27/09/2018
La Guerra podría estar mutando
La naturaleza de la guerra está
cambiando y acciones que actualmente no son consideradas como “guerra” podrían
convertirse en los principales medios a través de los cuales la guerra se
librará en el futuro.
Existen diferentes definiciones del
término “Guerra cibernética”, de las cuales se derivan distintas comprensiones
de sus consecuencias y las medidas preventivas. En términos estrictos, se
refiere a ataques masivos organizados por un Estado, similares a una guerra
convencional, pero también se lo usa en forma más general. Asimismo, el
concepto “guerra” se utiliza a menudo figurativamente, como en guerra
económica, guerra contra la droga o el terrorismo. La Unión
Interparlamentaria adoptó una resolución en 2015 titulada “Guerra cibernética:
una amenaza seria a la paz y la estabilidad global”; resolución que señala:
“…la guerra cibernética incluye, aunque no está necesariamente limitada a
ellas, operaciones contra computadoras o sistemas de computación a través de un
flujo de datos como medio y método de guerra, cuyo objetivo es recolectar
inteligencia con fines económicos, políticos o de desestabilización social o de
la que puede razonablemente esperarse que cause muerte, heridas, destrucción o
daño durante conflictos armados, aunque no exclusivamente en ellos”.
La ciberguerra
La ciberguerra podría reemplazar
asesinatos en masa y bombardeos como la vía preferida para forzar a un
adversario a rendirse.
Es cada vez más evidente que la
seguridad de los dispositivos de IoT (la Internet de las Cosas, por sus siglas
en inglés), es inadecuada, lo que podría tener consecuencias catastróficas.
Es más, a diferencia de las armas físicas, las ciberarmas pueden ser
replicadas esencialmente a costo nulo, por lo que su producción y
almacenamiento presentan peligros aún más grandes que en el caso del armamento
físico.
El incidente WannaCry puede ser
considerado un preaviso de lo que viene: un ciberataque con apoyo estatal
contra la infraestructura de otro país (por ejemplo la red eléctrica, el
sistema de control de vuelos, los sistemas informáticos de gobierno, etc.).
Este tipo de ataque podría paralizar un Estado del mismo modo que un bombardeo
aéreo intensivo.
Con la creciente importancia de las
tecnologías de información y comunicación (TICs) y la creciente dependencia de
casi todo respecto a ellas, podríamos alcanzar un escenario en el cual la
fuerza puede ser usada efectivamente para destruir sistemas de TICs, alcanzando
así el deseado objetivo de forzar al adversario a rendirse sin tener que matar
personas directamente o bombardear instalaciones.
Esto es muy diferente del actual uso
bélico de las TICs, que se destina (1) para mejorar el rendimiento de sistemas
de armas como artillería, misiles, etc.; (2) para mejorar el rendimiento de
sistemas de reconocimiento e inteligencia como radares, satélites de
vigilancia, etc.; y (3) para mejorar la logística, por ejemplo en la
optimización de rutas de transporte para soldados, equipamiento, suministros,
etc.
Y es diferente del desarrollo y
despliegue de “robots asesinos” o, por su nombre correcto, sistemas autónomos
de armas letales.
Convención Digital de Ginebra
Es necesario un Tratado, a través del
cual los Estados acuerden –entre otras cosas– no atacar la infraestructura
digital civil en tiempos de paz, no adquirir ni almacenar software malicioso e
informar de inmediato a fabricantes involucrados al identificar
vulnerabilidades en software o hardware.
En mayo de 2017, Wikileaks publicó
información sobre el uso por parte de la Agencia Central de Inteligencia de los
EEUU (CIA), de diversas herramientas de hackeo y software malicioso. De
acuerdo con esa información, las herramientas en cuestión incluían malware que
puede ser usado para infectar varios dispositivos de la Internet de las Cosas,
incluyendo equipos hogareños de TV, que pueden ser utilizados para monitorear
conversaciones cerca del equipo, aun cuando el usuario cree que el aparato está
apagado. Además, capacidades similares pueden usarse para infectar
smartphones y convertirlos en dispositivos de monitoreo, aun cuando el usuario
piensa que están apagados.
Peor todavía, de acuerdo a la
información publicada por Wikileaks, la CIA ha perdido el control sobre su
arsenal de herramientas de hackeo, las que ahora están a disposición de otras
entidades, incluyendo posibles ciber-criminales.
Más grave aún, estas herramientas están
diseñadas para encubrir a quien las usa, por lo que los ataques realizados con
ellas no pueden ser rastreados hasta su fuente. En vez de ello, se
traspasa la aparente responsabilidad a un tercero sin relación alguna, quien
entonces es acusado de haber perpetrado el ataque.
Más recientemente, el ataque WannaCry
de mediados de mayo 2017 motivó a Microsoft a renovar el llamado que hiciera
pocos meses antes a una Convención Digital en Ginebra.
Microsoft planteó tres propuestas
específicas:
§ Cláusulas para un
tratado vinculante
§ Un acuerdo entre
compañías de alta tecnología
§ La creación de una
organización dedicada a atribuir responsabilidades por ciberataques, esto es, a
determinar quién inició el ciberataque.
Sin embargo, podríamos ir más allá de
lo que propone Microsoft respecto a cláusulas de un tratado y convocar a todos
los Estados a acordar, en un instrumento vinculante bajo el derecho
internacional:
§ que Internet debe ser
usada sólo para propósitos pacíficos
§ que sea considerado
como ciberataque ofensivo toda forma de vigilancia y/o escucha del objetivo de
vigilancia que no sea necesaria, proporcionada y autorizada por las cortes
nacionales.
§ no dirigir, llevar a
cabo ni promover ciberataques ofensivos, en particular aquellos dirigidos a
particulares o infraestructura crítica
§ limitar la
investigación y capacidades sobre ciberguerra, y las operaciones cibernéticas
exclusivamente a mecanismos de defensa que no incluyan contrataques
§ no producir, obtener
o favorecer la producción de herramientas y/o software malicioso que pueda ser
usado para ciberataques ofensivos
§ colaborar con todos
los esfuerzos para detectar, detener, buscar respuestas y recuperarse de
ciberataques
§ reportar a los
vendedores cualquier vulnerabilidad descubierta
§ hacer seguimiento con
los vendedores para asegurar que las vulnerabilidades conocidas hayan sido
reparadas
§ no almacenar, vender
o explotar cualquier vulnerabilidad conocida que pudiera ser usada para
ciberataques ofensivos.
Este acuerdo vinculante debería también
prohibir la vigilancia masiva.
Vigilancia masiva
La vigilancia de ciudadanos, salvo
cuando sea ordenada individualmente por un juez, viola los derechos humanos, no
es efectiva y es una forma de ataque cibernético.
Es bien conocido que muchos Estados,
incluyendo Estados que se consideran democráticos, han implementado la
vigilancia masiva. En este contexto, la “vigilancia masiva” es cualquier
forma de vigilancia y/o escucha del objeto de vigilancia que no sea necesaria,
proporcionada y autorizada por las cortes nacionales.
El objetivo declarado de dicha
vigilancia es combatir lo que el Estado en cuestión considera terrorismo.
Pero dicha vigilancia no es y no puede ser efectiva para contrarrestar actos
individuales de violencia: ¿podría por ejemplo prevenir atracos a los bancos?
Es urgente reconocer que las actuales
formas de vigilancia masiva violan el derecho humano a la privacidad y
constituyen una forma de ciberataque.
El Relator Especial sobre privacidad
del Consejo de Derechos Humanos de la ONU ha convocado grupos de trabajo para
discutir este asunto.
Richard Hill, APIG.http://www.apig.ch and http://www.hill-a.ch
|
Artículo publicado en la Revista América Latina en Movimiento: Paz
y NoViolencia: Rebeldía a un sistema violento 17/09/2018
|
No hay comentarios:
Publicar un comentario