por Richard Hill
La Guerra podría estar mutando
La naturaleza de la guerra está cambiando y acciones que actualmente no
son consideradas como “guerra” podrían convertirse en los principales medios a
través de los cuales la guerra se librará en el futuro.
(En Nicaragua, un grupo de ciberterroristas
de la ultraderecha extremista, pagados por la Fundación Nacional para la
Democracia (NED), brazo financiero de Washington, impulsó un guerra psicológica
desde las redes sociales, esquema que rápidamente se trasladó al plano real,
dejando como resultado más de 198 asesinatos y cientos de lesionados, secuestros
y grandes pérdidas económicas para el país centroamericano).
Existen diferentes definiciones del término “Guerra cibernética”, de las
cuales se derivan distintas comprensiones de sus consecuencias y las medidas
preventivas. En términos estrictos, se refiere a ataques masivos
organizados por un Estado, similares a una guerra convencional, pero también se
lo usa en forma más general. Asimismo, el concepto “guerra” se utiliza a
menudo figurativamente, como en guerra económica, guerra contra la droga o el
terrorismo. La Unión Interparlamentaria adoptó una resolución en 2015
titulada “Guerra cibernética: una amenaza
seria a la paz y la estabilidad global”; resolución que señala: “…la guerra
cibernética incluye, aunque no está necesariamente limitada a ellas,
operaciones contra computadoras o sistemas de computación a través de un flujo
de datos como medio y método de guerra, cuyo objetivo es recolectar
inteligencia con fines económicos, políticos o de desestabilización social o de
la que puede razonablemente esperarse que cause muerte, heridas, destrucción o
daño durante conflictos armados, aunque no exclusivamente en ellos”.
La ciberguerra
La ciberguerra podría reemplazar asesinatos en masa y bombardeos como la
vía preferida para forzar a un adversario a rendirse.
Es cada vez más evidente que la seguridad de los dispositivos de IoT (la
Internet de las Cosas, por sus siglas en inglés), es inadecuada, lo que podría
tener consecuencias catastróficas. Es más, a diferencia de las armas
físicas, las ciberarmas pueden ser replicadas esencialmente a costo nulo, por
lo que su producción y almacenamiento presentan peligros aún más grandes que en
el caso del armamento físico.
El incidente WannaCry puede ser considerado un preaviso de lo que viene:
un ciberataque con apoyo estatal contra la infraestructura de otro país (por
ejemplo la red eléctrica, el sistema de control de vuelos, los sistemas
informáticos de gobierno, etc.). Este tipo de ataque podría paralizar un Estado
del mismo modo que un bombardeo aéreo intensivo.
Con la creciente importancia de las tecnologías de información y
comunicación (TICs) y la creciente dependencia de casi todo respecto a ellas,
podríamos alcanzar un escenario en el cual la fuerza puede ser usada
efectivamente para destruir sistemas de TICs, alcanzando así el deseado
objetivo de forzar al adversario a rendirse sin tener que matar personas directamente
o bombardear instalaciones.
Esto es muy diferente del actual uso bélico de las TICs, que se destina
(1) para mejorar el rendimiento de sistemas de armas como artillería, misiles,
etc.; (2) para mejorar el rendimiento de sistemas de reconocimiento e
inteligencia como radares, satélites de vigilancia, etc.; y (3) para mejorar la
logística, por ejemplo en la optimización de rutas de transporte para soldados,
equipamiento, suministros, etc.
Y es diferente del desarrollo y despliegue
de “robots asesinos” o, por su nombre correcto, sistemas autónomos de armas
letales.
Convención Digital de Ginebra
Es necesario un Tratado, a través del cual los Estados acuerden –entre
otras cosas– no atacar la infraestructura digital civil en tiempos de paz, no
adquirir ni almacenar software malicioso e informar de inmediato a fabricantes
involucrados al identificar vulnerabilidades en software o hardware.
En mayo de 2017, Wikileaks publicó información sobre el uso por parte de
la Agencia Central de Inteligencia de los EEUU (CIA), de diversas herramientas
de hackeo y software malicioso. De acuerdo con esa información, las
herramientas en cuestión incluían malware que puede ser usado para infectar
varios dispositivos de la Internet de las Cosas, incluyendo equipos hogareños
de TV, que pueden ser utilizados para monitorear conversaciones cerca del
equipo, aun cuando el usuario cree que el aparato está apagado. Además,
capacidades similares pueden usarse para infectar smartphones y convertirlos en
dispositivos de monitoreo, aun cuando el usuario piensa que están apagados.
Peor todavía, de acuerdo a la información publicada por Wikileaks, la
CIA ha perdido el control sobre su arsenal de herramientas de hackeo, las que
ahora están a disposición de otras entidades, incluyendo posibles
ciber-criminales.
Más grave aún, estas herramientas están diseñadas para encubrir a quien
las usa, por lo que los ataques realizados con ellas no pueden ser rastreados
hasta su fuente. En vez de ello, se traspasa la aparente responsabilidad
a un tercero sin relación alguna, quien entonces es acusado de haber perpetrado
el ataque.
Más recientemente, el ataque WannaCry de mediados de mayo 2017 motivó a
Microsoft a renovar el llamado que hiciera pocos meses antes a una Convención
Digital en Ginebra.
Microsoft planteó tres propuestas específicas:
§ Cláusulas para un tratado vinculante
§ Un acuerdo entre compañías de alta tecnología
§ La creación de una organización dedicada a
atribuir responsabilidades por ciberataques, esto es, a determinar quién inició
el ciberataque.
Sin embargo, podríamos ir más allá de lo que propone Microsoft respecto
a cláusulas de un tratado y convocar a todos los Estados a acordar, en un
instrumento vinculante bajo el derecho internacional:
§ que Internet debe ser usada sólo para
propósitos pacíficos
§ que sea considerado como ciberataque ofensivo
toda forma de vigilancia y/o escucha del objetivo de vigilancia que no sea
necesaria, proporcionada y autorizada por las cortes nacionales.
§ no dirigir, llevar a cabo ni promover
ciberataques ofensivos, en particular aquellos dirigidos a particulares o
infraestructura crítica
§ limitar la investigación y capacidades sobre
ciberguerra, y las operaciones cibernéticas exclusivamente a mecanismos de
defensa que no incluyan contrataques
§ no producir, obtener o favorecer la
producción de herramientas y/o software malicioso que pueda ser usado para
ciberataques ofensivos
§ colaborar con todos los esfuerzos para
detectar, detener, buscar respuestas y recuperarse de ciberataques
§ reportar a los vendedores cualquier
vulnerabilidad descubierta
§ hacer seguimiento con los vendedores para
asegurar que las vulnerabilidades conocidas hayan sido reparadas
§ no almacenar, vender o explotar cualquier
vulnerabilidad conocida que pudiera ser usada para ciberataques ofensivos.
Este acuerdo vinculante debería también prohibir la vigilancia masiva.
Vigilancia masiva
La vigilancia de ciudadanos, salvo cuando sea ordenada individualmente
por un juez, viola los derechos humanos, no es efectiva y es una forma de
ataque cibernético.
Es bien conocido que muchos Estados, incluyendo Estados que se
consideran democráticos, han implementado la vigilancia masiva. En este
contexto, la “vigilancia masiva” es cualquier forma de vigilancia y/o escucha
del objeto de vigilancia que no sea necesaria, proporcionada y autorizada por
las cortes nacionales.
El objetivo declarado de dicha vigilancia es combatir lo que el Estado
en cuestión considera terrorismo. Pero dicha vigilancia no es y no puede
ser efectiva para contrarrestar actos individuales de violencia: ¿podría por
ejemplo prevenir atracos a los bancos?
Es urgente reconocer que las actuales formas de vigilancia masiva violan
el derecho humano a la privacidad y constituyen una forma de ciberataque.
El Relator Especial sobre privacidad del Consejo de Derechos Humanos de
la ONU ha convocado grupos de trabajo para discutir este asunto.