Los ataques cibernéticos rara vez están fuera de los titulares. Sabemos que los actores estatales, los terroristas y los delincuentes pueden aprovechar los medios cibernéticos para apuntar a las infraestructuras digitales de nuestras sociedades. También hemos aprendido que, en la medida en que nuestras sociedades se vuelven más dependientes de las tecnologías digitales, se vuelven más vulnerables a los ataques cibernéticos.

No faltan ejemplos, desde los ataques de 2007 contra los servicios digitales de Estonia y el ciberataque de 2008 contra una planta de energía nuclear en Georgia hasta WannaCry y NotPetya, dos ataques de ransomware que cifraron datos y exigieron pagos de rescate, y el ciberataque de ransomware en el US Colonial Pipeline, un sistema de oleoductos de EE. UU. que proporciona combustible a los estados del sureste.

Al analizar las implicaciones éticas y legales de los ciberataques, es crucial distinguir los actores involucrados, ya que la permisibilidad de ciertas acciones depende también de los actores involucrados.

Mi trabajo se centra principalmente en los ataques cibernéticos de estado contra estado. Uno de los ejemplos más recientes de este tipo de ataques fueron los lanzados contra las fuerzas militares de Ucrania y atribuidos a la UNC1151, una unidad militar de Bielorrusia, antes de la invasión rusa de Ucrania.

Los observadores observaron la invasión rusa y esperaban que la cibernética fuera un elemento clave. Muchos temían un "ciber-Pearl Harbor", es decir, un ciberataque masivo que tendría un resultado destructivo desproporcionado y conduciría a una escalada del conflicto.

Hasta ahora, la invasión de Ucrania ha demostrado ser altamente destructiva y desproporcionada, pero la cibernética ha jugado un papel pequeño, si es que ninguno, en la entrega de estos resultados. ¿Significa esto que un Cyber-Pearl Harbor nunca sucederá? Más importante aún, ¿significa esto que los ataques cibernéticos son una capacidad secundaria en la guerra y que podemos continuar sin regular su uso?

La respuesta corta a ambas preguntas es no, pero hay matices. Hasta el momento, los ataques cibernéticos no se han utilizado para causar una destrucción masiva; un Pearl Harbor cibernético, como argumentaron algunos comentaristas a principios de 2000. La falta del elemento cibernético en Ucrania no es una sorpresa, dado lo violenta y destructiva que ha sido la invasión rusa. Los ataques cibernéticos son disruptivos más que destructivos. No vale la pena lanzarlos cuando los actores apuntan a un daño cinético masivo. Tal destrucción se logra de manera más efectiva con medios convencionales.

Sin embargo, los ciberataques no son ni libres de víctimas ni inofensivos y pueden provocar daños desproporcionados y no deseados que pueden tener graves consecuencias negativas para las personas y para nuestras sociedades en general. Por esta razón, necesitamos regulaciones adecuadas para informar el uso estatal de estos ataques.

Durante muchos años, el debate internacional sobre este tema ha estado liderado por un enfoque miope. La razón era regular los ciberataques interestatales en la medida en que tengan resultados similares a un ataque armado (convencional). Como resultado, la mayoría de los ciberataques interestatales no han sido regulados.

Este es el fracaso de lo que denominé el "enfoque analógico" de la regulación de la guerra cibernética, que tiene como objetivo regular dicha guerra solo en la medida en que se parezca a la guerra cinética, es decir, si conduce a la destrucción, el derramamiento de sangre y las bajas. En efecto, no logra captar la novedad del ciberataque, que es disruptivo más que destructivo, y la gravedad de las amenazas que representan para una sociedad digital. La base de este enfoque es la falta de reconocimiento del valor ético, cultural, económico y de infraestructura que tienen los activos digitales para nuestras sociedades digitales.

Es tranquilizador que, después del fracaso de 2017, en 2021, el Grupo de Expertos Gubernamentales de la ONU sobre la Promoción del Comportamiento del Estado Responsable en el Ciberespacio en el Contexto de la Seguridad Internacional pueda acordar que los ataques cibernéticos interestatales deben regularse de acuerdo con los principios del Derecho Internacional. Derecho Humanitario (DIH).

Aunque esto va en la dirección correcta, es solo un primer paso, y retrasado. De hecho, los principios del DIH y los principios éticos de la teoría de la guerra justa siguen siendo válidos cuando se considera la guerra cibernética. Necesitamos que los ciberataques interestatales sean proporcionados, necesarios y que distingan a los combatientes de los no combatientes. Sin embargo, la implementación de dichos principios es problemática en el contexto de la cibernética; por ejemplo, carecemos de un umbral claro para los ataques proporcionados y desproporcionados, y de criterios para evaluar los daños a los activos inmateriales. También carecemos de reglas para considerar temas relacionados con la soberanía y la debida diligencia.

Se necesitan análisis filosóficos y éticos para superar esta brecha y comprender la naturaleza de una guerra que separa la agresión de la violencia, que apunta a objetos no físicos y, sin embargo, puede paralizar nuestras sociedades. Al mismo tiempo, debemos asegurarnos de que, a medida que más instituciones de defensa vean las tecnologías digitales como un activo decisivo para mantener la superioridad frente a los oponentes, inviertan, desarrollen y utilicen estas capacidades de acuerdo con los valores que sustentan las sociedades democráticas y para mantener estabilidad internacional.

A medida que la tecnología digital continúa integrándose en las capacidades de defensa, véase, por ejemplo, la inteligencia artificial (IA), surgen más preguntas conceptuales y éticas con respecto a su gobernanza. Con este fin, es importante que las instituciones de defensa identifiquen y aborden los riesgos y oportunidades éticos que estas tecnologías generan y trabajen para mitigar los primeros y aprovechar los segundos.

Ayer, el Ministerio de Defensa del Reino Unido emitió un documento de política:Ambicioso, seguro, responsable:nuestra respuesta a la entrega de capacidad habilitada por IA en Defensa, que contiene un apéndice que brinda Principios éticos para el uso de IA en defensa. Es un paso en la dirección correcta. Los principios son amplios y se necesita trabajar más para implementarlos en contextos de defensa específicos. Sin embargo, marcan un hito importante, ya que muestran el compromiso del Ministerio de Defensa de centrarse en las implicaciones éticas del uso de la IA y abordarlas de manera coherente con los valores de las sociedades democráticas.

Estos principios llegan dos años después de los publicados por la Junta de Innovación de Defensa de EE. UU. Entre los dos conjuntos de principios, hay algunas convergencias que pueden insinuar el surgimiento de una visión compartida entre los aliados sobre cómo usar la IA y, en términos más generales, las capacidades digitales para la defensa. Mi esperanza es que estos principios puedan ser las semillas para desarrollar un marco compartido para la gobernanza ética del uso de tecnologías digitales con fines de defensa.