Una norma del derecho internacional consuetudinario (consulte Delitos Cibernéticos Módulo 3 para más información sobre el derecho consuetudinario) es la no intervención en los asuntos internos o externos de otro Estado (Nicaragua contra Estados Unidos, 1986).Estanorma está incluida en varios tratados y convenciones, como en el artículo 8 de la Convención sobre Derechos y Deberes de los Estados de Montevideo de 1933, el apartado e del artículo 3 de la Carta de la Organización de los Estados Americanos de 1948, la Declaración sobre los principios de derecho internacional referentes a las relaciones de amistad y a la cooperación entre los Estados de conformidad con la Carta de las Naciones Unidas de 1970 de la Asamblea General de la ONU, los apartados b y c del artículo 2 del Tratado de Amistad y Cooperación en Asia Sudoriental de 1976, y el apartado g del artículo 4 del Acta Constitutiva de la Unión Africana de 2000.
Ciertas formas de intervenciones cibernéticas pueden socavar la confianza del público en la capacidad del Gobierno para mantener los servicios esenciales, el orden público y la estabilidad económica. Dichas formas de intervenciones cibernéticas pueden incluir: la realización de ataques distribuidos de denegación de servicios contra sistemas de infraestructuras críticas; el uso de programas maliciosos para infectar sectores de infraestructuras críticas con la intención de dañar los sistemas, robar, eliminar y modificar datos o interrumpir los servicios y la difusión de desinformación, noticias falsas y propaganda con el fin de socavar la autoridad del Estado y obtener una respuesta deseada por parte del Gobierno y la población objetivos. Dicho esto, la capacidad de trazar líneas legales para las formas legítimas e ilegítimas de intervenciones cibernéticas (basadas en los principios de igualdad soberana, no intervención e integridad territorial) es un tema extremadamente delicado. Esto se debe, en parte, a que los Estados no han articulado suficientemente la forma en que las normas jurídicas internacionales consuetudinarias deben aplicarse en el ciberespacio (Manual de Tallin 2.0, pág. 3). No obstante, en las Naciones Unidas se están llevando a cabo debates sobre estas cuestiones, aunque existen interpretaciones contrapuestas sobre la naturaleza y el alcance de la aplicabilidad de estas normas en el ciberespacio (consulte, p. ej., las resoluciones A/RES/73/266 y A/RES/73/27).
Antes de que un país perjudicado pueda emprender acciones, se necesita una prueba para establecer una violación del derecho internacional y atribuir la conducta a un Estado (a diferencia de las personas que actúan por su propia cuenta). Al igual que las normas de primer orden, las de segundo orden con relación a los requisitos de prueba para la atribución en el ciberespacio son igualmente objeto de debate, al igual que la necesidad de establecer una organización imparcial independiente para llegar a tales conclusiones (consulte, p. ej., el Informe de la Corporación Rand sobre los apátridas: hacia).
Incluso si se comprueba que se trata de un hecho internacionalmente ilícito, hay circunstancias que podrían excluir la ilicitud de una operación cibernética particular. Estas circunstancias consuetudinarias se presentan en los artículos de la Comisión de Derecho Internacional sobre la responsabilidad del Estado por hechos internacionalmente ilícitos de 2001 (Naciones Unidas, 2001; consulte el recuadro «Circunstancias que excluyen la ilicitud» que figura a continuación).
Artículo 20: Consentimiento
El consentimiento válido de un Estado a la comisión por otro Estado de un hecho determinado excluye la ilicitud de tal hecho en relación con el primer Estado en la medida en que el hecho permanece dentro de los límites de dicho consentimiento.
Artículo 21: Legítima defensa
La ilicitud del hecho de un Estado queda excluida si ese hecho constituye una medida lícita de legítima defensa tomada de conformidad con la Carta de las Naciones Unidas.
Artículo 25: Estado de necesidad
1. Ningún Estado puede invocar el estado de necesidad como causa de exclusión de la ilicitud de un hecho que no esté de conformidad con una obligación internacional de ese estado a menos que ese hecho: a) sea el único modo para el Estado de salvaguardar un interés esencial contra un peligro grave a inminente y b) no afecte gravemente un interés esencial del Estado o de los Estados con relación a los cuales existe la obligación, o de la comunidad internacional en su conjunto.
2. En todo caso, ningún Estado puede invocar el estado de necesidad como causa de exclusión de la ilicitud si: a) la obligación internacional de que se trate excluye la posibilidad de invocar el estado de necesidad o b) el Estado ha contribuido a que se produzca el estado de necesidad.
De acuerdo con la regla 6 del Manual de Tallinn 2.0, Derecho internacional aplicable a las operaciones cibernéticas, 2017, «un Estado debe actuar con la debida diligencia para no permitir que su territorio, o el territorio o la infraestructura cibernética bajo su control gubernamental, se utilice para operaciones cibernéticas que afecten a los derechos de otros Estados y produzcan graves consecuencias adversas para ellos». De hecho, los Estados están obligados a impedir que su territorio sea utilizado para cometer ataques cibernéticos contra otros países (caso del Canal de Corfú, 1949). De conformidad con el principio de diligencia debida, los Estados están obligados a actuar para poner fin a las operaciones cibernéticas realizadas desde su Estado utilizando medios razonablemente disponibles cuando se les notifique (Regla 7 del Manual 2.0 de Tallinn).
Los Manuales de Tallinn (2013; 2017) son documentos no vinculantes.
En la regla 14 del Manual de Tallinn 2.0 se establece que «el Estado incurre en responsabilidad internacional por un acto relacionado con la cibernética que sea atribuible al Estado y que constituye el incumplimiento de una obligación jurídica internacional». Los actos cibernéticos de los órganos estatales, los órganos de otros Estados y los actores no estatales podrían atribuirse al Estado (consulte las reglas 15 a 17 del Manual 2.0 de Tallinn y los artículos 4, 6, 8 y 11 de la Comisión de Derecho Internacional sobre la responsabilidad del Estado por hechos internacionalmente ilícitos de 2001, incluidos en el recuadro siguiente).
Artículo 4: Comportamiento de los órganos del Estado
1. Se considerará hecho del Estado según el derecho internacional el comportamiento de todo órgano del Estado, ya sea que ejerza funciones legislativas, ejecutivas, judiciales o de otra índole, cualquiera que sea su posición en la organización del Estado y tanto si pertenece al gobierno central como a una división territorial del Estado. 2. Se entenderá que órgano incluye toda persona o entidad que tenga esa condición según el derecho interno del Estado.
Artículo 6: Comportamiento de un órgano puesto a disposición de un Estado por otro Estado
Se considerará hecho del Estado según el derecho internacional el comportamiento de un órgano puesto a su disposición por otro Estado, siempre que ese órgano actúe en el ejercicio de atribuciones del poder público del Estado a cuya disposición se encuentra.
Artículo 8: Comportamiento bajo la dirección o control del Estado
Se considerará hecho del Estado según el derecho internacional el comportamiento de una persona o de un grupo de personas si esa persona o ese grupo de personas actúa de hecho por instrucciones o bajo la dirección o el control de ese Estado al observar ese comportamiento.
Artículo 11: Comportamiento que el Estado reconoce y adopta como propio
El comportamiento que no sea atribuible al Estado en virtud de los artículos precedentes se considerará, no obstante, hecho de ese Estado según el derecho internacional en el caso y en la medida en que el Estado reconozca y adopte ese comportamiento como propio.
El G7, en su Declaración sobre el Comportamiento Responsable de los Estados en el Ciberespacio, «señala que el derecho internacional consuetudinario de la responsabilidad del Estado brinda las normas para atribuir actos a los Estados, que pueden ser aplicables a las actividades en el ciberespacio. A este respecto, los Estados no pueden eludir su responsabilidad jurídica por los actos cibernéticos internacionalmente ilícitos perpetrándolos por medio de apoderados» (2017, pág. 2). Los apoderados cibernéticos son «intermediarios que realizan o contribuyen directamente a una acción cibernética ofensiva que es habilitada a sabiendas, ya sea activa o pasivamente, por un beneficiario» (Maurer, 2018, pág. 173). Maurer (2018) identificó tres tipos de relaciones entre los Estados y los apoderados basadas en el nivel de control de los Estados sobre ellos: delegación (apoderados estrictamente controlados por el Estado), orquestación (apoderados que actúan de acuerdo con la dirección del Estado, pero no están estrictamente controlados) y sanción (acciones de los apoderados apoyadas pasivamente por el Estado) (págs. 173-174). Los apoderados cibernéticos permiten a los Estados reclamar una denegación plausible cuando las operaciones cibernéticas contra otros países se perpetran desde sus territorios. En última instancia, el uso de apoderados cibernéticos dificulta la atribución de los ataques cibernéticos a los países y la exigencia de responsabilidades por estos actos.
El término «apoderados cibernéticos» (utilizado anteriormente) no debe confundirse con el uso del término «servidores proxy» (analizado en Delitos Cibernéticos Módulo 5 Investigación de Delitos Cibernéticos), que son servidores intermediarios que se utilizan para acceder legítimamente a internet.
Las amenazas persistentes avanzadas (o APT, en inglés), discutidas anteriormente en este módulo, pueden servir como apoderados cibernéticos.
Maurer, Tim. (2018). Cyber Mercenaries: The State, Hackers, and Power. Cambridge: Cambridge University Press.
Otra norma del derecho internacional consuetudinario es el arreglo pacífico de los conflictos. En concreto, el apartado 3 del artículo 2 de la Carta de las Naciones Unidas sostiene que «todos los miembros arreglarán sus conflictos internacionales por medios pacíficos de tal manera que no se pongan en peligro ni la paz y la seguridad internacionales ni la justicia». Esta norma también está incluida en la Declaración sobre los Principios de Derecho Internacional referentes a las relaciones de amistad y a la cooperación entre los Estados de conformidad con la Carta de las Naciones Unidas de 1970 y en la Declaración de Manila sobre el Arreglo Pacífico de Controversias Internacionales de la Asamblea General de las Naciones Unidas de 1982.
El tipo de actos cibernéticos cometidos determinará la respuesta a la amenaza. Un país responderá a los casos de hackeo y distribución de programas maliciosos por parte de agentes no estatales, por ejemplo, utilizando medidas de justicia penal, como la detención y la acusación de los autores de estos delitos cibernéticos. Esto se ha observado en casos de hacktivismo y ciberespionaje.
Si un acto cibernético de un país, un Estado patrocinador o personas o grupos dirigidos por un país cae por debajo del umbral del uso de la fuerza o de la coerción (es decir, actos cibernéticos que violan el derecho internacional o, al menos, se consideran como una interferencia injustificada o poco amistosa que no llega a ser una intervención cibernética), el país perjudicado puede responder con represalias. Ejemplos de represalias son las restricciones y sanciones comerciales.
En 2015, Estados Unidos y China firmaron «un acuerdo bilateral destinado a prevenir el ciberespionaje por motivos económicos entre ambos países, en particular el robo de propiedad intelectual y de secretos comerciales» (conocido como Acuerdo de seguridad cibernética entre EE. UU. y China). Los acuerdos bilaterales sobre estas cuestiones, como el ya mencionado, requieren intensos esfuerzos diplomáticos para su creación y una voluntad política sostenida de las partes del acuerdo para su mantenimiento y aplicación. Al momento de redactar el presente documento, el Acuerdo sobre seguridad cibernética entre los EE. UU. y China no parece estar logrando su objetivo original.
Casa Blanca. (2015). Folleto informativo: Visita oficial del presidente Xi Jinping a los Estados Unidos.
Otras posibles represalias incluyen la expulsión de los diplomáticos de un país del Estado perjudicado, la ruptura de las relaciones diplomáticas con el Estado responsable, la retirada de los embajadores del Estado que se cree que participa en la interferencia cibernética, o la congelación o terminación de la asistencia al Estado responsable (Gill, 2013, pág. 230).
Los estados perjudicados pueden tomar represalias o contramedidas, que son actos ilícitos justificados en determinadas circunstancias, para poner fin a la intervención cibernética ilícita de un Estado o lograr el cumplimiento por el Estado de las obligaciones de no intervención (artículo 22, Comisión de Derecho Internacional sobre la responsabilidad del Estado por hechos internacionalmente ilícitos de 2000; Pirker, 2013, pág. 212; Gill, 2013, pág. 231). Estas contramedidas solo pueden aplicarse cuando el ataque se ha atribuido a un país en concreto y deben dirigirse únicamente al Estado responsable (Gill, 2013, pág. 231). Es importante señalar que la atribución positiva y definitiva es difícil (para más información sobre la atribución, consulte Delitos Cibernéticos Módulo 5: Investigación de Delitos Cibernéticos).
La contramedida solo debe ser reactiva, es decir, debe aplicarse en respuesta a una intervención cibernética real y no como una medida puramente preventiva para futuros ataques cibernéticos (Gill, 2013, pág. 231). De ser posible, antes de recurrir a las contramedidas, el Estado perjudicado deberá pedir que el país responsable de la intervención cibernética cese sus actividades (Gill, 2013, pág. 231). La contramedida elegida no debe causar un daño irreversible y debe tener un límite de tiempo, es decir, debe cesar una vez que cese la intervención cibernética del país autor de esta (Gill, 2013, pág. 231; Pirker, 2013, pág. 213).