Por: Kaja Ciglic, director senior de paz digital.
Hace unos días, las Naciones Unidas (ONU) publicaron sus recomendaciones más importantes hasta la fecha sobre cómo los gobiernos pueden proteger el ciberespacio de la escalada de conflictos. Las recomendaciones reconocen que el derecho internacional se aplica al comportamiento estatal en línea y enumera sectores específicos que deben considerarse infraestructura crítica y, por lo tanto, fuera de los límites de los ataques, incluidos la atención médica, la red eléctrica, la educación, los servicios financieros, el transporte, las telecomunicaciones y los procesos electorales. Pero si bien esto es un progreso, todavía no es suficiente. La reciente avalancha de ataques cibernéticos dañinos, contra todo, desde oleoductos hasta suministros de alimentos y agencias de ayuda, y los ataques de ransomware cada vez más dañinos en una variedad de sectores, exigen que tomemos medidas concretas que implementen y respeten las reglas de la carretera en el ciberespacio. Los estados miembros de la ONU ahora deben tomar estas recomendaciones, junto con otras publicadas a principios de este año, y convertirlas de manera rápida en expectativas significativas y ejecutables.
El informe GGE: Las áreas de consenso avanzan de manera gradual
Las nuevas recomendaciones publicadas se incluyen en el informe final del Grupo de Expertos Gubernamentales (GGE, por sus siglas en inglés) de la ONU sobre ciberseguridad, el grupo de trabajo a puertas cerradas de representantes de 25 estados miembros de la ONU encargados de brindar orientación sobre el comportamiento estatal responsable en línea. Es alentador que los compromisos básicos del informe final del GGE reflejen los reconocidos por el Grupo de Trabajo de Composición Abierta (OEWG, por sus siglas en inglés) de la ONU sobre ciberseguridad, que publicó su informe final en marzo de este año. Si bien hubo preocupaciones anteriores de que los dos procesos de la ONU podrían haber llegado a conclusiones contradictorias, los informes gemelos subrayaron el consenso internacional sobre lo que se conoce cada vez más como el «marco para el comportamiento estatal responsable en el ciberespacio»: el reconocimiento de que el derecho internacional se aplica en línea y que es necesario respetar las 11 normas de comportamiento estatal acordadas en el informe GGE de 2015.
Sin embargo, más allá de tan solo reafirmar estos compromisos, el informe del GGE por primera vez explica cómo los estados deben implementar las 11 normas de ciberseguridad. Es de destacar que el informe enumera una lista no exhaustiva de sectores específicos que deben considerarse «infraestructura crítica» y fuera de los límites de los ataques. Destacar la «infraestructura sanitaria y médica», que ha sido tan esencial durante la pandemia COVID-19, es en particular digno de elogio, pero la lista también incluye otros sectores que han sido atacados de manera reciente, como «energía, generación de energía, agua y saneamiento, educación, servicios comerciales y financieros, transporte, telecomunicaciones y procesos electorales”. Reconocer de manera expresa que estos sectores necesitan protección ayudará a impulsar mayores inversiones en su seguridad y también debería ser visto como una línea roja para el comportamiento malicioso por parte de los estados que, cuando se cruzan, generará consecuencias.
Además de explicar lo que los estados pueden y deben hacer por sí mismos, el informe reconoce que el ciberespacio no se detiene en las fronteras nacionales y que la ciberseguridad no es un juego de suma cero. Los estados deberán trabajar juntos para mantener la seguridad y la estabilidad en línea. Sin embargo, ese tipo de cooperación requiere desarrollar el músculo diplomático necesario para participar en lo que es un espacio de nuevos problemas para muchas naciones. Con ese fin, el informe alienta a los estados a participar en los esfuerzos de creación de capacidad, establecer puntos de contacto designados para coordinar con otros gobiernos y establecer medios para responder a las solicitudes de asistencia después de incidentes cibernéticos, así como rutinas para informar vulnerabilidades técnicas. Estas son acciones fundamentales para garantizar que los estados puedan cumplir con sus compromisos de promover la seguridad en línea.
Sin embargo, a pesar de estos elementos prometedores, el informe, por desgracia, logra avances limitados en la aplicación del derecho internacional en línea o en la inclusión de múltiples partes interesadas. Si bien reafirma que el derecho internacional se aplica en el ciberespacio, el informe no dice cómo lo hace, sino que alienta a los estados a que, de manera respectiva, ofrezcan sus propias opiniones sobre el tema, lo que deja las cuestiones legales abiertas sin resolver. Sin embargo, incluso aquí hay algo de promesa, ya que el informe viene con las opiniones de los 25 estados que participaron en el diálogo sobre el tema, instamos a otros a seguir su ejemplo pronto. Sin embargo, quizás la omisión más notoria sea la escasa referencia a la participación de múltiples partes interesadas en estos diálogos o en la implementación de los compromisos resultantes. En un dominio cibernético que pertenece y es operado en gran parte por el sector privado, un progreso significativo en el desarrollo y mantenimiento de las expectativas de comportamiento responsable requerirá una cooperación mucho más estrecha entre los gobiernos y la industria, así como la sociedad civil.
Pasar la antorcha: Un nuevo capítulo de los diálogos cibernéticos
La serie de diálogos de GGE que comenzó en 2004 ha sentado una base invaluable al establecer y reforzar normas para el comportamiento estatal responsable en línea. Pero implementar y mantener estas expectativas no es adecuado para los grupos de trabajo ad hoc que solo están abiertos a los estados. El hecho de que el progreso haya sido tan lento e incremental durante la última década indica con claridad que debe comenzar una era nueva y diferente de diálogo internacional sobre ciberseguridad, en la ONU y más allá.
En primer lugar, los estados deben poner a los ciudadanos en el centro de estas discusiones. El enfoque de las deliberaciones no debe centrarse tan solo en la competencia interestatal, sino también en garantizar que se consideren otros aspectos de la seguridad nacional. Esto incluye elementos como preservar los beneficios del ciberespacio para las economías nacionales y proteger los derechos humanos y las libertades que han sido reconocidos en los dominios físicos extendiéndolos al ciberespacio.
En segundo lugar, los estados deben reconocer que los límites de duración de estos diálogos son contraproducentes en el contexto del ciberconflicto. Esta es un área problemática que persistirá en el futuro previsible a medida que el mundo continúe con el aumento en su dependencia de la tecnología. Es necesario establecer un organismo permanente para abordar los problemas de paz y seguridad en el ciberespacio a fin de mantenerse al día con los desafíos en un dominio digital en constante evolución.
Por último, los debates futuros en la ONU deberían basarse en un modelo de múltiples partes interesadas que incorpore las voces de la industria y la sociedad civil de forma sistemática y coherente. El mundo en línea está construido y mantenido en gran medida por la industria privada, por lo que las deliberaciones sobre la paz y la seguridad en línea no pueden ser exclusivas de un grupo selecto de gobiernos. La inclusión de múltiples partes interesadas debe integrarse en el marco de todos los futuros diálogos sobre ciberseguridad en la ONU, con estándares mínimos establecidos para sesiones de consulta tanto escritas como presenciales con partes interesadas no gubernamentales.
No hay tiempo que perder
De cara al futuro, el Programa de Acción (POA, por sus siglas en inglés) discutido en la actualidad, propuesto por Francia, Egipto y otros países, tiene el potencial de proporcionar el organismo inclusivo y permanente descrito con anterioridad. Sin embargo, no podemos permitirnos el lujo de esperar a que se introduzca hasta el final del nuevo GTCA dentro de cinco años, como han sugerido algunos estados. Los ataques se intensifican mucho antes que el ritmo de la diplomacia. Necesitamos movernos más rápido y hacer más de inmediato.
Además de actuar con rapidez, también debemos pensar de manera creativa para asegurarnos de que los recursos y conocimientos externos a la ONU se aprovechen para mantener las expectativas internacionales en línea. El trabajo del Llamado de París para la Confianza y la Seguridad en el Ciberespacio reúne a una coalición de partidarios de múltiples partes interesadas sin precedentes comprometidos con mantener las expectativas de un comportamiento responsable en línea. Sus recomendaciones sobre la implementación de normas deben considerarse en el contexto de los esfuerzos de la ONU. Además, sobre la interpretación del derecho internacional en el ciberespacio, el llamado «Proceso de Oxford» proporciona un foro preeminente para generar consenso entre los principales académicos de todo el mundo sobre cuestiones espinosas. En lugar de operar en silos como procesos independientes, el trabajo de estas y otras iniciativas debe verse como herramientas para llevar adelante la visión establecida por la ONU para un ciberespacio más pacífico y seguro, y como la fuente para una mayor innovación y evolución de las expectativas internacionales para todos los actores en línea.
Por último, debemos ir más allá de las discusiones. Necesitamos trabajar juntos como una comunidad global para asegurar que los actores malintencionados rindan cuentas. Cuando se cruzan líneas, se rompen las normas y se violan las leyes internacionales, debe haber consecuencias. Socavar la seguridad de las cadenas de suministro de TIC, atacar a las organizaciones sanitarias, amenazar el transporte de energía y poner en peligro los recursos alimentarios no pueden convertirse en el tipo de actividades que se normalizan debido a la inacción. Las campanas de alarma han comenzado a sonar y debemos elevarnos de manera colectiva a la escala del desafío.