Refugios digitales seguros: proteger a los civiles de las operaciones cibernéticas militares

Isabelle Peart

Isabelle es candidata para una licenciatura en economía y una licenciatura en derecho en la Universidad de Queensland. Actualmente trabaja como asistente de investigación para el Grupo de Investigación sobre Derecho y Futuro de la Guerra de la Universidad de Queensland, que investiga la interacción del derecho y el cambio tecnológico en el contexto de la seguridad nacional y global.

En la primavera de 2021, el CICR y la Academia de Ginebra organizaron conjuntamente un concurso de ensayos para estudiantes sobre la protección de los civiles contra los peligros que plantean las operaciones cibernéticas militares. Estudiantes de casi 30 países y de todos los continentes del mundo contribuyeron con ensayos breves en los que respondieron la pregunta: ‘¿Qué medidas (técnicas, políticas, legales u otras) deberían implementar los Estados para evitar o al menos reducir el riesgo de daños a civiles provocados por la cibernética militar? ‘Hoy, estamos encantados de publicar el ensayo ganador de Isabelle Peart. En palabras de uno de los presidentes del jurado, Laurent Gisel del CICR , el ensayo de Isabelle ‘nos impresionó por la madurez de los pensamientos presentados, así como por las sugerencias bien argumentadas sobre cómo reducir el riesgo de daño a los civiles que se plantea por operaciones cibernéticas militares ». El ensayo adapta el concepto de DIH de zonas desmilitarizadas al contexto cibernético y, sobre esa base, presenta un argumento para el establecimiento de refugios digitales internacionales seguros.

En septiembre de 2020, la policía de Alemania inició una investigación por homicidio sobre la muerte de un paciente que fue desviado de un hospital debido a un ciberataque . Aunque el enjuiciamiento no tuvo éxito en última instancia, este evento reveló el grave peligro que los ciberataques pueden representar para el público. Con más y más Estados invirtiendo en capacidades cibernéticas militares y realizando operaciones militares en el ciberespacio, esta amenaza para la población civil se agudiza. En general, se acepta que los principios del derecho internacional humanitario (DIH) se aplican a las operaciones cibernéticas militares durante los conflictos armados.. Sin embargo, el DIH en su forma actual puede poner a los civiles en mayor riesgo de sufrir daños en el contexto de las operaciones cibernéticas militares. Esto se debe a la doctrina de los objetos de doble uso y su aplicación durante el ciberconflicto.

Objetivos militares y objetos de “doble uso” en el marco del DIH

De conformidad con el párrafo 2 del artículo 52 del Protocolo adicional I , los ataques deben limitarse estrictamente a objetivos militares. Además, de conformidad con el párrafo 1 del artículo 58 , las partes en un conflicto deben tomar las precauciones necesarias para garantizar que los civiles y los bienes de carácter civil estén protegidos contra los peligros que plantean las operaciones militares. Tradicionalmente, en la guerra cinética, esto podría lograrse separando a los civiles y los objetos civiles del objetivo militar objetivo tanto como sea posible, para evitarlos de los efectos de los ataques.

Sin embargo, surgirán casos en los que un objetivo tenga un doble propósito, militar y civil. En tales casos, la práctica de los Estados indica que un objeto de “doble uso” puede equivaler a un objetivo militar. Por ejemplo, la Sala de Primera Instancia del Tribunal Internacional para la ex Yugoslavia determinó en la causa Prl ić que la destrucción de un puente, utilizado como ruta de suministro para fines civiles y militares, podría constituir un objetivo militar (párr. 1582) .

En el contexto de las operaciones cibernéticas, el Manual 2.0 de Tallin ha caracterizado la infraestructura cibernética utilizada tanto para fines civiles como militares como un objetivo militar potencial (en la página 554). Esta caracterización crea un riesgo real para los civiles durante las operaciones cibernéticas militares considerando la interconexión de la infraestructura civil y militar. Por ejemplo, se ha estimado que el 98 por ciento de las comunicaciones del gobierno de Estados Unidos, incluidas las comunicaciones militares clasificadas, viajan a través de redes civiles. La escala a la que se integran las redes militares y civiles significa que la separación de estas redes se considera inviable (en la página 219).

Aunque un objeto de “doble uso” es un objetivo militar, se debe realizar una evaluación de proporcionalidad para garantizar que el ataque no cause un daño desproporcionado a la población civil. Esto ofrece cierta protección a los civiles. Por ejemplo, el Tallin Manual 2.0 considera que es poco probable que Internet en su totalidad constituya un objetivo militar, aunque se utilice con fines militares (en la página 446). No obstante, existe el riesgo de que la infraestructura cibernética civil resulte dañada accidentalmente debido a su interconexión con la infraestructura cibernética militar.

La solución: un acuerdo de refugio seguro digital

Para reducir el riesgo de daños a civiles durante las operaciones cibernéticas militares, los Estados deben adoptar un acuerdo de “refugio digital seguro” para proteger ciertas redes informáticas de ser blanco de ataques durante las operaciones cibernéticas. Como discutieron Robin Geiß y Henning Lahmann (en la página 394), un refugio digital seguro sería el equivalente virtual de una zona desmilitarizada, como se establece en el artículo 60 del Protocolo adicional I. En lugar de separar las redes en civiles o militares, los Estados deberían aislar las redes civiles esenciales y protegerlas de cualquier interferencia militar mediante un acuerdo internacional vinculante. Para ser eficaz, tal acuerdo tendría que imponer dos obligaciones clave a los Estados: primero, que los Estados no deben realizar operaciones militares contra redes y sistemas de datos designados, y segundo, que los Estados no deben utilizar redes o sistemas designados con fines militares.

Para acceder al refugio digital seguro, los Estados tendrían que aislar las redes y los sistemas de datos protegidos. Por ejemplo, no se permitiría que los datos militares permanezcan en el mismo servidor que los datos protegidos . Al determinar qué redes deben protegerse, al principio, se debe adoptar un enfoque más conservador para garantizar que el refugio digital seguro sea exitoso y eficiente. Aunque áreas como los sistemas financieros y las redes eléctricas pueden considerarse esenciales para la población civil, los sistemas protegidos deberían limitarse inicialmente a las redes médicas, como la infraestructura digital de los hospitales.

Limitar las áreas protegidas por un acuerdo de refugio seguro significaría que el refugio es menos susceptible al abuso por parte de los Estados. Además, dado el reciente aumento de ciberataques criminales contra hospitales , el aislamiento de las redes médicas brindaría a los hospitales la oportunidad de fortalecer su ciberseguridad a través de medidas como la mejora del cifrado de datos.

Como lo demostraron los eventos en Alemania en septiembre de 2020, las interrupciones en las redes médicas pueden tener consecuencias inmediatas y mortales para los civiles. Aunque la infraestructura médica ya está protegida por el DIH, la introducción de un acuerdo internacional que establezca un refugio digital seguro reforzaría este marco y brindaría protección adicional a los civiles. Al eliminar las actividades militares de las redes médicas, un acuerdo de refugio seguro digital garantizaría que estas redes nunca puedan ser objeto de un ataque legalmente.