ESTUDIO SOBRE EL IMPORTANTÍSIMO Y NUEVO MUNDO DE LAS NORMAS QUE HAN DE REGIR LA CIBERNÉTICA

“No se puede dilatar más un serio debate sobre el marco legal internacional en que las ciberguerras tienen lugar”, declaró el Secretario General de la ONU, Antonio Guterres, durante sus palabras de apertura en la Munich Security Conference a primeros de este mes. Era la primera vez que el secretario general de la ONU planteaba tales observaciones explícitas sobre la creación de cibernormas. Y lo repitió unos días más tarde, en un discurso en la Universidad de Lisboa, urgiendo a los dirigentes mundiales a acordar normas globales de aplicación al ciberespacio.

Pero sus comentarios no son a humo de pajas. El año pasado fue testigo de los más escandalosos ciberincidentes hasta la fecha. Nuevas clases de ataques afectaron a los gobiernos, industrias y organizaciones de todo el mundo, desde la difusión internacional de agresiones como WannaCry y Petya/NotPetya hasta docenas de grandes infracciones incluyendo las que afectaron a Equifax y Deloitte. Mientras, los esfuerzos de la comunidad internacional para hacer avanzar normas más firmes fracasaron. En junio el Group of Governmental Experts (UN GGE) de la ONU –grupo de expertos de 25 países, incluyendo EEUU, Rusia y China, que fue creado por la ONU para estudiar las nacientes amenazas en la seguridad de información- no llegó a ningún acuerdo en sus esfuerzos para lograr normas para un comportamiento responsable de los estados en el ciberespacio.

Sin embargo, no todo son malas noticias. De hecho se la logrado un gran progreso durante la década pasada en varios foros globales y regionales. El Cyber Norms Index, elaborado por el Carnegie Endowment for International Peace, nos ofrece un modelo prometedor de actividad bi y multilateral que ha resultado en compromisos y declaraciones que subrayan los intereses, preocupaciones y objetivos compartidos en el ciberdominio. Por ahora no es más que una aspiración pero la diplomacia internacional tiende a moverse con una velocidad de décadas más bien que de años. En este contexto éste es un progreso significativo. Un asunto pendiente es cómo y dónde hacer avanzar estos esfuerzos. A continuación se plantea un resumen de tres opciones que no tienen por qué ser mutuamente excluyentes.

Continuación del proceso UN GGE

A pesar de los recientes reveses no se ha perdido del todo la esperanza en el proceso UN GGE, si bien cada uno de los posibles próximos pasos no viene aislado. La desaparición del GGE el año pasado ha suscitado la cuestión de cómo se podría continuar en el futuro. Algunos países han planteado que la tarea del GGE debería llevar a un grupo de trabajo sin terminación que abarcaría un grupo mucho más grande de países, aumentando con ello su legitimidad pero también tal vez exacerbando los obstáculos actuales para el acuerdo. Alternativamente, esa tarea podría ser trasferida a un cibercomité totalmente nuevo de la Asamblea General, muy parecido al Committee on the Peaceful Uses of Outer Space que ha dirigido la adopción de una serie de tratados y principios para regir la exploración y el uso del espacio. Otros han planteado la idea de pasar partes del debate a otros comités de la Asamblea General, por ejemplo su Sexto Comité sobre las cuestiones legales. Las diferencias entre las opciones pueden parecer escasas desde fuera por podrían afectar significativamente al resultado de las negociaciones diplomáticas dependiendo de quiénes formen los grupos, qué se va a debatir y si los debates van a ser juntos o por separado.

Otra posibilidad es que los países acuerden iniciar unan nueva ronda de conversaciones en el GGE. Ello enlazaría con el estado del 2017 GGE en sus trabajos sobre las cibernormas, pero también plantearía las mismas cuestiones de los anteriores debates, esto es cómo aplicar mejor la legislación internacional. Finalmente, los diplomáticos piensan en un nuevo formato híbrido que satisfaría nuevas expectativas entre los miembros. En último extremo, el problema de superar pasadas divisiones dentro del GGE puede menos desalentador que el de realizar propuestas más ambiciosas y a más largo plazo, tales como la Microsoft’s Digital Geneva Convention.

La Digital Geneva Convention

La propuesta más ambiciosa en la actualidad es la idea de Microsoft de una Digital Geneva Convention. Anunciada en principio a primeros de 2017 la compañía cedió el mes pasado cuando su presidente, Brad Smith, lo planteó en el World Economic Forum de Davos, Suiza. Las recomendaciones de Microsoft implican tres componentes que afectan a los gobiernos, la industria y ONG. La Convention pediría a los estados miembros refrenarse de lanzar ciberataques al sector privado, las infraestructuras críticas o la propiedad intelectual. Pediría al sector técnico que accediera a los principios y comportamientos compartidos, tales como “una defensa del 100% y una ofensa del 0%” y operar como una “Suiza Digital neutral” asegurando la protección de todos los usuarios independientemente del país. También crearía una ONG que investigaría y atribuiría públicamente los ciberataques a países concretos. En tanto que significativamente diferente en el fondo, la propuesta de Microsoft es similar en su nivel de ambición al código internacional de conducta sobre seguridad de la información, una serie de normas propuestas y respaldadas por Rusia y China que contienen su visión de la soberanía nacional y control de la información en el ciberespacio. Lograr tales metas requeriría unos significativos acuerdo global y participación de los sectores público y privado, algo que hasta ahora se ha demostrado imposible en el ciberdominio, en donde los países continúan en desacuerdo incluso sobre el significado de la ciberseguridad y la seguridad de la información, respectivamente.

Iniciativas más ajustadas

Un tercer punto de vista sobre el avance de las cibernormas seguiría la idea del acuerdo en 2015 entre EEUU y China sobre el robo ciberposibilitado de la propiedad intelectual. Sigue siendo el compromiso más efectivo hasta la fecha con múltiples informes que han contribuido a reducir la maliciosa actividad entre los dos países. El White House Homeland Security Adviser, Tom Bossert, ha manifestado que el punto de vista de EEUU hacia las cibernormas con la administración Trump pasará de los compromisos multilaterales a bilaterales. Esto supone una opinión práctica que, al tratar las relaciones o aspectos concretos de la ciberseguridad será más beneficioso que un punto de vista de amplia negociación sobre las normas. Esta clase de tratamiento muy ajustado indica una vía de compromiso más concreto que también proporciones más oportunidades para comprometer a la industria. Un punto de vista definido de modo más ajustado es lo lógico tras una propuesta de Carnegie Endowment para un acuerdo del G29 que se centre sobre la ciberseguridad y la estabilidad financiera. Al enfocarlo en un área de común interés definido más ajustadamente, tal propuesta evita de un modo efectivo tener que reconciliar las diferentes y competitivas ideas de los países sobre la gobernanza absoluta del ciberespacio, permitiendo a los en otro caso oponentes a llegar a acuerdos concretos.

 

¿Qué vía se va a seguir?

En este crucial momento sobre las cibernormas globales, lo que los países individualmente elijan para comprometerse afectará grandemente al futuro del esfuerzo colectivo. La Casa Blanca está trabajando actualmente en la producción de una nueva estrategia de ciberseguridad que arrojará luz sobre cuál de estas tres opciones –o una combinación de ellas- seguirá la administración Trump y, en consecuencia, cuál la posibilidad en el ámbito internacional. Es mucho lo pendiente de ver sobre la vía concreta que seguirán los esfuerzos para constituir las cibernormas, pero el compromiso internacional sobre este asunto –incluyendo los recientes debates de Munich- es una clarísima necesidad. Esto hace de la interrupción de 2017 UN GGE más una “parada en boxes” que un abandono a largo plazo de un orden internacional basado en normas en el ciberespacio.

Tim Maurer y Kathryn Taylor

IEEE, Boletin de Novedades, 28/03/2018

MCCD, Boletín de Noticias nº 6, marzo 2018

Por la trascripción:

Leopoldo Muñoz Sánchez

Coronel de Intendencia ET (R)