Control de los conflictos cibernéticos

En una reciente encuesta a profesionales de ciberseguridad, durante su conferencia anual celebrada en Las Vegas y denominada ‘BlackHat’, el 60% de los encuestados dijeron que creían que Estados Unidos en los próximos dos años iba a sufrir un ataque exitoso contra su infraestructura de importancia crítica. Además, la política estadounidense continúa convulsionada a causa de las secuelas de la ciberinferencia rusa en las elecciones del año 2016. En este contexto se plantea la siguiente pregunta: ¿serán los ataques cibernéticos la tendencia inevitable que sobrevendrá en el futuro, o existe la posibilidad de desarrollar normas para controlar los conflictos cibernéticos internacionales?

Es posible aprender lecciones que nos deja la historia de la era nuclear. A pesar de que las tecnologías cibernéticas y nucleares son muy distintas, el proceso por el cual la sociedad aprende a hacer frente a una tecnología altamente disruptiva muestra semejanzas que son instructivas. Los Estados tardaron aproximadamente dos décadas en llegar a los primeros acuerdos de cooperación durante la era nuclear. Si la fecha del inicio del problema de la ciberseguridad no se determina como los albores de la red de Internet en los años setenta, y en cambio se considera que este problema entró en debate recién a partir de finales de los años noventa, cuando la creciente participación hizo de Internet el sustrato de la interdependencia económica y militar (aumentando así nuestra vulnerabilidad), en la actualidad la cooperación con respecto a dicho problema está cerca de alcanzar el hito de las dos décadas.

Los primeros esfuerzos en la era nuclear fueron pactos que no tuvieron éxito y que se centraban en las Naciones Unidas. En el año 1946, Estados Unidos propuso el plan Baruch para el control de la energía atómica por parte de la ONU, pero la Unión Soviética rápidamente rechazó encerrarse en una posición de inferioridad tecnológica. No fue hasta que después de la Crisis de los Misiles de Cuba del 1962 que se firmó un primer acuerdo de control de armas, el Tratado de Prohibición Parcial de Ensayos, en el año 1963. Posteriormente se firmaron el Tratado de No Proliferación Nuclear del año 1968 y el Tratado de Reducción de Armas Estratégicas en el 1972, este último un tratado bilateral entre EE.UU y la URSS.

En el ámbito cibernético, en el año 19999 Rusia propuso un tratado bajo los auspicios de la ONU para prohibir las armas electrónicas y de información (incluida la propaganda). Junto con China y otros miembros de la Organización de Cooperación de Shanghái, Rusia continuó impulsando un tratado amplio que tenga como base la ONU.

Estados Unidos se resistió al mismo, por considerarlo como un esfuerzo para limitar las capacidades estadounidenses, y este país continúa considerando que un tratado amplio es inverificable y engañoso. En cambio, Estados Unidos, Rusia y otros 13 Estados acordaron que el Secretario General de la ONU debería designar a un Grupo de Expertos Gubernamentales (GEG), mismo se reunió por primera vez en el año 2004.

Ese grupo inicialmente produjo resultados escasos; pero, en julio de 2015, emitió un informe, que fue aprobado por el G20 y en el que se proponían normas para limitar conflictos y medidas para fomentar la confianza. No es infrecuente que se constituyan grupos de expertos durante los procesos de las Naciones Unidas; sin embargo, rara vez su trabajo se eleva desde el sótano de la ONU hasta una cumbre de los 20 Estados más poderosos del mundo. Pero, si bien el éxito del GEG fue extraordinario, el mes pasado el GEG fracasó y no pudo emitir un informe de consenso para la reunión del G20 del año 2017.

El proceso del GEG tiene limitaciones. Los participantes son técnicamente asesores del Secretario General de la ONU en lugar de ser negociadores nacionales plenamente facultados. Con el paso de los años, a medida que aumentó el número de Estados miembros del GEG, pasando de los 15 miembros originales a 20 y luego a 25, este grupo se hizo más difícil de manejar y los temas políticos se tornaron en más intrusivos. Según un diplomático que ha sido figura central en el proceso, unos 70 países han expresado interés en participar. Sin embargo, a medida que los números se expanden, aumenta la dificultad de llegar a un acuerdo.

Hay una amplia gama de puntos de vista sobre el futuro del proceso del GEG. Se tenía un primer borrador de un nuevo informe a principios de este año, y el presidente alemán en funciones de este grupo argumentó que no se debía reescribir el informe del año 2015, sino que se debía tratar de decir más acerca de los pasos que los Estados deben tomar en tiempo de paz.

Algunos Estados sugirieron nuevas normas para abordar la integridad de los datos y el mantenimiento de las estructuras centrales de Internet. Hubo un acuerdo general sobre las medidas de fomento de la confianza, así como sobre la necesidad de fortalecer la capacidad. Estados Unidos y otros Estados con ideas afines presionaron para aclarar más el acuerdo anterior con respecto a que las leyes internacionales sobre conflictos armados, incluidas las leyes sobre el derecho de autodefensa, se aplican en el ciberespacio; sin embargo, China, Rusia y sus aliados se mostraron reacios a llegar a un acuerdo al respecto. Y, el deterioro de las relaciones entre Estados Unidos y Rusia agrió el clima político.

Por otra parte, mientras algunos Estados esperan revivir el proceso del GEG o ampliarlo para que sea un proceso más amplio de la ONU, otros son escépticos, y creen que el progreso a futuro se limitará a discusiones entre Estados con ideas similares, en lugar de conducir a acuerdos universales.

Las normas que alcancen la madurez necesaria como para ser debatidas fuera del proceso del GEG podrían incluir aquellas relativas al estatus protegido para las funciones básicas de Internet; los estándares de la cadena de suministro y la responsabilidad por el Internet de las cosas; el tratamiento de procesos electorales como infraestructura protegida; y, más ampliamente, normas para problemas como la delincuencia y la guerra de la información. Todos estos son algunos de los temas que pueden ser considerados por la nueva e informal Comisión Global sobre Estabilidad en el Ciberespacio establecida a principios de este año y presidida por la ex ministra de Asuntos Exteriores de Estonia, Marina Kaljurand.

El progreso con respecto a los próximos pasos de la formación de normas requerirá el uso simultáneo de muchos formatos diferentes, tanto privados como gubernamentales. Por ejemplo, el acuerdo de 2015 entre China y Estados Unidos para limitar el espionaje cibernético industrial fue un acuerdo bilateral que fue adoptado posteriormente por el G20.

En algunos casos, el desarrollo de normas entre Estados con ideas similares puede atraer la adhesión de otros en un momento posterior. En otros, como en el caso del Internet de las Cosas, las normas para los estándares de seguridad pueden beneficiarse, en cuanto al establecimiento de códigos de conducta, del liderazgo de partes interesadas provenientes del sector privado o del sector sin fines de lucro. Asimismo, se debe también señalar que en algunas áreas el progreso no necesita esperar que otros se adhieran.

Un régimen de normas puede ser más robusto cuando los vínculos no son demasiado estrechos, y un tratado que cubra muchas áreas bajo los auspicios de la ONU perjudicaría tal flexibilidad en este momento. La expansión de la participación es importante para la aceptación de normas, pero el progreso requerirá de acción en muchos frentes. Ante esto, el fracaso del GEG en julio de este año 2017 no debe considerarse como el final del proceso.