La perspectiva de una víctima sobre el derecho internacional en el ciberespacio

Publicado por el Instituto Lawfare en cooperación con

En la primavera de 2022, dos importantes operaciones de ransomware se dirigieron a 27 organismos gubernamentales de Costa Rica, además del sistema de salud del país. El gobierno de Costa Rica se negó a pagar el rescate exigido. A la luz de las amenazas de los piratas informáticos de filtrar información confidencial de los datos que cifraron, muchos sistemas administrados por el gobierno tuvieron que desconectarse (incluidos los relacionados con la recaudación de impuestos, la medicina y la seguridad social). El presidente de Costa Rica, Rodrigo Chaves, declaró que Costa Rica estaba “en guerra” con los atacantes (que estaban afiliados a dos grupos de habla rusa, conocidos como Conti y Hive). El gobierno de Costa Rica ha pasado el último año trabajando en recuperación y remediación, con asistencia técnica de los gobiernos estatales (es decir, Estados Unidos y España) y la industria.

A la luz de estos acontecimientos, no sorprende que Costa Rica acabe de publicar uno de los documentos de posición más sólidos sobre la aplicabilidad del derecho internacional en el ciberespacio. Al hacerlo, se convierte (según nuestro recuento) en el estado número 36 en ofrecer una posición nacional oficial sobre el tema. Por lo tanto, Costa Rica se une a una tendencia –aunque todavía no es una muestra grande– en la que los estados parecen cada vez más interesados ​​en mejorar la transparencia de sus respectivos puntos de vista legales y proporcionar un marco para el futuro diálogo (y, tal vez, acuerdo).

La declaración de Costa Rica sigue a la gran mayoría de sus predecesores al reconocer la aplicabilidad del derecho internacional “en su totalidad” a las tecnologías de la información y las comunicaciones (TIC), incluida la prohibición del uso de la fuerza y ​​el derecho internacional humanitario (DIH). Aborda muchos de los mismos temas tratados en las declaraciones nacionales de otros estados (como la no intervención, la soberanía, las contramedidas y la debida diligencia), al tiempo que plantea otros que no han recibido tanta atención, incluidos los derechos humanos, la solución pacífica de disputas y la neutralidad. Costa Rica claramente ha dedicado tiempo a examinar las declaraciones de otros estados y, en particular, los “proyectos académicos sobre la aplicación del derecho internacional a las operaciones cibernéticas”, incluido el Proceso de Oxford (del cual uno de nosotros es co-coordinador), los Manuales de Tallin, y el conjunto de herramientas sobre ciberderecho.

El Instituto de Derecho, Innovación y Tecnología de la Facultad de Derecho de la Universidad de Temple, conocido como iLIT, ha estado trabajando en conjunto con el programa de Tecnología, Derecho y Seguridad de la Universidad Americana para catalogar y analizar las tres docenas de declaraciones nacionales existentes sobre la aplicación del derecho internacional. Por eso nos complació ver la elaborada declaración de Costa Rica. Brinda una oportunidad no sólo de abordar las novedosas contribuciones de Costa Rica, sino también de evaluar la situación general del funcionamiento del derecho internacional en el ciberespacio.

Soberanía

Costa Rica se une a la mayoría de estados que han abordado el tema de la soberanía (incluidos Brasil, Canadá, Japón y, más recientemente, Irlanda) al categorizarla como una regla que puede ser violada por las operaciones cibernéticas de otros estados. Al hacerlo, la declaración de Costa Rica aísla aún más al Reino Unido, que ha redoblado la idea de que es mejor considerar la soberanía como un principio de fondo que informa otras reglas, señalando que “no considera que el concepto general de soberanía por sí solo proporciona una base suficiente o clara para extrapolar una regla específica o prohibición adicional para la conducta cibernética”.

¿Qué operaciones cibernéticas violarán la soberanía? Aquí también la declaración de Costa Rica tiene un alcance amplio, incluyendo no sólo los ataques físicos sino también las operaciones cibernéticas que desencadenan una “pérdida de funcionalidad de la infraestructura cibernética ubicada en el Estado víctima”. Esta posición tiene sentido dado el daño económico no físico (pero extenso) que sufrió Costa Rica en los ataques de ransomware de 2022. De manera similar, Costa Rica incluye una “usurpación de funciones inherentemente gubernamentales” como una violación de la soberanía, siguiendo el Manual de Tallin 2.0, e incluye operaciones “que interfieren con los procesos democráticos de un Estado, como elecciones, respuestas a una emergencia de seguridad nacional o sanitaria, como como la pandemia de COVID-19 y su elección de política exterior”. La posición de Costa Rica difiere de la declaración inmediatamente anterior a la suya (de Irlanda) que no había reconocido la usurpación de funciones gubernamentales como una condición violatoria de la soberanía.

Donde Costa Rica realmente se diferencia de otros estados es en su disposición a imaginar violaciones de la soberanía estatal a través del ciberespionaje. Para ser claros, Costa Rica reconoce que “a menudo es difícil distinguir técnicamente entre una mera operación de recopilación de datos y una operación que penetra un sistema gubernamental para interferir con las funciones soberanas de un Estado. Los ejemplos del mundo real muestran que, una vez que un malware ingresa exitosamente a un sistema o red, sigue siendo una amenaza latente a su integridad”. Pero en lugar de adoptar una posición que permita el espionaje, dada la dificultad de hacer tales distinciones, la declaración de Costa Rica va en la otra dirección, sugiriendo que al menos algunas operaciones de vigilancia y ciberespionaje pueden llevarse a cabo de una manera que viole la soberanía estatal y otras reglas. del derecho internacional. Como tal, Costa Rica se distingue de muchos otros Estados (Alemania, Japón, Polonia e Israel, por nombrar algunos) que se negaron a vincular expresamente las operaciones de vigilancia con posibles violaciones de la soberanía estatal. De hecho, Costa Rica es el primer Estado que adopta esta posición en términos tan claros e inequívocos.

No intervención

La posición de Costa Rica, como la mayoría de las otras declaraciones nacionales, se basa en el caso de la Corte Internacional de Justicia de 1986 Nicaragua contra Estados Unidos y la Declaración de Relaciones Amistosas de la Asamblea General de la ONU para identificar una prohibición de intervención que incluye comportamientos inferiores al uso de la fuerza. umbral, que implica una interferencia coercitiva en los asuntos internos de otro Estado (el domaine réservé). Al igual que con la soberanía, Costa Rica es nuevamente expansiva en su interpretación de qué conducta violará esta obligación, incluidos “ataques de ransomware que paralizan o simplemente interfieren con la capacidad de un Estado para administrar servicios públicos, como las finanzas, la educación y la seguridad social”. Basándose en el Manual de Tallin 2.0, Costa Rica sugiere que una intervención también puede ocurrir “cuando [un Estado] participe o apoye propaganda subversiva u hostil o la difusión de noticias falsas que interfieran en los asuntos internos o externos de otro Estado” y (sumándose Nueva Zelanda, Australia, Brasil y otros) “interferencia electoral extranjera”. Por lo tanto, Costa Rica se adelanta al resto al sugerir que el principio de no intervención puede aplicarse como una herramienta para responder a las campañas de desinformación y mala información patrocinadas por el Estado. Además, en opinión de Costa Rica, el intento de intervención cibernética no necesita tener éxito para violar este principio; la intención de coaccionar es suficiente.

Contramedidas

Las contramedidas implican conductas internacionalmente ilícitas cuya ilicitud queda excluida cuando se adoptan en respuesta a un hecho internacionalmente ilícito anterior (y se cumplen varias otras condiciones sustantivas y procesales). La declaración de Costa Rica reconoce las limitaciones sustantivas y procesales articuladas por la Comisión de Derecho Internacional de la ONU (por ejemplo, que las contramedidas no deben ser punitivas, deben ser proporcionadas y no deben perturbar los derechos humanos fundamentales). Al mismo tiempo, la posición de Costa Rica reconoce que los requisitos procesales, a saber (a) resumen (pedir al Estado que cese sus actos ilícitos), (b) notificación a ese Estado de la intención de tomar contramedidas, y (c) la oferta para negociar—“no tienen que cumplirse cuando su cumplimiento frustraría el propósito de las contramedidas previstas”. Otros estados han opinado sobre excepciones a los requisitos procesales, aunque en términos ligeramente diferentes (como Italia, Francia, Países Bajos y Noruega).

Más importante aún, la declaración de Costa Rica pondera (positivamente) la posibilidad de que los estados empleen contramedidas colectivamente, una posición defendida originalmente por Estonia y apoyada más recientemente por Irlanda. La declaración de Costa Rica señala su apoyo a la idea de contramedidas colectivas no sólo por violaciones de obligaciones erga omnes sino también a petición de un Estado víctima. En contraste, estados como Francia y Canadá han sugerido que las contramedidas colectivas no están permitidas por el derecho internacional en la actualidad, mientras que Brasil ha echado un jarro de agua fría sobre la idea de contramedidas en general.

Debida diligencia

En particular, Estados Unidos se ha negado a respaldar la idea de la debida diligencia como norma de derecho internacional que rige el ciberespacio, y en cambio la ha apoyado como una norma “voluntaria” en el influyente Informe del Grupo de Expertos Gubernamentales de la ONU de 2015. Costa Rica, por el contrario, apoya firmemente la diligencia debida como estándar que se manifiesta en al menos cuatro áreas diferentes del derecho internacional. Por lo tanto, Costa Rica cita que la diligencia debida incluye el estándar del Canal de Corfú (un Estado “no debe permitir que su territorio sea utilizado conscientemente para actos contrarios a los derechos de otros Estados”), siendo posible una notificación constructiva cuando un Estado “sabe o debería haber sabido” que el acto contrario a los derechos de otros Estados “tiene origen o transita por su territorio”. Costa Rica, además, adopta la posición de que los Estados “deben ejercer un grado razonable de vigilancia sobre sus redes” y “también deben implementar ciertas medidas básicas de protección” sobre su infraestructura cibernética.

Al mismo tiempo, Costa Rica mira más allá de Corfú para vincular su visión de la obligación de diligencia debida a la adopción de “medidas apropiadas para prevenir daños transfronterizos significativos” (independientemente de si ese daño viola los derechos de otros Estados). Anteriormente, esta interpretación de la debida diligencia se había aplicado principalmente al derecho ambiental internacional en el contexto de la contaminación (por ejemplo, en Trail Smelter, donde un tribunal arbitral falló a favor de las reclamaciones de Estados Unidos de que Canadá debería asumir la responsabilidad por la contaminación causada por el humo del fundición en el lado canadiense de la frontera que se desplazó a favor del viento hacia el estado de Washington, causando daños a los cultivos y bosques allí). Aquí, Costa Rica cita la aplicación de la diligencia debida en el contexto del ciberespacio para cubrir “daños no físicos… incluidos los causados ​​a través de las TIC”, como “la incitación en línea a la violencia, la hostilidad o la discriminación y las campañas de desinformación que causan daño a las personas”. "

Ley humanitaria internacional

La posición de Costa Rica sobre la aplicabilidad del derecho internacional humanitario en el ciberespacio es una de las más detalladas, matizadas y amplias de las difundidas hasta el momento. La declaración describe en detalle cómo se aplica el DIH a las operaciones cibernéticas como parte de conflictos armados en curso, y cuándo una operación cibernética tiene la capacidad de iniciar un conflicto armado por sí sola. Además, se necesita tiempo para analizar la aplicación de los principios fundamentales del DIH. En cuanto al principio de distinción, por ejemplo, Costa Rica adopta la posición de que, “[c]onto a la infraestructura cibernética, la evaluación de si un objeto califica como objetivo militar debe hacerse al nivel más bajo prácticamente posible”, por lo que significa, "al nivel de cada computadora, cable, enrutador u otro dispositivo específico en particular que puede separarse de una red o un sistema en su conjunto". Los ataques cibernéticos (a los efectos de la prohibición de ataques contra civiles u bienes de carácter civil) implican conductas “diseñadas o [de las que se puede esperar razonablemente que] causen lesiones o la muerte a personas o daños o destrucción a objetos”, junto con:

Las implicaciones de esta posición son significativas. Varios otros estados se han mostrado reacios a tratar la pérdida de funcionalidad por sí sola como un ataque (algunos estados, como Polonia, simplemente no incluyen la pérdida de funcionalidad como un ataque, mientras que otros estados, como Canadá, Alemania e Israel, son mucho más calificativos en su idioma). Estos calificativos son importantes, ya que sólo los “ataques” activan principios fundamentales del DIH como la distinción y la proporcionalidad. Si una operación no es un ataque, según el argumento, no hay necesidad de discriminar entre objetivos civiles y militares. Sin embargo, si una pérdida de funcionalidad puede, como sostiene Costa Rica, constituir un ataque, se amplía significativamente la apertura en cuanto a qué operaciones cibernéticas serán ataques que activen el principio de distinción. Desde esta posición, Costa Rica vuelve a su propia situación, afirmando que el tipo de ataque de ransomware que sufrió en 2022 “sería considerado un ataque bajo el DIH y por lo tanto no debe estar dirigido contra sistemas civiles”.

Finalmente, Costa Rica adopta una posición defendida durante mucho tiempo por el Comité Internacional de la Cruz Roja, pero que pocos estados (si es que alguno) han respaldado anteriormente: la idea de los datos como un objeto. Costa Rica considera que “los datos civiles constituyen bienes de carácter civil según el DIH”, razonando que, “[a]ntes de la revolución digital, dichos datos se almacenaban en forma de archivos en papel que estaban protegidos por el DIH. Por lo tanto, en opinión de Costa Rica, la protección de los bienes de carácter civil en virtud del DIH se extiende a los datos de carácter civil”. Esto significa que “[l]os conjuntos de datos civiles, incluidos datos médicos, datos de seguridad social, registros fiscales, datos corporativos y financieros o listas electorales”, se consideran objetivos ilegales según el DIH que no pueden atacarse sin violar el principio de distinción.

Derechos humanos

Al igual que otros estados, Costa Rica afirma que los derechos humanos se aplican en línea de la misma manera que lo hacen fuera de línea. También destaca repetidamente el impacto de género de los daños cibernéticos, señalando que las mujeres han sufrido de manera desproporcionada los daños cibernéticos (desde la vigilancia electrónica hasta el discurso de odio, el doxxing, el acoso cibernético y el acoso). Donde es probable que su declaración genere mayor controversia es en dónde se aplican estas obligaciones. Estados Unidos, por ejemplo, ha sostenido durante mucho tiempo que sus obligaciones en materia de derechos humanos en virtud del Pacto Internacional de Derechos Civiles y Políticos (PIDCP) se aplican sólo dentro del territorio estadounidense; es decir, no tiene obligación de respetar los derechos humanos fuera de su territorio. Se puede decir que la posición de Costa Rica ocupa el polo opuesto. Afirma que las obligaciones de un Estado de respetar, proteger y garantizar los derechos humanos en virtud del PIDCP y la Convención Americana sobre Derechos Humanos van más allá de:

[Un] territorio, áreas o personas de un Estado bajo su control físico. Se extiende a todos los derechos humanos sobre cuyo disfrute el Estado ejerce poder o control efectivo, independientemente de su proximidad física. Esto significa que, en virtud de esos tratados, los Estados deben respetar, proteger y garantizar los derechos humanos que se ejercen en línea o a través de las TIC y sobre cuyo disfrute un Estado ejerce un control efectivo.

Esta posición puede alinearse con la Corte Interamericana de Derechos Humanos, pero no es una que muchos estados hayan respaldado. Por lo tanto, será interesante evaluar las reacciones de otros estados a la posición de Costa Rica sobre dónde los estados en línea deben brindar protección a los derechos humanos.

Conclusión

La declaración de Costa Rica parece ser la declaración nacional más larga y sofisticada emitida hasta la fecha sobre la aplicación del derecho internacional en el ciberespacio. Aunque tradicionalmente no se reconoce como una potencia cibernética ni en el sentido militar ni industrial, las experiencias de Costa Rica con el ransomware pueden elevar su voz entre las docenas de estados que ahora hablan sobre cómo lograr una gobernanza global para los comportamientos en línea de los estados. Por supuesto, esto no es garantía de que las posiciones de Costa Rica establezcan un nuevo estándar para otros, ya sea al exigir a los Estados que ya se han pronunciado que actualicen sus declaraciones más superficiales existentes o al proporcionar una prueba de concepto para otros Estados que aún no han emitido cualquier declaración.

Pero el documento de posición de Costa Rica destaca cuánta prioridad están otorgando muchos estados al papel del derecho internacional en línea. La cuestión de qué hacer con estas declaraciones también merece más atención. ¿Cómo se relacionan estas declaraciones nacionales con el derecho internacional? ¿Qué relevancia jurídica tienen si, como afirman generalmente los Estados, las normas existentes ya se aplican? ¿Son meros esfuerzos de interpretación y aplicación, o van más allá al servir como evidencia de alguna nueva opinio juris y hacer evolucionar el contenido de la ley en el proceso? Mientras Rusia y otros piden un tratado de ciberseguridad, puede ser particularmente importante considerar estas declaraciones como una señal sobre aquellas áreas donde el consenso parece más probable y aquellas donde las posiciones divergen (a menudo de manera bastante sustancial), lo que sugiere que se necesitan más aclaraciones y diálogos. muy necesario.