Los machetes, las balas y las bombas ya no son los únicos medios para cometer crímenes de guerra. Las armas cibernéticas desempeñan un papel cada vez mayor en los conflictos armados y pueden ocasionar severos daños entre la población civil. Por eso, la Corte Penal Internacional (CPI), asimismo famosa como Tribunal Penal Internacional, se ha propuesto investigar los llamados cibercrímenes de guerra, los que se cometen por medios digitales. Así lo deslizó este verano el fiscal jefe del organismo, Karim Khan, en un artículo publicado en la gaceta Foreign Policy. Fuentes de la CPI han confirmado a Forbes Hispano que ya están estudiando los primeros casos, si bien no pueden detallar de cuáles son. Todos los ojos apuntan a la guerra de Ucrania, donde Microsoft documentó múltiples ciberataques lanzados de manera coordinada con ataques militares usuales.
“La ciberguerra no se desarrolla en un plano abstracto. Al contrario, puede tener un impacto profundo en la vida de la gente”, escribe el jurista británico. “Los intentos de impactar infraestructuras críticas como instalaciones médicas o los sistemas de control de las plantas de energía pueden tener consecuencias inmediatas para muchos, particularmente para los más vulnerables. Consecuentemente, como parte de sus investigaciones, mi oficina recogerá y examinará pruebas de tales conductas”, asevera.
Lo que afirma el fiscal jefe en el artículo es ya la nueva doctrina de la Corte. “La CPI tiene jurisdicción sobre genocidios, crímenes contra la humanidad, crímenes de guerra y crímenes de agresión [de un país a otro], según definen los artículos 5 a 8bis del Estatuto de Roma. Si hay operaciones en el ciberespacio que encajen en estos tipos de crimen, entonces podrían ser investigados y juzgados por la CPI”, aseguran a este periódico desde la oficina del fiscal jefe.
Establecida en dos mil dos en razón del Estatuto de Roma, la Corte Penal Internacional se considera un avance esencial en defensa del derecho internacional. Los genocidios de la vieja Yugoslavia (mil novecientos noventa y uno-mil novecientos noventa y cinco) y de Ruanda (mil novecientos noventa y cuatro), juzgados por sendos tribunales penales internacionales adhoc, aceleraron la necesidad de establecer un organismo permanente que persiga los crímenes humanitarios.
Los casos que examina la CPI pueden llegar tras la demanda de un Estado que forme una parte de la Corte, por indicación del Consejo de Seguridad de Naciones Unidas o por iniciativa del fiscal jefe. El Estatuto de Roma ha sido firmado y ratificado por ciento veintitres Estados. Hay ausencias muy destacadas: Estados Unidos, Rusia, China, India o Israel están fuera. La Corte tiene ahora 17 investigaciones en marcha, incluyendo una abierta el año pasado en Ucrania.
La resbaladiza arena digital
Una de las complejidades propias de la arena cibernética es su opacidad. Resulta muy complicado atribuir los ciberataques a autores con nombres y apellidos. Conscientes de ello, muchos ejércitos recurren al abanico de herramientas digitales (bloqueo de comunicaciones, derribo o infiltración en sistemas) como acompañamiento de operaciones bélicas usuales. Es lo que es conocido como guerra híbrida, que de forma frecuente se mueven en un terreno gris situado entre la guerra y la paz, la legalidad y la ilegalidad.
A eso se aúna otro problema: qué trato dar a los condenados. “Aun en el caso de que se identifique a los hackers que han realizado un ataque, ¿se les considerará personal civil o militar? Al personal militar se le aplica el Convenio de Ginebra, pero a los trabajadores de organizaciones privadas vinculadas a gobiernos, no”, medita Raquel Jorge, analista de política tecnológica del Real Instituto Elcano. “¿Cómo evalúas la diferencia entre la intención (derribar los sistemas informáticos) y el impacto (dejar sin funcionamiento la UCI de un hospital)? La CPI necesitará de la cooperación de empresas para evaluar el proceso y sus consecuencias”.
El equipo de Khan está cooperando con Microsoft, implicadísima en la ciberdefensa de Kiev, para contar con los medios técnicos precisos para poder conducir investigaciones en el ciberespacio. “El ciberespacio cada vez se usa más en contextos bélicos e incluso para cometer crímenes de guerra. El sector privado y los gobiernos deberían apoyar los esfuerzos de la CPI para recoger pruebas y mejorar las defensas. Agradecemos la iniciativa de la Corte en este terreno y la seguiremos apoyando”, afirma un portavoz del gigante tecnológico. La compañía publicó a fines del año pasado un informe en el que documenta la coordinación de ciberataques y operaciones militares usuales en Ucrania.
El dos de marzo de dos mil veintidos, el Centro de Inteligencia de Amenazas de Microsoft (Mstic) identifica un conjunto de hackers ruso escarbando en los sistemas de la planta de energía nuclear de Zaporiyia. Al día después, el ejército ruso ataca y ocupa esa instalación crítica. El cuatro de marzo, un conjunto de hackers relacionado con el ejército ruso compromete una red informática en Vinnytsia. A los un par de días, el aeropuerto de la urbe recibe el impacto de 8 misiles de crucero. El once de marzo, los sistemas informáticos de múltiples agencias públicas son bloqueados en Dnipro. Horas después, el Rusia lanza los primeros ataques contra edificios gubernativos en esa urbe. Entre el diecinueve y veintinueve de abril, un conjunto organizado de hackers vinculado extraoficialmente a Moscú invalida los sistemas de un distribuidor logístico de Lviv e inspecciona los detalles de la red de transportes de la ciudad; el tres de mayo, misiles rusos impactan contra subestaciones de tren, ocasionando el caos en los servicios de transporte.
“Estos ataques no se parecen a los de 2017″, lee el informe de Microsoft en referencia a NotPetya, uno de los virus más destructivos de la historia. Inicialmente dirigido a empresas e instituciones públicas ucranias, esta ciberarma tenía la apariencia de un ransomware (una variedad de virus que encripta el sistema y lo libera a cambio de una recompensa), pero pronto se vio que no daba opción a rescate alguno: directamente destruía información. Se acabó extendiendo por buena parte del mundo, con al menos 300.000 equipos afectados. “Mientras que esta vez Rusia ha sido cuidadosa en localizar su malware [software malicioso] destructivo en redes específicas localizadas en Ucrania, estos ataques son más sofisticados y están más extendidos de lo que muchos informes reconocen”, apunta el documento.
Encaje jurídico
El Derecho Internacional no había tenido en cuenta hasta el momento el ciberespacio como un terreno en el que se pudiesen cometer crímenes graves. La de la CPI es una aproximación completamente nueva. “Cualquier tipo de ataque informático dirigido a la destrucción de infraestructuras civiles, como hospitales o plantas de energía, caen dentro del concepto de crímenes de guerra”, señala Luis Arroyo Zapatero, rector honorario de la Universidad de Castilla-La Mancha y especialista en Derecho Penal Internacional. “No hace falta que haya destrucción física: un hospital se puede inutilizar alterando los medios informáticos. En mi opinión, esos ataques caen dentro del concepto de crímenes de guerra”.
“Aunque ningún artículo del Tratado de Roma se refiere al cibercrimen, este puede cumplir potencialmente con las condiciones que definen muchos de los crímenes internacionales”, escribe el fiscal jefe de la Corte, que cita al Comité Internacional de la Cruz Roja (CICR) como una de las organizaciones que más han denunciado el potencial perjudicial de los ciberataques. “El CICR ha reiterado que los ciberataques deben cumplir los principios de distinción y proporcionalidad y dirigirse solo contra objetivos militares”, observa Khan en su artículo.
Desinformación y alegato del odio
Hay otra novedad esencial en la nueva doctrina de la CPI. “Somos conscientes del uso indebido de internet para amplificar el discurso del odio y la desinformación, que pueden facilitar o directamente propiciar atrocidades”, arguye Khan en su artículo. “Eso no está dentro de los tipos penales. Es bueno que el fiscal jefe haga esa observación, porque tiene iniciativa para introducir temas. Hay casos en los que el discurso del odio se emplea como arma de guerra”, mantiene Arroyo. El Tribunal Penal Internacional de Ruanda, por servirnos de un ejemplo, estudió y condenó a los creadores de la transmisora Radiotelevisión Libre de Las Mil Colinas por hacer llamamientos al genocidio.
¿Qué consecuencias reales puede tener una sentencia de la Corte Penal Internacional? “Los delitos perseguidos por la CPI son crímenes universales. En Francia siguen condenando a responsables de crímenes en África cunado pisan suelo francés”, ilustra Arroyo. “La solución para los condenados es no viajar fuera de su país. Vladímir Putin fue una ausencia destacada en la última cumbre del G20 en Nueva Delhi. George W. Bush no ha salido de EE UU desde que abandonó la Casa Blanca”.
Santander (España), 1985. Después de obtener su licenciatura en Periodismo en la Universidad Complutense de Madrid, decidió enfocarse en el cine y se matriculó en un programa de posgrado en crítica cinematográfica.
Sin, embargo, su pasión por las criptomonedas le llevó a dedicarse al mundo de las finanzas. Le encanta ver películas en su tiempo libre y es un gran admirador del cine clásico. En cuanto a sus gustos personales, es un gran fanático del fútbol y es seguidor del Real Madrid. Además, ha sido voluntario en varias organizaciones benéficas que trabajan con niños.
