Por: Kate O’Sullivan, gerente general de diplomacia digital.
A principios de marzo de 2020, un grupo de trabajo de las Naciones Unidas (ONU), abierto a todos los estados miembros, dio el paso histórico y muy necesario de acordar las expectativas de un comportamiento responsable de los estados-nación en línea. Esto llega en un momento crítico, a raíz de dos importantes ataques de estado-nación: Nobelium y Hafnium, y una ola de ataques dirigidos a organizaciones de atención médica durante la pandemia de COVID-19. Si bien es necesario hacer más, todos debemos sentirnos alentados por el progreso de la ONU y la solidaridad que ha comenzado a tomar forma contra los ataques indiscriminados de los estados-nación, que causan un daño generalizado.
Este nuevo consenso se alcanzó a través del Grupo de Trabajo de Composición Abierta (OEWG, por sus siglas en inglés) de la ONU sobre ciberseguridad, que emitió su reporte final después de casi dos años de deliberaciones. Esta es la primera vez que se negocia y se acuerda un documento de este tipo en un grupo de trabajo abierto a los 193 estados miembros de la ONU. Los acuerdos previos de la ONU sobre las reglas cibernéticas fueron negociados en entornos que eran más pequeños en comparación, y han pasado más de cinco años desde que estos procesos llegaron a un acuerdo sobre las expectativas de comportamiento responsable en línea. Mientras tanto, los ataques sofisticados y los conflictos entre estados-nación han continuado en aumento.
El OEWG también estableció un nuevo precedente para la ONU, al estar más abierto a las aportaciones y la participación de organizaciones ajenas al gobierno, incluidas empresas como Microsoft. El ciberespacio es desarrollado y mantenido en gran medida por organizaciones privadas, y los campos de batalla en línea no están limitados, de ninguna manera, por fronteras físicas, por lo que la participación del sector privado es fundamental para proteger el ciberespacio. Construir sobre este legado de participación de múltiples partes interesadas será esencial para el progreso futuro.
Si bien todo el reporte es un gran paso adelante, hay tres aspectos que merecen especial atención.
Primero, eleva y afirma la autoridad del derecho internacional en el ciberespacio y el conjunto de normas de comportamiento responsable que se adoptaron como estándares voluntarios en 2015. Estas normas distinguen aspectos como la infraestructura crítica y los equipos de respuesta a emergencias informáticas (CERTs, por sus siglas en inglés) como prohibidos a los ciberataques por parte de los gobiernos. Con este fin, el reporte también alienta a los estados a ser transparentes y concretos sobre cómo entienden que se aplican estas reglas y qué acciones llevan a cabo para implementarlas.
Segundo, reconoce una necesidad de proteger la atención médica de los ciberataques, incluidos los servicios y las instalaciones médicas. En medio de la pandemia global en curso, estos ataques se han dirigido a hospitales y organizaciones de atención médica en los Estados Unidos y organizaciones en todo el mundo, incluido el Hospital Universitario de Brno en la República Checa, el sistema hospitalario de París, los sistemas informáticos de los hospitales en España, hospitales en Tailandia, e incluso organismos internacionales como la Organización Mundial de la Salud.
En tercer lugar, pide a los estados que protejan la cadena de suministro de tecnologías de la información y las comunicaciones, o TIC. El ataque de Nobelium contra SolarWinds fue sólo el último ejemplo de un ataque a la cadena de suministro, con consecuencias de gran alcance que no deberían tolerarse. Al corromper el proceso de actualización de software, Nobelium puso a miles de personas y organizaciones en riesgo indebido, y tales ataques amenazan con socavar la confianza pública y la confianza en el proceso de actualización que todos los proveedores usan para mantener la seguridad de su ecosistema digital. Sin embargo, la ONU ha realizado declaraciones similares con anterioridad, por lo que esperamos ver más acciones en los próximos días para mantener este compromiso.
Más allá de estas áreas específicas, el grupo también reconoció la importancia del desarrollo de capacidades en ciberseguridad como eje de todos estos compromisos. Las naciones de todo el mundo tienen capacidades muy diferentes, y la implementación de expectativas internacionales en el ciberespacio requerirá de nuevas inversiones, en especial en las economías emergentes. Todo este trabajo diplomático será en vano si los estados no pueden cumplir con sus propios compromisos y recomendaciones. La ciberseguridad no es de suma cero, y cuando una nación es más segura, todos cosechamos los beneficios.
Si bien el reporte de la OEWG nos alienta, hay un lugar en el que instamos a todos los estados miembros de la ONU a tomar más medidas: los derechos humanos. Por desgracia, el reporte contiene sólo referencias superficiales a los derechos humanos y omite cualquier referencia al derecho internacional humanitario, que debe respetarse tanto en el ciberespacio como en el ámbito físico.
Lograr un consenso sobre este reporte es, de hecho, un logro importante para el multilateralismo y la diplomacia inclusivos, así como para la ciberseguridad, pero se requiere más trabajo a corto plazo. Instamos a los estados a que continúen con la construcción sobre este resultado positivo para cambiar el rumbo contra la escalada del conflicto en línea, al continuar con la participación en diálogos sólidos e inclusivos. El Programa de Acción (PoA), propuesto por el gobierno francés, es un posible camino a seguir que podría consolidar las deliberaciones cibernéticas de la ONU en un solo proceso permanente y, al mismo tiempo, ayudar a facilitar y optimizar la necesaria inclusión de múltiples partes interesadas. Agradecemos a los gobiernos que han luchado con estos problemas por años, y en Microsoft apoyaremos los próximos pasos necesarios para proteger nuestro ciberespacio compartido.
