¿Qué consecuencias legales tendría un supuesto en el que un Estado obtuviera el control de una presa gracias a un ataque de ransomware y abriera sus compuertas, provocando incontables bajas civiles? ¿Qué delitos cometería una organización cibercriminal que, a través de ataques cibernéticos lograse manipular los sistemas de seguridad de una central nuclear y liberase materiales radioactivos, provocando la muerte de civiles cercanos a esa infraestructura?
Los Convenios de Ginebra y sus protocolos adicionales son considerados la base del derecho internacional humanitario en cuanto conjunto de normas jurídicas que regulan las formas en que se pueden librar los conflictos armados y que intentan limitar los efectos de estos para proteger especialmente a las personas que no participan en las hostilidades (civiles, personal sanitario, miembros de organizaciones humanitarias) y a los que ya no pueden seguir participando en las hostilidades (heridos, enfermos o prisioneros de guerra). Estos documentos contienen un régimen sancionador para determinados incumplimientos graves de tales previsiones, así como procesos de investigación, identificación y extradición de sus responsables, con independencia de la nacionalidad de los culpables, para poder ser enjuiciados ante el Tribunal Penal Internacional de la Haya, cuyo funcionamiento se regula en el Estatuto de Roma, en vigor desde el año 2002, aunque redactado años antes, en los albores de la digitalización global.
123 países son partes del Estatuto de Roma, por lo que han acordado ayudar a detener y extraditar a criminales de guerra condenados. Eso incluye a algunos países que no tienen tratados de extradición con Estados Unidos, como Suiza y Ecuador.
A la vista de tales fechas, es evidentemente que estos Convenios no podrían prever ni regular el impacto de los ciberataques en escenarios de conflicto armado como los actuales, y mucho menos de los que están por venir, especialmente a la vista del desarrollo de la Inteligencia Artificial o de las tecnologías cuánticas. Sin embargo, a la vista de la importancia, cada vez mayor, que tiene el uso de la tecnología con estos fines, es evidente que no debe ser una materia que quede fuera del ámbito de aplicación de la citada Convención.
Así ha quedado demostrado en determinadas situaciones, últimamente vinculadas a la invasión de Ucrania, como fueron los ataques contra la infraestructura eléctrica o la difusión del malware NotPetya, o el ciberataque contra el sistema de satélites ViaSat, por citar algunos, incidentes todos ellos que fueron dirigidos contra la población civil, lo que está expresamente prohibido por los citados convenios.
Así las cosas, en agosto de 2021, la Comisión permanente de Liechtenstein en las Naciones Unidas (en co-dirección con varios países, entre los cuales se encuentra España) publicó el informe sobre la aplicación del Estatuto de Roma de la Corte Penal Internacional a la ciberguerra.
Este informe, en el que participó el fiscal español Pedro Pérez Enciso, destaca la necesidad de contribuir al desarrollo de un mejor conocimiento de cómo el Estatuto de Roma de la Corte Penal Internacional aplica en el contexto cibernético, lo que permitirá poder aplicar, en el ámbito de la ciberguerra, las medidas coercitivas previstas en el Derecho Internacional.
Este debate se ha vuelto a abrir como consecuencia de las afirmaciones realizadas por el fiscal jefe de la Corte Penal Internacional de La Haya, Karim Khan, quien ha dejado claro que pretende perseguir determinados ataques cibernéticos, sin necesidad de una nueva Convención de Ginebra. En su lugar, ha declarado que La Haya investigará y perseguirá cualquier delito de piratería informática que viole la legislación internacional vigente, al igual que hace con los crímenes de guerra cometidos en el mundo físico. Aunque ha planteado la duda sobre si dentro de este tipo de crímenes se pueden considerar incluidos aspectos relacionados con, por ejemplo, la desinformación.
De hecho, en declaraciones publicadas recientemente por la revista Wired, la postura oficial de la Fiscalía es la de considerar que, “en circunstancias apropiadas, la conducta en el ciberespacio puede potencialmente constituir crímenes de guerra, crímenes contra la humanidad, genocidio y/o el crimen de agresión", afirmaba el portavoz de dicho organismo, “y que dicha conducta puede ser potencialmente enjuiciada ante la Corte cuando el caso sea suficientemente grave”, concluye.
Conviene recordar las palabras de Benjamin Ferencz, unos de los fiscales acusadores de los juicios de Nuremberg, quien alertaba sobre este tipo de ciberataques de la siguiente manera: “I have warned for years that malicious cyber operations have tremendous power to destroy. It is thus crucial to prevent such warfare while preparing for the possible reality of the gravest iterations of its implementation”.
En conclusión, el planteamiento de la Corte Penal Internacional parece positivo para el futuro de la ciberseguridad, y probablemente en breve veamos a algún hacker sentado en el banquillo del Tribunal de La Haya. Porque, aunque la paz y la seguridad internacionales dependen de lo preparados que estemos para las guerras del siglo XXI y para hacer frente a las amenazas, también las cibernéticas, lo que incluye el establecimiento de los medios necesarios para su persecución de forma eficaz y eficiente.
Por su parte, el Código Penal español también recoge crímenes vinculados a los conflictos armados en su artículo 608 y siguientes, algunos de los cuales son susceptibles de ser cometidos a través de medios tecnológicos.