Fuente: Real Instituto elcano. Txt: Andrea Cocchini. ARI 27/2021 – 2/3/2021
El problema de la atribución de la responsabilidad internacional a ciberatacantes respaldados por Estados sigue sin una solución eficaz. Se sugiere que el estándar de la “ciberdiligencia debida” podría ser una posible respuesta.
Resumen
Si ya es difícil atribuir técnicamente un ciberataque a un grupo de ciberatacantes que opere en el territorio de otro Estado, no es más fácil atribuírselo jurídicamente debido a la regulación internacional aplicable al ciberespacio. Por ello, este ARI estudia las dificultades que existen para atribuir un ciberataque según los instrumentos del Derecho Internacional disponibles en la actualidad. Sugiere, entonces, recurrir al estándar de la “ciberdiligencia debida”, que conllevaría para todo Estado la obligación de prevenir, mediante actividades de monitoreo, posibles ciberamenazas provenientes de grupos privados radicados en el territorio de un Estado.
Análisis
En una sociedad internacional cada vez más sometida a la economía digital no sorprende que aumenten los problemas de ciberseguridad. Los ciberataques tienen objetivos muy dispares y provienen de entidades heterogéneas, ya sean actores estatales o internos. Entre ellos, los que perpetran los actores-Estado y los grupos de actores no estatales respaldados por Estados representan una de las principales ciberamenazas en la comunidad internacional. Estos utilizan el ciberespacio para realizar, junto con actividades ya clásicas de ciberguerra, ciberespionaje y sabotaje, también operaciones de influencia en la opinión pública entre los nacionales de otros Estados mediante la desinformación. Pese a que la casuística en estos ámbitos ya sea muy amplia, el Derecho Internacional aún no cuenta con una regulación internacional obligatoria que permita resolver las dificultades jurídicas que nacen de estos tipos de ciberamenazas.
Es cierto que, en el ámbito ciberespacial, se aplican la Carta de la ONU y los demás principios derivados de la soberanía estatal. No obstante, debido a las características específicas del ciberespacio, las normas consuetudinarias sobre la responsabilidad internacional del Estado no siempre resultan adecuadas para regularlo de forma satisfactoria. Y, aunque parece estar formándose un deseo común por parte de algunos Estados de ajustar la reglamentación internacional, la realidad internacional actual necesita soluciones jurídicas eficaces en lugar de criterios un tanto obsoletos. Así parece pedirlo, por ejemplo, la última Estrategia Nacional de Ciberseguridad (ENCS) de 2019, cuya sexta línea de acción propone fomentar el multilateralismo a nivel internacional y regional para reforzar la aplicación del Derecho Internacional al ciberespacio.
En consecuencia, el material al que podemos acudir sigue siendo el Manual de Tallin sobre Derecho Internacional aplicable a la ciberguerra (2013) y, sobre todo, el Manual de Tallin 2.0 sobre Derecho Internacional aplicable a las operaciones cibernéticas (2017). Éstos, pese a no ser instrumentos jurídicos obligatorios, cuentan con la autoridad de los especialistas que los elaboraron, recogen algunas disposiciones que ya se consideran costumbres internacionales del ciberespacio y se adoptaron en el seno de la OTAN, organización neurálgica para facilitar la cooperación internacional en ciberseguridad junto con otras organizaciones multilaterales que se enumeran en la mencionada Estrategia Nacional de Ciberseguridad.
El problema de la atribución de los ciberataques
Según el CCN-CERT, la atribución y la responsabilidad son “dos de los aspectos más importantes cuando se trata de derrotar a los ciberatacantes”, porque sin riesgos y sin responsabilidad seguirán actuando.
En Derecho Internacional, el concepto de atribución no sirve para la identificación técnica de los ordenadores desde los cuales se lanzó un ciberataque y de las personas que lo ejecutaron materialmente. Indica, en cambio, la operación jurídica necesaria para entender si una cierta conducta de uno o más individuos es reconducible a un Estado específico. Es cierto que la demostración de la atribución técnica antecede a la verificación de la atribución jurídica como precondición para la imputabilidad de un ciberataque a un Estado concreto.
No obstante, aunque se consiguiera atribuir técnicamente un ciberataque a un grupo no estatal bajo la jurisdicción de otro Estado, aún más complicado podría ser atribuírselo jurídicamente debido a la insuficiente y un tanto envejecida normativa internacional de la que disponemos. En efecto, ni siquiera el Manual de Tallin 2.0 aclara el problema de la atribución y la responsabilidad, indicándonos algunos criterios para saber en qué circunstancias sería posible atribuir a los Estados la responsabilidad internacional por ciberataques de actores no estatales asentados en su territorio o bajo su jurisdicción.
Por tanto, lo que este trabajo sugiere es la adopción de un nuevo estándar, llamado “ciberdiligencia debida” a partir de la extensión del criterio tradicional de “diligencia debida”, que facilite saber cómo y cuándo atribuir la responsabilidad internacional a los Estados por los ciberataques mencionados.
La extensión de la diligencia debida al ciberespacio: la “ciberdiligencia debida”
Para intentar resolver este problema, viene en ayuda el estándar de la diligencia debida (due diligence), que entraña para los Estados el deber de garantizar que, dentro de su territorio o jurisdicción, no se vulneren los intereses y los derechos de los demás Estados. En caso contrario, se les podrá atribuir la responsabilidad por no adoptar las medidas necesarias para evitar un hecho ilícito internacional.
En el presente estudio, se afirma que este estándar sería extensible por analogía a las operaciones cibernéticas bajo la forma de un nuevo criterio de “ciberdiligencia debida”. Este concepto presenta dos ventajas importantes respecto a la regla tradicional de la atribución. En primer lugar, solucionaría el problema de la atribución técnica de un ciberataque, porque impondría a los Estados vigilar a priori las actividades informáticas potencialmente dañinas desarrolladas en su interior. En segundo lugar, la ciberdiligencia debida facilitaría la atribución jurídica, porque atribuiría la responsabilidad internacional al Estado que no adopte las medidas preventivas útiles para evitar un ciberataque que cause “daños significativos” a otro. Todo ello sin necesidad de averiguar el “control efectivo” del Estado territorial sobre el grupo no estatal autor del ciberataque, como pide la regla clásica de la atribución.
El inconveniente principal del Manual de Tallin 2.0 es que rechaza la aplicación en el ciberespacio del criterio de precaución –una de las concreciones del estándar de diligencia debida–, que conlleva el deber de todo Estado de prevenir las actividades ilícitas contra terceros Estados que se originen en su territorio. Sin embargo, el Manual prevé que los Estados deban obviar sólo aquellas ciberamenazas que podrían tener “consecuencias graves” para los demás Estados. Con lo cual, no se cargaría a los Estados con una responsabilidad objetiva para todo tipo de daño derivado de sus territorios; la responsabilidad estatal se daría solo cuando el daño llegase a constituir una “preocupación legítima en las relaciones entre Estados”, es decir, algo más que “un simple inconveniente”.
En efecto, en la mayoría de los casos, las actividades cibernéticas transfronterizas no provocan ningún daño importante o tan solo daños mínimos a los demás Estados, como la desfiguración de una página web o denegaciones de servicios no esenciales. Dicho de otra forma, no se trataría de eludir todo ciberataque potencial, sino solo los que un Estado “razonable” podría evitar según una serie de elementos circunstanciales como la gravedad de la posible amenaza, los medios técnicos a su disposición o su conocimiento de un cierto riesgo.
Los comentarios a la regla 7 del Manual subrayan que las “medidas practicables” excluyen la del monitoreo de las infraestructuras cibernéticas estatales como condición para cumplir con la diligencia debida. No obstante, parece ser éste uno de los límites más importantes del Manual al no impulsar un deber general de prevenir los ciberataques mediante un deber de monitoreo. A falta de un tratado internacional, debería poder imputarse a los Estados la responsabilidad internacional por transgredir el estándar de ciberdiligencia debida cuando omitan evitar, también mediante acciones de monitoreo informático, los ciberataques de grupos privados radicados en su territorio. Si un Estado esperase al conocimiento cierto de la inminencia de un ciberataque determinado –lo que pide el Manual 2.0–, podría ser demasiado tarde. Por eso, entre las medidas “razonablemente” posibles para los Estados, habría que incluir la adopción de una legislación interna específica que cree órganos judiciales y administrativos dedicados especialmente a la prevención, monitoreo y sanción de los ciberataques organizados en su territorio contra otros Estados.
Admitiendo las actividades de monitoreo como parte integrante de la ciberdiligencia debida, el Estado víctima de un ciberataque podría esgrimir que el Estado desde cuyo territorio se lanzó omitió tomar las medidas de conocimiento previo necesarias para evitarlo. Si el Estado responsable no demostrase haber adoptado estas medidas, habría violado el estándar de ciberdiligencia debida, con lo que se le podría atribuir responsabilidad internacional por el ciberataque y evitar a la vez una posible escalada en las tensiones. En caso contrario, si el Estado responsable alega haber cumplido con estas medidas de conocimiento previo, el Estado víctima podría esgrimir la prueba del “conocimiento constructivo”, es decir, aquel que se puede esperar razonablemente de todo Estado.
Así, los Estados malintencionados ya no podrían aprovechar las brechas jurídicas de la diligencia debida del Manual para permitir, más o menos voluntariamente, que grupos de actores no estatales utilicen su territorio como trampolín para lanzar sus ciberataques contra otros Estados. En este caso, podrían considerarse responsables del hecho ilícito internacional porque su inacción los convertiría en santuarios para los ciberatacantes. Además, su responsabilidad permitiría a los Estados afectados recurrir a todos los medios que pone a su disposición el Proyecto de artículos sobre la responsabilidad del Estado por hechos internacionalmente ilícito (2001), desde la solicitud de reparación del daño a las contramedidas, hasta llegar, dependiendo de la gravedad del acto, a la legítima defensa del artículo 51 de la Carta de la ONU.
Conclusiones
Frente a un Derecho Internacional que no sabe dar una respuesta eficaz ante el problema, cada vez más apremiante, de cómo atribuir responsabilidad internacional al Estado por los ciberataques originados en su territorio, este análisis propone la aplicación del concepto de “ciberdiligencia debida”. Dicho estándar incluiría un deber de reaccionar junto con el de prevenir, como ya se reconoce en otros ámbitos del Derecho Internacional contemporáneo. Por ejemplo, en el Derecho del medioambiente, en el que el respeto de la diligencia debida supone no solo la adopción de una legislación nacional adecuada, sino la vigilancia estricta de su cumplimiento por parte de los operadores públicos y privados involucrados en actividades peligrosas para el medioambiente.
Desde este prisma, no faltan propuestas esperanzadoras, como las mencionadas a propósito de la última Estrategia Nacional de Ciberseguridad, que apuestan decididamente por desarrollar el Derecho Internacional del ciberespacio y fomentar los mecanismos que permitan la oportuna investigación y persecución de los autores de ciberataques para incrementar las posibilidades de atribución, unos instrumentos por desarrollar en asociación con otras actuaciones preventivas que disuadan o dificulten la comisión de ciberataques.
Parece así que exista cierta voluntad de algunos Estados –¿tal vez ya su opinio juris?– de querer adecuar el Derecho Internacional a la realidad del ciberespacio, que exige adoptar respuestas jurídicas eficaces en lugar de preservar estándares jurídicos ya superados por los tiempos. Estas respuestas podrían concretarse en las actividades de monitoreo descritas arriba, fundamentadas jurídicamente en la noción de “ciberdiligencia debida”.
