El estallido de la guerra en Ucrania en febrero de 2022 marcó el comienzo de una era largamente prevista en la que el ciberespacio se convirtió tanto en un teatro de guerra como en un campo de batalla cinético, pero poco más de dos años después, no se ha avanzado en el establecimiento de la reglas de guerra en lo que respecta a las herramientas y armas cibernéticas, una cuestión que ahora debe abordarse con urgencia.
Esto es según un artículo recientemente publicado por el Instituto de Seguridad Digital (DSI) de la Escuela Europea de Gestión y Tecnología (ESMT) en Berlín y la Universidad Técnica de Darmstadt en Alemania, que explora algunos de los desafíos que enfrenta una regulación y control efectivos de la ciberseguridad. armas.
Sobre la base de una revisión de la literatura que considera los desafíos y obstáculos que enfrentan las medidas de control de armas cibernéticas y entrevistas con expertos en la materia, la investigadora asociada de DSI Helene Pleil y sus colegas examinaron los obstáculos que debe superar la comunidad internacional.
Los investigadores concluyeron que las medidas tradicionales de control de armas y de armas realmente no se pueden aplicar a las herramientas cibernéticas, por lo que habrá que pensar en soluciones alternativas y más creativas. Pleil argumentó que un camino podría ser definir y sancionar el uso de herramientas cibernéticas, en lugar de las herramientas en sí, para permitir la celebración y el mantenimiento de acuerdos.
“Según la literatura y los expertos, ni el control de un arma cibernética ni ninguna otra regulación tecnológica para el ciberespacio funcionarán”, afirmó Pleil.
“En cambio, la atención debe centrarse en prohibir ciertas acciones, ya que los expertos no ven ninguna posibilidad de mecanismos de verificación, especialmente debido al alto nivel de intrusión que sería necesario”, afirmó.
Desafíos fundamentales
Uno de los desafíos más grandes y fundamentales que enfrentarán los defensores del control de armas será llegar a definiciones claras y uniformes de términos clave –incluido el término arma cibernética–, ya que la definición convencional de arma no capta realmente lo que es o lo que hace una arma cibernética. . Incluso si se pudiera lograr que Estados Unidos, China y Rusia se sentaran a una mesa de negociaciones, si no pueden definir qué quieren controlar, las conversaciones cibernéticas terminarán en minutos.
En el documento se hace referencia a una segunda cuestión relacionada como el “dilema del doble uso”. En pocas palabras, una computadora, una memoria USB o un software pueden usarse tanto para fines civiles legítimos como para fines militares, lo que hace muy difícil trazar una línea entre lo que constituyen estos escenarios y, como tal, hace prácticamente imposible prohibir las herramientas. ellos mismos. O, como lo expresaron Pleil et al, se pueden prohibir fácilmente las armas nucleares porque los civiles no andan con misiles balísticos intercontinentales en el bolsillo, pero sí llevan computadoras portátiles y teléfonos inteligentes.
En este contexto también será necesario considerar el papel desempeñado por la industria tecnológica. Los Estados no tienen control exclusivo sobre las herramientas cibernéticas que pueden usarse como armas: son desarrolladas por empresas de seguridad y vendidas en el sector privado, donde las organizaciones tienen derechos de propiedad y operativos. El sector privado tendrá que participar y comprometerse para que el control de armas cibernéticas sea eficaz y, como lo han demostrado las acciones de las empresas mercenarias de software espía, se trata de una gran petición: la existencia de actores deshonestos como la deshonrada empresa israelí NSO Group es una caso en punto.
El tercer desafío sigue de nuevo a los dos primeros en algunos aspectos. Según los investigadores, encontrar mecanismos de verificación adecuados para establecer el control de armas en el ciberespacio es realmente muy difícil.
En general, sabemos quiénes son las potencias con armas nucleares y qué capacidades tienen, por lo que, como demostraron Estados Unidos y la URSS a través de los acuerdos Salt and Start de los años 1960, 1970 y 1980, se pueden poner límites a sus arsenales y lograr avances exitosos. desescalada conseguida. Esto no es realmente posible cuando se trata de armas cibernéticas, a menos que se pueda persuadir a Washington y Moscú para que limiten el número de piratas informáticos que trabajan para sus agencias de inteligencia.
Luego, debemos considerar la rapidez con la que avanza la tecnología, incluso cuando se siguen haciendo regularmente predicciones sobre la desaparición de la Ley de Moore. Las herramientas y la tecnología utilizadas en los ciberataques están cambiando rápidamente, al igual que las tácticas, técnicas y procedimientos (TTP) desplegados por los piratas informáticos estatales tanto en Estados Unidos como en las potencias occidentales, así como en China, Rusia y otros. En pocas palabras, el desarrollo de nuevas armas seguirá superando los esfuerzos regulatorios; cuando siquiera se discuta una regulación, la tecnología habrá avanzado.
Por último, afirmó Pleil, actualmente falta voluntad política para establecer medidas de control de armas cibernéticas. Los países recién ahora están descubriendo el valor estratégico de las herramientas cibernéticas y, como muestra la situación geopolítica actual, sus intereses son divergentes. Cumplir con un hipotético tratado sobre el uso de herramientas cibernéticas podría correr el riesgo de que un gobierno pierda posibles ventajas.
Este desafío final es quizás el más escalofriante: si miramos la historia, los Convenios de Ginebra fueron propuestos por primera vez por un empresario suizo conmovido por lo que vio después de la Batalla de Solferino de 1859 entre una alianza franco-italiana y el Imperio austríaco. Los ajustes posteriores a los Convenios de Ginebra se hicieron en respuesta a los horrores de la guerra de trincheras durante la Primera Guerra Mundial y a las atrocidades nazis en la Segunda Guerra Mundial. El temor debe ser que sea necesario un incidente cibernético devastador que cueste cientos de miles de vidas para obligar a los gobiernos a hablar.
La investigación completa se publicó en el Zeitschrift für Außen- und Sicherheitspolitik (Revista de Política Exterior y de Seguridad).