Hacer de la necesidad virtud. En una coyuntura de pandemia en la que el Secretario General de Naciones Unidas pidió el alto el fuego de todos los conflictos armados como responsabilidad común, el ciberespacio –uno de los grandes olvidados en acuerdos globales y normas internacionales– aparece hoy, más que nunca, en un sentido anticíclico. Como fuente de vulnerabilidad para unos y herramienta de ataque para otros, la actual crisis parece haber despertado la urgencia de asegurar un ciberespacio estable y pacífico, en el que las ciberamenazas puedan ser abordadas por el marco internacional de paz y seguridad, a través de mecanismos y regulaciones para la prevención de conflictos –unos conflictos que pueden ser cibernéticos, pero también físicos, y en los que el ciberespacio cause importantes vulnerabilidades para la población o para sus servicios esenciales.
La gobernanza del cambio global debe ir de la mano de las transformaciones digitales. Es por ello que, el pasado 22 de mayo de 2020, Estonia, que preside el Consejo de Seguridad de Naciones Unidas durante este mes, usó la fórmula Arria para celebrar una Reunión Informal sobre ciberestabilidad y prevención de conflictos. Y no es casualidad que haya sido Estonia el país que ha llevado este asunto al más alto nivel de la negociación internacional: en 2007, a raíz de una disputa por el monumento del Soldado de Bronce de la época soviética, Estonia sufrió una serie importante de ciberataques: 58 páginas web, incluyendo el gobierno, periódicos y bancos, quedaron inoperativos.
Este hecho generó un vuelco en el panorama geopolítico global, pues se consideró como la primera ciberguerra en el mundo. Desde entonces, Estonia se ha convertido en el peso pesado mundial de la ciberseguridad, y ha sido emprendedor normativo a nivel internacional de un asunto que hasta entonces no se concebía como amenaza inminente para un Estado o su ciudadanía, ni estaba amparado por códigos, acuerdos ni por el Artículo 5 de la Carta de la OTAN. De ahí que el país haya aprovechado la oportunidad de presidir el Consejo de Seguridad, y más en un contexto actual de ataques a los sistemas de salud pública mediante herramientas cibernéticas, para poner sobre la mesa tres aspectos: a) la necesidad de establecer mecanismos que regulen la responsabilidad de los Estados en materia de ciberataques a nivel global, regional y estatal; b) la aplicación del derecho internacional existente (público, y humanitario) al ciberespacio y la necesidad de cibernormas; y c) las oportunidades que la cooperación regional trae consigo.
Deficiencias, brechas y silencios
El ciberespacio requiere de una normatividad internacional, pero también del reconocimiento y aceptación de la responsabilidad de los Estados. El Derecho Internacional existente se aplica al ciberespacio, y ha servido como guía integral hasta el momento actual, pero no todos los países han sido transparentes a la hora de hacerlo. Es más, el propio Derecho Internacional Humanitario actual no es aún capaz de delimitar en qué medida los daños generados en la población civil a causa de ataques cibernéticos –por ejemplo, a un hospital o una red eléctrica en una zona de guerra– son objetivos intencionadamente dirigidos contra estos civiles o no, puesto que no se llega a acuerdos comunes sobre el asunto. Adicionalmente, cuando las normas internacionales vinculantes no han sido aplicadas, otro nivel de acción –más relacionado con las políticas públicas, como las CBMs o medidas de generación de confianza, y la construcción de capacidades– tampoco ha generado grandes frutos, a excepción de algunos sistemas de cooperación regional, como en la Unión Africana.
Así, como indicó en la reunión la Alta Representante de Naciones Unidas para Asuntos de Desarme, Izumi Nakamitsu, el primer paso es la “concienciación, reconocimiento y aceptación del problema”, algo que no resulta tan sencillo. De hecho, esta brecha se manifiesta claramente en el hecho de que existen dos Grupos de Trabajo en Naciones Unidas para la negociación de cibernormas: el UN-GGE (el Grupo de Expertos Gubernamentales para auspiciar el comportamiento responsable de los Estados en el ciberespacio en el contexto de la seguridad internacional, principalmente liderado por Estados Unidos), y el Open-Ended Working Group (auspiciado por Rusia para evitar la creación de “acuerdos por clubes”, aunque criticado por centrarse más en la cibersoberanía que en la responsabilidad de los Estados).
Existe toda una variedad de posicionamientos con respecto a avanzar en la aprobación de normas globales para el ciberespacio que regulen la responsabilidad de los Estados. Y el principal problema no reside sólo en el qué ni el cómo, sino más bien en la voluntad de diálogo. Estados Unidos afirmaba en esta reunión informal que “aunque ciertos Estados parecen estar dispuestos a socavar este marco, hay que universalizar los intereses de todos los Estados miembros”, y animaba a países afines a unirse a sus esfuerzos. Mientras, China ponía el foco en que “algunos países ven el ciberespacio como un campo de batalla (…); una ciberguerra nunca puede ser ganada y nunca debe ser luchada”. A esto añadía que cualquier ciberfuerza debía ser evitada mediante “fuerza, disuasión y presión”, con el fin de que no afecte ni a las cadenas globales de suministro ni a su seguridad nacional.
La traslación de los discursos de política exterior en contraposición a los proteccionistas de uno y otro país al dominio de lo cibernético dificultan, todavía más, la efectividad y el éxito de las mesas de negociación ante posibles intentos de Tratado. A esto se añade la lista de prioridades de cada región geográfica, que a su vez es diversa: los países de América Latina se centran en su falta de experiencia y recursos sobre ciberseguridad; los del Sudeste asiático ven en el ciberespacio un riesgo mayor para los delitos ilícitos transnacionales, como el tráfico de drogas; y los países africanos en evitar que actores no estatales recurran a ciberactividades para conseguir objetivos relacionados con asuntos políticos o vinculados al terrorismo. Níger hizo referencia al posible uso del ciberespacio para fomentar la “protesta y la revolución”. No obstante, el continente africano recoge en su seno posiciones muy diferenciadas. Mientras, en esta amalgama de prioridades, la Unión Europea se aleja y sitúa la diligencia debida y el uso de medios diplomáticos como principios regulativos de freno y resiliencia.
¿Por qué el multilateralismo es el espacio idóneo?
¿Qué conclusiones se extraen de esta reunión informal en la que participaron más de 40 países, el Comité Internacional de la Cruz Roja y la INTERPOL? Primero, que el ciberespacio sigue siendo un dominio de Grupos de Trabajo y de reuniones de carácter todavía informal. Es así porque es un asunto todavía en desarrollo y del que existe toda una multiplicidad de aspectos (mayúsculos y minúsculos) a tener en cuenta –cibercrimen, ciberataque, humanitario, militar, colaboración público-privada, infraestructuras críticas civiles, política exterior, terrorismo–. Sin embargo, es un área que, pese a su aparente juventud, ya ha conllevado grandes crisis y dilemas, como el bloqueo de servicios esenciales para la ciudadanía, la disrupción de sistemas informáticos de ayuntamientos, o campañas de desinformación con efectos graves en el equilibrio geopolítico global. Todas estas manifestaciones justifican por sí mismas la necesidad de llevar el ciberespacio a un marco de negociación prioritario de mayor rigor y unidad. Segundo, porque el ciberespacio es un dominio que afecta de forma mucho más diferenciada a los países en desarrollo, que ni disponen de capacidades de protección en ciberseguridad ni tienen ubicado el ciberespacio como algo prioritario en sus agendas. Ejemplo de ello es que el primer esfuerzo en el continente africano viniera de la mano de la Convención de la Unión Africana sobre la Ciberseguridad y la Protección de Datos Personales. Tercero, porque hasta ahora la cooperación en materia de ciberespacio ha sido principalmente bilateral, cuando la clave para su éxito reside en el multilateralismo y el enfoque de cooperación y colaboración regionales –esto es, operar, pero también elaborar de manera conjunta.
El ciberespacio, como el multilateralismo, no son algo nuevo. Sin embargo, son compañeros que parecen darse la espalda. Y los fenómenos de fragmentación, polarización e hibridación que están afectando al orden global de forma tangencial y transversal no se resuelven bilateralmente: los discursos de soberanía digital, la creación de “infoesferas nacionales” compartimentadas, la propuesta de China sobre un nuevo Protocolo de Internet totalmente desacoplado del actual, la ausencia de marcos de responsabilidad internacional de los Estados, el bajo nivel de imbricación de la sociedad civil y el sector privado en este reto, o cómo la separación entre lo civil-militar y las acciones cubiertas-encubiertas en inteligencia se está desdibujando son algunas de las manifestaciones que necesitan ser abordadas. En una frase: que el ciberespacio sea, entre otros, el tema olvidado del multilateralismo, no hará más que acrecentar los riesgos y dificultades a los que el mundo actual –su geopolítica, su economía, su sociedad– se enfrenta. El espacio existe, lo que falta es la responsabilidad hacia lo que nos es común, y el sentido de urgencia ante un asunto que debe ser abordado desde el foco regional y el multilateralismo.