Cibercrimen de guerra: se acerca el día del juicio

“Los frentes de guerra ya no son sólo físicos: los frentes digitales pueden generar daños y sufrimiento comparables a los que los fundadores del Tribunal Penal Internacional intentaron evitar”. Estas palabras de Karim A. A. Khan, fiscal de la máxima instancia judicial mundial, circulan entre los teóricos del Derecho Internacional Humanitario (DIH) y militares de cuerpos jurídicos, desde que el 20 de agosto las incluyó en un artículo para Foreign Policy, titulado “La tecnología no soprebasará nuestra humanidad”.

Si un ciberataque que corte el fluido eléctrico a una población muerta de frío, o que impida llevar agua a una región devastada por los bombardeos, es o no un atropello a esa humanidad es materia de estudio y de propuestas de los juristas especializados, con o sin uniforme.

Las palabras de Khan tienen carácter de hito, aunque no fundacional, para un nuevo concepto del Derecho internacional, el del cibercrimen de guerra. Hay reflexión en la comunidad académica jurídica transcurrido medio año de la publicación del artículo, lo cual permite augurar que a partir de los actuales conflictos de Ucrania y de Gaza -y sus silenciosos pero intensos bombardeos cibernéticos- la comunidad internacional podría plantearse investigar y juzgar los crímenes masivos online.

El primer crimen

Desde 2002 creció la misión del Tribunal Penal Internacional (TPI) desbordando el reducido espacio de la lucha contra el narcotráfico hacia el enorme ámbito de los delitos contra la humanidad. Veinte años después, la invasión a gran escala de Ucrania por la Rusia de Vladimir Putin empezó a dar oportunidad de poner orden jurídico en un nuevo teatro de operaciones, el ciberespacio, en el que aún son tímidas las incursiones del DIH.

Pero el debate ya estaba iniciado, ya ha habido prolegómenos. En Detroit (Estados Unidos) se instruye una causa contra Yuri Adrienko, Serguei Dtistov, Pavel Frolov, Anatoli Kovalev, Artem Ochichenko y Petro Pliskin, seis agentes de la unidad 74455 del GRU (operaciones tecnológicas del servicio de inteligencia militar ruso) por un enorme ciberataque contra la red eléctrica de Ucrania emprendido en diciembre de 2015, por ataques a Francia durante su campaña electoral de 2017, o continuados sabotajes a Georgia. Actuaban “sin tener en cuenta las consecuencias para inocentes y la infraestructura crítica en todo el mundo”, dice el escrito de acusación.

En opinión del jurista Jerónimo Domínguez Bascoy, general auditor en la reserva, profesor en la Escuela Superior de las Fuerzas Armadas y del Centro Superior de Estudios de la Defensa, “pudiera ser el primer cibercrimen de guerra de la historia, cuando hackers del GRU, actuando bajo el nombre de Sandworm, utilizaron los malware destructivos Black Energy, Killdisk e Industroyer para atacar los sistemas de tres compañías de distribución eléctrica ucranianas”.

Apagón en pleno invierno para más de 225.000 personas. “Si admitimos que Ucrania y Rusia se encontraban desde febrero de 2014 en un conflicto armado, originado por la ocupación y anexión rusa de Crimea -explica el general-, ese ciberataque sería susceptible de ser examinado a la luz del Derecho de los Conflictos Armados o Derecho Internacional Humanitario”.

Buscar al autor

Matiza Domínguez Bascoy que “no existe hasta el momento abundante doctrina acerca del concepto de cibercrimen de guerra”. No obstante, “las violaciones graves de principios cardinales del DIH, llevadas a cabo por medios cibernéticos, serían constitutivas, sin duda, de crímenes de guerra”.

La propuesta no es una exquisitez para consumo de políticos y juristas gourmet de Europa y Estados Unidos. “Esta preocupación se extiende más allá de los países occidentales”, corrobora el general. Ciertamente, participan de ella expertos de órbitas ajenas a la OTAN, como puede ser Asia o la Unión Africana.

Parece que el ataque militar virtual se toma cada vez menos a la ligera. Se reducen las diferencias de apreciación entre un ataque cinético, con carros de combate, balas, misiles, y un ataque cibernético, solo con bits, por cuanto se equipara el daño que pueden hacer las bombas con el de destruir, por ejemplo, la intranet de un hospital en esa misma zona bombardeada, restando esperanza de salvación a los heridos. El bombardeo crea la mortalidad, y el ciberataque la incrementa, como se ha visto en Gaza y Mariupol.

Atacar infraestructuras civiles viola los principios de Distinción y de Proporcionalidad del DIH, que obligan a los ejércitos a dirigir sus ataques solo contra objetivos militares. Es el principal aval para que el TPI se haga cargo de los ciberataques bélicos.

Pero hay obstáculos en el camino que la figura del cibercrimen de guerra ha de hacer desde las publicaciones especializadas hasta el articulado de las convenciones de Ginebra o los programas de las academias militares. Y de esos escollos no es el menor el de la atribución.

Juzgar un delito requiere identificar al autor: el software no puede ser castigado, como el ser humano, pero sí interrogado, o al menos seguido. En un ataque cinético se conoce a los soldados y al general. En un ataque cibernético… la fiscalía del TPI va a tener que investigar, más que a hombres armados, a batallones de bots que ocultan al autor humano del crimen.

Matar cucarachas

No solo es cuestion de dañar infraestructuras sanitarias, de transporte o de energía. Puede ampliarse este crimen de guerra al campo de la obstrucción a la Justicia. Es el ataque cibernético contra bases de datos policiales y judiciales, destruyendo pruebas e informes, de forma que el Tribunal Penal Internacional no pueda investigar el delito.

El sumario de Detroit atribuye a los seis hackers del GRU sabotajes de ese tipo contra investigaciones sobre el uso del veneno Novichok que Rusia inoculó a disidentes como Serguei Skripal o Alexei Navalny.

Si el sabotaje cibernético es ataque, el software malicioso es arma. Pero no es la única del arsenal. En un futuro las causas por cibercrímenes de guerra no solo tienen por qué tener en cuenta daños a las infraestructuras: también al alma, la conciencia, de las víctimas. Se adentra pues el Derecho en el mundo, todavía poco explorado, de la guerra cognitiva y de un asunto del que se habla mucho últimamente en España: la desinformación.

Lo aseguró el fiscal Khan en su artículo: “Somos conscientes del uso indebido de Internet para amplificar el discuso del odio y la desinformación, lo que puede facilitar o incluso conducir directamente a que ocurran atrocidades”.

El TPI también echa un ojo, por tanto, a esa nueva Radio Mil Colinas que albergan hoy las redes sociales. Como hizo la emisora alentando el genocidio de Ruanda en 1994 -cada día leía un locutor un listado de “cucarachas tutsis” a las que "matar con lo que encontréis, palos, cuchillos, machetes…”-, hoy en Rusia y en Oriente Medio campañas organizadas en chats, Telegram, YouTube... invitan a exterminar al enemigo, la inducción básica del crimen de guerra.

Suscríbete para seguir leyendo