El Derecho Internacional Humanitario en los ciberataques

Entre los próximos 9 al 12 de diciembre se celebrará en Ginebra (Suiza) la XXXIII Conferencia Internacional de la Cruz Roja y de la Media Luna. Uno de los documentos que se abordará en el encuentro es el titulado ‘El Derecho Internacional Humanitario y los desafíos de los conflictos armados contemporáneos’, elaborado por el Comité Internacional de la Cruz Roja.

El texto recoge reflexiones sobre los cambios que traen consigo las nuevas tecnologías y los ciberataques, habiendo contado para ello con el asesoramiento de expert@s en la materia de todo el mundo, poniendo el énfasis en que algunas de las infraestructuras civiles que más podrían verse afectadas por este tipo de ataques serían las sanitarias. El consenso experto concluyó que este sector es particularmente vulnerable a los ataques cibernéticos, dada lo avanzada de la digitalización e interconectividad en la Sanidad.

Buena parte de los dispositivos médicos en los hospitales ya se encuentran conectados a la red hospitalaria; incluso los dispositivos biomédicos, como los marcapasos y las bombas de insulina, comienzan ya a estar conectados de forma remota a través de internet. Esta situación propicia que los riesgos potenciales de sufrir ataques cibernéticos se multipliquen exponencialmente.

Otras infraestructuras críticas, como las instalaciones de electricidad, agua y saneamiento aparecen también como otras en las que los ataques cibernéticos pueden causar un daño significativo a la población civil. La clave está en los sistemas de control industrial con que se opera este tipo de infraestructuras. Aunque es cierto que históricamente los ciberataques a estas instalaciones han sido los menos frecuentes, el informe advierte que cada vez se producen más y alarma sobre el aumento de la gravedad de la amenaza.

Tres aspectos preocupan especialmente a la Cruz Roja:

• El primero de ellos consiste en lo impredecible de los ataques, incluso, cuando el objetivo se sabe espiado. Ante ese escenario, la infraestructura que se encuentra en el punto de mira no sabrá a ciencia cierta si únicamente está siendo víctima de espionaje o, por el contrario, si sufrirá un ataque real.
• En segundo lugar, preocupa el hecho de que el control de las herramientas cibernéticas más avanzadas se encuentra únicamente en manos de unos pocos. Incluso cuando estas herramientas son utilizadas, robadas o filtradas por terceros, los únicos capacitados para detenerlas o revertirlas son quienes las desarrollaron, quedando en sus manos el fin con que quieran hacerlo.
• Finalmente y aunque no es imposible averiguar quién creó o lanzó un ciberataque, es muy complicado atribuirlo a un sujeto concreto. Esa facilidad para negar la autoría de un ataque telemática podría eliminar los escrúpulos a la hora de violar el derecho internacional recurriendo a ellos en determinadas situaciones.

Ante este panorama, la Cruz Roja hace un llamamiento a respetar el Derecho Internacional Humanitario (DIH). Tal y como indica el organismo internacional, se trata de un conjunto de normas internacionales de origen convencional y consuetudinario, específicamente destinado a ser aplicado en los conflictos armados, internacionales o no, que limita, por razones humanitarias, el derecho de las partes en conflicto a elegir libremente los métodos (modos) y medios (armas) de hacer la guerra y que protege a las personas y los bienes afectados o que puedan resultar afectados por ella.

Aplicando el DIH  a los nuevos escenarios de guerras cibernéticas, los atacantes deberían respetar y proteger las instalaciones médicas y el personal en todo momento. No en vano el DIH prohíbe específicamente atacar, destruir, eliminar o inutilizar objetivos que sean indispensables para la supervivencia de la población civil. En términos más generales, el DIH prohíbe dirigir ataques cibernéticos contra la infraestructura civil, así como ataques cibernéticos indiscriminados y desproporcionados.

Y es que aunque la tendencia que vemos en los casos más populares de código malicioso es que éste se propaga masivamente, lo cierto es que en su diseño está todo meticulosamente contemplado. Dicho de otro modo, las operaciones cibernéticas pueden diseñarse de manera muy precisa para tener un efecto solo en objetivos específicos, que pueden ser utilizados de conformidad con los principios y normas del DIH.

Por otro lado, el informe de la Cruz Roja pone encima de la mesa dos cuestiones especialmente interesantes: ¿Debería el DIH regular también el ataque a los datos personales? Es un debate abierto, toda vez que la progresiva digitalización de la sociedad nos hace cada vez más dependientes de los datos y el robo o modificación de éstos podrían hacer tambalear el orden establecido.

La segunda de las cuestiones abordada es el uso de la tecnología digital para articular campañas de desinformación y propaganda capaces de enfrentar a la población. Estos métodos ya han probado su eficacia a la hora de incrementar la tensión y provocar mayores niveles de crispación. Ello, sumado al aumento de la vigilancia digital y el potencial de la Inteligencia Artificial y el aprendizaje automático de los sistemas hacen plantearse sin el DIH no estaría quedándose corto.

Para concluir, un mensaje de esperanza: el uso del procesamiento masivo de datos (big data, como es conocido), ya está ayudando a la Cruz Roja para anticipar, comprender y responder a las crisis humanitarias. Otros beneficios que trae consigo la tecnología para este organismo es la posibilidad de interactuar tanto con los beneficiarios como con las partes en conflictos armados; restablecer los vínculos familiares o facilitar la comunicación entre los detenidos y sus seres queridos, entre otras.