Por Richard Hill

La Guerra podría estar mutando

La naturaleza de la guerra está cambiando y acciones que actualmente no son consideradas como “guerra” podrían convertirse en los principales medios a través de los cuales la guerra se librará en el futuro.

Existen diferentes definiciones del término “Guerra cibernética”, de las cuales se derivan distintas comprensiones de sus consecuencias y las medidas preventivas.  En términos estrictos, se refiere a ataques masivos organizados por un Estado, similares a una guerra convencional, pero también se lo usa en forma más general.  Asimismo, el concepto “guerra” se utiliza a menudo figurativamente, como en guerra económica, guerra contra la droga o el terrorismo.  La Unión Interparlamentaria adoptó una resolución en 2015 titulada “Guerra cibernética: una amenaza seria a la paz y la estabilidad global”; resolución que señala: “…la guerra cibernética incluye, aunque no está necesariamente limitada a ellas, operaciones contra computadoras o sistemas de computación a través de un flujo de datos como medio y método de guerra, cuyo objetivo es recolectar inteligencia con fines económicos, políticos o de desestabilización social o de la que puede razonablemente esperarse que cause muerte, heridas, destrucción o daño durante conflictos armados, aunque no exclusivamente en ellos”.

La ciberguerra

La ciberguerra podría reemplazar asesinatos en masa y bombardeos como la vía preferida para forzar a un adversario a rendirse.

Es cada vez más evidente que la seguridad de los dispositivos de IoT (la Internet de las Cosas, por sus siglas en inglés), es inadecuada, lo que podría tener consecuencias catastróficas.  Es más, a diferencia de las armas físicas, las ciberarmas pueden ser replicadas esencialmente a costo nulo, por lo que su producción y almacenamiento presentan peligros aún más grandes que en el caso del armamento físico.

El incidente WannaCry puede ser considerado un preaviso de lo que viene: un ciberataque con apoyo estatal contra la infraestructura de otro país (por ejemplo la red eléctrica, el sistema de control de vuelos, los sistemas informáticos de gobierno, etc.). Este tipo de ataque podría paralizar un Estado del mismo modo que un bombardeo aéreo intensivo.

Con la creciente importancia de las tecnologías de información y comunicación (TICs) y la creciente dependencia de casi todo respecto a ellas, podríamos alcanzar un escenario en el cual la fuerza puede ser usada efectivamente para destruir sistemas de TICs, alcanzando así el deseado objetivo de forzar al adversario a rendirse sin tener que matar personas directamente o bombardear instalaciones.

Esto es muy diferente del actual uso bélico de las TICs, que se destina (1) para mejorar el rendimiento de sistemas de armas como artillería, misiles, etc.; (2) para mejorar el rendimiento de sistemas de reconocimiento e inteligencia como radares, satélites de vigilancia, etc.; y (3) para mejorar la logística, por ejemplo en la optimización de rutas de transporte para soldados, equipamiento, suministros, etc.

Y es diferente del desarrollo y despliegue de “robots asesinos” o, por su nombre correcto, sistemas autónomos de armas letales.

Convención Digital de Ginebra

Es necesario un Tratado, a través del cual los Estados acuerden –entre otras cosas– no atacar la infraestructura digital civil en tiempos de paz, no adquirir ni almacenar software malicioso e informar de inmediato a fabricantes involucrados al identificar vulnerabilidades en software o hardware.

En mayo de 2017, Wikileaks publicó información sobre el uso por parte de la Agencia Central de Inteligencia de los EEUU (CIA), de diversas herramientas de hackeo y software malicioso.  De acuerdo con esa información, las herramientas en cuestión incluían malware que puede ser usado para infectar varios dispositivos de la Internet de las Cosas, incluyendo equipos hogareños de TV, que pueden ser utilizados para monitorear conversaciones cerca del equipo, aun cuando el usuario cree que el aparato está apagado.  Además, capacidades similares pueden usarse para infectar smartphones y convertirlos en dispositivos de monitoreo, aun cuando el usuario piensa que están apagados.

Peor todavía, de acuerdo a la información publicada por Wikileaks, la CIA ha perdido el control sobre su arsenal de herramientas de hackeo, las que ahora están a disposición de otras entidades, incluyendo posibles ciber-criminales.

Más grave aún, estas herramientas están diseñadas para encubrir a quien las usa, por lo que los ataques realizados con ellas no pueden ser rastreados hasta su fuente.  En vez de ello, se traspasa la aparente responsabilidad a un tercero sin relación alguna, quien entonces es acusado de haber perpetrado el ataque.

Más recientemente, el ataque WannaCry de mediados de mayo 2017 motivó a Microsoft a renovar el llamado que hiciera pocos meses antes a una Convención Digital en Ginebra.

Microsoft planteó tres propuestas específicas:

  • Cláusulas para un tratado vinculante
  • Un acuerdo entre compañías de alta tecnología
  • La creación de una organización dedicada a atribuir responsabilidades por ciberataques, esto es, a determinar quién inició el ciberataque.

Sin embargo, podríamos ir más allá de lo que propone Microsoft respecto a cláusulas de un tratado y convocar a todos los Estados a acordar, en un instrumento vinculante bajo el derecho internacional:

  • que Internet debe ser usada sólo para propósitos pacíficos
  • que sea considerado como ciberataque ofensivo toda forma de vigilancia y/o escucha del objetivo de vigilancia que no sea necesaria, proporcionada y autorizada por las cortes nacionales.
  • no dirigir, llevar a cabo ni promover ciberataques ofensivos, en particular aquellos dirigidos a particulares o infraestructura crítica
  • limitar la investigación y capacidades sobre ciberguerra, y las operaciones cibernéticas exclusivamente a mecanismos de defensa que no incluyan contrataques
  • no producir, obtener o favorecer la producción de herramientas y/o software malicioso que pueda ser usado para ciberataques ofensivos
  • colaborar con todos los esfuerzos para detectar, detener, buscar respuestas y recuperarse de ciberataques
  • reportar a los vendedores cualquier vulnerabilidad descubierta
  • hacer seguimiento con los vendedores para asegurar que las vulnerabilidades conocidas hayan sido reparadas
  • no almacenar, vender o explotar cualquier vulnerabilidad conocida que pudiera ser usada para ciberataques ofensivos.

Este acuerdo vinculante debería también prohibir la vigilancia masiva.

Vigilancia masiva

La vigilancia de ciudadanos, salvo cuando sea ordenada individualmente por un juez, viola los derechos humanos, no es efectiva y es una forma de ataque cibernético.

Es bien conocido que muchos Estados, incluyendo Estados que se consideran democráticos, han implementado la vigilancia masiva.  En este contexto, la “vigilancia masiva” es cualquier forma de vigilancia y/o escucha del objeto de vigilancia que no sea necesaria, proporcionada y autorizada por las cortes nacionales.

El objetivo declarado de dicha vigilancia es combatir lo que el Estado en cuestión considera terrorismo.  Pero dicha vigilancia no es y no puede ser efectiva para contrarrestar actos individuales de violencia: ¿podría por ejemplo prevenir atracos a los bancos?

Es urgente reconocer que las actuales formas de vigilancia masiva violan el derecho humano a la privacidad y constituyen una forma de ciberataque.

El Relator Especial sobre privacidad del Consejo de Derechos Humanos de la ONU ha convocado grupos de trabajo para discutir este asunto.

 

Richard Hill, APIG. http://www.apig.ch and http://www.hill-a.ch

Artículo publicado en la Revista América Latina en Movimiento: Paz y NoViolencia: Rebeldía a un sistema violento 17/09/2018

 

El artículo original se puede leer aquí