Ante la ciberguerra, ¿hace falta una Convención de Ginebra digital?
Expertos plantean la necesidad de un convenio que proteja a los civiles de ciberataques contra redes eléctricas y sistemas que afecten a los ciudadanos
Los conflictos digitales y la acción militar están cada vez más entrelazados, y los objetivos civiles —tanto empresas privadas como usuarios de internet— son vulnerables en el fuego cruzado digital. Pero ya hay fuerzas que trabajan para promover la paz en internet.
Será un reto difícil: en mayo de 2019, Israel respondió a ciberataques de Hamás con un ataque aéreo inmediato que destruyó el edificio de la Franja de Gaza donde se encontraban los hackers.
Estados Unidos había hecho algo similar en 2015, lanzando un ataque con drones para matar a un supuesto hacker del Estado Islámico en una operación que se gestó durante meses. En julio de 2019 Estados Unidos además invirtió la ecuación, desactivando digitalmente los sistemas de lanzamiento de misiles iraníes en respuesta a que Irán derribara un dron militar estadounidense sobre el Estrecho de Hormuz.
Las empresas estadounidenses temen ser blanco de represalias por el ataque de Irán. Incluso las organizaciones sin ánimo de lucro necesitan aprender a protegerse de las ciberamenazas, tanto de los gobiernos como de los ciberterroristas. El ciberespacio nunca se ha mostrado tan inestable, e incluso hostil.
Al mismo tiempo docenas de países y cientos de empresas y organizaciones sin ánimo de lucro trabajan ya para lograr un espacio digital más seguro para todos, en lo que se podría llamar incluso ciberpaz.
El cibercrimen cada vez es más fácil
Los robos de datos y las violaciones de seguridad como la llevada a cabo por los Shadow Brokers, revelada en 2016, dieron a conocer herramientas de hacking extremadamente avanzadas, incluyendo las creadas por la Agencia de Seguridad Nacional (NSA) de EEUU. Los ciberdelincuentes están utilizando esos programas y otros para secuestrar los sistemas informáticos (ramsonware) y los datos gubernamentales.
Algunas empresas se han visto obligadas a cambiar la mensajería instantánea por notas escritas después de los ataques de ramsonware y de otros delitos cibernéticos recientes.
En algunos casos el gobierno de Estados Unidos ha optado por utilizar tecnologías analógicas de probada eficacia; para garantizar la seguridad de la red eléctrica, por ejemplo.
Un creciente esfuerzo internacional
Los gobiernos de Francia y Nueva Zelanda, entre otros, trabajan para promover estándares internacionales de buen comportamiento digital, con el objetivo de reducir la inseguridad cibernética. A esa colación se están uniendo organizaciones sin fines de lucro como Online Trust Alliance, Cyber Peace Alliance, Cybersecurity Tech Accord y ICT4Peace, además de que importantes donantes como la Hewlett Foundation y el Carnegie Endowment for International Peace.
Por mi parte, soy el director interino del Ostrom Workshop de la Universidad de Indiana, que incluye el Grupo de Trabajo de Cyber Peace, uno de los varios grupos académicos que también trabajan para proteger Internet y a sus usuarios.
Aunque es demasiado para cantar victoria ya hay algunos indicios de éxito, incluyendo el resultado de una reunión que tuvo lugar en París en noviembre de 2018. Entonces más de 60 países —aunque no los Estados Unidos— firmaron la Llamada de París para la Confianza y la Seguridad en el Ciberespacio, junto con más de 130 empresas y 90 universidades y organizaciones sin fines de lucro.
El documento es una amplia declaración de principios que se centran en la mejora del «ciberhigiene», junto con «la seguridad de los productos y servicios digitales» y la «integridad de Internet», entre otros temas. No obliga legalmente a sus participantes a hacer nada, pero establece algunos puntos básicos que podrían, con el tiempo, convertirse en leyes y normas de obligado cumplimiento.
Sus críticos se preguntan si es demasiado pronto para establecer compromisos globales dado que las cuestiones fundamentales de la soberanía sobre Internet siguen sin resolverse. Sin embargo la Llamada de París, como poco, ya iniciado un diálogo en torno al alcance y significado de la ciberpaz.
Otro esfuerzo internacional comenzó tras el tiroteo masivo de marzo de 2019 en dos mezquitas de Christchurch, Nueva Zelanda. Los gobiernos de 18 naciones —junto con más de una docena de empresas de tecnológicas conocidas, como Google y Facebook— adoptaron el Llamamiento de Christchurch para Eliminar el Contenido Terrorista y Violento Extremista en Internet.
Este esfuerzo ha llevado a muchas de las empresas implicadas a cambiar sus políticas con respecto a la incitación al odio y la desinformación en sus plataformas. YouTube, por ejemplo, propiedad de la empresa matriz de Google Alphabet, anunció una nueva política contra la incitación al odio que prohíbe el contenido «que alegue que un grupo es superior para justificar la discriminación, segregación o exclusión basada en cualidades como la edad, el sexo, la raza, la casta, la religión, la orientación sexual o la condición de veterano».
El Llamamiento de Christchurch también ha amplificado el debate sobre la ciberpaz para incluir cuestiones espinosas sobre la democracia, como por ejemplo cómo equilibrar la libertad de expresión con los límites del contenido extremista.
¿Una Convención de Ginebra digital?
Un elemento clave sigue siendo la necesidad de proteger a los civiles de los daños en futuros conflictos cibernéticos como los ataques contra la red eléctrica, las presas y contra otros sistemas que afectan a la vida cotidiana de gran parte de los ciudadanos.
Una idea es elaborar una versión digital de los Convenios de Ginebra, que desde hace más de un siglo tratan de proteger vidas inocentes y de civiles en los conflictos militares. También sería útil un tratado internacional que se basara en el Tratado sobre el Espacio Ultraterrestre, el Tratado Antártico o la Convención de las Naciones Unidas sobre el Derecho del Mar.
Sin embargo todavía no existe un gran «Tratado para el Ciberespacio». El acuerdo internacional más parecido y con el mayor número de ratificaciones es hasta ahora el Convenio del Consejo de Europa sobre la Ciberdelincuencia de 2004, también denominado Convenio de Budapest, que rige el enjuiciamiento internacional y la extradición de ciberdelincuentes. La ONU tiene varios grupos trabajando en aspectos de ciberseguridad internacional.
Pero igual que sucede con las posibles soluciones al cambio climático, de momento no se está poniendo demasiada energía política en este asunto.
Progresos hacia la ciberpaz
En un intento por ayudar a la gente a enfrentarse por sí misma a los peligros digitales, la organización sin ánimo de lucro Consumer Reports ha lanzado el programa «Estándar Digital» que evaluará y clasificará las características de privacidad y seguridad de varios dispositivos y servicios conectados a Internet.
El mundo académico también está contribuyendo con herramientas como la herramienta Security Planner, creada por Citizen Lab de la Universidad de Toronto, que ayuda a grupos civiles y a investigadores universitarios a proteger sus datos.
Queda mucho por hacer, tanto política como técnicamente, para proteger a una sociedad que es digitalmente dependiente. La clave será centrarse en una visión más positiva de la paz que incluya una mejor gobernanza, el respeto de los derechos humanos, la ampliación del acceso a Internet en todo el mundo y la educación acerca de cómo protegerse digitalmente uno mismo, y a los demás.
No será algo que suceda de la noche a la mañana y el camino estará lleno de curvas. Consideremos que el Pacto Kellogg-Briand de 1928 o Pacto de París, a menudo olvidado prohibió la guerra ofensiva. No funcionó, pero sí ayudó a sentar las bases de las Naciones Unidas y de un escenario internacional más estable.
Del mismo modo un acuerdo de ciberpaz basado en iniciativas como el Llamamiento de París y el Acuerdo sobre tecnología de ciberseguridad, podría, con el tiempo, llevar a la comunidad internacional hacia una mayor estabilidad en el ciberespacio. Una posibilidad que se inspire en los esfuerzos para luchar contra el cambio climático para que naciones, pueblos, grupos e incluso individuos acaten unos «Compromisos de ciberpaz» que impulsen una solución colectiva.
Trabajando juntos es posible que podamos lograr la ciberpaz a través de una mezcla que avergüence y desprestigie a quien no la respeta, y que inspire a usuarios, empresas y legisladores para que actúen.
— Scott Shackelford, Associate Professor of Business Law and Ethics; Director, Ostrom Workshop Program on Cybersecurity and Internet Governance; Cybersecurity Program Chair, IU-Bloomington, Indiana University
— Este artículo fue publicado originalmente en The Conversation. Lea el original.