Por Sarah Johansson para Middle East Institute
A pesar de la importancia de los ciberataques, poco se escribió sobre la relación entre dichos ataques y la ley aplicable. Los Estados siguen luchando con las controversias relativas a las definiciones, a pesar de que existe una amplia aplicabilidad tanto de las leyes como de las normas en este contexto. Como resultado, el ciberespacio sigue siendo relativamente anárquico y las continuas controversias impiden un mayor progreso. El informe de 2020 de EU Cyber Direct (Ciber Dirección de la Unión Europea) lo ilustra al indicar cómo la falta de claridad jurídica impide que los Estados emprendan acciones legales en respuesta a los ciberataques. Por lo tanto, los ataques cibernéticos realizados por el Estado no fueron atribuidos formalmente ni cuestionados por la ley. Aunque los gobiernos centrados en el ciberespacio en Europa y en otros lugares ofrecieron aclaraciones legales formales y públicas a través de declaraciones sobre la aplicabilidad del derecho internacional en el ciberespacio, muchos Estados se quedan atrás en tales desarrollos o simplemente se niegan a articular sus puntos de vista. Sin embargo, si el derecho internacional se aplicara globalmente en este contexto, los Estados podrían aclarar los límites del comportamiento aceptable en este creciente campo de batalla. Aunque la discusión global apenas comenzó, está claro que la creciente prevalencia de las operaciones cibernéticas dirigidas por el Estado justifica una respuesta regulatoria reflexiva, innovadora e inmediata.
[Se prohíbe expresamente la reproducción total o parcial, por cualquier medio, del contenido de esta web sin autorización expresa y por escrito de El Intérprete Digital]
Los gobiernos de Medio Oriente fueron presionados para unirse a la conversación a medida que crece su relevancia y poder en el dominio cibernético. La discrepancia entre la inversión de los gobiernos regionales en el desarrollo y la implementación de capacidades cibernéticas, también contribuyó a la ambigüedad. Sin embargo, en julio de 2020, Irán se convirtió en el primer gobierno de Medio Oriente en ofrecer declaraciones públicas formales sobre su postura hacia la aplicabilidad del derecho internacional en el ciberespacio. A partir de diciembre del mismo año, tanto Irán como Israel reafirmaron este dominio con declaraciones legales específicas, publicadas por el Estado Mayor de las Fuerzas Armadas de Irán y el Fiscal General Adjunto de Derecho Internacional de Israel, mediante las cuales intentan contextualizar sus respectivas estrategias en ciberespacio.
Pero, ¿por qué son importantes las declaraciones formales sobre la aplicación del derecho internacional en el ciberespacio?. A menudo, no aportan mayor claridad ni son jurídicamente vinculantes. En todo caso, muestran lo poco clara y fácilmente discutible que es la ley en el contexto del ciberespacio. Tales declaraciones tampoco establecen definitivamente un precedente legal ni confirman la atribución o responsabilidad por el comportamiento maligno en el ciberespacio. Y, sin embargo, estas declaraciones son, en muchos casos, el único recurso para que los Estados articulen estrategias, propongan políticas y conduzcan la diplomacia. En un sentido más amplio, tales declaraciones sirven como una forma de administrar las relaciones públicas mientras las naciones trabajan activamente para enviar un mensaje a sus aliados y adversarios.
Las declaraciones de los gobiernos que describen su posición sobre cómo se aplica el derecho internacional a las actividades cibernéticas nacionales y extranjeras en general articulan: (1) qué poderes y comportamientos están dispuestos a sacrificar en la búsqueda de la paz, (2) a qué poderes no están dispuestos a renunciar, y (3) qué comportamientos y políticas consideran aceptables. Aunque, por supuesto, tales declaraciones no confirman definitivamente lo que un gobierno hará o no hará, a menudo aclaran lo que el país percibe como buena y mala conducta y permiten a los Estados alinear sus objetivos y reacciones legales y políticas.
Fundamentalmente, las declaraciones iraníes e israelíes constituyen voces particularmente significativas en el dominio cibernético. Irán es visto como una de las mayores amenazas para la ciberseguridad nacional —particularmente la estadounidense—, mientras que Israel es líder tanto en ciberseguridad estatal como en el mercado de ciberseguridad del sector privado. Su oposición entre sí, combinada con su influencia en la región, hace que estas declaraciones probablemente den forma a las futuras posturas, comportamientos y acciones de las potencias regionales menos centradas en el ciberespacio. En otras palabras, al buscar pistas sobre los marcos legales de estos Estados en el ciberespacio, los observadores legales pueden comenzar a descifrar hasta qué punto cada uno (1) está dispuesto a limitarse a sí mismo por el derecho internacional, (2) se basa en las capacidades cibernéticas como parte de sus asuntos y comportamiento internacionales, y (3) tiene como objetivo realizar operaciones cibernéticas de acuerdo con estas normas en el futuro.
Las motivaciones de las declaraciones, sus efectos y lo que nos dicen sobre los objetivos de cada Estado en el ciberespacio
Vale la pena considerar por qué Irán e Israel expresaron sus respectivas posiciones legales sobre ciberseguridad. Más allá de su respectiva importancia en el ciberespacio —aunque por motivos marcadamente diferentes— los conflictos en curso entre Israel e Irán dan algo de contexto a la emisión de cada declaración. Al emitir una declaración antes de Israel, Irán puede haber esperado ganarse el favor de los gobiernos europeos, a través de la expresión de compromiso y respeto por el derecho internacional. Israel —que a menudo adopta una postura reservada en sus compromisos con las normas internacionales con el fin de protegerse de sus adversarios— parece tener una intención más de represalia detrás de su declaración. La posición clandestina de Israel no se limita al dominio cibernético y quizás sea típica de su política exterior. La recopilación de inteligencia, los ataques y la defensa operan de una manera relativamente secreta en el ciberespacio, lo que hace que estas declaraciones legales sean aún menos útiles, excepto en su capacidad para revelar las motivaciones subyacentes. A menos que se aclaren los detalles que rodean los ataques en sí, las nomras que regulan tales actos no pueden entenderse adecuadamente. Veamos primero las motivaciones y la ejecución de estas declaraciones.
La posición de Irán en el mundo y en el ciberespacio alimenta sus motivaciones para publicar esta declaración. En primer lugar, su publicación en julio de 2020, fue el primero de los adversarios de Estados Unidos en articular su posición, fuera de las discusiones colectivas como el Grupo de Trabajo de Composición Abierta. La declaración de Irán fue ampliamente celebrada, lo que proporciona un incentivo para que otros Estados sigan su ejemplo. Más allá de esto, sugiere un compromiso con el derecho internacional que es probable que los gobiernos europeos vean favorablemente. En segundo lugar, la declaración iraní fue hecha por el Estado Mayor de las Fuerzas Armadas iraníes y es una articulación militar —o al menos gubernamental— de cómo se aplica el derecho internacional en el ciberespacio. La declaración de Israel es sutilmente diferente, ya que comenta principalmente sobre las cuestiones relacionadas con la aplicación del derecho internacional en el ciberespacio, en contraposición al funcionamiento de la ley. El vínculo directo con el ejército, también sugiere un compromiso ligeramente más estratégico. En tercer lugar, si bien la declaración puede verse como una herramienta para excusar las acciones iraníes, también abre una vía más clara para condenar el comportamiento iraní si no cumple con sus compromisos. Con cautela, el profesor de Derecho Internacional Público, Przemysław Rogusski, señaló en su comentario que “está por verse” si Irán se adherirá a sus límites autodeclarados. Solo unas semanas después de que dicho país emitiera su declaración, fue más allá de sus límites al entrometerse en las elecciones estadounidenses de 2020, es decir, enviando mensajes masivos amenazadores a los votantes. Por lo tanto, Irán parece haber actuado ilegalmente según las normas que estableció en su propia declaración. Aún no está claro cómo reaccionarán Estados Unidos y otros países ante este delito en el ciberespacio. La reciente actividad cibernética de Irán plantea la pregunta de si la declaración funcionó hasta cierto punto como una prueba de que el régimen puede salirse con la suya.
La declaración israelí, escrita por el Fiscal General Adjunto de Derecho Internacional del país, Roy Schöndorf, tiene el tono de un análisis jurídico académico más que de declaración política. Es más largo, más sospechoso de la aplicabilidad de la ley a los ataques cibernéticos que no causan destrucción física o muerte, y se titula: Perspectiva de Israel sobre cuestiones legales y prácticas clave relativas a la aplicación del derecho internacional a las operaciones cibernéticas —y añade énfasis en “cuestiones”—. A pesar de estas diferencias, la declaración también ofrece una visión mucho más realista de muchas cuestiones legales complejas en el ciberespacio y muestra una comprensión mucho más sofisticada del contexto de seguridad más amplio. El comunicado israelí, publicado unos meses después de que Irán hiciera el suyo, sugiere que puede haber sido realizado en respuesta a la declaración iraní, posiblemente para ofrecer a los gobiernos regionales una alternativa al enfoque iraní. Es poco probable que Israel hubiera articulado tal posición en ausencia de una declaración iraní, ya que esto habría contradecido su tendencia a no comentar públicamente sobre cuestiones de seguridad. Israel, como un actor importante en el ciberespacio y alineado con las intenciones de Estados Unidos —otra superpotencia cibernética— tiene un interés crucial en participar en la formación del derecho internacional en el ciberespacio. Las ambiciones de Israel quedan ilustradas además por las numerosas referencias de la declaración al sector privado, que demostró ser un terreno fértil para el crecimiento de Israel en el ámbito cibernético y, en general, en el escenario internacional. Debido tanto a su posición internacional como a sus inversiones nacionales, el papel de Irán es limitado en el mercado de la ciberseguridad privada, particularmente a nivel internacional. Por ello, Irán se enfoca mucho más en la defensa y casi ignora por completo la relevancia de los actores privados en su declaración. Israel, por el contrario, invierte y se posiciona legalmente para defender un mercado de ciberseguridad abierto y competitivo.
Al escribir estas declaraciones, ambos gobiernos muestran de qué manera y en qué medida están abiertos al desarrollo futuro de la regulación en el ciberespacio. Israel explora detenidamente las complejidades de la regulación en el ciberespacio y expresa su renuencia a aceptar más límites legales a las acciones. El asunto del derecho internacional en el ciberespacio, argumenta Israel, no se trata de la creación de nuevas leyes, sino de la consideración y aplicación de las leyes existentes. Sin embargo, Israel es cauteloso incluso en la aplicación de la ley existente, dejando el ciberespacio en un ‘vacío legal’ en el que es libre de actuar. Schöndorf también señala que “la discusión de la ley en el ciberespacio está en sus inicios y sostiene que mucho más comportamiento estatal y desarrollo de normas deberían preceder a las nuevas reglas”. Entonces, la pregunta sigue siendo: ¿qué nos dicen estas declaraciones sobre la posición de los Estados sobre las normas legales existentes para el comportamiento aceptable en el ciberespacio?.
[Se prohíbe expresamente la reproducción total o parcial, por cualquier medio, del contenido de esta web sin autorización expresa y por escrito de El Intérprete Digital]
Sarah Johansson es una becaria de posgrado del Cyber Program de MEI. Su trabajo anterior ha considerado las competencias legales internacionales de los ciberataques perpetrados y patrocinados por el estado. Recibió su grado en Derecho con especialización en Derecho Internacional Público de Queen Mary, Universidad de Londres.
N.d.T.: El artículo original fue publicado por MEI el 17 de marzo de 2021.
