Seguridad

¿Por qué necesitamos urgentemente la Convención de Ginebra digital?

La banca minorista gasta el triple que otras empresas en seguridad TI

Te contamos por qué necesitamos urgentemente la Convención de Ginebra digital. Y es que, ¿Cómo podemos gestionar el riesgo resultante, un riesgo que puede manifestarse tanto online como en el mundo físico? Atento a este artículo.

Más de 30 gobiernos han reconocido que tienen capacidades cibernéticas ofensivas. Sin embargo, a diferencia de las armas convencionales, los ciberarsenales son clandestinos e intangibles; su fuente es difícil de rastrear e identificar. Por lo tanto, es probable que el número real no solo sea mucho más alto, sino que crecerá en los próximos meses y años. Además, debido a esta ambigüedad, los gobiernos están más dispuestos a desplegar estas armas, probarlas y ajustarlas a puerta cerrada.

La carrera armamentística en el ámbito cibernético está claramente en marcha. Por el contrario, el riesgo y los peligros de las armas cibernéticas no se conocen bien.

Unamos los dos conceptos anteriores y obtendremos la clave de este preocupante escenario: la naturaleza clandestina y la imprevisibilidad de la actividad ofensiva online están creando vulnerabilidades a una escala y velocidad que no hemos visto antes.

¿Cómo podemos gestionar el riesgo resultante, un riesgo que puede manifestarse tanto online como en el mundo físico?

Los principales fabricantes de seguridad y software del mundo –con Microsoft como abanderada– y varios colectivos civiles han promovido una simple y llana extensión del derecho internacional existente a la arena digital. No debería sonar tan extraño ni resultar una propuesta tan peregrina, pero lo cierto es que las actividades online han estado históricamente vinculadas a muy diversos marcos legales que no siempre han estado ligadas a la realidad de este sector.

Uno de cada cuatro datos personales estará comprometido al final de la década

Las Naciones Unidas crearon hace casi dos décadas un órgano de trabajo para promover un acuerdo sobre cómo gestionar el entonces relativamente nuevo campo de las Tecnologías de la Información (TIC) y, en particular, la cuestión cada vez más difícil de la ciberseguridad. Llevó algo de tiempo, pero en 2015, el Grupo de Expertos Gubernamentales de Naciones Unidas sobre Desarrollos en el Campo de la Información y las Telecomunicaciones en el Contexto de la Seguridad Internacional (UN GGE) confirmó que el derecho internacional puede (y debe) aplicarse al ciberespacio.

Pero este informe fue adoptado unánimemente por los 20 países que participaron en el proceso, incluidos EEUU, China, Rusia, Francia y el Reino Unido.

Una posición que se ha reafirmado posteriormente en varias declaraciones individuales de estos mismos gobiernos o, incluso, en la reunión del G7 a principios de abril del pasado año.

También encontramos referencias a este derecho internacional como marco legal para las actividades online en los acuerdos de ciberseguridad chino-rusos, EEUU-China, EEUU-India y China-Reino Unido. Numerosos organismos regionales también han reconocido la aplicabilidad del derecho internacional al ciberespacio, incluidos el Foro Regional de la ASEAN y la Organización de los Estados Americanos.

Todos estos acuerdos bilaterales y regionales son pasos importantes, pero no abordan la necesidad de un marco estratégico internacional de ciberseguridad ni aterrizan estas ideas en términos específicos ni mecanismos de control que aseguren su cumplimiento.

Las crecientes ciberamenazas, incluyendo ataques patrocinados por el Estado, han provocado que esta exigencia de reconocer el derecho internacional en el ámbito cibernético vuelva a ponerse sobre la mesa. Si hay tanto consenso en torno a este aspecto, ¿cuál es el freno para adoptar esta aproximación legal?

La clave está, aseguran los expertos, en su suficiencia e implementación en tiempos de paz. Por ejemplo, el derecho internacional prohíbe el uso de la fuerza por parte de los Estados, excepto en defensa propia en respuesta a un ataque armado, y las normas de UNGGE exigen que los estados se abstengan de la actividad maliciosa internacional. Pero como como podemos comprobar con las correspondientes injerencias norteamericanas y rusas en medio mundo, este extremo no se cumple en absoluto.

El siguiente paso, el heredero natural de esta propuesta de Naciones Unidas y todo el trabajo posterior, es la Convención de Ginebra digital. Una regulación que debe, aseguran los expertos, ser mucho más concreta y crear un conjunto de normas de seguridad cibernética en áreas donde las reglas existentes no son claras o pueden no ser suficientes para proteger a los civiles en el ciberespacio.

Esto podría incluir normas que articulan explícitamente las protecciones para la población civil, incluso si están implícitamente contenidas en otras partes del derecho internacional.

La Convención Digital de Ginebra también ha de garantizar el cumplimiento de estas normas, ya sea mediante acciones punitivas, como sanciones económicas, o mediante condenas públicas. Incluso cuando parece que hay suficiente evidencia de un ciberataque, los estados a menudo eligen no actuar, en un esfuerzo por no afectar otras relaciones bilaterales.

Pero eso puede ser visto por otros gobiernos como un ejemplo de que tal comportamiento es permisible.

Solo entonces alcanzamos el último paso en este proceso: el desarrollo de un acuerdo internacional vinculante similar a un Convenio de Ginebra digital. La mayoría de los expertos coinciden en que este paso final probablemente se demorará durante décadas, algo que han tenido muy claro sus promotores cuando lanzaron esa idea a principios de 2017.

De repente nos encontramos viviendo en un mundo donde nada parece estar fuera de los límites de los ataques del estado-nación, online. Cada vez hay más riesgos de que los gobiernos intenten explotar o incluso disponer de armas para alcanzar objetivos de seguridad nacional, y las inversiones gubernamentales en delitos cibernéticos continúan creciendo.

En 1949, los gobiernos de todo el mundo se unieron para adoptar el Cuarto Convenio de Ginebra para proteger a los civiles en tiempos de guerra. Ahora el reto es hacer un Convenio Digital de Ginebra que protegería a los ciudadanos en línea en tiempos de paz.

Una nueva regulación global en la que el sector tecnológico tendrá un papel protagonista, reafirmándose como una Suiza digital neutral que ayuda a los clientes en todas partes del globo y que preserva la confianza del mundo online. Pero no sólo eso.

Los expertos reclaman un proceso de debate y construcción de esa Convención que sea abierto y que represente a los gobiernos, el sector tecnológico, los grupos de la sociedad civil y la Academia. Igualmente, se reclama que todas las partes del mundo estén representadas e involucradas activamente, desde el norte y el sur, el este y el oeste y no solo los “sospechosos habituales” como Rusia.

Por otro lado, el proceso no puede encerrarse en comités que se escondan detrás del lenguaje técnico, sino que debe ser abierto y transparente, de modo que todos los que dependan del ciberespacio puedan ver lo que está sucediendo y hacer que sus gobiernos, el sector tecnológico y otros rindan cuentas.

Si ignoramos estos principios básicos y permitimos que el proceso se quede únicamente en grupos cerrados y exclusivos, el mundo se mantendrá donde está actualmente.

Podemos hacer un avance progresivo y fragmentario, pero será mucho más lento y más limitado que la rápida evolución del ciberespacio y los ataques que tienen lugar dentro de él.

*Este artículo es una traducción interpretada del texto “La evolución de la colaboración internacional y las leyes relacionadas con el ciberespacio y la seguridad”, de Kaja Ciglic (Observer Research Foundation), en el marco de la plataforma Geostrategy del Foro Económico Mundial.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, La Razón, El Mundo, ComputerWorld, CIO España, Business Insider, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo, ganador del Premio Día de Internet 2018 a mejor marca personal en RRSS y finalista en los European Digital Mindset Awards 2016, 2017 y 2018.