1. Introducción

La introducción de la tecnología en la sociedad ha demostrado tener un sinnúmero de ventajas, pero a su vez también ha probado tener otra gran cantidad de desventajas. Existen obstáculos que no permiten la adecuada utilización de los medios tecnológicos. Entre ellos se encuentran los hackers al momento de realizar transacciones económicas en línea, publicaciones de pornografía infantil, el cyberbullying y los conocidos trolls encargados de acosar e intimidar en ciertos escenarios a figuras políticas, principal, pero no únicamente. Sin embargo, la tecnología ha tenido un desarrollo exponencial en varios espacios y plataformas, de tal magnitud que hoy en día se puede hablar de las guerras cibernéticas. La presencia de las guerras cibernéticas es una realidad palpable que los Estados han aceptado como tal, por lo tanto, es imperativo prestar atención a estas guerras, pero sobre todo normarlas para poder regularlas. Es por esto que llevar a cabo una investigación sobre las guerras cibernéticas desde una perspectiva del DIH, en el marco de un conflicto armado inter­nacional (en adelante CAI), se vuelve necesaria. De esta manera se iniciará precisando el concepto de guerra cibernética; cuándo entra en aplicación el DIH y qué regulaciones contiene al respecto. Después, se evaluará si es que los principios del DIH son aplicables en el contexto de una guerra cibernética; y por último se analizará la atribución de responsabilidad de los autores de este tipo de guerras.

2. ¿Qué son las operaciones cibernéticas?

2.1 Denominaciones y definición

Debido al amplio espectro que comprende una plataforma tecnológica, no ha sido tarea fácil llegar a una definición de guerra cibernética que abarque todo lo que este concepto comprende, por parte de los expertos. Melzer ofre­ce una visión de guerra cibernética que es amparada por lo que establece el DIH. Como expone el citado autor, cyber warfare o guerra cibernética se refiere a la guerra realizada en el espacio cibernético a través de los métodos y medios que esta plataforma ofrece. Por ejemplo, la infección o virus que una parte beligerante del conflicto inserta en la red de computadoras de la base militar de su adversario, se constituye como un ataque cibernético¹. La definición de Melzer trae un primer concepto a colación y es que los actos encaminados a comenzar una guerra cibernética constituyen métodos o me­dios de guerra del DIH.

Otra forma de definir el presente tema es la propuesta por Eitan Diamond quien dice que el término cyber warfare describe las operaciones que son conducidas o relacionadas a un conflicto armado. Estas operaciones involucran el desarrollo y envío de un código de computadora hacia una o más computado­ras deseadas, con el objetivo de infiltrarse en su sistema para recolectar, expor­tar, extraer, destruir, cambiar, introducir nueva información, alterar, desen­cadenar o manipular procesos controlados por el sistema que fue infiltrado². Diamond expande la idea de guerra cibernética al usar varios verbos rectores, los cuales pretenden arrojar luz sobre los tipos de conducta que pueden cons­tituir un ataque cibernético dentro de la guerra.

Por otra parte, Schaap define las guerras cibernéticas con base en lo dispuesto por el Departamento de Defensa de los Estados Unidos. Esta entidad deter­mina esta modalidad de guerras como el uso de las suficiencias cibernéticas en donde el primer propósito es ejecutar objetivos militares o sus efectos en el ciberespacio o a través de él. También se definen los ataques de redes cibernéticas como las acciones llevadas a cabo mediante el uso de redes computa- cionales para alterar, restringir, degradar o destruir bien sea la información ubicada en computadoras o redes computacionales o bien la computadora, o la red en sí. Además, el autor postula en su definición de guerras cibernéticas, que dichos ataques sean perpetrados por un Estado en contra de otro³. En este sentido, nos estamos refiriendo a un conflicto armado internacional (CAI), ya que las partes son Estados. Vale recalcar que esta investigación se enfocará únicamente en este tipo de escenarios de conflictos armados.

De igual manera es esencial señalar que el Convenio sobre la Ciberdelincuencia celebrado en Budapest, tipifica en sus artículos 2-11 los delitos que pueden darse en esta esfera⁴. Estas normas prescriben delitos tales como acceso ilícito, ataques a la integridad de los datos y del sistema, abuso de los dispositivos, falsificación informática, fraude informático, entre otros. Cabe recalcar que estos delitos han sido descritos de manera amplia para poder enmarcar actos similares dentro del mismo tipo. El esfuerzo realizado por el Convenio sobre la Ciberdelincuencia es otro acercamiento para intentar abordar lo que puede constituir un ataque cibernético y las debidas diligencias que el Estado parte debe realizar.

Adicionalmente, Duggan y Parks mencionan un concepto muy relevante cuando hablamos de esta guerra tan particular. El hecho de que en toda guerra están presentes los ataques y contrataques, o mejor dicho, actos destinados a atacar y actos destinados a defender. Por tanto, no solo existen plataformas, virus o softwares con el propósito de ser dañinos, sino que, a su vez, se ha con­seguido crear programas que tengan una función exclusivamente protectora⁵. Esto, acompañado con la lectura del artículo 49 del Protocolo Adicional pri­mero a los Convenios de Ginebra⁶, podría significar incluso que los softwares que tengan el propósito de defenderse de un ataque, constituyen un acto de violencia, por lo que el DIH entraría en juego.

2.2 ¿Cuáles son los potenciales riesgos que se pueden ocasionar?

En el contexto de un conflicto armado, la guerra cibernética ha sido empleada como una herramienta conjunta. Es utilizada de esta manera porque puede proporcionar diferentes rutas para llegar a un objetivo específico que con los métodos de guerra tradicionales no sería posible. Además, las guerras ciberné­ticas sí pueden generar daños reales y concretos. Es decir, pueden expresarse no solo en daños en la realidad cibernética, sino también en la realidad mate­rial. Así, existirían daños que no siempre pueden ser anticipados por las partes beligerantes, dado su carácter inesperado. Es de suma importancia que el DIH trate tal asunto porque el DIH tiene como objeto brindar el mayor ámbito de protección posible a personas como a bienes, en contextos de conflictos armados. El Comité Internacional de la Cruz Roja (CICR en adelante) en noviembre de 2019, publicó un position paper que expone cuáles son sus pre­ocupaciones con respecto a los daños que pueden ocasionarse por un ataque cibernético⁷. El trabajo expone que si bien los ataques están en el entorno de un ciberespacio, las repercusiones pueden expresarse en una realidad tangible, concretamente en infraestructura civil, incluyendo infraestructura sanitaria. Este postulado no resulta descabellado puesto que existe una interconectividad innegable entre las redes computacionales de civiles y militares⁸. Una vez que el virus migra de red a red, es casi imposible retirarlo en vista de que la velocidad a la cual se reproduce resulta incalculable. Al causar una cierta cantidad de réplicas, el virus puede llegar a mutar o convertirse, ya que el receptor puede modificarlo para que cumpla con otro objetivo. En el caso de penetrar en una red o plataforma civil, pueden existir varios escenarios dañosos a la población civil, por ejemplo, ataques a bases de datos para extraer la información del sector financiero, cortar el suministro de agua de hospitales, interferir en la torre de control de un aeropuerto, obstruir la entrega de recursos de primera necesidad⁹. Por estas razones, no es correcto decir que los ataques cibernéticos toman lugar en el ciberespacio sin afectar la realidad tangible. Finalmente, los ataques cibernéticos pueden ser utilizados con el fin de generar terror en la sociedad y eso contribuye a debilitar al enemigo. Hay que recordar que el terrorismo es un método prohibido por el DIH, por lo que, si un ciberataque consiste exclusivamente en generar terror a una población, este sería un método de guerra prohibido¹⁰ y constituiría incluso un crimen de guerra. Es así, que no todos los ciberataques pueden ser justifi­cados bajo la regulación del DIH. Teniendo en cuenta lo dicho, se vuelve de suma importancia que los Estados regulen este tipo de ataques, para actuar dentro de tanta incertidumbre. Resulta pertinente revisar algunos ejemplos para evidenciar lo antedicho.

2.3 Casos reales

Se tomarán dos casos calificados como guerras cibernéticas, ocurridos en el marco de un conflicto armado internacional¹¹, y un tercer caso de ataque cibernético, que, si bien no tiene como contexto un conflicto armado, tiene como propósito ilustrar de manera clara los efectos tangibles de un ataque de este tipo. El primer caso tuvo lugar en Kosovo en 1999¹².

2.3.1. Kosovo 1999

Para comprender el conflicto armado en Kosovo hay que mencionar un ante­cedente histórico muy importante. Kosovo era una ciudad ubicada en el sur de Serbia cuya población estaba compuesta mayoritariamente por un grupo étnico albanés. Gozaban de mucha autonomía de gobierno hasta que en 1989 el presidente serbio les quitó su autonomía y los puso bajo el régimen de Bel­grado, la capital¹³. El conflicto armado comienza en 1998 cuando se enfrenta­ron militares serbios contra el grupo mayoritario albanés de Kosovo, causando alrededor de 1,500 muertes y la emigración de 400,000 personas. Un año des­pués, el conflicto armado seguía existiendo, por lo que la OTAN planeó una intervención para bombardear Serbia. Se dice que varios grupos de hackers pro serbios y anti OTAN como The Black Hand intervinieron en el sistema de software de la OTAN para impedir las operaciones que tenía planeado este organismo. Por otro lado, las fuerzas estadounidenses hackearon el sistema de las fuerzas aéreas serbias para facilitar un ataque aéreo que se había planeado¹⁴.

2.3.2. La guerra Rusia - Georgia agosto 2008

Las tensiones entre Georgia y Rusia, dan comienzo en el 2008, dado que un grupo separatista de Osetia del Sur decidió atacar a Georgia¹⁵. Tras esta in­tervención, la estrategia militar rusa tomó otro rumbo. En vez de seguir con los tradicionales ataques terrestres, escogieron instaurar una agresiva campaña electrónica contra el gobierno de Georgia. Los objetivos fueron las páginas web estatales, páginas de las instituciones financieras y educativas, incluidas las páginas de las embajadas de los Estados Unidos y de Inglaterra. Por otro lado, el gobierno de Putin decidió atacar a medios de comunicación como la BBC y CNN, por tener información sobre el conflicto muy valorada. Uno de los puntos clave, fue la lesión en la moral nacional de Georgia: fueron incapaces de mantener sus redes informáticas funcionando correctamente, lo que llevó a debilitarse frente a su enemigo. Este caso es muy emblemático ya que fue uno de los primeros donde se pudo evidenciar un manejo exitoso de la tecnología, con sus respectivas ventajas militares. A su vez, se ha convertido en un estándar para poder medir las implicaciones negativas que la cibernética puede traer a la población civil, a pesar de que en este caso no hubo daños tangibles a civiles o a infraestructura tecnológica civil¹⁶.

2.3.3. Ataques cibernéticos contra las instalaciones nucleares de Irán, de 2009 a 2010

En 2009, el presidente Barack Obama, dentro de las tensiones entre Estados Unidos e Irán, decidió continuar con los ataques cibernéticos hacia las insta­laciones nucleares en Irán, teniendo como antecedente las tensiones entre las dos naciones¹⁷ las cuales se habían iniciado durante el período anterior con el ex presidente Bush¹⁸. Los ataques consistían en la infiltración de un cyber worm llamado Stuxnet, el cual operó en las instalaciones nucleares de Nantanz en Irán (que se encontraba violentando el tratado de no proliferación de ar­mas nucleares de 1970). Stuxnet es un arma cuyo objetivo consiste en atacar y deshabilitar los centrífugos nucleares necesarios para la producción de armas. Así, se desaceleró el proceso de creación de armas nucleares de Irán. Stuxnet era capaz de falsificar la información para así camuflarse a través de un control lógico programable¹⁹. El cyber worm era tan efectivo, que era capaz de ocultar el daño causado hasta la etapa final del proceso y recién ahí se manifestaba, con lo que se podía registrar el daño. El gobierno iraní confirmó que gran cantidad de su material en proceso de formación resultó dañado y que no sería tarea fácil recuperarse de los perjuicios, estimando un período de meses o años para poder reivindicar el material perjudicado.

Después de revisar estos casos desarrollados en múltiples escenarios, se puede tener una noción más clara acerca de ¿en qué consiste un ataque cibernético? y ¿cómo operan en el contexto de un conflicto armado? Es posible identificar cómo estos ataques podrían representar un riesgo para la población civil en caso de que se asalten plataformas que proveen recursos y suministros esencia­les para servicios básicos. Por tanto, es necesario ahondar cómo interactúa el DIH con este nuevo método de conflicto.

2.4 ¿Cuándo entra en juego el DIH en operaciones cibernéticas?

EL DIH interviene en la medida en que una guerra cibernética se lleve a cabo dentro del marco de un conflicto armado internacional o no internacional. El desarrollo de las hostilidades es normado por el DIH:

La finalidad del Derecho Internacional Humanitario es solucionar los problemas de índole humanitario derivados de los conflictos armados, limitando el derecho de las partes implicadas a elegir los medios y los métodos de hacer la guerra y protegiendo a las personas y a los bienes que pudieran verse afectados por ellos²⁰.

Sin embargo, los métodos y medios de guerra a los que se hace alusión son los tradicionales. En cambio, los métodos de guerra a los que se refiere esta investigación tienen elementos de otra índole. Como hemos visto, gozan de particularidades tales como el anonimato de quien produce el ataque, el uso de tecnología avanzada, la rapidez y amplitud de la difusión de sus efectos e incluso el hecho de que el ataque pueda ser realizado desde cualquier lugar, lo que significa que las partes no necesitan un contacto directo o cercano. Dia­mond comenta que en su primera instancia, el DIH no tenía manera de saber cómo evolucionaría la dinámica de un conflicto armado en el futuro, pero el Protocolo Adicional primero a los Convenios de Ginebra, en su artículo 36, confirma que no sería necesario revisar o recodificar los postulados del DIH, porque los Estados tienen la obligación de adecuar cualquier nueva arma o método de guerra a los principios, prohibiciones y normas del DIH²¹:

Artículo 36 - Armas nuevas

Cuando una Alta Parte contratante estudie, desarrolle, adquiera o adopte una nue­va arma, o nuevos medios o métodos de guerra, tendrá la obligación de determinar si su empleo, en ciertas condiciones o en todas las circunstancias, estaría prohibido por el presente Protocolo o por cualquier otra norma de derecho internacional aplicable a esa Alta Parte contratante²².

Siguiendo con el argumento de Diamond, él considera que si bien el artículo 36 es un gran paso hacia adelante para poder cubrir el campo de la guerra ci­bernética y sus implicaciones, existen varios obstáculos cuando se habla de la efectiva aplicación de esta normativa. Como bien menciona Diamond, los he­chos deben subsumirse en la ley, de forma que si estos no son del todo claros, difícilmente podría hablarse de una correcta aplicación legal²³. El autor indica que el acceso a la información necesaria para poder hacer este ejercicio en el caso de las guerras cibernéticas, normalmente se enfrenta a las siguientes di­ficultades: es poco común que los Estados develen la tecnología que emplean para el desarrollo de sus ataques; la identidad de las partes que conducen los ataques muchas veces es muy difícil de rastrear; y el progreso de las políticas y guías aplicables a las guerras cibernéticas no alcanzan el ritmo al cual estas tecnologías se desarrollan²⁴.

Por otro lado, cuando las reglas del DIH se queden cortas, es viable aplicar la cláusula martens. Dicha cláusula constituye una norma abierta, no precisa qué es exactamente, sin embargo existen varias interpretaciones sobre su alcance y aplicación. Pese a las discrepancias, en la doctrina la interpretación más amplia comprende que cuando la protección no esté regulada por el DIH, se queda protegido por el derecho de gentes o por la costumbre²⁵. En este sentido, el vacío normativo que puede dejar una guerra cibernética, puede ser solventado por la cláusula martens.

2.5 . Normativa supletoria

Subsidiariamente a las reglas del DIH, está el Convenio sobre la ciberdelincuencia, el cual se mencionó previamente. Este fue negociado por el Consejo de Europa con la aclaración de que cualquier Estado fuera de esta región puede formar parte si así lo quisiera. El artículo 39 de dicho convenio estipula que su objeto es “completar los tratados o acuerdos multilaterales o bilaterales aplicables entre las Partes”²⁶. Así es como el referido Convenio busca reforzar Tratados previamente adoptados por los Estados Partes del Consejo de Europa. También busca que los Estados fortifiquen de manera interna su normativa penal, incluyendo las disposiciones relativas a las guerras cibernéticas²⁷.

Además de las normas que hemos revisado, no se puede dejar de mencio­nar como una fuente doctrinaria The Tallin Manual on the Interational Law Applicable to Cyber Warfare. Este fue preparado por un grupo internacional de expertos por invitación de The NATO Cooperative Cyber Defence Centre of Excellence (NATO CCD COE), organización militar con base en Tullin, Estonia, acreditada por la OTAN como un centro de excelencia. En 2009, este centro se reunió con el grupo de expertos con el propósito de juntar en un solo documento la normativa que regula la guerra cibernética. Para poder llevar a cabo este proyecto, se tomaron como modelo otras iniciativas simi­lares, por ejemplo, las realizadas por el Instituto de Derecho Internacional Humanitario, San Remo Manual on International Law Applicable to Armed Conflicts at Sea²⁸. Este grupo de expertos comenta que este esfuerzo resultó de gran necesidad debido a la relevancia que ha cobrado este distintivo método de guerra desde 1990.

En este sentido es relevante explorar cómo define este instrumento las guerras cibernéticas en el marco de un CAI o CANI. De esta manera, establece que las guerras cibernéticas son ataques hacia computadoras o sistemas computacionales por medio de flujos de datos, lo que constituirá un método de guerra. Es una definición muy parecida a la que ya habíamos mencionado previamente. Adicionalmente, la regla 30 del Tallin Manual prescribe que un ataque ciber­nético es una operación cibernética. Esta puede tener un carácter tanto defen­sivo como ofensivo, por lo que se espera razonablemente que el ataque cause perjuicio o muerte a personas, o daño y destrucción a objetos²⁹. Por lo tanto, se llega a la conclusión de que las definiciones que el Tallin Manual aporta son completas. Estas se asemejan a las que se presentaron anteriormente. Lo que busca esta obra doctrinaria es desglosar las guerras cibernéticas en el marco de un conflicto armado con el propósito de analizar cada una de sus aristas por separado, y brindar claridad sobre la información que se tiene sobre cada subtema. Por ejemplo, este cuerpo va desde tener todo un glosario lleno de términos, hasta establecer qué ocurre en un conflicto armado, la responsabilidad de los agentes que producen estos ataques, los daños a las personas y bienes protegidos por el DIH.

Una vez analizada la normativa complementaria al DIH, se vuelve procedente revisar y analizar algunos principios de este derecho.

3. ¿Qué principios entran en discusión y por qué?

Aun teniendo lagunas importantes en materia de las guerras cibernéticas, por la falta de regulación en este tema, los principios rectores del DIH toman un rol importante en este aspecto, ya que constituyen directrices en el campo de la cibernética.

3.1 Principio de distinción

No siempre es claro cómo se pueden respetar los principios del DIH, sobre todo unos más que otros, así como el principio de distinción. Este constituye uno de los vectores del DIH, y trata de distinguir tanto entre combatientes y no combatientes, como entre objetivos militares y civiles. De esta forma, se delimita a dónde pueden ser dirigidos los actos de guerra. Bajo este principio se establece que ciertas personas como ciertos bienes, no puedan ser objetivos militares. Los que no participen directamente en las hostilidades, como los que no pertenezcan a una de las partes del conflicto, no pueden ser atacados, así como tampoco pueden serlo los heridos, los prisioneros de guerra o aquellos que hayan dejado las armas. Además, de los civiles, hay otros protegidos por el DIH, como los religiosos y el personal sanitario, así como otras personas que gozan de protecciones especiales³⁰. Cumplir con el principio de distinción, requiere de un nivel de direccionamiento muy específico de los ataques por parte de las partes beligerantes. Según Schreier, hay cuatro reglas que se des­prenden de este principio. La primera consiste en que los ataques pueden ser solo contra objetivos militares, como consta en el Protocolo Adicional I de los Convenios de Ginebra³¹. La segunda, prohíbe los ataques indiscriminados. En este mismo Protocolo, más específicamente en su artículo 51 numeral cuarto, los ataques indiscriminados son:

• los que no están dirigidos contra un objetivo militar concreto;

• los que emplean métodos o medios de combate que no pueden dirigirse con­tra un objetivo militar concreto; o

• los que emplean métodos o medios de combate cuyos efectos no sea posible limitar conforme a lo exigido por el presente Protocolo; y que, en consecuen­cia, en cualquiera de tales casos, pueden alcanzar indistintamente a objetivos militares y a personas civiles o a bienes de carácter civil³².

Continuando con Schreier, la tercera regla versa sobre la necesidad de minimizar los daños colaterales civiles y que estos no sean desproporcionados con respecto a la ventaja militar obtenida. La última, trata sobre la necesidad de tomar las precauciones necesarias para asegurar que lo anterior se cumpla³³. Ahora, tal como indica Pascucci, la naturaleza misma de los ciberataques no permite que este principio siempre sea satisfecho.

Nos encontramos frente a varios problemas. Uno de ellos es que la protección a civiles no podrá ser siempre la adecuada, puesto que los efectos de un ciberataque pueden llegar a los sistemas civiles, al tener un carácter impredecible e incontrolable³⁴. A modo de ilustración, Distein compara un ciberataque con armas biológicas: así como los virus bacteriológicos pueden contagiar no solo a las partes del conflicto sino también a personas protegidas, los virus de com­putadoras pueden expandirse hasta sistemas civiles. El Comité Internacional de la Cruz Roja, mira con preocupación a los ataques cibernéticos, porque estos podrían no cumplir con el principio de distinción:

Cuando los ordenadores o las redes de un Estado son objeto de un ataque, una infiltración o un bloqueo, la población civil puede verse privada de servicios bási­cos como el abastecimiento en agua potable, la asistencia sanitaria y el suministro eléctrico. En caso de paralización de los sistemas de posicionamiento global por satélite (GPS), es posible que haya víctimas civiles, por ejemplo, si se interrump­en las operaciones de vuelo de los helicópteros de rescate que prestan servicios vitales. Las presas, las centrales nucleares y los sistemas de control aéreo también son vulnerables en caso de ataque cibernético, a causa de su dependencia de los ordenadores³⁵.

El principio de distinción prohíbe también los ataques indiscriminados, es decir, ataques que no apuntan a un objetivo militar específico, concreto. Sin embargo, los ataques a las redes informáticas, sí pueden constituir ataques indiscriminados, dada la interconectividad de las computadoras. Además, el protocolo adicional I, califica de indiscriminado un ataque que trate como un objetivo militar a varios objetivos militares precisos y separados, situados en una zona de habitación civil o bienes civiles³⁶. Por lo anterior, es difícil que los ciberataques cumplan con el principio de distinción, pues no siempre están dirigidos contra un objetivo militar concreto, ni tampoco podrían dirigirse contra ellos, puesto que sus efectos no son previsibles y con mayor razón tam­poco controlables. De esta manera, se incumplirían los requisitos del artículo 51 ya citado, que establece los ataques que son considerados indiscriminados. Como hemos visto, el principio de distinción no siempre puede ser satisfecho en las guerras cibernéticas, por lo que el daño colateral que se da en civiles, existe.

3.2 Principio de proporcionalidad

Con esto último, entra en juego el principio de proporcionalidad. Este principio dispone que los daños colaterales a civiles que resulten de algún ataque dentro del marco de un conflicto armado, no pueden ser excesivos en com­paración con la ventaja militar directa y concreta que se pueda obtener del ataque, es decir, la ventaja militar debe ser superior a los daños incidentales. Como apunta Dinstein, el principio de proporcionalidad descansa en la pre­visión del daño colateral y en la expectativa de la ventaja militar, es decir, concluye en la obligación de un análisis previo al ataque. En el caso de que un ataque produzca daños excesivos inesperados e imprevistos, el ataque no sería considerado como una violación al principio de proporcionalidad. Además, la ventaja militar debe ser concreta y directa, y -siguiendo con Dinstein- esto significa que se debe evaluar cada uno de los elementos, por más aislados que sean, con respecto a la ventaja militar. En la cibernética el ataque se da en contra de una serie de computadoras, pero solo tomando a todas las compu­tadoras como un conjunto, se podría realmente identificar la ventaja que esto traería³⁷.

Por otro lado, Pascucci trae a colación el problema de definir los efectos indirectos o bien los efectos rebote que puede traer consigo una guerra cibernética. Este tipo de efectos se da debido a la interconectividad de las computadoras y de los sistemas en el ciberespacio. Citando el Manual de Tallin, este autor dictamina que estos efectos indirectos comprenden las consecuencias demo­radas o desplazadas de la acción. No obstante, no resulta claro cuantos niveles de este efecto cascada deberían ser tomados en cuenta como daño colateral para así proceder con el análisis de proporcionalidad. No solo eso, sino que tampoco es evidente el nivel de detalle y precisión necesarios para determinar estos rubros. Por otra parte, es importante anotar que los datos que guardan las computadoras pueden variar tremendamente en cuestión de minutos, por lo que prever cuál sería el daño colateral causado a un determinado sistema cibernético, no siempre puede ser acertado. Es decir, si un ataque dentro de un conflicto es planeado en contra de cierto objetivo militar, muy probablemen­te, a la hora que efectivamente se de dicho ataque, el objetivo militar podría haber cambiado drásticamente. Es por esto que el análisis de un daño colateral excesivo se vuelve proporcionalmente más complejo³⁸. Si bien es cierto que los objetivos militares tradicionales también son cambiantes, la magnitud y la rapidez con la que pueden cambiar los objetivos cibernéticos es la que marca una diferencia significativa entre unos y otros.

3.3 . ¿Participación directa?

Se analizará primero qué acciones consisten en participación directa y cuáles no. Aquí nos preguntamos: ¿construir un malware constituye una participa­ción directa? La importancia de discutir esto reside en que los civiles que par­ticipen directamente en las hostilidades se convierten en objetivos militares, por lo tanto, pueden ser atacados y pierden su protección, como consta en el Protocolo Adicional I³⁹ .

Melzer, a través de ciertos estándares, nos aclara qué actos implican una participación directa de los civiles en las hostilidades. La participación directa tiene como base tres estándares, que son: el umbral de daño; la causalidad directa, y por último el nexo beligerante. Para que se considere como directa una par­ticipación, debe haber dentro del umbral de daño, probabilidades de que el acto tenga efectos adversos en las operaciones militares o sobre la capacidad militar de la parte adversa, o bien, que cause muertes, heridas o destrucción de personas o bienes protegidos contra los ataques directos. Analizando la causalidad directa, Melzer establece que debe existir un vínculo causal directo entre el acto y el daño. Por último, sobre el nexo beligerante, se busca que el propósito específico del acto cause directamente el umbral de daño exigido⁴⁰. Hay otros autores, como Rodríguez-Villasante, citado por Reguera, que opi­nan que la participación tiene que ver con la preparación del ataque, desde que comienza hasta que termina la participación activa. Reguera, en cuanto a los ciberataques, afirma lo siguiente:

De la misma manera puede ocurrir con los ciberataques. Así, por ejemplo, un hacker podría preparar un virus para ser introducido en el sistema informático que controla los procesos de una planta de depuración de aguas y que, al cabo de unos días, provoque muertos por envenenamiento entre la población. El inicio de la participación directa lo definiría el momento en que empieza a diseñar el virus informático, sin embargo el final no queda claro. Se podría decir que acaba cuando lanza el virus, aunque los efectos se manifiesten después. Cabe también preguntarse si se le podría atacar, en el momento de conocer los efectos, aunque haya pasado ya un tiempo⁴¹ .

Reguera, basándose en Rodríguez-Villasante, opina que la participación directa dentro de una guerra cibernética ocurre desde el momento de la preparación hasta cuando se termina el acto. Sin embargo, sigue la duda de si toda preparación debería contarse como una participación directa. Finalmente, el Tallin Manual, nos da una dirección más clara. En la regla 35, sobre la participación directa en las hostilidades por los civiles, numeral 4, se toman los tres criterios de Melzer para calificar la participación e incluye un ejemplo: en cuanto al umbral de daño, habría una participación directa en caso de un ciberataque que interrumpa las órdenes del enemigo y el control de su red. En la causalidad directa, hablaríamos de que la interrupción de las órdenes del enemigo como el control de su red, hayan sido causa directa de dicho ataque. Se cumpliría con el nexo beligerante si es que el sistema fue utilizado para dirigir las operaciones militares. También se advierte, dentro del Manual, que existieron diferencias de opiniones en cuanto a la aplicación de los criterios para acciones muy particulares⁴².

4. ¿Cómo se atribuye la responsabilidad en ataques cibernéticos?

4.1 Anonimato

Hablar de responsabilidad en el marco de guerras cibernéticas, no resulta una labor fácil de determinar, pues es bien sabido que una de las características del espacio cibernético, es el anonimato. Efectivamente, exigir responsabilidades no siempre es posible dado que los actores en el mundo electrónico pueden no ser identificables, pueden ser varios y no todos se encuentran en un mismo lugar. Esto hace que imputar responsabilidad sea una tarea complicada. Iden­tificar la fuente o servidor en donde se originó un ciberataque, es dificultoso. Además, pasar de ahí a identificar los autores reales de dicho ataque, es aún más complejo, pues no siempre el responsable del ciberataque será el que está detrás de dicho servidor. También, en el caso de que se lograra rastrear una dirección IP u obtener algún indicio que lleve a alguna posible identidad, esta no siempre podría dar con el autor material. Esto último, por el hecho de que los dispositivos mutan con una rapidez y una facilidad exponencial que pue­den dirigir la búsqueda a un sinfín de ubicaciones, ya que el hecho de rastrear los servidores puede ser también hackeado. Otra de las complicaciones es el llamado “ordenador zombi”, mediante el cual una tercera persona tiene el ma­nejo de otro ordenador, sin que el dueño del ordenador tenga conocimiento de lo sucedido⁴³. El resultado de esto es que muchas veces se deja en la impunidad las violaciones al derecho internacional humanitario ocurridas en el campo cibernético. Ahora, si es que la normativa llegara al nivel de desarrollo en el que no sea posible la impunidad, probablemente las partes beligerantes harían todo lo posible y necesario para cumplir con la normativa y principios analizados con anterioridad.

5. Conclusión

Para concluir, las guerras cibernéticas se desarrollan en el ciberespacio, lo que podría para algunos llegar a ser un concepto abstracto. Sin embargo, las guerras cibernéticas sí pueden llegar a tener repercusiones en la realidad tangible. De hecho, la historia nos muestra que esto efectivamente ocurre, ocasionando graves daños materiales. Vale la pena mencionar que estos ataques resultan re­levantes para el DIH siempre que se den en el marco de un conflicto armado. No obstante, la regulación de las guerras cibernéticas resulta un desafío puesto que la rapidez con la que se desarrollan los medios tecnológicos es exponencial frente al paso con el que las regulaciones pueden ser modificadas y más que nada adecuadas a las nuevas realidades. Por esta misma razón, la aplicación de los principios del Derecho Internacional Humanitario en las guerras ciberné­ticas se convierte en un reto. Este es un tema que sin duda es relevante, no está completamente explotado y existen muchas aristas por analizar. Además, esta investigación debe ser hecha por los Estados en conjunto con especialistas de la cibernética. Sin duda, se necesitan soluciones para encontrar mecanismos de aplicación en esta modalidad de guerras, para que estos puedan cumplir con el objetivo del derecho internacional humanitario, que es dar el mayor ámbito de protección posible a los civiles y en general a aquellas personasy objetos protegidos por este derecho.

Notas

Información adicional

Citación: Manotas Valdés, M.C., Burgaentzle Jarrín, I. «Las Guerras Cibernéticas en el Derecho Internacio­nal Humanitario: Aplicación de los Principios Rectores del Derecho Internacional Humanitario». USFQ Law Review, Vol 8, no 1, mayo de 2021, pp. 71-86, doi: 10.18272/ulr.v8i1.2162