario (DIH) aplican de la misma manera para las guerras físicas como para las ciberoperaciones o ciberguerras en medio de un conflicto armado. Pero, eso no quiere decir que existan para legitimar los conflictos armados.
Lo que sí hacen es limitar el daño a la población civil que las ciberoperaciones podrían ocasionar. Por ejemplo, el Derecho Internacional Humanitario (DIH) es una autoridad máxima, un conjunto de normas para limitar los efectos de los conflictos armados.
Otro documento que establece el uso de la fuerza cibernética o cinética, por parte de los Estados, es la Carta de las Naciones Unidas. Además, el Comité Internacional de la Cruz Roja (CICR) ha publicado diversos artículos y una guía interpretativa sobre el uso de las operaciones cibernéticas en medio de una guerra.
Pero básicamente todos están alienados al DIH. En este blog le cuento qué es lo que especifica este último frente a las ciberoperaciones.
¿Qué dicen los tratados vigentes para regular ciberoperaciones en guerras?
Los documentos como los tratados de DIH y el derecho consuetudinario, según el CICR, cuentan con diversas disposiciones respecto a los límites de una guerra común. Por ende, algunas organizaciones no gubernamentales señalan que estas mismas rigen para las ciberoperaciones, en virtud del derecho vigente.
Cuando se habla del ciberespacio, dentro de las normas para la conducción de las hostilidades se incluyen, por ejemplo, los principios de distinción, proporcionalidad y precauciones que se deben tomar.
Estos son los objetivos y los principios que limitan la guerra en el ciberespacio, recopilados, por el CICR que se basan en el DIH:
-
Su principal objetivo es el de proteger a la población civil contra los efectos de las hostilidades.
-
Están basados en el principio esencial de distinción: esto quiere decir que se les “exige a los beligerantes diferenciar, en todo momento, entre población civil y combatientes, y entre bienes de carácter civil y objetivos militares, así como dirigir sus operaciones únicamente contra estos últimos”.
-
Estos principios prohíben las capacidades cibernéticas consideradas como armas y que sus efectos sean indiscriminados.
-
Prohíben los ataques contra civiles y los bienes de carácter civil, incluso en los casos en los que se utilicen medios o métodos cibernéticos de guerra.
-
Están prohibidos los actos o amenazas de violencia con la finalidad de aterrorizar a la población civil, incluso cuando se realizan por medios o métodos cibernéticos de guerra.
-
Los ataques indiscriminados están prohibidos. Estos son aquellos que están dirigidos contra objetivos militares y personas civiles o bienes de carácter civil, pero sin distinción, incluso cuando se utilizan medios o métodos cibernéticos de guerra.
-
Los ataques desproporcionados también están prohibidos. Aquí se incluyen los casos en que se usen medios o métodos cibernéticos de guerra. Un ataque desproporcionado se da cuando se causa muertos y heridos entre la población civil o daños a bienes de carácter civil, de manera incidental. Y se consideran como actos excesivos frente a la ventaja militar concreta y directa prevista.
-
Ante toda costa, durante las operaciones militares, incluso cuando se usan medios y métodos de guerra cibernéticos, se debe resguardar a los civiles y los bienes de carácter civil. Los actores cibernéticos deben tomar todas las precauciones para evitar o reducir, a un mínimo, los daños civiles que puedan causar incidentalmente los ataques cibernéticos.
-
Está prohibido también atacar, destruir, sustraer o inutilizar los bienes indispensables para la supervivencia de la población civil, incluso por medios y métodos cibernéticos de guerra. El deber es el proteger y respetar los servicios médicos, incluso dentro la ejecución de ciberoperaciones durante conflictos armados.
-
Se deben tomar todas las precauciones factibles para proteger a la población civil y los bienes de carácter civil de los efectos de los ataques realizados con medios y métodos cibernéticos de guerra.
Lea también: Cyberwars 1: Las reglas de la guerra en el ciberespacio para los hackers civiles
¿Pueden juzgarme si participo en una ciberoperación en una guerra?
Uno de los factores más difíciles es establecer y garantizar, por las partes involucradas en un conflicto, que haya un grado de daño cero a los civiles, ya que puede ser técnicamente complicado y requiere de una planeación exhaustiva en el diseño de las operaciones, según el CICR.
En apariencia, muchos ciberataques recientes denunciados públicamente han sido bastante discriminados. Lo que quiere decir que se diseñaron y usaron para atacar y dañar determinados bienes sin expandirse u ocasionar daños indiscriminados.
Sin embargo, se sabe que se han diseñado herramientas cibernéticas que pueden autopropagarse y afectar indiscriminadamente sistemas informáticos de uso general.
“Esta situación no es producto del azar: la posibilidad de autopropagación debe incluirse deliberadamente en el diseño de esas herramientas”, señala el CICR.
Un punto interesante es que estas disposiciones señalan que un Estado es responsable de los comportamientos atribuibles a él, como las violaciones del DIH. Dentro de los responsables podrían estar: los órganos estatales como fuerzas armadas o servicios de inteligencia y los hackers civiles que participen en una ciberoperación de guerra.
Por lo tanto, los civiles y hackers civiles podrían ser juzgados por su participación en caso de haber ido en contra de estos principios, reglas y límites que se le imponen a los conflictos armados. Esto pues, los civiles están protegidos contra los ataques a menos de que participen directamente en las hostilidades.
Así está estipulado en el el artículo 51(3) del Protocolo adicional I y en el artículo 13(3) del Protocolo adicional II, del protocolo de Ginebra de 1949. Ahora, no todas las formas de participación civil en una guerra, de acuerdo al protocolo, están calificadas como participación directa en las hostilidades.
Vale la pena recordar que para que exista participación directa en las hostilidades se debe cumplir con tres condiciones acumulativas. Esto según la guía interpretativa del CICR, las cuales son:
-
El acto debe tener la probabilidad de afectar negativamente las operaciones militares o la capacidad militar de una parte en un conflicto armado o, alternativamente, infligir muerte, lesiones o destrucción a personas u objetos protegidos contra ataques directos (conocido como criterio del umbral de daño).
-
Debe existir un vínculo causal directo entre el acto y el daño que probablemente resulte de ese acto o de una operación militar coordinada de la cual ese acto constituye una parte integral (conocido como criterio de causalidad directa).
-
El acto debe estar diseñado específicamente para causar directamente el umbral requerido de daño en apoyo de una parte en el conflicto y en detrimento de otra (conocido como criterio del nexo beligerante).
Finalmente, es importante entender que la interpretación que hacen los Estados de las normas vigentes del DIH también puede determinar, de acuerdo con el CICR, en qué medida protege de los efectos de las ciberoperaciones.
Lea también: Cyberwars 3: ¿Qué es un ciberataque en una guerra según Francia, Alemania y Reino Unido?
Fuentes consultadas:
Lawfaremedia, Comentario del Comité Internacional de la Cruz Roja.
Protocolo de Ginebra de 1949, Protocolo adicional I y Protocolo adicional II
Contenido relacionado
Cyberwars 1: Las reglas de la guerra en el ciberespacio para los hackers civiles
Cyberwars 3: ¿Qué es un ciberataque en una guerra según Francia, Alemania y Reino Unido?
Cyberwars 4: ejemplos reales de ciberoperaciones que debe conocer