Los ciberconflictos a la luz del derecho internacional humanitario

Introducción

Los conflictos armados ha sido un hecho constante a lo largo de la existencia humana y se han convertido en un instrumento casi imprescindible del hombre para alcanzar sus fines políticos. En su devenir histórico han ido cambiando y transformándose acorde con las necesidades que plantea cada contexto: nuevos actores armados, avances tecnológicos y métodos de combate. Esto mismo también ha influido en el desarrollo del derecho internacional humanitario (DIH) como un cuerpo normativo hecho para regular este tipo de conflictos, la actuación de los combatientes en el campo de batalla, el uso de armas y proteger a la población civil de los ataques producidos en el marco de las hostilidades.

La aparición de los sistemas de información y del ciberespacio atrajo a una gran cantidad de actores que han aprovechado sus características y beneficios para obrar en detrimento de otros y de los Estados. Esto último ha llevado a concebir el ciberespacio como un lugar donde pueden desarrollarse conflictos armados tanto del orden internacional como no internacional. Usualmente, los conflictos armados que han tenido lugar en la esfera mundial ocurren en espacios ya conocidos como la tierra, el mar, el aire o el espacio, los cuales se encuentran regulados por las actuales normas del DIH. El interrogante que surge frente a la posibilidad de llevar a cabo conflictos armados en el ciberespacio es si en dicho espacio las confrontaciones están libres de cualquier regulación jurídica que brinde protección a quienes se encuentran en el contexto de las hostilidades.

En este orden de ideas, el presente artículo está orientado a brindar una visión del ciberespacio como lugar donde se llevan a cabo ataques y acciones bélicas que, pese a sus diferencias con otros dominios ya conocidos, pueden ser reguladas a través del DIH. Esto último se logra a partir de un estudio amplio y concienzudo sobre las diferentes normas que componen el DIH, el derecho internacional consuetudinario y diversa jurisprudencia emanada de los altos tribunales internacionales, la cual fue analizada detenidamente para ser aplicada a las diferentes situaciones que pueden surgir en el ciberespacio y que causan daño a la población civil.

1. El ciberespacio: escenario de conflictos armados

La incursión de las nuevas tecnologías en el mundo transformó por completo la configuración y la manera de intercambiar la información, para dar lugar al nacimiento de nuevas dinámicas de interacción entre las personas. Hasta entonces, las sociedades precedentes estuvieron regidas por “un modelo de comunicación colectiva predominantemente vertical, unidireccional, rígido, concentrado y monopolizado” [1]. No obstante, estos viejos estereotipos se fueron quedando en el olvido ante la llegada del ciberespacio y su acelerada expansión en la sociedad. Precisamente, uno de los rasgos distintivos del ciberespacio es que los sucesos ocurridos en él corresponden a una representación simbólica de la realidad física creada por el hombre, quien la modifica constantemente a través de un solo clic y la convierte en un entorno maleable. Otro de los atributos de este espacio es la rapidez de procesamiento e intercambio de enormes cantidades de información, que viajan prácticamente a la velocidad de la luz.

En el universo físico es común preocuparse por medir el tiempo y la distancia que hay para llegar de un lugar a otro, pero en el espacio virtual estas preocupaciones tienden a desaparecer, por cuanto estos dos factores son casi insignificantes y la inmediatez se superpone.[2] Una última característica del ciberespacio es su ubicuidad, pues en él no existen fronteras, es un lugar infinito, un escenario amplio que se extiende hasta donde los individuos son capaces de llegar utilizando sus propios medios materiales;[3] el sentido mundial dado al ciberespacio le ha restado significativa importancia a las fronteras como tradicionalmente se conocían, es decir, como un elemento para configurar la soberanía de un Estado, y le ha permitido a los individuos traspasar dichas fronteras sin necesidad de moverse de su casa.

Los procesos de distribución de la información en esta era tecnológica produjeron una verdadera revolución que avanza a pasos agigantados. El ciberespacio, como una creación del hombre, se convirtió en un lugar lleno de ventajas e inmensos beneficios que, al mismo tiempo, resultó ser un riesgo, sobre todo, cuando toda la humanidad o un buen porcentaje de ella depende de la información que va y viene de complejos y entrelazados sistemas que se convirtieron prácticamente en el sistema nervioso central de la sociedad.[4] La importancia excepcional que ha adquirido la información para la sociedad en estos tiempos ha hecho que los intentos por acceder a ella a través de métodos ilícitos sean cada vez más frecuentes y, en esa medida, los esfuerzos por contrarrestar estos abusos sean mayores, al punto que la convergencia de ambos fenómenos ha tomado la forma de un auténtico conflicto armado.[5]

En los últimos tiempos se ha aumentado la rivalidad entre diferentes actores a nivel global por el uso del ciberespacio y, con ello, las probabilidades de estallido de una crisis internacional donde las potencias espaciales serían los principales oponentes y encargados de dificultar o denegar el acceso a sus enemigos durante cierto tiempo a sus sistemas y redes de información. Desde la óptica de las fuerzas armadas de cualquier Estado, el ciberespacio constituye un lugar estratégico donde surgen tensiones y puede tener lugar algún conflicto.[6] La posibilidad de conflictos en el ciberespacio es tal, que desde 2009 Hamadoun Touré, entonces secretario general de la Unión Internacional de las Telecomunicaciones (UIT), en una rueda de prensa durante el World Telecom, afirmaba: “La próxima guerra mundial podría ocurrir en el ciberespacio y eso sería una catástrofe”.[7] Una realidad así lleva a pensar en el ciberespacio como un escenario donde es factible la ocurrencia de un conflicto armado.

Tradicionalmente, los espacios donde tienen lugar enfrentamientos armados han sido de carácter físico y corresponden a los denominados “teatros operacionales”, caracterizados por estar encuadrados dentro de un territorio delimitado,[8] natural o artificial, cuyo diámetro se puede conocer a través de instrumentos de medición. Ese mundo físico, usualmente está constituido por los llamados “dominios”, esto es, la tierra, el mar, el aire y el espacio. Sin embargo, la idea del ciberespacio como un escenario donde se desarrollan conflictos armados ha suscitado una serie de discusiones en los últimos años en torno a si se trata de un espacio semejante a los demás ya conocidos o, por el contrario, debe tratarse con pinzas y de un modo especial por las características que lo identifican. De ahí que exista un variado número de pensadores e instituciones, quienes opinan que el ciberespacio es un ambiente perteneciente al mundo físico y, por consiguiente, digno de ser llamado “quinto dominio” o “quinta dimensión de la guerra”.[9]

Para el Centro Superior de Estudios de la Defensa Nacional de España, el ciberespacio se entiende como un “escenario estratégico, operacional y táctico”, donde se materializan los conflictos que surgen por el ejercicio del poder nacional a través de sus diversos instrumentos militares, diplomáticos o económicos”. Esto teniendo en cuenta que internet está constituida por un conjunto de redes interconectadas a nivel mundial las cuales ocupan un lugar denominado “ciberespacio”.[10] Este mismo juicio es compartido por el Departamento de Defensa de los Estados Unidos que declara al ciberespacio como “un campo operacional similar a la tierra, al mar, al aire o al espacio y, por tanto, sujeto a ser escenario de maniobras defensivas y, si es necesario, ataques preventivos y represalias”.[11]

Con respecto a esta concepción, Lynn explica que aun cuando el ciberespacio es un dominio resultado de la creación humana, la doctrina militar de los Estados Unidos lo ha reconocido formalmente como un dominio de la guerra, imprescindible para el desarrollo de operaciones en el ambiente terrestre, marítimo o espacial.[12] Esta conclusión conduce a suponer que el ciberespacio ha adquirido una connotación especial en tanto se le relaciona con un campo donde ocurren determinadas operaciones para atacar o contrarrestar la fuerza enemiga, sean ejecutadas en este ambiente o para servir de apoyo a otro tipo de actividades operacionales ocurridas en otro u otros dominios.[13] Pareciera, entonces, que el ciberespacio se acerca más a un medio para facilitar la guerra.

De hecho, los acontecimientos bélicos ocurridos en los últimos años han mostrado zonas de combate informatizadas, con los más altos estándares en capacidades y sistemas cibernéticos, armas cuyo camino hacia su objetivo es guiado mediante ordenadores, controlados por programas nutridos con datos de orientación, actualizados en tiempo real con información satelital. Visto así, el ciberespacio coexiste con los demás dominios y se conecta físicamente con todos ellos a través de procesos cognitivos por medio del uso de los datos que se almacenan, modifican y se intercambian a través de él.[14] En esta misma línea, el hecho de equiparar el ciberespacio a los otros cuatro dominios físicos conocidos les ha permitido a algunos académicos proponer su inclusión dentro de los llamados global commons.

Los global commons,según la normatividad establecida por el derecho internacional, son aquellos espacios que no están comprendidos dentro de los límites establecidos de un Estado determinado, razón por la cual ningún Gobierno se encuentra autorizado para reclamar derechos de soberanía sobre el mismo; en vez de esto, se estima que cualquier Estado, institución, empresa privada o particular puede hacer uso de dichos espacios.[15] Más allá de los fundamentos que se pueden esgrimir en beneficio de la idea de circunscribir el ciberespacio al resto de los dominios físicos, estos han encontrado oposición en teóricos como Umphress, quien manifiesta que puede ser peligroso establecer semejanzas entre “una entidad física y una entidad lógica”, pues esta última se rige por leyes físicas muy diferentes a las de la primera.[16]

Butler, por su parte, reconoce que el ciberespacio, como campo de batalla, encarna el uso de ciertos elementos físicos comunes a los combates tradicionales y, además, acude a la implementación de algunos principios fundamentales en cualquier tipo de guerra. Sin embargo, critica el método escogido por sus pares para establecer las semejanzas entre este entorno y los otros que se conocen, negándose a reconocer las particularidades de que goza. Para este autor, es necesario que los teóricos abandonen esa insistente preocupación por sacar a la luz aquellos aspectos propios de lo físico que posee el ciberespacio y concentren su atención en su naturaleza virtual: “Entender la exclusividad del ciberespacio aclara de forma básica el pensamiento hacia la ampliación de la teoría específica del dominio y de la formulación de doctrina”.[17]

Uno de los primeros en reconocer los rasgos particulares del ciberespacio fue Rattray, quien propuso que “el ciberespacio es único” porque las interrelaciones nacidas en él se dan a través del software y el hardware, los cuales permiten el funcionamiento de la red y, además, han sido creados por los seres humanos, lo cual ha hecho que la “geografía” del ciberespacio sea cambiante o mutable, un rasgo que no poseen los otros dominios. A pesar de lo cambiante que pueda resultar el ciberespacio, no es infinitamente maleable porque tiene unos límites ordenados por las leyes de la física, por los códigos y las capacidades de las organizaciones y las personas.[18] Finalmente, algunos teóricos como Gómez anotan que el ciberespacio no puede incluirse dentro de los global commons por su naturaleza artificial, pues su “continente y contenido” han sido creados por el hombre. De ahí que “su diseño –incluidas sus imperfecciones– son fruto del esfuerzo humano y responden a unas circunstancias concretas dadas en el momento de su diseño y desarrollo”.[19]

La era de la información llevó a la introducción de cambios en el escenario de los conflictos armados como respuesta a la transformación del ciberespacio en un campo de batalla. Para comienzos del siglo XXI las potencias con avances tecnológicos importantes en el ámbito de los sistemas de información, si bien reconocían la relevancia de sus logros, también eran conscientes de lo vulnerables que podían ser frente a los ataques cibernéticos.[20] Esto último hizo que comenzaran a buscarse métodos para reforzar las capacidades de combate, de guerra y de defensa para contrarrestar las amenazas que estaban surgiendo. En ese orden de ideas los militares de diferentes países alrededor del mundo han llevado a cabo transformaciones operacionales y estratégicas, incluyendo una creciente utilización de las tecnologías de la información.

2. Ciberconflictos armados internacionales

Los Convenios de Ginebra del 12 de agosto de 1949 determinan en el parágrafo 1 de su artículo 2 común que un conflicto armado surge cuando hay una guerra declarada o cualquier otro conflicto armado entre dos o varias altas partes contratantes, aun cuando una de ellas no haya reconocido el estado de guerra.[21] Esto indica que para declarar un conflicto armado internacional deben concurrir dos situaciones: primero, la existencia de una guerra declarada, aunque no haya sido reconocida por alguna de las altas partes contratantes, y segundo, que el conflicto armado se desarrolle entre dos o más altas partes contratantes. En ambos casos se reconoce la presencia sine qua non de los Estados; no obstante, el segundo tipo deja un interrogante en relación con el significado del término “conflicto armado”.

Al respecto, los comentarios a los Convenios de Ginebra de 1949 establecen que se dará por sentada la existencia de un conflicto armado internacional en el sentido del artículo 2 común a dichos convenios en tanto haya una intervención de los miembros de las fuerzas armadas.[22] En la medida en que se pueda confirmar esta condición, como se expresa en los comentarios al Protocolo adicional I, se activará el cumplimiento de las normas del DIH, sin tener en cuenta la duración del conflicto, su intensidad o el desarrollo del mismo, toda vez que estos criterios no se consideran impedimento para la aplicación de la máxima ley requerida por la situación de las personas civiles y los objetos de protección de dichas normas.[23]

Además, la expresión “conflicto armado” entraña medidas que causan muertos, heridos, daños o destrucción, así como acciones dirigidas a causar tales daños o que los tendrán como consecuencia previsible. A efectos de los conflictos que surgen en el ciberespacio esta característica representa en sí misma un dilema pues alguien podría argumentar que las operaciones cibernéticas no son de naturaleza cinética y, en dado caso, no emplean lo que comúnmente se considerarían "armas". De ser así, un suceso ocurrido en el ciberespacio al que se trate de aplicar esta tipología solo podría tratarse como un conflicto consistente en operaciones cibernéticas. Empero, no deben sacarse conclusiones a la ligera pues es necesario recordar que las operaciones cibernéticas pueden tener resultados altamente destructivos e incluso mortales.

De esta manera, cualquier operación cibernética equivalente a un "ataque", entendido como todo “acto de violencia contra el adversario, sea ofensivo o defensivo”,[24] satisface el criterio para entrar dentro de la categoría de conflicto armado. Hay que insistir en que aun cuando las operaciones cibernéticas no son violentas en sí mismas, pueden generar consecuencias violentas que resulten en lesiones o muerte de personas, daños o destrucción de bienes.[25] Por ejemplo, lanzar un virus para manipular los sistemas informáticos con el ánimo de causar una fusión en una estación de energía nuclear, abrir las compuertas de una presa sobre un área densamente poblada o deshabilitar el control del tráfico aéreo de un aeropuerto ocupado durante malas condiciones climáticas.

Dentro de este escenario existen otras operaciones cibernéticas dirigidas por un Estado contra otro que no necesariamente causan lesiones graves o daños físicos, lo que no debe convertirse en un obstáculo para declarar la existencia de un conflicto armado. Con el fin de aclarar este tema, en su XXVIII Conferencia el Comité Internacional de la Cruz Roja (CICR) determinó que cualquier operación cibernética destinada a interrumpir, negar, degradar o destruir información contenida en computadoras o redes de información, o descomponer los computadores o las mismas redes de información equivale a un ataque armado, sin importar el uso de la fuerza cinética. En este caso el CICR inclina su decisión al tener en cuenta las consecuencias potenciales del ataque y no los medios utilizados para llevarlo a cabo, y agrega que en el contexto de los conflictos clásicos los ataques a los sistemas de información están sujetos al DIH.[26]

Ahora bien, en lo que respecta a la participación de los Estados en un conflicto armado internacional, el artículo 91 del Protocolo adicional I señala su responsabilidad por los actos cometidos por los miembros de sus fuerzas armadas, en contra de los Convenios de Ginebra de 1949 y el mencionado Protocolo. Siguiendo con lo definido por este mismo Protocolo, las fuerzas armadas de una parte en conflicto están compuestas por “todas las fuerzas, grupos y unidades armados y organizados, colocados bajo un mando responsable de la conducta de sus subordinados ante esa parte”.[27] Aunque no se haya sentado en la normatividad internacional, los Estados son responsables por las infracciones al DIH cometidas en un conflicto armado internacional por un grupo armado que pueda ser considerado un agente de facto.

Sobre esto, el Tribunal Internacional para la ex-Yugoslavia (TPIY), en el caso Dusko Tadic, señaló: “los particulares que actúan en el marco de las fuerzas armadas o en connivencia con las autoridades del Estado pueden considerarse como órganos estatales de facto. En estos casos, se deduce que los actos de tales individuos se atribuyen al Estado”.[28]  De lo anterior se colige que cualquier ataque cibernético lanzado por las fuerzas armadas o en connivencia con autoridades del Estado puede ser tratado como si hubiese sido lanzado por órganos estatales de jure. De igual modo, lo serían los ataques cibernéticos realizados por una persona o entidad que, si bien no es un órgano del Estado, está facultado por las leyes estatales para ejercer elementos de autoridad gubernamental, siempre que la persona o entidad actúe en esa capacidad en la esfera particular.

La cuestión más problemática radica cuando se presentan situaciones en las cuales las acciones son ejecutadas por individuos o grupos que no son órganos de un Estado ni están autorizados para actuar en su nombre, pero son respaldados o alentados por este para perpetuar el conflicto armado. Se podría dar una situación en la cual un grupo de ciudadanos de un Estado realiza ataques cibernéticos contra otro Estado. Si el Gobierno del primer Estado aprueba los ataques y toma medidas para perpetuarlos, tales como establecer medidas de defensa cibernética para asegurarse de que el grupo prosiga con sus ataques, dicho grupo pasa a ser un órgano estatal de facto, incluso si en una etapa inicial el Estado no le proporcionó dirección.

Sobre este particular, tanto la Corte Internacional de Justicia (CIJ) en el caso de la toma de rehenes del cuerpo consular de los Estados Unidos en Terán, ocurrida el 29 de noviembre de 1979,[29] como el TPIY en el caso Dusko Tadic,[30] coincidieron en que los procesados se habían convertido en agentes de facto y sus actos eran internacionalmente atribuibles al Estado. Pese a ello, en el contexto de los ciberconflictos es más probable un escenario en el cual existe alguna relación entre un Estado y los individuos o grupos que conducen los ataques cibernéticos. Otra de las reflexiones surgidas en torno a la responsabilidad de un Estado por las infracciones cometidas al DIH por un grupo armado es el hecho de comprobar la relación entre ambas partes.

El TPIY abordó esta situación y determinó que debe haber un control por parte del Estado sobre el grupo organizado que va más allá de su financiamiento y equipamiento, e involucra la participación en la planificación y supervisión de operaciones militares. Las normas internacionales no exigen que ese control se extienda a la emisión de órdenes o instrucciones específicas relativas a acciones militares únicas, sean o no tales acciones contrarias al DIH.[31] Para trasladar este ejemplo al mundo de los ciberconflictos, un Estado ejerce el control general sobre un grupo, cuando tiene el suficiente control sobre este a tal punto de permitirle organizar o desistir de una amplia campaña de ataques cibernéticos.

De manera similar, si un Estado ordena al grupo atacar o abstenerse de atacar a una categoría particular de objetivos cibernéticos, se puede decir que goza del control general del grupo. Sin embargo, debe tenerse en cuenta la mención hecha por el Tribunal relativa al equipamiento del grupo, con lo cual la simple provisión de software o hardware para realizar los ataques no bastaría como único argumento para atribuir las acciones del grupo atacante a un Estado. El grado de control sobre las acciones de individuos que conducen ataques cibernéticos sin ser miembros de un grupo armado organizado es mucho mayor. En tales circunstancias, se debe probar que el Estado emitió “instrucciones o directivas específicas dirigidas a la comisión de actos específicos” [32] para poder atribuirle los actos realizados por dichos individuos.

3. Ciberconflictos de carácter no internacional

El artículo 3 común a los Convenios de Ginebra define los conflictos armados no internacionales como aquellos que surgen en el territorio de una de las altas partes contratantes.[33] El Protocolo adicional II, en su artículo 1(1), amplía un poco más el concepto y se refiere a los conflictos armados no internacionales como aquellos desarrollados “en el territorio de una alta parte contratante entre fuerzas armadas y fuerzas armadas disidentes o grupos armados organizados que, bajo la dirección de un mando responsable, ejerzan sobre una parte de dicho territorio un control tal que les permita realizar operaciones militares sostenidas y concertadas”.[34]

El TPIY ha desarrollado aún más la noción, y en el Caso Duzco Tadic calificó los conflictos armados de carácter no internacional como de “violencia armada prolongada entre autoridades gubernamentales y grupos armados organizados o entre estos grupos dentro de un Estado”[35] . Lo anterior, por cuanto se aplican dos criterios esenciales para definir un conflicto armado dentro de la categoría de no internacional: la organización de las partes bajo un mando responsable y un nivel particular de intensidad. La organización se debe entender en términos de acciones coordinadas por medio de las cuales se aumenta la capacidad de involucrarse en la violencia. En las operaciones militares, tal coordinación suele implicar la planificación de misiones, compartir inteligencia y ejercer el mando y control.[36]

Las fuerzas armadas de un Gobierno cumplen de entrada el requisito de organización requerido, empero no sucede lo mismo con los grupos armados no estatales sobre lo que habrá que hacer una evaluación de acuerdo a cada organización. El TPIY, en los casos de Limaj y otros, y Boskoski, definió algunos factores inter alia para tener en cuenta a la hora de establecer si un grupo armado no estatal puede ser clasificado como grupo armado organizado: una estructura de mando formal, la autoridad para lanzar operaciones que involucren a distintas unidades, la capacidad de reclutar y entrenar combatientes, zonas únicas de operación, emisión de órdenes, establecimiento de una sede y promulgación de unas normas internas[37]

Esto ayuda a dejar en claro que los individuos que actúan por sí solos en la conducción de un ataque cibernético contra un Estado (o un grupo armado en particular) no cumplen con el criterio de organización establecido por las normas del DIH. Figúrese un número X de personas, sin ningún vínculo con el creador de un determinado sitio web, que accedan a dicho sitio donde tienen acceso a malware y listas de posibles objetivos cibernéticos; definitivamente, estas personas no califican como un grupo armado organizado porque simplemente no poseen la estructura requerida. Un ataque cibernético puede ocurrir en paralelo, pero esto no significa que quienes realizaron dicho ataque hayan procedido dentro de lo que implica la noción de “organización” aplicada a los grupos armados en el sentido del DIH.

Los ataques cibernéticos llevados a cabo por un grupo que se organiza en línea pueden llegar a ser mucho más difíciles de clasificar. Aunque los miembros de las organizaciones virtuales no se conocen entre sí ni conocen sus identidades reales, pueden actuar de manera coordinada contra el Gobierno, las fuerzas armadas de un Estado u otro grupo armado organizado, recibir órdenes de un líder virtual y estar altamente organizados. El principal obstáculo para caracterizar al grupo como organizado sería su dificultad para hacer cumplir las normas del DIH que rigen los conflictos armados de carácter no internacional. Esto teniendo en cuenta que el Protocolo adicional II impone el requisito de un grupo armado organizado que, "bajo un mando responsable", ejerza tal control sobre una parte del territorio que le permita tener operaciones militares sostenidas y concertadas, y aplicar dicho Protocolo.[38]

Este requisito no debe interpretarse en un sentido estricto. Como se señala en el Comentario al Protocolo II, el término “organizado” implica un cierto grado de estructuración del grupo armado o de las fuerzas armadas disidentes, no un sistema jerárquico de organización militar similar al de las fuerzas armadas regulares. Solo se requiere de una organización capaz, por un lado, de planificar y llevar a cabo operaciones militares sostenidas y concertadas y, por otro, de imponer la disciplina en nombre de una autoridad de facto.[39] En un grupo prácticamente organizado, la obligación de poseer la capacidad de llevar a cabo operaciones militares “sostenidas” y “concertadas” podría lograrse en la medida en que las operaciones cibernéticas sean equiparadas a las operaciones militares.

La imposición de disciplina sería difícil porque estos grupos carecen de control físico sobre sus miembros y, para hacer las cosas aún más complicadas, el artículo II exige que el grupo pueda "aplicar el presente Protocolo". La frase se entiende generalmente como una capacidad para cumplir y hacer cumplir el DIH, pues se supone que estando bajo un mando responsable y en control de una parte del territorio, el grupo en cuestión se halla en condiciones de implementar el Protocolo. Aunque no se exige que la ley sea realmente ejecutada, el grupo debe organizarse de manera que permita su cumplimiento,[40] y lograr este grado de organización en un grupo formado virtualmente es problemático porque no hay una conexión física y por diversas circunstancias es complicado mantener un control estricto sobre los integrantes o tener conocimiento sobre su accionar.

Otra de las cuestiones importantes para tener en cuenta es el carácter de “armado” que debe tener el grupo. La interpretación del término “armado” es la misma que se dio líneas atrás cuando se aludió al tema, pero aplicado a los conflictos armados internacionales. Aunque se explicó que esta noción implica la ejecución de “ataques” debe recordarse que en el marco de los conflictos armados no internacionales impera la actividad del grupo que tendrá como propósito llevar a cabo una actividad armada. De modo que, si los miembros del colectivo deciden actuar de manera individual y en nombre propio, dejando de un lado su pertenencia a una agrupación, no se estaría cumpliendo con el criterio de “grupo armado”.

La segunda característica para declarar un hecho dentro de la categoría de conflicto armado con carácter no internacional es la existencia de un cierto grado de intensidad de violencia. Las rebeliones, los disturbios civiles o los actos aislados y esporádicos de violencia no son suficientes para denotar tal grado de intensidad, de manera que se requiere que dicha violencia se prolongue en el tiempo. Entre los factores que deben contemplarse para identificar el grado de intensidad se encuentran la naturaleza colectiva de las actividades, la intervención de las fuerzas armadas, la duración del conflicto, la frecuencia con la cual se presentan las acciones violentas y los operativos militares, los medios y métodos utilizados en el conflicto y la cantidad de víctimas, entre otros.[41]

A pesar de las opciones que se ofrecen, aún no existe una línea clara para definir la intensidad ni un estándar de cómo determinar lo “prolongado” de un conflicto. En el Caso Abella vs. Argentina, la Comisión Interamericana de Derechos Humanos (CIDH) caracterizó un enfrentamiento de 30 horas entre las fuerzas armadas disidentes y el Ejército argentino como un conflicto armado no internacional.[42] A la luz de la forma en que se llevan a cabo las campañas cibernéticas, hay que señalar que, aun cuando los ataques cibernéticos tienen que ser lo suficientemente frecuentes como para considerar cierta relación entre ellos, evidentemente no tienen que ser continuos. De hecho, este se presenta como un umbral alto para excluir a muchas operaciones cibernéticas de la característica de conflicto armado interno. Incluso los ataques cibernéticos altamente destructivos no calificarían a menos que tuvieran una cierta regularidad en el tiempo.

En su lugar, estos eventos tendrían que abordarse dentro del paradigma del derecho penal y ser analizados desde las normas del derecho internacional de los derechos humanos (DIDH) y no por el DIH. Por último, hay que recordar que el Protocolo adicional II solo se aplica cuando los grupos armados organizados controlan el territorio. Dado que un grupo no puede controlar el territorio sin presencia física, generalmente se cree que este instrumento es inaplicable a los conflictos cibernéticos. Por tanto, solo se aplicaría a las operaciones cibernéticas en los conflictos citados por el Protocolo adicional II que involucren a un grupo armado organizado que controle el territorio y realice tales operaciones. Pese a ello, el artículo 3 común a los Convenios de Ginebra dispone que los grupos armados deben tener cierto grado de organización, mas no menciona que esos grupos deban controlar parte del territorio donde se desarrolla el conflicto. Por tal razón, un ataque cibernético puede reunir las condiciones de aplicación establecidas en el artículo 3 común sin cumplir con los requisitos de aplicación del Protocolo adicional II..[43]

4. Ciberataques y principales blancos de ataque

Durante más de una década, los analistas han especulado sobre las posibles consecuencias de un ataque cibernético. Los escenarios planteados van desde un virus que crea caos en los registros financieros o inhabilita el mercado de valores, el envío de un mensaje falso para provocar que un reactor nuclear cierre o abra una represa, un apagón del sistema de control del tráfico aéreo que resulta en un avión estrellado, todos los cuales anticipan daños económicos o físicos severos y generalizados. Aunque ninguno de estos escenarios ha tenido lugar hasta el momento, hoy por hoy sí tienen lugar numerosos incidentes cibernéticos con regularidad. Las definiciones del término “ciberataque” son de una amplia variedad. Michel Hayden se ha referido a los ciberataques como un intento deliberado de deshabilitar o destruir las redes informáticas de otro país.[44]

Por su parte, Hathaway y Crootof hacen énfasis en la amenaza que representan las tecnologías de la información y conciben un ciberataque como cualquier acción tomada para socavar las funciones de una red informática con propósitos de seguridad política o nacional. Como primera medida, un ciberataque requiere de una conducta activa, sea esta ofensiva o defensiva. La defensa incluye medidas electrónicas diseñadas para atacar los sistemas informáticos y detener el ataque antes de alcanzar su objetivo. Los gobiernos probablemente empleen defensas activas y pasivas, pero la pasiva no puede en sí misma contener un ciberataque.[45]

Como segunda medida, un ciberataque corresponde a cualquier acción tomada desde el ciberespacio, siempre y cuando su objetivo sea socavar o interrumpir la función de una red informática. En este sentido, y adoptando el enfoque basado en objetivos, es decir, producir daño con fines de seguridad política o nacional, las autoras afirman que cualquier medio puede usarse para realizar un ataque cibernético. De esta manera, se puede comprender mejor por qué proponen que el objetivo de un ataque cibernético debe ser el de socavar la función de una red informática. Una red informática puede verse comprometida de diversas maneras, ya sea por ataques destinados a causar una irrupción en el sistema operativo de una computadora, lo que llevaría al mal funcionamiento de la red (gusanos, virus, troyanos) o por ataques que preservan el sistema operativo, pero comprometen la precisión de la información que procesan y a la cual reaccionan.[46]

Como tercera medida, para "socavar la función" de un sistema informático, un actor debe hacer más que observar pasivamente una red informática o copiar datos, incluso si esa observación es clandestina. El actor debe afectar el funcionamiento del sistema dañando el sistema operativo o agregando información falsa, engañosa o no deseada. En cuarto lugar, se debe tener en cuenta que un ataque cibernético debe dirigirse a una red informática, definida como un sistema de computadoras y dispositivos conectados por canales de comunicación. Con frecuencia, esta conexión existe a través de internet, pero también hay numerosas redes cerradas, como las redes seguras empleadas por las agencias de los gobiernos de distintos países. Es importante entender que en la actualidad las computadoras están en todas partes.[47]

El concepto de una computadora abarca más que una simple computadora de escritorio o portátil, también incluye otros dispositivos que controlan los ascensores, regulan la presión en la red de suministro de agua, teléfonos celulares y televisores. Por tanto, el potencial para el daño generalizado de un ataque cibernético es más amplio. Finalmente, se encuentra el propósito de seguridad política o nacional que conllevan los ciberataques. Según los autores, este propósito distingue el ataque cibernético de crimen cibernético simple, pues cualquier acción agresiva llevada a cabo por un actor estatal en el ciberespacio necesariamente implica seguridad nacional y, por tanto, hace que un ataque cibernético se eleve o no al nivel de la ciberguerra. Un delito cibernético cometido con fines de seguridad política o nacional es un ataque cibernético.[48]

Otra definición de ciberataque se puede hallar en Sigholm, quien sostiene que los ataques cibernéticos son un subconjunto de las operaciones ciberespaciales donde se emplean las capacidades hostiles del ciberespacio por parte de Estados o actores no estatales para causar daño, destrucción o bajas a fin de lograr objetivos militares o políticos.[49] Por otra parte, Tabansky define los ciberataques como ataques cibernéticos que no incluyen un daño cinético a la infraestructura física del ciberespacio. Para este autor, un ataque en el ciberespacio usa herramientas cibernéticas y sus armas son el software y el hardware.[50] La OTAN ha dicho al respecto que un ciberataque es una acción que se toma para interrumpir, denegar, degradar o destruir la información residente en una computadora o red informática, o la computadora o la red informática.[51]

De igual modo, para Richard Kissel, se trata de un ataque dirigido a interrumpir, deshabilitar, destruir o controlar maliciosamente un entorno/infraestructura informática, o destruir la integridad de los datos o robar información controlada.[52] El Manual de Tallin considera un ciberataque como una operación cibernética, ya sea ofensiva o defensiva, que razonablemente se espera cause lesiones o muerte a personas, o daños o destrucción a objetos.[53] De otro lado, el Departamento de Defensa de los Estados Unidos define el término ataque en el ciberespacio como una acción realizada a través de un computador para denegar, degradar o destruir información residente en un computador, al mismo computador o al sistema de información.[54]

La pregunta ahora es cuáles son los blancos predilectos de estos ataques cibernéticos. Gran parte de la literatura señala la infraestructura crítica como uno de los objetivos primordiales de los grupos o individuos que representan una amenaza en el ciberespacio. En la actualidad, el término de infraestructura crítica está relacionado a un grupo de servicios en permanente actividad, esenciales para la subsistencia humana, como: generación y distribución de energía, información, comunicaciones, salud, agua, transporte y finanzas, entre otros, cuyo funcionamiento incorrecto puede afectar negativamente la estabilidad de un Estado y sus nacionales.[55] A pesar de los esfuerzos hechos hasta ahora, no existe una definición universalmente reconocida sobre la infraestructura crítica, pues cada Estado proporciona una clasificación de acuerdo con sus propias características e intereses, aunque suelen ser similares entre sí.

Por ejemplo, en los Estados Unidos, la infraestructura crítica de la nación está constituida por los servicios esenciales que sustentan la sociedad norteamericana y sirven de columna vertebral de la economía, la seguridad y la salud de sus nacionales, dentro de los cuales el Gobierno norteamericano ha identificado al menos 16 sectores críticos entre físicos y virtuales:[56]

En el caso de Australia, el Gobierno define la infraestructura crítica como aquellas instalaciones físicas, cadenas de suministro, tecnologías de la información y redes de comunicación que, de ser destruidas, degradadas e interrumpidas durante un periodo prolongado podrían tener consecuencias significativas en el bienestar social y económico de la nación, o afectar la capacidad del país para garantizar la defensa y seguridad nacional. Se debe tener en cuenta que algunos elementos de la infraestructura crítica no son activos, pero están en las redes de datos o hacen parte de la cadena de suministros. Se consideran activos los sectores de banca y finanzas, salud, alimentos, transporte, comunicaciones, agua y energía.[57]

Como es posible apreciar a partir de los ejemplos citados, los gobiernos de los diferentes países han expresado a través de estos conceptos la importancia que tienen para el bienestar y la seguridad de sus naciones ciertos sectores e insisten en los graves efectos de su interrupción o destrucción. Las amenazas que se ciernen sobre estos sectores no son parte de la ficción, por el contrario, son reales y han encendido las alarmas, especialmente por la inclusión de aquellas relacionadas con las operaciones desarrolladas a través del ciberespacio. En efecto, los ciberataques a la infraestructura crítica tienen consecuencias devastadoras sobre el normal desarrollo y funcionamiento de un Estado, los cuales pueden ser directos o indirectos. Los efectos directos son aquellos causados por la interrupción de las funciones de la infraestructura crítica o activos clave mediante ataque directo a una parte, sistema o función crítica.[58]

Los efectos indirectos de un ataque son los trastornos y problemas resultantes en un sector crítico como consecuencia del ataque a otro. Por ejemplo, si la infraestructura crítica del transporte se daña, los servicios de emergencia y el envío de correos también se verán afectados. Hoy en día, los ciberataques a la infraestructura crítica suelen tener una gran importancia, pero debe advertirse que los umbrales de daño dependen de cada país. De manera que si un ataque cibernético no causa un daño por encima de lo estimado como grave, este no representará un riesgo inmediato y, por tanto, habrá de esperarse al menos un buen tiempo para tomar las medidas necesarias.[59] Veites Gómez asegura que debido a la necesidad cada vez mayor por parte de la sociedad de controlar muchos de los procesos y las actividades cotidianas a través de sistemas informáticos, el funcionamiento de un país podría colapsar ante el daño de algunos de ellos. Entre las posibles consecuencias, el autor identifica las siguientes:[60]

• Corte del suministro eléctrico y posible descontrol de centrales nucleares, centrales hidroeléctricas y térmicas.
• Colapso total de las redes telefónicas y los sistemas de comunicaciones.
• Desarrollo de ataques específicos contra los sistemas de comunicaciones militares.
• Caos financiero: paralizando cualquier gestión bancaria y borrando o alterando los datos de todas las cuentas corrientes y otros registros de información.
• Intervención del control del tráfico aéreo y ferroviario, que provocaría colisiones de aviones y trenes, y dejaría inoperantes estas redes de transporte.
• Ataques informáticos de todo tipo protagonizados por virus, programados y controlados de forma remota para activarse en el momento adecuado.
• Destrucción de grandes bases de datos estatales, vitales para el funcionamiento del país, como las de los cuerpos de policía, el Tesoro Público, la sanidad, la seguridad social y el resto de administraciones públicas en general.
• Sabotajes locales en la capital y otras ciudades importantes por su población o su actividad económica, a fin de alterar el funcionamiento de los semáforos para causar choques en cadena que colapsen durante horas las principales carreteras.
• Otros sabotajes como, por ejemplo, los dirigidos a las empresas más importantes y a organismos oficiales locales.
• Lanzamiento de bombas electromagnéticas para neutralizar todos los equipos electrónicos militares no protegidos y silenciar a las principales emisoras de radio y televisión.

Pues bien, aun cuando las afectaciones a la infraestructura crítica de un país suelen ser el principal foco de un ataque cibernético, porque con toda suerte aseguran desestabilizar al Estado y a la nación, la población civil también suele ser un foco de ataque. El ataque a uno o varios sectores críticos de un país produce ciertos efectos sobre las personas, pues con ello se menoscaba el funcionamiento de sus actividades rutinarias, incluso su propia integridad cuando les son hurtados sus datos o sus cuentas bancarias. Denning cita aquellos que pueden producir la muerte o lesiones graves a las personas, como explosiones, accidentes aéreos, contaminación del agua e incluso, graves ataques contra la infraestructura crítica podrían considerarse como tales, dependiendo de su impacto. Por su parte, los ataques dirigidos a interrumpir los servicios no esenciales o que simplemente causan un daño económico no hacen parte de este grupo.[61]

5. Conducción de hostilidades en los ciberconflictos

La noción de ataques armados bajo el jus ad bellum no debe confundirse con el uso del término "ataque" en el contexto del DIH, pues en este último cuerpo de leyes, un "ataque" desencadena una amplia gama de protecciones legales. Estas prohibiciones y restricciones generalmente se derivan del principio de distinción, mediante el cual se obliga a las partes en un conflicto a distinguir en todo momento entre la población civil y los combatientes, y entre objetivos civiles y objetivos militares y, en consecuencia, dirigir sus operaciones solo contra objetivos militares.[62] Este principio aborda los ataques en los términos del artículo 48. Para respaldar esta afirmación solo basta observar la manera en la cual el principio de distinción aparece en el Protocolo I adicional.

En la estructura del documento el artículo se encuentra incluido en el capítulo I, "Norma fundamental y ámbito de aplicación”, de la Sección I, “Protección general contra los efectos de las hostilidades”.[63] Dado que el otro artículo que compone este capítulo es el 49, donde se definen los ataques y el ámbito de aplicación de la norma, ello supone que las operaciones militares a las cuales se refiere el artículo 48 son principalmente ataques. Una revisión adicional de la sección revela un énfasis en el término "ataques", los artículos siguientes en su mayoría versan sobre la obligación de prevenir los ataques contra la población civil, los objetos civiles y otras personas protegidas por el DIH, y las precauciones que se deben tomar para ello. Esta conclusión plantea la cuestión de qué actos califican como un ataque.[64]

La clave es la referencia a los actos de violencia contra el adversario, en forma ofensiva o defensiva, estipulada en el artículo 49. Con la mención del término "adversario" no se alude únicamente a las operaciones violentas contra las fuerzas enemigas; por el contrario, la prohibición de atacar a los civiles confiesa irrefutablemente que el criterio sine qua non es la violencia, no el individuo o la entidad objeto del ataque. La esencia del asunto reside en que las operaciones cibernéticas no implican directamente la liberación de fuerzas violentas. Esto lleva a preguntarse si dichas operaciones califican dentro de la categoría de ataques en el marco del DIH, y en qué momento deben aplicarse sus prohibiciones y restricciones. Las acciones que pueden causar daño sin la liberación inmediata de fuerzas cinéticas violentas van más allá de la contemplación de los redactores del Protocolo adicional I.

Más de medio siglo antes el empleo de armas químicas y biológicas ya se consideraba un ataque, como lo demuestra la prohibición de su uso para las partes contratantes en el Protocolo de Ginebra de 1925 relativo a la prohibición del empleo de gases asfixiantes, tóxicos o similares y de medios bacteriológicos en la guerra.[65] Estas armas fueron declaradas fuera de la ley porque eran elementos que en particular causaban consecuencias perjudiciales y, por tanto, el DIH trató de evitar su uso. Por la misma lógica, los actos de violencia son meramente instrumentos que causan consecuencias de las cuales la ley se ocupa. Además, como bien se sabe, los tratados deben ser interpretados en el contexto y a la luz de su objeto y propósito[66]

Se puede decir que una operación cibernética califica como un ataque solo cuando el blanco alcanza el estatus de objetivo porque solo entonces se activan las prohibiciones y restricciones del DIH relativas a los ataques. En consecuencia, una vez que una operación cibernética califica como un ataque, se aplican los criterios del artículo 52, numeral 2 del Protocolo adicional I para categorizar un blanco como objetivo militar, y no antes de que se haga esa determinación.[67] Si un blanco no constituye un objetivo militar, se prohíbe un posible ataque; en cambio, si el blanco está considerado como objetivo militar, puede ser atacado mediante cualquier método o medio de guerra, siempre y cuando se cumpla con la regla de proporcionalidad, el requisito de tomar precauciones en ataque y otras normas aplicables.

Durante un conflicto armado, sea de índole internacional o de carácter interno, el principio de distinción exige a las partes involucradas distinguir entre la población civil y los combatientes, y entre objetivos civiles y militares. Esto se traduce en la existencia de una serie de normas incluidas en el corpus del DIH dirigidas a proteger a los civiles y objetos civiles de cualquier ataque y de los daños que pueda causar el uso de la violencia, y en la obligación de conducir los ataques únicamente contra objetivos militares, en tanto sean ejecutados a través de medios y métodos no prohibidos por las reglas humanitarias.[68]

La noción de civil se define en oposición al combatiente, es decir, todas aquellas personas que no pertenecen a las fuerzas armadas y, por tanto, son sujetos de protección respecto de cualquier ataque durante el desarrollo de un conflicto armado.[69] No obstante, esta protección puede suspenderse mientras los civiles participen directamente en las hostilidades y por el tiempo que dure su participación en ellas; en tanto esto ocurre, pueden ser atacados sin tener en cuenta el principio de proporcionalidad ni intentar reducir al mínimo el daño contra ellos.[70] Esta excepción a la norma se encuentra prevista en el artículo 3 común a los Convenios de Ginebra, en el artículo 51 (3) del Protocolo I y en el artículo 13 (3) del Protocolo II, en el Estatuto de la Corte Penal Internacional y las normas del derecho internacional consuetudinario.

La guía interpretativa del CICR afirma que existen tres criterios constitutivos de la participación directa en las hostilidades: 1) probabilidad de afectar las operaciones militares o la capacidad militar de una de las partes en conflicto, o bien de causar la muerte, heridas o destrucción a las personas o los bienes protegidos contra los ataques directos (umbral de daño); 2) vínculo causal directo entre el acto y el daño (causalidad directa); y 3) el propósito específico del acto debe ser causar directamente el umbral exigido de daño en apoyo de una parte en conflicto y en menoscabo de otra (nexo beligerante).[71]

En cuanto a la primera vía para declarar la participación directa en las hostilidades, los ataques cibernéticos pueden resultar altamente disruptivos y causar afectaciones sustanciales a la capacidad militar; en este caso, debe valorarse muy bien si realmente el ciberataque en particular afecta la capacidad militar o simplemente representa una forma de expresión, propaganda o molestia leve.[72] En relación con el umbral de daño es probable que un ataque cibernético pueda causar la muerte, lesiones o destrucción cuando se intenta destruir la infraestructura crítica de un Estado.[73]

El segundo requisito corresponde al acto en cuestión que provoca directamente el daño. El comentario al Protocolo I, en su parágrafo 1944, recuerda que la inmunidad otorgada a los civiles se encuentra circunscrita a una condición muy estricta: mientras no se conviertan en combatientes no perderán su categoría de civiles. Por tanto, la noción de participación directa debe entenderse por intervenir en actos de guerra que por su naturaleza o propósito pueden causar daño real a los miembros y al equipo de las fuerzas armadas enemigas.[74] La prueba determinante para calificar un acto como participación directa es si el daño causado está a un paso de la acción. En este orden de ideas, la causalidad directa debe ser ocasionada por una sola secuencia causal.[75]

Un punto importante relacionado con los ciberataques es la distinción entre proximidad causal y proximidad geográfica o temporal. El hecho de que un acto hostil se demore o se encuentre distante no necesariamente afecta su causalidad. Un ejemplo de un acto hostil demorado y lejano podría ser un ciberataque llevado a cabo por el Estado A contra el Estado B sobre las fronteras internacionales. El Estado A recopila inteligencia militar durante el ataque y el daño de este se materializa después de un cierto periodo de tiempo. Aunque el ataque cibernético fue iniciado por un Estado-nación y afectó materialmente a un Estado a miles de millas de distancia, después de un tiempo está claro que existe una proximidad causal entre el ciberataque y el daño.[76]

El último requisito dentro de la participación directa en hostilidades es el nexo beligerante, esto es, que el acto hostil en cuestión esté específicamente diseñado para causar el umbral requerido de daño y para hacerlo en apoyo de una de las partes en el conflicto armado en detrimento de la parte contraria. La orientación interpretativa establece que la determinación de si existe un nexo beligerante en relación con un acto específico depende de “si la conducta de un civil, junto con las circunstancias dominantes en el momento y lugar pertinentes, puede ser percibida de forma razonable como un acto destinado a prestar apoyo a una parte en conflicto causando directamente el umbral exigido de daño a la otra parte”.[77]

Ya se ha dicho que el DIH establece disposiciones para la protección de objetos y la propiedad civil, prohibiendo los ataques, las represalias u otros actos de violencia contra tales objetos; de igual modo, determina unas reglas más específicas para la protección de algunos de estos objetos. Este sistema de protección está plasmado en el artículo 52 (1) (2) (3) del Protocolo I y en el artículo 13 (1) (2) (3) del Protocolo II, donde los bienes de carácter civil se definen como “objetos que, por su naturaleza, ubicación, propósito o uso, contribuyen de manera efectiva a la acción militar y cuya destrucción, captura o neutralización total o parcial ofrece una ventaja militar definitiva”.[78]

En caso de duda sobre un objeto normalmente utilizado para fines civiles, como un lugar de culto, una casa u otra vivienda, o una escuela, las partes en conflicto deben suponer que dicho objeto no se utiliza con fines militares. En el marco de los ciberconflictos hay objetos que pueden considerarse objetivos militares siempre y cuando cumplan con uno de los cuatro criterios determinados en artículo 52 del Protocolo I, esto es: naturaleza, ubicación, propósito o uso. El criterio de naturaleza involucra el carácter inherente de un objeto, con regularidad se refiere a aquellos objetos que son fundamentalmente militares y designan o contribuyen a una acción militar.[79]

Por su parte, la ubicación se refiere a un área geográfica de particular importancia militar, y aunque las direcciones ip no están consideradas como un área geográfica, estas pueden ayudar a localizar objetivos militares. En relación con el criterio de uso, un objeto civil puede ser considerado objetivo militar si se usa con fines militares, por ejemplo, si una de las partes involucradas en el conflicto hace uso de un computador civil con propósitos militares este objeto pierde su carácter civil y se convierte en un objetivo militar. Finalmente, el criterio de propósito se refiere al intento de hacer uso en el futuro de un objeto que en un comienzo no es usado para propósitos militares, pero hay expectativas de usarlo en el futuro.[80]

El Estatuto de la Corte Penal Internacional también reconoce la obligación que existe en torno a la protección de los bienes civiles, y considera como crímenes de guerra “la destrucción y la apropiación de bienes, no justificadas por necesidades militares, y efectuadas a gran escala, ilícita y arbitrariamente” y “dirigir intencionalmente ataques contra bienes civiles, es decir, bienes que no son objetivos militares”.[81] Entre los bienes civiles objeto de protección se encuentran los bienes culturales y los lugares de culto, entre los que se pueden mencionar: monumentos históricos, obras de arte o lugares de culto que constituyen el patrimonio cultural o espiritual de los pueblos.[82]

En el ámbito cibernético, Harrison explica que existen dos tipos de bienes culturales digitales que podrían ser objeto de protección: obras que corresponden a reproducciones digitales de bienes culturales preexistentes y obras que tienen origen digital y solo existen en formato digital. Las obras originales representan el objeto cultural y su reproducción digital podría estar protegida en tanto forme parte de una colección importante.[83] Esto si se tiene en cuenta que durante la Conferencia Intergubernamental sobre la Protección de Bienes Culturales en caso de conflicto armado se resaltó la importancia de proteger las colecciones culturales compuestas por reproducciones, pues podrían convertirse en objetos de gran valor si los originales llegaban a ser destruidos.[84]

El segundo tipo de bienes culturales digitales que son particularmente susceptibles a un ciberataque son las obras de origen digital, las cuales se caracterizan por ser el resultado de un proceso completamente digital desde su producción inicial. En esta categoría se incluyen obras de arte hechas por completo en formato digital, documentos y archivos en formato electrónico y grabaciones digitales, entre otras. Esto también abarca aquellas obras digitales asociadas con un medio físico, es decir que el documento es guardado o archivado en un medio físico, y también aquellas obras que hacen parte de un medio físico, pero donde la obra en cuestión existe en sí misma en el ambiente digital.[85]

Esto en lo que respecta a los bienes culturales y religiosos. También son objeto de protección los bienes indispensables para la supervivencia, los cuales están amparados por el artículo 54 (1-5) del Protocolo I y el artículo 14 del Protocolo II, en donde se prohíbe hacer padecer hambre a las personas civiles como método de guerra.[86] Esta prohibición es aplicable a los ataques en el ciberespacio pues la denegación de acceso a los sistemas que controlan la infraestructura crítica de un país podría considerarse como un ataque a un objetivo civil indispensable para la supervivencia de la población civil.

Otro de los objetos civiles protegidos es el medio ambiente natural, sustentado en el artículo 55 (1) (2) del Protocolo I. De igual modo, se encuentran las obras e instalaciones que contienen fuerzas peligrosas. No obstante, esta protección cesa si son utilizadas para funciones distintas de aquellas a las cuales están destinadas, y en apoyo regular, importante y directo de operaciones militares.[87] Finalmente, como bien expresa Melzer, en el campo cibernético la distinción de los objetos civiles y militares a veces es bastante difícil debido a que la infraestructura civil y militar depende en gran medida del ciberespacio, además de estar interconectadas, lo cual hace que los objetos militares en el ciberespacio sean objetos de doble uso.[88]

6. Conclusiones

La existencia de un mundo paralelo al físico ha dado lugar a nuevas perspectivas en torno a los conflictos armados, los cuales pueden compararse con un camaleón, cambiante por su naturaleza. Tal pareciera que se van adaptando a los contextos en los que se desarrollan; tal vez, moldeables y, por qué no, maleables, pero nunca inexistentes. Los conflictos han tenido lugar en el mundo desde la misma existencia del hombre, sus orígenes han sido tan diversos como lo han sido también los intereses de los seres humanos, los cuales se han ido acrecentando con el tiempo y, más aún, han ido alimentando la costumbre de no zanjar sus diferencias por vías pacíficas. A esto se suman las tecnologías que a lo largo del tiempo han ido cambiando la manera en que se desarrollan y conducen los conflictos armados.

De ahí que no resulte extraña la preocupación que se ha venido mostrando en los últimos años por el uso masivo de las tecnologías, los sistemas de información y, sobre todo, de ese mundo virtual que se creó a partir de ellas, llamado ciberespacio. En la actualidad, el ciberespacio representa un lugar plausible para el desarrollo de conflictos armados. Bajo esta concepción, se hace evidente la necesidad de unas normas que ayuden a regular los conflictos en dicho espacio, con el fin de evitar la pérdida irreparable de vidas humanas, así como sufrimientos, daños innecesarios, crueles, inhumanos y degradantes, y otras situaciones que vayan en detrimento del principio de humanidad de cualquier individuo que se encuentre en el contexto de este tipo de conflictos.

Respecto a esto, y teniendo en cuenta lo expuesto a lo largo de este artículo, es válido el uso de las normas actuales del DIH para regular los conflictos surgidos en el ciberespacio. En primer lugar, las consecuencias causadas por un ataque cibernético avalan la aplicabilidad del DIH a estas acciones, en tanto la acción pueda ser atribuida a un Estado, en el caso de los conflictos armados internacionales, o a un grupo armado organizado con las características requeridas por las normas para los conflictos armados con carácter no internacional, y se confirme que sus acciones causaron heridos, muertos, daños o destrucción, o que tenían dicha intención.

Como segunda medida, aunque se reconoce que ni los Convenios de Ginebra ni sus protocolos adicionales hacen mención específica a los conflictos en el ciberespacio, los principios y las normas para regular los métodos y medios de guerra no se limitan únicamente a las situaciones del contexto donde se originaron, pues el DIH anticipaba ya los desarrollos tecnológicos que podían surgir en el ámbito de los conflictos armados. Pese a no tratarse de un conflicto armado cinético, sino desarrollado en el ciberespacio, esto último no es impedimento para que los conflictos cibernéticos estén regidos por el DIH y, por tanto, deberán observar los principios de distinción, proporcionalidad y ventaja militar.

Finalmente, existe un vínculo entre lo virtual y lo real. La regulación del DIH sobre los conflictos en el ciberespacio está dada porque es desde la tierra desde donde se controla este espacio y, finalmente, sus efectos recaen sobre el espacio terrestre y quienes lo habitan. El ciberespacio no se puede concebir como una plataforma donde las personas pueden ejercer libremente actividades y conductas hostiles. Dado que las normas jurídicas se hicieron para regular la convivencia en sociedad, el uso de la fuerza en el ciberespacio también debe acogerse a las normas establecidas. Por supuesto, esto no excluye la posibilidad de que sea necesario seguir desarrollando esta rama del derecho a medida que evolucionen las tecnologías o que sus consecuencias humanitarias se comprendan mejor.

Bibliografía

Berenguer Hernández, Francisco José, “El espacio, un nuevo entorno estratégico”, Infoespacial, 2012, en www.infoespacial.com/ie/2012/04/09/opinion-el-espacio-un-nuevo-entorno-estrategico.php, fecha de consulta: 5 de febrero de 2016.

Butler, Sean C., “Refocusing cyber warfare thought”, en Air & Space Power Journal 27 (2013), pp. 44-57, en https://www.airuniversity.af.edu/Portals/10/ASPJ/journals/Volume-27_Issue-1/F-Butler.pdf

Ciberespacio puede ser el campo de batalla de la próxima guerra mundial”, El Espectador, 2009, 5 de octubre, en www.elespectador.com/tecnologia/articulo164978-ciberespacio-puede-ser-el-campo-de-batalla-de-proxima-guerra-mundial

Comité Internacional de la Cruz Roja (CICR), Guía para interpretar la noción de participación directa en las hostilidades según el Derecho Internacional Humanitario, Ginebra, Comité Internacional de la Cruz Roja, 2010.

Comité Internacional de la Cruz Roja (CICR), Protocolo I adicional a los Convenios de Ginebra de 1949, relativo a la protección de las víctimas de los conflictos armados internacionales,8 de junio de 1977, en www.icrc.org/es/document/protocolo-i-adicional-convenios-ginebra-1949-proteccion-victimas-conflictos-armados-internacionales-1977

Comité Internacional de la Cruz Roja (CICR), Protocolo II adicional a los Convenios de Ginebra de 1949 relativo a la protección de las víctimas de los conflictos armados sin carácter internacional, 8 de junio de 1977, www.icrc.org/es/doc/resources/documents/misc/protocolo-ii.htm

Comité Internacional de la Cruz Roja (CICR), Protocolo relativo a la prohibición del empleo en la guerra de gases asfixiantes, tóxicos o similares y de medios bacteriológicos, 17 de junio de 1925, en www.icrc.org/es/doc/resources/documents/misc/treaty-1925-gases-and-bacteriological-protocol-5tdm2p.htm

Comité Internacional de la Cruz Roja (CICR), Los convenios de Ginebra del 12 de agosto de 1949, Ginebra, Comité Internacional de la Cruz Roja, en www.icrc.org/es/doc/assets/files/publications/convenios-gva-esp-2012.pdf

Corte Penal Internacional (CPI), Estatuto de roma de la corte Penal Internacional, Roma, Corte Penal Internacional, 1998.

Department of Defense of the United States, Dictionary of Military and Associated Terms, Washington, Department of Defense, 2010.

Department of Homeland Security of United States, “What is critical infrastructure?”, Homeland Security, en www.dhs.gov/what-critical-infrastructure, fecha de consulta: 17 de noviembre de 2016.

Denning, Dorothy E., “Cyberterrorism. Testimony before the Special Oversight Panel on Terrorism Committee on Armed Services U.S. House of Representatives”, en Naval Postgraduate School, May 23 2000, en faculty.nps.edu/dedennin/publications/Testimony-Cyberterrorism2000.htm, fecha de consulta: 15 de diciembre de 2016.

Esteinou, Javier, “La revolución del ciberespacio y la transformación de la sociedad de principio del siglo XX”, en Razón y Palabra 36 (2003).

Fernández Fernández, Miguel Ángel, “Guerra Cibernética”, en Journal de Defesa e Relaçoes Internacionais (2013), 1-16.

Fuerzas Militares de Colombia, Manual de estrategia militar general (Reemplaza al Manual editado en 1989), Bogotá, Imprenta y Publicciones de las Fuerzas Militares, 1997.

Gjelten, Tom, “Extending the law of war to cyberspace”, September 22, 2010, www.npr.org/templates/story/story.php, fecha de consulta: 29 de noviembre de 2016.

Gómez de Agreda, Ángel, “El ciberespacio como escenario del conflicto. Identificación de las amenazas”, en Ministerio de Defensa Español, Centro Superior de Estudios de la Defensa Nacional, Monografías del ceseden 126, El ciberespacio: nuevo escenario de confrontación, Madrid, Imprenta del Ministerio de Defensa, 2012, pp. 167-204.

Government of Australia, Critical Infrastructure Resilience Strategy, Australia, Commonwealth of Australia, 2010, en www.emergency.qld.gov.au/publications/pdf/Critical_Infrastructure_Resilience_Strategy.pdf

Gutiérrez del Moral, Leonardo, Curso Ciberseguridad hacking ético, Sevilla, Punto Rojo, 2014.

Harrison Dinnis, Heather, Cyberwarfare and Laws of War, New York, Cambridge Univerity Press, 2012.

Hathaway, Oona A. y Rebecca Crootof, “The law of cyber-attack”, Faculty Scholarship 3852 (2012), pp. 817-855, en digitalcommons.law.yale.edu/cgi/viewcontent.cgi

International Committee of Red Cross (ICRC), 28th International Conference of the red Cross and Red Crescent. International Humanitarian Law and the Challenges of Contemporary Armed Conflicts, Geneva, International Committee of Red Cross, 2003, en www.icrc.org/eng/assets/files/red-cross-crescent-movement/31st-international-conference/challenges-documents-2003.pdf

Kuehl, Daniel T., “From cyberspace to cyber power: Defining the problem”, en Franklin Kramer, Larry Wentz y Stuart Starr (eds.), Cyberpower and National Security, Washington, Center Technology and National Security Policy National Defense University, Potomac Books, 2009.

Kut Nebrera, Alexander, “La importancia de dominar los global commons en el siglo XXI”, en Documento Marco (2015).

Lewis, James A., “Cyber war and competition in the China-U.S. Relationship”, en Center for Strategic International Studies, 2002, en csis-prod.s3.amazonaws.com/s3fs-public/legacy_files/files/publication/100510_CICIR%20Speech.pdf, fecha de consulta 25 de noviembre de 2016.

Lynn, William, “Defending a new domain: The Pentagon's cyber strategy”, en Foreign Affairs 5 (2010), pp. 97-108.

Lülf, Charlotte, “Modern technologies and targeting under international humanitarian law”, en IFHV Working Paper 3 (2013), en www.ruhr-uni-bochum.de/ifhv/documents/workingpapers/wp3_3.pdf

Márquez, William, “Ciberespacio: el nuevo ámbito de la guerra para el pentágono”, BBC Mundo, 27 de julio de 2011.

Melzer, Nils, Cyberwarfare and International Law, s. l., Ideas for Peace and Security, 2011.

Ministerio de Defensa Español, Centro Superior de Estudios de la Defensa Nacional, XXXIII Curso de Defensa Nacional. Guerra cibernética: aspectos organizativos, Madrid, Ministerio de Defensa Español, 2013.

Nato, “Cyber Definitions”, nato Cooperative Cyber Defense Centre of Excellence, en https://ccdcoe.org/cyber-definitions.html, fecha de consulta: 6 de noviembre de 2016.

Newton, Scott, Can Cyberterrorists Actually Kill People?, Vancouver, Sans Institute, 2002.

Timothy O’hara, Cyber Warfare/Cyber Terrorism, Pennsylvania, U.S. Army War College, 2004.

Organization des Nations Unites pour l'Education, la Science et la Culture, Conférence Interguvernementale Sur la Protection des Biens Culturels en cas de Conflict Arme. Actes de la conférence convoquée par l'organisation des Nations Unies pour L'Education, la Science et la Culture, La Haye, Organisation des Nations Unites pour l'Education, la Science et la Culture, 1954.

Owen, William, Kenneth Dam y Herbert Lin, Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities, Washington, The National Academies Press, 2009.

Pictet, Jean, The Geneva conventions of 12 August 1949. Commentary. III Geneva Convention relative to the treatment of prisoners of war, Geneva, International Committee of Red Cross, 1960, en www.loc.gov/rr/frd/Military_Law/pdf/GC_1949-III.pdf

Rattray, Gregory, “An environmental approach to understanding cyberpower”, en Franklin Kramer, Larry Wentz y Stuart Starr (eds.), Cyber and National Security, Washington, Center Technology and National Security Policy National Defense University, Potomac Books, 2009.

Robles, Rosslin John et al., “Common threats and vulnerabilities of critical infrastructures”, en International Journal of Control and Automation 1 (2008), pp. 17-22, en article.nadiapub.com/IJCA/vol1_no1/3.pdf

Sack, Gastón y Jorge Salvador Ierache, “Controles de seguridad propuesta inicial de un framework en el contexto de la ciberdefensa”, en XXI Congreso Argentino de Ciencias de la Computación, Junín, 2015.

Sandoz, Yves, Christophe Swinarsky y Bruno Zimmermann (eds.), Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, Geneva, International Committee of Red Cross, 1987, en www.loc.gov/rr/frd/Military_Law/pdf/Commentary_GC_Protocols.pdf

Siddiqui, Huma, “Cyberspace: The fifth domain of warfare”, Financial Express, 2015, en www.financialexpress.com/industry/technology/cyberspace-the-fifth-domain-of-warfare/175397/, fecha de consulta: 25 de febrero de 2016.

Sigholm, Johan, Non-State Actors in Cyberspace Operations, Stockolm, Swedish National Defence College, 2014.

Schmitt, Michael, “Deconstructing direct participation in hostilities: The constitutive elements”, en International Law and Politics 42 (2010), pp. 467-739.

Schmitt, Michael, Tallin Manualon the International Law Applicable to Cyber Warfare, Tallin, Nato Cooperative Cyber Defense Centre of Excellence, Cambridge University Press, 2013.

Schmitt, Michel, “Cyber operations and the jus in bello: Key issues”, en International Law Studies 87 (2011), pp. 1-22, en stockton.usnwc.edu/cgi/viewcontent.cgi

Schreier, Fred, “On cyberwarfare”, en dcaf Horizon Working Paper 7 (2015), p. 11.

Tabansky, Lior, “Basic concepts in cyber warfare”, en Military and Strategic Affairs 1 (2011), pp. 7-131 www.inss.org.il/wp-content/uploads/sites/2/systemfiles/(FILE)1308129610.pdf

Umphress, David, “El ciberespacio: ¿un aire y un espacio nuevo?”, en Air & Space Power Journal 1 (2007).

Veities Gómez, Álvaro, “La lucha contra el ciberterrorismo y los ataques informáticos”, en X Reunión Española sobre criptología y Seguridad de Información, Salamanca, Edisa, 2008, pp. 1-12, en www.edisa.com/wp-content/uploads/2014/08/La_lucha_contra_el_ciberterrorismo_y_los_ataques_informaticos.pdf

Vité, Sylvain, “Tipología de los conflictos armados en el derecho internacional humanitario: conceptos jurídicos y situaciones reales”, en International Review of the Red Cross 873 (2009), pp. 1-27.

Westby, Jody, “Introduction”, en Hamadoun Touré y The Permanent Monitoring Panel on Information Security World Federation of Scientist, The Quest for Cyber Peace, Geneva, International Telecommunication Union & World Federation of Scientists, 2011, pp. 1-6, en www.itu.int/dms_pub/itu-s/opb/gen/S-GEN-WFS.01-1-2011-PDF-E.pdf

Jurisprudencia internacional

Comisión Interamericana de Derechos Humanos (CIDH), Informe 55, Caso 11.137, Juan Abella vs. Argentina, 18 de noviembre de 1997, www.cidh.oas.org/annualrep/97span/Argentina11.137.htm

International Court of Justice, United States Diplomatic and Consular Staff in Tehran (United States of America v. Iran). Judgment of 24 May 1980, www.icj-cij.org/en/case/64/judgments

International Tribunal for the Prosecution of Persons Responsible for Serious Violations of International Humanitarian Law Committed in the Territory of Former Yugoslavia since 1991, Prosecutor v Dusko Tadic, Judgment, IT-94-1-A, 15 July 1999, en www.icty.org/x/cases/tadic/acjug/en/tad-aj990715e.pdf

International Tribunal for the Prosecution of Persons Responsible for Serious Violations of International Humanitarian Law Committed in the Territory of Former Yugoslavia since 1991, Prosecutor v Dusko Tadic a/k/a "Dule". Decision on the Defense Motion for Interlocutory Appeal on Jurisdiction, 2 October 1995, www.icty.org/x/cases/tadic/acdec/en/51002.htm

International Tribunal for the Prosecution of Persons Responsible for Serious Violations of International Humanitarian Law Committed in the Territory of Former Yugoslavia since 1991, Prosecutor v Fatmir Limaj, Haradin Bala, Isak Musliu, IT-03-66-T, 30 November 2005, pp. 38-50, http://www.icty.org/x/cases/limaj/tjug/en/lim-tj051130-e.pdf

International Tribunal for the Prosecution of Persons Responsible for Serious Violations of International Humanitarian Law Commited in the Territory of Former Yugoslavia since 1991, Prosecutor v Ljube Boskoski, Johan Tarculovski, IT-04-82-T, 10 July 2008, en www.icty.org/x/cases/boskoski_tarculovski/tjug/en/080710.pdf