El organismo investiga los ataques informáticos que hayan causado daños a civiles en contextos bélicos, como puede haber sucedido en Ucrania
Los machetes, las balas y las bombas ya no son los únicos medios para cometer crímenes de guerra. Las armas cibernéticas desempeñan un papel cada vez mayor en los conflictos bélicos y pueden causar severos daños entre la población civil. Por eso, la Corte Penal Internacional (CPI), también conocida como Tribunal Penal Internacional, se ha propuesto investigar los llamados cibercrímenes de guerra, los que se cometen por medios digitales. Así lo deslizó este verano el fiscal jefe del organismo, Karim Khan, en un artículo publicado en la revista Foreign Policy. Fuentes de la CPI han confirmado a EL PAÍS que ya están investigando los primeros casos, aunque no pueden dar detalles de cuáles son. Todos los ojos apuntan a la guerra de Ucrania, donde Microsoft documentó varios ciberataques lanzados de forma coordinada con ataques militares convencionales.
“La ciberguerra no se desarrolla en un plano abstracto. Al contrario, puede tener un impacto profundo en la vida de la gente”, escribe el jurista británico. “Los intentos de impactar infraestructuras críticas como instalaciones médicas o los sistemas de control de las plantas de energía pueden tener consecuencias inmediatas para muchos, particularmente para los más vulnerables. Consecuentemente, como parte de sus investigaciones, mi oficina recogerá y examinará pruebas de tales conductas”, afirma.
Lo que dice el fiscal jefe en el artículo es ya la nueva doctrina de la Corte. “La CPI tiene jurisdicción sobre genocidios, crímenes contra la humanidad, crímenes de guerra y crímenes de agresión [de un país a otro], según definen los artículos 5 a 8bis del Estatuto de Roma. Si hay operaciones en el ciberespacio que encajen en estos tipos de crimen, entonces podrían ser investigados y juzgados por la CPI”, aseguran a este periódico desde la oficina del fiscal jefe.
Establecida en 2002 en virtud del Estatuto de Roma, la Corte Penal Internacional se considera un avance importante en defensa del derecho internacional. Los genocidios de la antigua Yugoslavia (1991-1995) y de Ruanda (1994), juzgados por sendos tribunales penales internacionales adhoc, aceleraron la necesidad de establecer un organismo permanente que persiga los crímenes humanitarios.
Los casos que examina la CPI pueden llegar tras la denuncia de un Estado que forme parte de la Corte, por indicación del Consejo de Seguridad de Naciones Unidas o por iniciativa del fiscal jefe. El Estatuto de Roma ha sido firmado y ratificado por 123 Estados. Hay ausencias muy destacadas: Estados Unidos, Rusia, China, India o Israel están fuera. La Corte tiene ahora mismo 17 investigaciones en marcha, incluyendo una abierta el año pasado en Ucrania.
La escurridiza arena digital
Una de las complejidades propias de la arena cibernética es su opacidad. Resulta muy complicado atribuir los ciberataques a autores con nombres y apellidos. Conscientes de ello, muchos ejércitos recurren al abanico de herramientas digitales (bloqueo de comunicaciones, derribo o infiltración en sistemas) como acompañamiento de operaciones bélicas convencionales. Es lo que se conoce como guerra híbrida, que a menudo se mueven en un terreno gris ubicado entre la guerra y la paz, la legalidad y la ilegalidad.
A eso se suma otro problema: qué trato dar a los condenados. “Aun en el caso de que se identifique a los hackers que han realizado un ataque, ¿se les considerará personal civil o militar? Al personal militar se le aplica el Convenio de Ginebra, pero a los trabajadores de organizaciones privadas vinculadas a gobiernos, no”, reflexiona Raquel Jorge, analista de política tecnológica del Real Instituto Elcano. “¿Cómo evalúas la diferencia entre la intención (derribar los sistemas informáticos) y el impacto (dejar sin funcionamiento la UCI de un hospital)? La CPI necesitará de la cooperación de empresas para evaluar el proceso y sus consecuencias”.
El equipo de Khan está colaborando con Microsoft, muy implicada en la ciberdefensa de Kiev, para contar con los medios técnicos necesarios para poder conducir investigaciones en el ciberespacio. “El ciberespacio cada vez se usa más en contextos bélicos e incluso para cometer crímenes de guerra. El sector privado y los gobiernos deberían apoyar los esfuerzos de la CPI para recoger pruebas y mejorar las defensas. Agradecemos la iniciativa de la Corte en este terreno y la seguiremos apoyando”, dice un portavoz del gigante tecnológico. La compañía publicó a finales del año pasado un informe en el que documenta la coordinación de ciberataques y operaciones militares convencionales en Ucrania.
El 2 de marzo de 2022, el Centro de Inteligencia de Amenazas de Microsoft (Mstic) identifica un grupo de hackers ruso hurgando en los sistemas de la central nuclear de Zaporiyia. Al día siguiente, el ejército ruso ataca y ocupa esa instalación crítica. El 4 de marzo, un grupo de hackers relacionado con el ejército ruso compromete una red informática en Vinnytsia. A los dos días, el aeropuerto de la ciudad recibe el impacto de ocho misiles de crucero. El 11 de marzo, los sistemas informáticos de varias agencias públicas son bloqueados en Dnipro. Horas más tarde, el Rusia lanza los primeros ataques contra edificios gubernamentales en esa ciudad. Entre el 19 y 29 de abril, un grupo organizado de hackers vinculado extraoficialmente a Moscú inutiliza los sistemas de un proveedor logístico de Lviv e inspecciona los detalles de la red de transportes de la ciudad; el 3 de mayo, misiles rusos impactan contra subestaciones de ferrocarril, causando el caos en los servicios de transporte.
“Estos ataques no se parecen a los de 2017″, lee el informe de Microsoft en referencia a NotPetya, uno de los virus más destructivos de la historia. Inicialmente dirigido a empresas e instituciones públicas ucranias, esta ciberarma tenía la apariencia de un ransomware (una variedad de virus que encripta el sistema y lo libera a cambio de una recompensa), pero pronto se vio que no daba opción a rescate alguno: directamente destruía información. Se acabó extendiendo por buena parte del mundo, con al menos 300.000 equipos afectados. “Mientras que esta vez Rusia ha sido cuidadosa en localizar su malware [software malicioso] destructivo en redes específicas localizadas en Ucrania, estos ataques son más sofisticados y están más extendidos de lo que muchos informes reconocen”, señala el documento.
Encaje jurídico
El Derecho Internacional no había tenido en cuenta hasta ahora el ciberespacio como un terreno en el que se pudieran cometer crímenes graves. La de la CPI es una aproximación totalmente nueva. “Cualquier tipo de ataque informático dirigido a la destrucción de infraestructuras civiles, como hospitales o plantas de energía, caen dentro del concepto de crímenes de guerra”, indica Luis Arroyo Zapatero, rector honorario de la Universidad de Castilla-La Mancha y especialista en Derecho Penal Internacional. “No hace falta que haya destrucción física: un hospital se puede inutilizar alterando los medios informáticos. En mi opinión, esos ataques caen dentro del concepto de crímenes de guerra”.
“Aunque ningún artículo del Tratado de Roma se refiere al cibercrimen, este puede cumplir potencialmente con las condiciones que definen muchos de los crímenes internacionales”, escribe el fiscal jefe de la Corte, que cita al Comité Internacional de la Cruz Roja (CICR) como una de las organizaciones que más han denunciado el potencial dañino de los ciberataques. “El CICR ha reiterado que los ciberataques deben cumplir los principios de distinción y proporcionalidad y dirigirse solo contra objetivos militares”, observa Khan en su artículo.
Kubo Mačák, catedrático de Derecho Internacional en la Universidad de Exeter y antiguo asesor legal del CICR, fue el coautor de uno de los estudios a los que se refiere el fiscal jefe. Mačák y sus colegas concluyeron que ciertos ciberataques particularmente graves lanzados contra instalaciones médicas durante conflictos armados podrían ser considerados crímenes de guerra. “Esta visión es ahora compartida por muchos colegas juristas. En tiempos de guerra, el derecho internacional prohíbe los ataques directos contra objetivos civiles, sin distinción acerca del arma usada. Por tanto, lanzar una ciberoperación contra una infraestructura crítica civil podría convertir a su autor en un criminal de guerra”, razona el eslovaco. Así lo concluye también un informe preparado para Naciones Unidas en 2021 por un grupo internacional de expertos, aunque subraya la dificultad que se encontrarán los investigadores para atribuir presuntos crímenes desencadenados por medios digitales.
Desinformación y discurso del odio
Hay otra novedad importante en la nueva doctrina de la CPI. “Somos conscientes del uso indebido de internet para amplificar el discurso del odio y la desinformación, que pueden facilitar o directamente propiciar atrocidades”, argumenta Khan en su artículo. “Eso no está dentro de los tipos penales. Es bueno que el fiscal jefe haga esa observación, porque tiene iniciativa para introducir temas. Hay casos en los que el discurso del odio se emplea como arma de guerra”, sostiene Arroyo. El Tribunal Penal Internacional de Ruanda, por ejemplo, investigó y condenó a los fundadores de la emisora Radiotelevisión Libre de Las Mil Colinas por hacer llamamientos al genocidio.
¿Qué consecuencias reales puede tener una sentencia de la Corte Penal Internacional? “Los delitos perseguidos por la CPI son crímenes universales. En Francia siguen condenando a responsables de crímenes en África cunado pisan suelo francés”, ilustra Arroyo. “La solución para los condenados es no viajar fuera de su país. Vladímir Putin fue una ausencia destacada en la última cumbre del G20 en Nueva Delhi. George W. Bush no ha salido de EE UU desde que abandonó la Casa Blanca”.