
Tiempo de lectura aprox: 6 minutos, 31 segundos
Por Luis Bartolini Esparza
Twitter: @LBartoliniE
“Si vis pacem, para bellum”
Vegecio
Pudiera parecer paradójico, pero incluso para la guerra hay reglas. Así es, hay un marco normativo que pretende delimitar las acciones y omisiones calificadas de inadmisibles aún dentro de un contexto tan esencialmente caótico y absurdo como puede ser el de los conflictos bélicos.
Si partimos de lo general a lo particular, por ejemplo, en la Carta de las Naciones Unidas, en su artículo 2.4 dice “…Los Miembros de la Organización, en sus relaciones internacionales, se abstendrán de recurrir a la amenaza o al uso de la fuerza contra la integridad territorial o la independencia política de cualquier Estado, o en cualquier otra forma incompatible con los Propósitos de las Naciones Unidas…”, y en ese orden de ideas, también encontraremos reglas importantes en la Convención de Ginebra de 1949 y los Convenios suscritos en materia de atención a heridos, náufragos, prisioneros de guerra y protección de civiles, o en el Tratado sobre la No Proliferación de Armas Nucleares, que señala “Art. II-…”Cada Estado no poseedor de armas nucleares que sea Parte en el Tratado se compromete a no recibir de nadie ningún traspaso de armas nucleares u otros dispositivos nucleares explosivos ni el control sobre tales armas o dispositivos explosivos, sea directa o indirectamente; a no fabricar ni adquirir de otra manera armas nucleares u otros dispositivos nucleares explosivos; y a no recabar ni recibir ayuda alguna para la fabricación de armas nucleares u otros dispositivos nucleares explosivos…”; en la Convención de 1980 sobre ciertas armas convencionales (minas anti personales como las que han detonado recientemente en los caminos de México, armas trampa, armas incendiarias y láser cegador, entre otras), en el Tratado de Comercio de Armas o el Pacto Internacional de los Derechos Civiles y Políticos, etc. ¿pero qué pasa en el ciber mundo?
Está prohibido destruir un hospital o derribar un avión de pasajeros con misiles o bombas previamente instaladas, pero ¿qué sucede si a causa de un ciber ataque fallecen pacientes en el mismo hipotético hospital por falta prolongada de energía eléctrica, o mueren los pasajeros de un vuelo civil al repentinamente fallar sin causa aparente la aeronave o ser impactada en el aire por otra nave en virtud de un ciber ataque?
A diferencia de las armas convencionales e incluso las nucleares, a la fecha no hay un tratado internacional vigente y vinculante sobre la ciberguerra. Tal vez como antecedentes podemos citar el Convenio de Budapest o Convenio de Ciberdelincuencia de la UE, pero sobre todo al Tratado Mundial contra el Delito Cibernético, apenas adoptado por la Asamblea General de las Naciones Unidas el 24 de diciembre de 2024, festejado públicamente por el gobierno de México pero todavía pendiente de su suscripción y ratificación (Rusia y China han manifestado cautela y reservas importantes por considerar que este instrumento puede afectar su soberanía digital).
En cualquiera de los casos, aún estos instrumentos de derecho internacional público no son equiparables a los tratados mencionados en el párrafo anterior, ya que su objeto está directamente relacionado con la ciberdelincuencia y no propiamente a la ciberguerra, las conductas ciber delictivas siempre serán punibles; mientras que, en las guerras, se asume el hecho de poder dañar, matar y destruir, pero bajo ciertas reglas mínimas, y esas son las que todavía no existen.
Sin perjuicio de lo antes dicho, cabe señalar que hay un par de esfuerzos internacionales muy relevantes que sirven como referentes de interpretación y aplicación de las normas internacionales vigentes a los casos de ciberguerra: (i) los Informes del Grupo de Expertos Gubernamentales de la ONU sobre Información y Telecomunicaciones en el contexto de la Seguridad Internacional; y (ii) El Manual Tallinn 2.0 del Centro Cooperativo de Defensa Cibernética de la OTAN que sienta criterios respecto a la autodefensa y el uso de la fuerza, con alrededor de 200 reglas o lineamientos para definir cuándo un ciberataque debe entenderse como un ataque armado y plantea los alcances de los criterios aplicables en los contextos jus ad bellum y jus in bello, pero por su naturaleza jurídica, no son vinculantes.
Así las cosas, vemos que, en consistencia con los artículos previos publicados en Revista Fortuna, específicamente “América, para los Americanos” y “Cuando las Guerras parecen Arancelarias” las estrategias militares de los Estados Unidos siguen avanzando y ganando posiciones, tanto en lo que respecta a la parte geográfica como es el caso de la última aprobación de reforma constitucional en Ecuador, con la que se permitirá el establecimiento de bases militares extranjeras (USA) dentro de su territorio, reforzando la presencia militar norteamericana en América Central, muy cerca de Panamá como soporte para garantizar la operatividad del canal obstaculizando potenciales injerencias Chinas, entre otras tantas también vinculadas a las capacidades productivas de ciertas industrias, el rechazo a las Monedas Digitales de Bancos Centrales y el apoyo a las stablecoins, etc.
En suma, al tiempo en que se negocian los aspectos económicos, Estados Unidos no pierde tiempo para prepararse para un eventual conflicto bélico. Potencialmente, esto también podría desarrollarse a través de ciberguerras, y eso es algo que igualmente está dentro del mapa de riesgos americano, sobre todo si partimos de la base de que, de haber algún conflicto a gran escala, este se llevaría a cabo probablemente con armas convencionales de última tecnología y la referida guerra cibernética.
Como suele suceder, la información es mucha, es clara y está a la vista, por supuesto de los que la quieren ver. Podemos citar múltiples fuentes que analizan y señalan con precisión esta contingencia, y para muestra referiré algunas de ellas. Para comenzar, el famoso think tank Atlantic Council cuya Comisión de Software-Defined Warfare publicó el 25 de marzo pasado su Informe Final destacando entre otros puntos, que es prioritario invertir en herramientas de inteligencia artificial y manejo de data para el desarrollo de software de uso militar, la necesidad de la interoperabilidad de plataformas entre las distintas agencias vinculadas a la defensa, modernizar los procesos de adquisición, prueba y validación de software de uso militar por parte del Departamento de Defensa, así como la urgencia de formar y consolidar un cuerpo de profesionales del software de uso militar.
También la citada organización, a través de su programa “Conflict, Risk and Tech” bajo la iniciativa Cyber Statecraft identifica los siguientes riesgos clave en escenarios de ciberguerra: (i) La rápida evolución de las tecnologías cibernéticas está reconfigurando los entornos de conflicto, ya que no sólo los Estados, sino entes privados e incluso organizaciones criminales, tienen capacidad para desarrollar estas herramientas, pudiendo actuar en ocasiones de forma conjunta, y dificultando la autoría o atribución de responsabilidad a una nación; (ii) La interconexión e interdependencia de infraestructuras críticas (redes eléctricas, sistemas de comunicación y servicios esenciales), las vuelve vulnerables; (iii) Ante la complejidad de estos ciber ataques, se recomienda fuertemente que haya alianzas entre el sector gubernamental y el privado, así como mejor coordinación entre agencias nacionales e internacionalmente a través de marcos normativos que regulen el uso de ciber armas y aseguren respuestas coordinadas y efectivas de defensa; y (iv) la mayor posibilidad de enfrentar escenarios híbridos (uso conjunto de ciber armas y armas convencionales) que vuelven más compleja la detección previa y en su caso, la defensa respectiva.
El menú de informes y reportes es amplio, y existen los que son realizados por agencias gubernamentales como el Worldwide Threat Assesment de 2025 elaborado por la Defense Intelligence Agency con un enfoque más integral en materia de ciber amenazas, o con una óptica más técnica con análisis específico de incidentes, tácticas y perfiles de los ataques (el CrowdStrike Global Threat Report y el Mandiant M-Trends Report), y con perspectivas y visión de amenazas en tiempo real el Fortinet Global Threat Report, además de otros tantos informes privados o gubernamentales como el Verizon Data Breach Investigations Report; el IBM Cost of a Data Breach Report; el Europol Internet Organised Crime Threat Assesment, e incluso el Kaspersky Security Bulletin. Finalmente, todo ello se suma y sirve para entender mejor y dimensionar la contingencia de ciber ataques sobre todo cuando por sus características, objetivos y alcances, ya califican bajo el criterio de ciberguerra.
Como ya se ha comentado, hasta el momento, la probabilidad de un ciberataque a los Estados Unidos y sus aliados es mayor que un ataque nuclear o incluso mediante armas convencionales (aunque bien podría tratarse de un ataque híbrido), por los efectos catastróficos globales e incluso por la diferencia económica que implica financiar un ataque militar con barcos, aviones, misiles, tanques y miles de soldados vs. Ciberataques estratégicos. En ese orden de ideas, resumiendo la información publicada en los reportes aludidos, podría pensarse que los objetivos prioritarios en caso de ciberguerra hipotéticamente podrían ser: (i) Ataque a infraestructura crítica (redes eléctricas, refinerías, sistemas SCADA de suministros); (ii) Ataques a redes de comunicación y telecomunicaciones (telefonía fija y móvil, internet; (iii) Ataque a sistemas militares y de defensa (interrupción de comandos de control, satélites y otros sistemas de mando); (iv) Ataque a sistemas financieros y bancarios; y (v) Operaciones de desinformación e influencia en la opinión pública; que en todos los casos, pudieran ser originados por China o Rusia. Para ello, en Estados Unidos tienen el complejo reto de coordinarse eficiente y efectivamente CISA (Cybersecurity and Infraestructure Security Agency); USCYBERCOM (United States Cyber Command); NSA (National Security Agency); FBI (Federal Bureau of Investigation); DHS (Department of Homeland Security); DIA (Defense Intelligence Agency); ejército, armada, fuerza aérea, la red de autoridades estatales competentes en coordinación con su potente sector privado de tecnologías de la información (nota al margen, esa también fue una de las principales debilidades del sistema financiero de USA que ocasionó la crisis de 2008, según el Reporte Paulson).
Superando el pequeño asunto de la comunicación oportuna y efectiva entre los tomadores estratégicos de decisión, existe la percepción desde occidente de que todavía las capacidades tecnológicas de Rusia y China están por debajo de las americanas con un desfase de más de 5 años, considerando infraestructura de almacenaje y procesamiento en la nuble, sistemas operativos de uso generalizado, etc., ventana que brinda hasta el momento a USA una pequeña ventaja que puede modificarse sobre todo en la medida en que cualquiera de las potencias estandarice resultados exitosos en materia de computación cuántica.
Por lo que hace a los ciber ataques y la ciber guerra, hay registros de múltiples incidentes con blancos en infraestructura estratégica, servicios financieros e incluso ataques dentro del ámbito militar, y por supuesto, de desinformación pública en campañas políticas, etc., pero si este tema te interesa, sugiero leer el excelente reporte de Justin Sherman “Desempacando la muñeca rusa cibernética” https://www.atlanticcouncil.org/content-series/russia-tomorrow/unpacking-russias-cyber-nesting-doll/ en alusión a las típicas artesanías en las que hay una mujer dentro de otra, y a su vez otra en el interior y así sucesivamente, en alusión a la forma en la que por “capas” se construye la arquitectura de estos ataques, con la colaboración de agencias estatales, grupos paramilitares y organizaciones criminales, que dificultan identificar el origen del ataque y aquí se reseña una relatoría de los ciber ataques Rusos a Ucrania con motivo de la guerra hasta el 20 de mayo de 2025, fecha de su publicación, no vendría mal un alcance que ahora contemplara el reciente exitoso ataque con drones Ucranianos a bases aéreas Rusas, que pudiera haber sido híbrido y para lograrse, probablemente requirió capacidades con armas convencionales y ciber herramientas. El tema es muy amplio, apasionante y puede servir de guion de muchas películas, pero cierro esta nota con otra cita latina “Amat Victoria Curam”, la victoria ama la preparación.