Per la Pau / Por la Paz

Léonie Van
Tongeren

Se dice que la próxima guerra tendrá lugar en el ciberespacio, pero ¿Qué es exactamente una ciberguerra? ¿Fue el ataque a Georgia al 2008 un acto de ciberguerra o un mero ataque convencional con elementos ofensivos cibernéticos? Son los virus como "Stuxnet" o "Flame", responsables de los problemas de funcionamiento en varias centrales nucleares en Irán, un acto de guerra? ¿Cuál es el umbral para declarar un ciberataque un acto de guerra? ¿Hasta qué punto el derecho humanitario actual es aplicable a un conflicto cibernético? Mientras que los estados reconocen que están muy poco preparados para las amenazas cibernéticas, los debates sobre los marcos reguladores que se tendrían que establecer para neutralizarlas rebelan posiciones contrastadas respecto a varias cuestiones.

Más allá de este desacuerdo terminológico y respecto a la calificación jurídica de estos fenómenos, las cuestiones de seguridad cibernética constituyen una de las áreas más polémicas en el ámbito de regulación de la Gobernanza Global de Internet. Están relacionadas con otras cuestiones como por ejemplo el derecho al acceso a Internet, el derecho a la privacidad o el derecho a la neutralidad a la red. Los debates más profundos sobre el modelo regulatorio más adecuado para Internet se ven proyectados así al campo de la seguridad cibernética. Teniendo en cuenta que la mayoría de los ataques provienen de actores no estatales y que aproximadamente el 80% de la infraestructura nacional más crítica se encuentra en manos del sector privado, parece que la cooperación entre estados y entes privados son la única respuesta viable. Pero, independientemente de cual sea la arquitectura institucional y la normativa internacionales que se establezca, el problema será como garantizar su cumplimiento.

La falta de consenso internacional sobre el tratamiento de los delitos y los conflictos en el ciberespacio tiene consecuencias muy tangibles. Permite que los delincuentes operen con impunidad, asumiendo muy pocos riesgos y de manera muy provechosa (con beneficios que superan los del comercio de marihuana, cocaína y heroína juntos), en un entorno anónimo que ofrece un número prácticamente ilimitado de víctimas potenciales.

Esto no quiere decir que la comunidad internacional se haya quedado de manos cruzadas ante esta nueva amenaza. En los últimos años, han surgido varias iniciativas internacionales con el objetivo de regular los delitos y los conflictos cibernéticos. Algunas de estas iniciativas están lideradas por estados o por organizaciones internacionales, como por ejemplo las principales conferencias sobre seguridad de la información, otras lo han estado por think-tanks. Ejemplos interesantes de esta clase alternativa de iniciativas reguladoras son la Ciber-40, una coalición de representantes del G20 y de los 20 países con más presencia al ciberespacio, o la Worldwide Cybersecurity Initiative, las dos creadas y dirigidas por el EastWest Institute. El secretario general de la Unión Internacional de las Telecomunicaciones (UIT), Hamadoun Toure, ha manifestado la necesidad de un tratado de paz para el ciberespacio, que estipule que los países deban proteger a sus ciudadanos en caso de un ciberataque y que les prohíba cobijar ciber-terroristas. No obstante, el desacuerdo sobre la utilidad de conceptualizar el conflicto cibernético como conflicto internacional y respecto a las estrategias de prevención y delimitación más efectivas hacen que hoy por hoy un acuerdo universal sea imposible de lograr.

Es a nivel regional donde parece, en consecuencia, que se puede progresar más rápidamente. La UE, por ejemplo, trabaja en una respuesta interinstitucional. El Centro Europeo contra los Delitos Cibernéticos entrará en funcionamiento a partir de enero de 2013 en la sede de la Europol y, en respuesta a la ya mencionada necesidad de establecer definiciones comunes, la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), el centro europeo para el intercambio de información en el ámbito de la seguridad de la información, dirige sus esfuerzos en la definición de estándares. Además, la UE elabora una directiva sobre la criminalización de los ataques cibernéticos y presiona a los estados para que ratifiquen la Convención de Budapest del Consejo de Europa (2004), que tiene por objeto crear una política común para hacer frente a los criminales cibernéticos. Sea cómo sea, los conflictos cibernéticos no entienden de fronteras y, pese a que todo progreso a nivel regional sea bienvenido, una aproximación meramente regional es insuficiente si no va acompañada del compromiso del resto de la comunidad internacional.

Pese a la clara y urgente necesidad de soluciones más eficaces no se puede esperar una respuesta rápida. Conviene recordar que no fue hasta 20 o 30 años después de la aparición del armamento nuclear que se establecieron sistemas de control sobre este tipo de armas. Mientras no se tomen medidas más contundentes a nivel internacional, las estrategias alternativas para establecer y reforzar la confianza en el ciberespacio son importantes. Aun cuando es poco probable que las condiciones para el establecimiento de un marco jurídico global para los conflictos entre estados y para la delincuencia electrónicas den en un futuro inmediato, cualquier medida que mejore la seguridad es ya un objetivo valioso por sí mismo.