La Corte Penal Internacional perseguir¨¢ los cibercr¨ªmenes de guerra

Los machetes, las balas y las bombas ya no son los ¨²nicos medios para cometer cr¨ªmenes de guerra. Las armas cibern¨¦ticas desempe?an un papel cada vez mayor en los conflictos b¨¦licos y pueden causar severos da?os entre la poblaci¨®n civil. Por eso, la Corte Penal Internacional (CPI), tambi¨¦n conocida como Tribunal Penal Internacional, se ha propuesto investigar los llamados cibercr¨ªmenes de guerra, los que se cometen por medios digitales. As¨ª lo desliz¨® este verano el fiscal jefe del organismo, Karim Khan, en un art¨ªculo publicado en la revista Foreign Policy. Fuentes de la CPI han confirmado a EL PA?S que ya est¨¢n investigando los primeros casos, aunque no pueden dar detalles de cu¨¢les son. Todos los ojos apuntan a la guerra de Ucrania, donde Microsoft document¨® varios ciberataques lanzados de forma coordinada con ataques militares convencionales.

¡°La ciberguerra no se desarrolla en un plano abstracto. Al contrario, puede tener un impacto profundo en la vida de la gente¡±, escribe el jurista brit¨¢nico. ¡°Los intentos de impactar infraestructuras cr¨ªticas como instalaciones m¨¦dicas o los sistemas de control de las plantas de energ¨ªa pueden tener consecuencias inmediatas para muchos, particularmente para los m¨¢s vulnerables. Consecuentemente, como parte de sus investigaciones, mi oficina recoger¨¢ y examinar¨¢ pruebas de tales conductas¡±, afirma.

Lo que dice el fiscal jefe en el art¨ªculo es ya la nueva doctrina de la Corte. ¡°La CPI tiene jurisdicci¨®n sobre genocidios, cr¨ªmenes contra la humanidad, cr¨ªmenes de guerra y cr¨ªmenes de agresi¨®n [de un pa¨ªs a otro], seg¨²n definen los art¨ªculos 5 a 8bis del Estatuto de Roma. Si hay operaciones en el ciberespacio que encajen en estos tipos de crimen, entonces podr¨ªan ser investigados y juzgados por la CPI¡±, aseguran a este peri¨®dico desde la oficina del fiscal jefe.

Establecida en 2002 en virtud del Estatuto de Roma, la Corte Penal Internacional se considera un avance importante en defensa del derecho internacional. Los genocidios de la antigua Yugoslavia (1991-1995) y de Ruanda (1994), juzgados por sendos tribunales penales internacionales adhoc, aceleraron la necesidad de establecer un organismo permanente que persiga los cr¨ªmenes humanitarios.

Los casos que examina la CPI pueden llegar tras la denuncia de un Estado que forme parte de la Corte, por indicaci¨®n del Consejo de Seguridad de Naciones Unidas o por iniciativa del fiscal jefe. El Estatuto de Roma ha sido firmado y ratificado por 123 Estados. Hay ausencias muy destacadas: Estados Unidos, Rusia, China, India o Israel est¨¢n fuera. La Corte tiene ahora mismo 17 investigaciones en marcha, incluyendo una abierta el a?o pasado en Ucrania.

La escurridiza arena digital

Una de las complejidades propias de la arena cibern¨¦tica es su opacidad. Resulta muy complicado atribuir los ciberataques a autores con nombres y apellidos. Conscientes de ello, muchos ej¨¦rcitos recurren al abanico de herramientas digitales (bloqueo de comunicaciones, derribo o infiltraci¨®n en sistemas) como acompa?amiento de operaciones b¨¦licas convencionales. Es lo que se conoce como guerra h¨ªbrida, que a menudo se mueven en un terreno gris ubicado entre la guerra y la paz, la legalidad y la ilegalidad.

A eso se suma otro problema: qu¨¦ trato dar a los condenados. ¡°Aun en el caso de que se identifique a los hackers que han realizado un ataque, ?se les considerar¨¢ personal civil o militar? Al personal militar se le aplica el Convenio de Ginebra, pero a los trabajadores de organizaciones privadas vinculadas a gobiernos, no¡±, reflexiona Raquel Jorge, analista de pol¨ªtica tecnol¨®gica del Real Instituto Elcano. ¡°?C¨®mo eval¨²as la diferencia entre la intenci¨®n (derribar los sistemas inform¨¢ticos) y el impacto (dejar sin funcionamiento la UCI de un hospital)? La CPI necesitar¨¢ de la cooperaci¨®n de empresas para evaluar el proceso y sus consecuencias¡±.

El equipo de Khan est¨¢ colaborando con Microsoft, muy implicada en la ciberdefensa de Kiev, para contar con los medios t¨¦cnicos necesarios para poder conducir investigaciones en el ciberespacio. ¡°El ciberespacio cada vez se usa m¨¢s en contextos b¨¦licos e incluso para cometer cr¨ªmenes de guerra. El sector privado y los gobiernos deber¨ªan apoyar los esfuerzos de la CPI para recoger pruebas y mejorar las defensas. Agradecemos la iniciativa de la Corte en este terreno y la seguiremos apoyando¡±, dice un portavoz del gigante tecnol¨®gico. La compa?¨ªa public¨® a finales del a?o pasado un informe en el que documenta la coordinaci¨®n de ciberataques y operaciones militares convencionales en Ucrania.

El 2 de marzo de 2022, el Centro de Inteligencia de Amenazas de Microsoft (Mstic) identifica un grupo de hackers ruso hurgando en los sistemas de la central nuclear de Zaporiyia. Al d¨ªa siguiente, el ej¨¦rcito ruso ataca y ocupa esa instalaci¨®n cr¨ªtica. El 4 de marzo, un grupo de hackers relacionado con el ej¨¦rcito ruso compromete una red inform¨¢tica en Vinnytsia. A los dos d¨ªas, el aeropuerto de la ciudad recibe el impacto de ocho misiles de crucero. El 11 de marzo, los sistemas inform¨¢ticos de varias agencias p¨²blicas son bloqueados en Dnipro. Horas m¨¢s tarde, el Rusia lanza los primeros ataques contra edificios gubernamentales en esa ciudad. Entre el 19 y 29 de abril, un grupo organizado de hackers vinculado extraoficialmente a Mosc¨² inutiliza los sistemas de un proveedor log¨ªstico de Lviv e inspecciona los detalles de la red de transportes de la ciudad; el 3 de mayo, misiles rusos impactan contra subestaciones de ferrocarril, causando el caos en los servicios de transporte.

¡°Estos ataques no se parecen a los de 2017¡å, lee el informe de Microsoft en referencia a NotPetya, uno de los virus m¨¢s destructivos de la historia. Inicialmente dirigido a empresas e instituciones p¨²blicas ucranias, esta ciberarma ten¨ªa la apariencia de un ransomware (una variedad de virus que encripta el sistema y lo libera a cambio de una recompensa), pero pronto se vio que no daba opci¨®n a rescate alguno: directamente destru¨ªa informaci¨®n. Se acab¨® extendiendo por buena parte del mundo, con al menos 300.000 equipos afectados. ¡°Mientras que esta vez Rusia ha sido cuidadosa en localizar su malware [software malicioso] destructivo en redes espec¨ªficas localizadas en Ucrania, estos ataques son m¨¢s sofisticados y est¨¢n m¨¢s extendidos de lo que muchos informes reconocen¡±, se?ala el documento.

Encaje jur¨ªdico

El Derecho Internacional no hab¨ªa tenido en cuenta hasta ahora el ciberespacio como un terreno en el que se pudieran cometer cr¨ªmenes graves. La de la CPI es una aproximaci¨®n totalmente nueva. ¡°Cualquier tipo de ataque inform¨¢tico dirigido a la destrucci¨®n de infraestructuras civiles, como hospitales o plantas de energ¨ªa, caen dentro del concepto de cr¨ªmenes de guerra¡±, indica Luis Arroyo Zapatero, rector honorario de la Universidad de Castilla-La Mancha y especialista en Derecho Penal Internacional. ¡°No hace falta que haya destrucci¨®n f¨ªsica: un hospital se puede inutilizar alterando los medios inform¨¢ticos. En mi opini¨®n, esos ataques caen dentro del concepto de cr¨ªmenes de guerra¡±.

¡°Aunque ning¨²n art¨ªculo del Tratado de Roma se refiere al cibercrimen, este puede cumplir potencialmente con las condiciones que definen muchos de los cr¨ªmenes internacionales¡±, escribe el fiscal jefe de la Corte, que cita al Comit¨¦ Internacional de la Cruz Roja (CICR) como una de las organizaciones que m¨¢s han denunciado el potencial da?ino de los ciberataques. ¡°El CICR ha reiterado que los ciberataques deben cumplir los principios de distinci¨®n y proporcionalidad y dirigirse solo contra objetivos militares¡±, observa Khan en su art¨ªculo.

Kubo Ma?¨¢k, catedr¨¢tico de Derecho Internacional en la Universidad de Exeter y antiguo asesor legal del CICR, fue el coautor de uno de los estudios a los que se refiere el fiscal jefe. Ma?¨¢k y sus colegas concluyeron que ciertos ciberataques particularmente graves lanzados contra instalaciones m¨¦dicas durante conflictos armados podr¨ªan ser considerados cr¨ªmenes de guerra. ¡°Esta visi¨®n es ahora compartida por muchos colegas juristas. En tiempos de guerra, el derecho internacional proh¨ªbe los ataques directos contra objetivos civiles, sin distinci¨®n acerca del arma usada. Por tanto, lanzar una ciberoperaci¨®n contra una infraestructura cr¨ªtica civil podr¨ªa convertir a su autor en un criminal de guerra¡±, razona el eslovaco. As¨ª lo concluye tambi¨¦n un informe preparado para Naciones Unidas en 2021 por un grupo internacional de expertos, aunque subraya la dificultad que se encontrar¨¢n los investigadores para atribuir presuntos cr¨ªmenes desencadenados por medios digitales.

Desinformaci¨®n y discurso del odio

Hay otra novedad importante en la nueva doctrina de la CPI. ¡°Somos conscientes del uso indebido de internet para amplificar el discurso del odio y la desinformaci¨®n, que pueden facilitar o directamente propiciar atrocidades¡±, argumenta Khan en su art¨ªculo. ¡°Eso no est¨¢ dentro de los tipos penales. Es bueno que el fiscal jefe haga esa observaci¨®n, porque tiene iniciativa para introducir temas. Hay casos en los que el discurso del odio se emplea como arma de guerra¡±, sostiene Arroyo. El Tribunal Penal Internacional de Ruanda, por ejemplo, investig¨® y conden¨® a los fundadores de la emisora Radiotelevisi¨®n Libre de Las Mil Colinas por hacer llamamientos al genocidio.

?Qu¨¦ consecuencias reales puede tener una sentencia de la Corte Penal Internacional? ¡°Los delitos perseguidos por la CPI son cr¨ªmenes universales. En Francia siguen condenando a responsables de cr¨ªmenes en ?frica cunado pisan suelo franc¨¦s¡±, ilustra Arroyo. ¡°La soluci¨®n para los condenados es no viajar fuera de su pa¨ªs. Vlad¨ªmir Putin fue una ausencia destacada en la ¨²ltima cumbre del G20 en Nueva Delhi. George W. Bush no ha salido de EE UU desde que abandon¨® la Casa Blanca¡±.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.