Documentos de Académico
Documentos de Profesional
Documentos de Cultura
0: DESTACADOS Y
PERSPECTIVAS
ARESUMEN
é á
Las actividades cibern ticas maliciosas est n omnipresentes en las vidas de las personas y en el
debates sobre seguridad nacional de los gobiernos nacionales de todo el mundo. Es extra o ñ
í ú é
que pase un d a sin que alg n evento cibern tico llegue a los informativos nacionales. Estos
é
Las actividades cibern ticas maliciosas se atribuyen a actores tanto estatales como no estatales, como
En Tallin, Estonia, se organiz ó un proceso de varios años diseñado para brindar las opiniones de un
grupo de reconocidos expertos en la aplicaci ón del derecho internacional a la cibernética
actividades. El primer Manual de Tallin trataba del derecho aplicable a los casos armados.
á
Tallinn 2.0) aborda un tipo mucho m s amplio de operaciones cibern ticas, tanto en é
y fuera del conflicto armado.
í
Este art culo resume brevemente los puntos clave del Manual de Tallin 2.0,
incluida la identificaci ón de algunas de las áreas más importantes de falta de consenso entre
los Expertos que escribieron el Manual. A continuaci ón, el artículo ofrece algunas ideas sobre
hacia dónde deberá llegar el derecho internacional sobre operaciones cibernéticas en el futuro.
yo yoNTRODUCCIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736
II. t EL PROCESO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738
III. t EL MANUAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
A. Soberanía. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
B. Debida diligencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744
C. Jurisdicción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746
D. Ley de Responsabilidad Internacional. . . . . . . . . . . . . . . . . . 750
E. Operaciones cibernéticas no reguladas per se. . . . . . . . . . . . . . . . 755
F. Derecho Internacional de los Derechos Humanos. . . . . . . . . . . . . . . . . . . 758
G. Derecho Diplomático y Consular. . . . . . . . . . . . . . . . . . . . . 761
H. Derecho del Mar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764
I. Derecho Aéreo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766
* Profesor de Derecho, Facultad de Derecho de la Universidad Brigham Young. El profesor Jensen sirvió como
miembro del Grupo Internacional de Expertos tanto en Tallin 1.0 como en Tallin 2.0. © 2017, Eric
Talbot Jensen.
735
yo yo
NTRODUCCIÓN
Las actividades cibernéticas maliciosas se han convertido en una parte normal de nuestras vidas. No
1
Sólo los eventos cibernéticos aparecen regularmente enpero las noticias,
ellos también
2 3
capturar la imaginación de los espectadores que ven películas
y la televisión,
4
y proporcionar intriga infinita en la literatura. Muchas de estas ficciones
Los escenarios implican importantes violaciones cibernéticas que conducen a consecuencias catastróficas.
5
consecuencias, que a menudo implican conflictos armados entre países.
Afortunadamente, un escenario cibernético de este tipo aún no se ha producido en la vida real.
En cambio, la gran mayoría de la actividad cibernética maliciosa se ha producido lejos
por debajo del umbral de conflicto armado entre estados, y no ha aumentado
al nivel que desencadenaría tal conflicto. Más bien, la mayoría de
Las actividades cibernéticas tan frecuentes en las noticias implican el robo de información corporativa.
6 7
calificar secretos,
la difusión de información falsa, o el incumplimiento de
1. Véase, por ejemplo, Juliet Eilperin y Adam Entous, Operación rusa hackeó una utilidad de Vermont, que muestra
Riesgo para la seguridad de la red eléctrica de EE. UU., dicen funcionarios, W ASH. P OST (21 de diciembre de 2016), https://www.
washingtonpost.com/world/national-security/russian-hackers-penetated-us-electricity-grid
a través de una utilidad en vermont/2016/12/30/8fc90cc4-ceec-11e6-b8a2-8c2a61b0436f_story.html?utm_
término = .8cf73411023c.
2. SOMBRERO NEGRO (Entretenimiento legendario 2015); Elizabeth Weise, ocho grandes hackers de todos los tiempos
Películas, USA T ODAY (14 de enero de 2015, 12:08 p. m.), https://www.usatoday.com/story/tech/2015/01/1
4/lista-de-películas-de-piratería-cyber-blackhat/21713327/.
3. Véase, por ejemplo, CSI: Cyber, CBS, http://www.cbs.com/shows/csi-cyber/ (última visita el 7 de junio de 2017).
é ; í
(drama televisivo estadounidense sobre investigaciones policiales de delitos cibern ticos) Bueno o malo, aqu
Son 4 nuevos programas de televisión de hackers que debutaron en 2015, C LOUDBRIC, https://www.cloudbric.com/blog/20
15/07/good-or-bad-here-are-4-new-hacker-tv-shows-debuted-in-2015/ (última visita el 1 de junio de 2017).
4. Véase, por ejemplo, Diane Biller, Aquí hay 21 libros esenciales sobre Cyberpunk que definitivamente debería leer.
G IZMODO (2 de enero de 2016, 4:15 p.m.) https://www.gizmodo.com.au/2016/01/the-essential-cyberpunk
leyendo lista/.
5. Una de las primeras películas de este tipo fue “Juegos de guerra”, la historia de un ordenador de defensa que salió mal.
que amenaza con iniciar una guerra nuclear. JUEGOS DE GUERRA (United Artists 1983).
6. Véase, por ejemplo, James Griffiths, El cibercrimen cuesta a la empresa estadounidense promedio 15 millones de dólares al año, CNN T ECH
736 [vol. 48
8
computadoras gubernamentales en un intento de robar secretos de estado.
Sin embargo, la importancia del ciberataque se ha convertido en una realidad.
para millones de personas cuya información personal ha sido compartida
9
prometido a través de medios cibernéticos.
La prevalencia de estos cibereventos,
junto con los riesgos que plantean para los Estados individualmente y para la comunidad internacional.
10
comunidad internacional en su conjunto, han obligado a yambos
multinaestados
11
organizaciones nacionales
tomar nota y buscar soluciones. Entre aquellos
organizaciones multinacionales es la Organización del Tratado del Atlántico Norte
(OTAN) cuyo Centro de Excelencia Cooperativa de Ciberdefensa (CCD
12
COE) en Tallin, Estonia, ayudó a facilitar el Manual de Tallin original
sobre el derecho internacional aplicable a la guerra cibernética (Manual de Tallin
13
1.0) y el recién publicado Manual de Tallin 2.0 sobre la política internacional
14
Ley Aplicable a las Operaciones Cibernéticas.
La esencia de Tallin 1.0
aparece en Tallin 2.0, aunque ligeramente alterado para reflejar puntos de
aclaración desde su publicación original.
Este artículo resumirá brevemente los puntos clave del Congreso de Tallin.
Manual 2.0 (el Manual), incluida la identificación de algunos de los aspectos más
importantes áreas de falta de consenso entre los expertos legales que escribieron
8. é
V ase, por ejemplo, Ryan O'Hare, China presenta con orgullo su nuevo avi ón furtivo que construyó pirateando EE.UU.
Computers and Stealing Plans', D AILY MAIL (1 de noviembre de 2016, 06:57 EDT), http://www.dailymail.co.uk/
sciencetech/article-3893126/Planes-militares-basados-en-aviones-furtivos-chinos-J-20-robados-hackers-hackers
public-debut.html (alegando que el nuevo avión chino tomó prestado en gran medida de planes robados para EE. UU.)
aeronave).
9. Véase Sam Thielman, Yahoo Hack: mil millones de cuentas comprometidas por la mayor filtración de datos de la historia,
T HE G UARDIAN (15 de diciembre de 2016, 7:23 p. m.), https://www.theguardian.com/technology/2016/dec/1
4/yahoo-hackea-la-seguridad-de-mil-millones-de-cuentas-vulnerada.
10. Véase la declaración de James R. Clapper ante el Comité de Servicios Armados del Senado,
Evaluación de amenazas mundiales de la comunidad de inteligencia de EE. UU. 1 a 4 (9 de febrero de 2016),
https://www.armed-services.senate.gov/imo/media/doc/Clapper_02-26-15.pdf; ver también Reino Unido
OFICINA DEL GABINETE, ESTRATEGIA DE SEGURIDAD CIBERNÉTICA DEL REINO UNIDO 2011-2016: INFORME ANUAL (2016), https://www.
gov.uk/government/uploads/system/uploads/attachment_data/file/516331/UK_Cyber_Security_
Informe_Anual_Estrategia_2016.pdf.
11. Ver Representante del Grupo de Expertos Gubernamentales sobre los Avances en el Campo de
Información y telecomunicaciones en el contexto de la seguridad internacional, Doc. ONU. A/70/
174 (22 de julio de 2015) [en adelante Doc. ONU. A/70/174]; Representante del Grupo de Expertos Gubernamentales
sobre los avances en el campo de la información y las telecomunicaciones en el contexto de
Seguridad Internacional, Doc. ONU. A/68/98 (24 de junio de 2013) [en adelante Doc. ONU. A/68/98].
12. C ENTRO DE E XCELENCIA COOPERATIVA DE CIBER DEFENSA DE LA OTAN (CCDCOE), https://ccdcoe.
org/ (última visita el 1 de junio de 2017).
13. MANUAL DE T ALLINN SOBRE EL DERECHO INTERNACIONAL APLICABLE A LA GUERRA CIBERNÉTICA (Michael N.
Schmitt ed., 2012) [en adelante T ALLINN M ANUAL 1.0].
14. M ANUAL 2.0 DE T ALLINN SOBRE EL DERECHO INTERNACIONAL APLICABLE A LAS OPERACIONES CIBERNÉTICAS
(Michael N. Schmitt ed., 2a ed. 2017) [en adelante T ALLINN M ANUAL 2.0].
2017] 737
REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN
II. t EL PROCESO
Ambos Manuales de Tallin fueron escritos por grupos de expertos jurídicos internacionales.
15
expertos (los expertos) reunida por el CCD COE y Michael N.
dieciséis
Schmitt, un destacado experto cibernético mundial. El primer grupo incluía
expertos en derecho de los conflictos armados (LOAC), principalmente de Occidente.
Hemisferio. En respuesta a las críticas, el grupo internacional de
expertos para Tallin 2.0 fue más amplio tanto en origen (incluidos miembros
de Tailandia, Japón, China y Bielorrusia) y experiencia sustantiva
(incluidos expertos en derechos humanos, derecho espacial y derecho internacional)
ley de telecomunicaciones). El Comité Internacional de la Roja
Cross (CICR) fue invitado a enviar observadores a ambos grupos, al igual que
otros estados y organizaciones.
La intención del proyecto nunca fue hacer leyes o producir una
manual que tendría fuerza de ley. Como hace la introducción
claro:
En última instancia, el Manual de Tallin 2.0 debe entenderse sólo como una
expresión de las opiniones de los dos Grupos Internacionales de
Peritos sobre el estado de la ley. . . . Este Manual está destinado a
ser un reflejo de la ley tal como existía en el momento de la
Adopción del Manual por los dos Grupos Internacionales de Expertos
en junio de 2016. No es una guía de "mejores prácticas", no
representan un "desarrollo progresivo del derecho" y son políticas
y políticamente neutral. En otras palabras, el Manual de Tallin 2.0 es
17
pretende ser una reformulación objetiva de la lex lata.
15. El autor era miembro de ambos Grupos Internacionales de Expertos. Para los miembros de
el Grupo Internacional de Expertos y los demás participantes involucrados en la publicación del
T ALLINN M ANUAL 1.0, ver T ALLINN M ANUAL 2.0, supra nota 14, xix–xxii. Para aquellos involucrados en el
publicación del M ANUAL 2.0 DE T ALLINN, ver id. en xii-xviii.
dieciséis.
Facultad: Michael N. Schmitt, COLEGIO DE GUERRA NAVAL DE EE. UU., https://usnwc.edu/Faculty-and
Departamentos/Directorio/Michael-N-Schmitt (última visita el 1 de junio de 2017).
17. T ALLINN M ANUAL 2.0, supra nota 14, en 2-3.
738 [vol. 48
2017] 739
Eran opiniones legítimas que los expertos sabían que existían, pero
que ninguno de los Peritos sostuvo. En esos casos, el Manual normalmente
23
afirmar que "los expertos reconocieron una opinión".
Mientras los expertos completaban el texto para Tallin 2.0, los holandeses gobiernan
El gobierno inició un proceso de varias reuniones con los Estados durante las cuales
podrían revisar y comentar sobre el contenido del Manual antes
fue finalizado. Más de cincuenta estados aprovecharon esas reuniones,
incluidos todos los miembros permanentes del Consejo de Seguridad. Este
entrada, aunque no necesariamente se incluye en el Manual porque el
Manual es la opinión de los expertos, proporcionó información invaluable sobre cómo
Los Estados consideraron la implementación del derecho internacional con respecto a
operaciones cibernéticas.
Además, se enviaron partes seleccionadas del Manual a “pares
revisores” para obtener sus opiniones también. Una vez que toda la entrada externa
Se recibió, tanto de estados como de pares, se presentó a los Expertos
para su consideración a medida que se ultimaran el proyecto de reglas y el comentario.
Este amplio proceso, en particular con respecto a Tallin 2.0,
permitió la consideración y posible adopción de un conjunto mucho más amplio
de puntos de vista y experiencia que los que se recogen en cualquier otra fuente única. De este modo,
Los Manuales de Tallin proporcionarán un estado único y completo.
ment sobre el derecho internacional aplicable a las operaciones cibernéticas.
III. t EL MANUAL
El Manual está dividido en cuatro partes. La parte I trata sobre aspectos generales.
Derecho internacional y ciberespacio. La Parte II cubre los regímenes especializados de
Derecho internacional y ciberespacio. La parte III se refiere a la paz internacional.
y actividades de seguridad y cibernéticas, que proviene principalmente de Tallin
1.0. Y la Parte IV es el resto de Tallin 1.0 y se aplica a la ley de ciberseguridad.
conflicto armado. Como ya se ha comentado ampliamente Tallin 1.0
A partir de ahora, este artículo se basará exclusivamente en las Partes I y II y una pequeña
parte de la Parte III.
A. Soberan a í
derecho humano en cuestión está dentro del poder o control efectivo de un Estado, ese Estado tiene poder o
control efectivo sobre el individuo respecto del derecho de que se trate”. Identificación. en 185, ¶ 10.
23. Por ejemplo, al discutir la inviolabilidad de los locales diplomáticos y consulares, el
T ALLINN M ANUAL 2.0 establece: “Los expertos reconocieron una opinión, que ninguno de ellos sostenía, al
la cual la inviolabilidad de los locales de una misión diplomática es absoluta”. Identificación. en 214,¶ 7.
740 [vol. 48
EL MANUAL DE TALLIN 2.0
24
ciberespacio." Las dos reglas siguientes diferencian entre interna
25
y soberanía exterior, y la Regla 4 dice que “[un] Estado no debe
26
realizar operaciones cibernéticas que violen la soberanía de otro Estado”.
El supuesto que subyace a la conclusión del experto en la Regla 4 es que
La soberanía es una norma de derecho internacional cuya violación es una
hecho internacionalmente ilícito. El comentario a la Regla 4 establece:
En el contexto cibernético, por tanto, se trata de una violación de los derechos territoriales.
soberanía de un órgano de un Estado, o de otros cuya conducta
pueden atribuirse al Estado, para realizar operaciones cibernéticas
mientras esté físicamente presente en el territorio de otro Estado contra ese
Estado o entidades o personas allí radicadas. Por ejemplo, si un
agente de un Estado utiliza una unidad flash USB para introducir malware
en infraestructura cibernética ubicada en otro Estado, una violación de
27
La soberanía ha tenido lugar.
2017] 741
29. Véase en general P HILIP BOBBITT, THE S HIELD OF A CHILLES (2002) (que rastrea la doctrina de
soberanía a través de la historia hasta la aplicación moderna).
30. Convención de Viena sobre el Derecho de los Tratados, 23 de mayo de 1969, 1155 UNTS 331, 8 ILM
679.
31. Evaluación del Departamento de Defensa de Estados Unidos sobre cuestiones jurídicas internacionales en Informa
tion Operations contrasta útilmente la soberanía aplicada a los dominios del aire, el espacio y el mar:
El desarrollo del derecho internacional relativo a los satélites terrestres artificiales proporciona una
buen ejemplo. Si las naciones se hubieran sentado con perfecta previsión y se hubieran preguntado:
“¿Deberíamos permitir que aquellas naciones entre nosotros que tienen acceso a tecnología avanzada
poner en órbita satélites que pasarán sobre el territorio del resto de nosotros y tomarán
imágenes de alta resolución, escuchar nuestras telecomunicaciones, registrar información meteorológica,
742 [vol. 48
La historia del derecho espacial contrasta marcadamente con la del derecho aéreo. Gran parte de los primeros
El desarrollo de la aviación más pesada que el aire coincidió con la Primera Guerra Mundial, durante
que el poder militar de los aviones para recopilar inteligencia, atacar a las fuerzas terrestres,
y el bombardeo de ciudades enemigas quedó claramente demostrado. El resultado fue una muy restringida
régimen de derecho aéreo en el que cualquier entrada al espacio aéreo de una nación sin su permiso era
considerarse una grave violación de su soberanía e integridad territorial.
DÓLARDEPARTAMENTO
ESTADOUNIDENSE
DE DEFENSA OFICINA DEL ABOGADO G ENERAL , ANÁLISIS DE LAS CONDICIONES INTERNACIONALES
2017] 743
REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN
34
posible en foros nacionales e internacionales”. Es sólo a través del
dilucidación de las posiciones estatales sobre la interacción de la soberanía y
capacidades cibernéticas que esta pregunta será respondida.
B. Debida diligencia
744 [vol. 48
43
tura en un esfuerzo por ser informado de cualquier daño transfronterizo potencial.
En el momento en que un Estado tiene conocimiento del daño transfronterizo, es
debe tomar “todas las medidas que sean factibles dadas las circunstancias para
44
poner fin a las operaciones cibernéticas”.En otras palabras, el Estado debe
45
tomar medidas que estén “razonablemente disponibles y prácticas” aunque
Los medios para lograrlo quedan a discreción del Estado.
46
de donde emana el daño.
En general, a los Estados no les gusta el principio de diligencia debida porque
les impone cierta responsabilidad. En las Naciones Unidas
Grupo de Expertos Gubernamentales (UN GGE), los estados sólo estaban dispuestos a
admitir que “deberían” ejercer la debida diligencia, en lugar de que
47
“debe”, como dice la Regla. Sin embargo, cuando se analiza en conjunto
con el anterior principio de soberanía, incluso la norma propuesta
por los expertos deja un gran vacío donde quedan las víctimas del daño cibernético
con pocos remedios.
Por ejemplo, supongamos que una organización terrorista en el Estado A está
realizar actividades cibernéticas dañinas contra entidades en el Estado C a través de
Estado B. Tanto el Estado A como el B no tienen ninguna obligación afirmativa hasta que
saber que el daño está ocurriendo. Porque no tienen obligación de
monitorear o prevenir, es probable que los Estados A y B lleguen a conocer
del daño sólo después de que el Estado C haya sufrido suficiente daño para realizar
análisis forense informático y determinar de dónde proviene el daño.
Incluso
incapaz decuando el Estadoproactivas,
tomar medidas C sabe de dónde se origina el daño,
como contramedidas quees
se discutirá más adelante, porque el daño está siendo causado por una acción no estatal.
actor. Esto deja al Estado C completamente dependiente de los Estados A y B.
aceptación de la afirmación por parte del Estado C, la determinación del Estado A y del Estado B
nación que es verdad y que el daño proviene de su interior.
territorio (incluido cualquier tiempo y proceso que consideren necesario para
determinar los hechos), su análisis de lo que sería factible hacer para
bloquear el daño y su determinación de qué medidas factibles deben tomar
implementará para detener el daño transfronterizo.
Algunos podrían argumentar en respuesta que esto no es diferente a la
Aplicación del principio de diligencia debida en otras áreas de la economía internacional.
derecho internacional, como el derecho ambiental internacional. sin embargo, el
43. Ídem.
44. Ídem. a 43 rublos. 7.
45. Ídem. , ¶ 2.
46. Ídem. en 44, ¶ 6.
47. Véase ONU Doc. A/70/174, supra nota 11, ¶¶ 13(c), 28(e); ¶ 23, Doc. ONU. A/68/98, supra
2017] 745
C. Jurisdicci ón
48. Véase Tim Mauer, Cyber Proxies and the Crisis in Ukraine, en C YBER W AR EN PERSPECTIVA: RUSIA
AGRESIÓN CONTRA UCRANIA, OTAN CCD COE 79, 81–82 (Kenneth Geers ed., 2015) https://
ccdcoe.org/sites/default/files/multimedia/pdf/CyberWarinPerspective_Maurer_09.pdf; Timo
Maurer, 'Proxies' and Cyberspace, 21 J. C ONFLICT & S ECURITY L. 383 (2016); Luke Penn-Hall, El
Problema con los servidores proxy, T HE C IPHER BRIEF (21 de julio de 2016), https://www.thecipherbrief.com/article/
tecnología/proxies-problema-1092.
49. T ALLINN M ANUAL 2.0, supra nota 14, en 51, ¶ 1 (citas internas omitidas).
50. Ídem. r. 8.
51. Ídem. , ¶ 2.
746 [vol. 48
EL MANUAL DE TALLIN 2.0
Un Estado puede ejercer jurisdicción prescriptiva extraterritorial con respecto a actividades cibernéticas:
2017] 747
748 [vol. 48
2017] 749
REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN
Debido a la naturaleza de las actividades cibernéticas actuales, esta es una situación extremadamente
capítulo importante del Manual. Aplica la doctrina del estado.
responsabilidad, codificada principalmente en la Comisión de Derecho Internacional
71
Artículos sobre responsabilidad del a los
Estado,
ciberactores y las ciberactividades.
Hubo pleno acuerdo entre los expertos en que la costumbre
72
La ley de responsabilidad estatal se aplica a las actividadesPor lo tanto,
cibernéticas.
la regla 14
establece que “[un] Estado tiene responsabilidad internacional por un ciberataque
acto conexo que sea atribuible al Estado y que constituya un incumplimiento
73
de una obligación jurídica internacional”.Ni daño físico ni
74
Se requiere daño para que un acto cibernético sea un hecho internacionalmente ilícito.
75
y la geografía no es determinante para determinar la responsabilidad del Estado.
El concepto de atribución de actos cibernéticos ha generado mucho
76
de discusión y consternación. Las reglas 15 a 17 abordan esto
problema con respecto a las operaciones cibernéticas. La regla 15 se hace eco de los artículos 4 y 5
de los Artículos sobre Responsabilidad del Estado y señala que las acciones cibernéticas de
Los órganos estatales, como la CIA o la NSA en los Estados Unidos, son atributos
77
capaz del estado, incluso si fuera del autor aprobado de esa organización
78
ity, o ultra vires . Para ello, los órganos del Estado también
incluir actores que no son órganos por ley, pero que tienen “total
79
dependencia” del Estado, y personas o entidades que estén facultadas
a 75 rublos. 13.
71. Comisión Internacional de Derecho, Proyecto de artículos sobre la responsabilidad del Estado por hechos internacionalmente ilícitos.
Acts, Representante de la Comisión Internacional de Derecho sobre la labor de su quincuagésimo tercer período de sesiones, Doc. de la ONU. A/56/10
(2001) [en adelante Proyecto de Artículos de la CIT sobre Responsabilidad].
72. T ALLINN M ANUAL 2.0, supra nota 14, en 80, ¶ 4.
73. Ídem. a 84 rublos. 14.
74. Ídem. en 86, ¶ 8.
75. Ídem. en 87, ¶ 11.
76. Véase Lily Hay Newman, Hacker Lexicon: ¿Cuál es el problema de la atribución? , CABLEADO (24 de diciembre de 2016,
7:00 a. m.) https://www.wired.com/2016/12/hacker-lexicon-attribution-problem/; Dimitar Kostadi
noviembre, El problema de la atribución en los ataques cibernéticos, INFOSEC I NST. (1 de febrero de 2013), http://resources.
/
infosecinstitute.com attribution-problem-in-cyber-attacks/#gref; Nicholas Tsagourias, cibernético en
Tachuelas, Autodefensa y el problema de la atribución, 17 J. C ONFLICT & S ECURITY L. 229 (2012).
77. T ALLINN M ANUAL 2.0, supra nota 14, en 87–90, ¶¶ 3, 8–11.
78. Ídem. en 89, ¶ 9.
79. Ídem. en 88, ¶ 4 (cita interna omitida).
750 [vol. 48
80
cedidos para ejercer elementos de autoridad gubernamental.
Aunque estas declaraciones reflejan el derecho internacional en ámbitos no cibernéticos
situaciones, su aplicación a las actividades cibernéticas no está exenta de control
muy. Por ejemplo, los expertos observaron que tradicionalmente el uso de
activos gubernamentales como tanques o buques de guerra era una prueba casi irrefutable
indicación de atribución de una actividad a un estado. lo mismo no puede ser
Dicho de las actividades cibernéticas. De hecho, dada la capacidad de capturar o falsificar
infraestructura cibernética, incluido el lugar donde podrían originarse las actividades cibernéticas.
derivar de “el mero hecho de que se haya lanzado o iniciado una operación cibernética”.
de otra manera se origina en la infraestructura cibernética gubernamental, o que
El malware utilizado contra la infraestructura cibernética pirateada está diseñado para "informar
"regresar" a la infraestructura cibernética gubernamental de otro Estado, suele ser
81
pruebas insuficientes para atribuir la operación a ese Estado”.
En el caso de que un órgano del Estado se ponga a disposición de
otro Estado, si ese órgano funciona exclusivamente bajo el control
del Estado receptor y toma acciones para los fines y en nombre de
82
que dicho Estado, los actos del órgano son imputables al Estado receptor.
La cuestión jurídica más difícil en el ámbito de la atribución surge
de actores no estatales que pueden estar trabajando como representantes de un estado o que
están actuando de alguna manera en nombre de un estado sin una autoridad legal clara
83
para hacerlo. Esto se aborda en la Regla 17, y refleja el artículo 8 de la
84
Reglas de Responsabilidad del Muchas
Estado. de las discusiones sobre los recientes
Los eventos cibernéticos han girado en torno al intento de atribuir las acciones.
85
de actores privados a Estados con los que esos actores estaban alineados.
En
De conformidad con el derecho internacional, las operaciones cibernéticas realizadas por
actores no estatales, pero llevados a cabo bajo el “control efectivo” de un estado,
86
son atribuibles al Estado. El mero estímulo o apoyo a la
2017] 751
87
Las acciones del actor no estatal son insuficientes para alcanzar laEn atribución.
En contraste con las acciones de los órganos estatales, los actos ultra vires de actores no estatales
en estas situaciones no son imputables al estado ya que serían actos
88
fuera del “control efectivo” del Estado. Finalmente, si un Estado no
controlar efectivamente a un actor no estatal, pero posteriormente adopta el sistema cibernético.
acciones de ese actor no estatal como propias, esos actos también son atribuibles
89
al Estado.
Como ocurre con la atribución en general, es mucho más fácil identificar y
enunciar la regla que aplicarla en situaciones fácticas. Por ejemplo, como
Como señalaron los expertos, “la participación preponderante o decisiva de un Estado
en el 'financiamiento, organización, capacitación, suministro y equipamiento. . . ,
la selección de sus objetivos militares o paramilitares, y la planificación de
"Toda su operación" se ha considerado insuficiente para alcanzar el objetivo.
90
umbral de 'control efectivo'”. En el ámbito cibernético, eso podría ser
traducido como un estado que proporciona las herramientas cibernéticas, identifica los objetivos,
y seleccionando la fecha para que se lleve a cabo la operación cibernética y
todavía no implicaría responsabilidad estatal. Algunos alegan que esto es exactamente
el escenario con Rusia y los hacktivistas rusos que atacaron cibernéticamente
91
Estonia tras el traslado de un monumento a los caídos en la guerra ruso.
Con el tiempo, será interesante ver cómo los estados continúan respondiendo.
al umbral elevado de atribución. A medida que los estados siguen siendo los
víctimas de actividades cibernéticas que no son atribuibles a un Estado, y las normas
de soberanía y diligencia debida no permiten que los estados víctimas exijan
acción efectiva por parte del Estado anfitrión, la presión sobre la atribución
estándar aumentará como método para permitir que los estados víctimas tengan
un acceso más amplio a las contramedidas (que se analizan más adelante).
La regla 18 cubre las doctrinas de ayuda y asistencia, y la responsabilidad.
92
idad por los actos de otros estados.
Con respecto a la ayuda y asistencia, es
752 [vol. 48
EL MANUAL DE TALLIN 2.0
Es vital que el Estado sepa que realmente está proporcionando ayuda y asistencia a
93
el hecho internacionalmente ilícito, y que el Estado tiene la intenciónÉlde hacerlo.
También es importante tener en cuenta que el Estado que presta asistencia sólo es responsable de
94
ayudar y asistir, no el acto ilícito en sí. Aunque no directamente
tratados por los expertos, parece claro que ayudar y asistir sería
requieren más que permitir el tránsito de datos dañinos a través de su ciberespacio
infraestructura, incluso si lo hizo a sabiendas. Sería contrario a la lógica que el
estándar para activar el requisito de diligencia debida sería similar o
incluso menos que el nivel de ayuda y asistencia.
El Manual sostiene que todas las circunstancias normales que impiden
95
La ilicitud se aplica a las actividades cibernéticas.
El Manual se embarca entonces en una
96
un debate bastante largo sobre las contramedidas. porque las contramedidas
Las medidas de seguridad no deben llegar al nivel del uso de la fuerza, las actividades cibernéticas parecen
97
encajan bien en el paradigma.
Es importante señalar que las contramedidas
sólo están disponibles contra los Estados y no impedirán la ilicitud
de un acto si está dirigido contra actores no estatales, a menos que sus acciones sean
98
atribuible a un estado. Sin embargo, la contramedida cibernética no tiene por qué
apuntar al órgano específico del Estado que está violando el derecho internacional como
99
el Estado mismo es el objetivo. Además, las contramedidas cibernéticas son
no se limita a una respuesta “en especie”. En otras palabras, un Estado puede responder a
una infracción no cibernética con una contramedida cibernética, y a una infracción cibernética
100
infracción con una contramedida no cibernética.
(b) el hecho internacionalmente ilícito de otro Estado que dirige y controla si el Estado
lo hace con conocimiento de las circunstancias del hecho internacionalmente ilícito y
el hecho sería internacionalmente ilícito si lo cometiera; o
(c) un hecho internacionalmente ilícito que obliga a otro Estado a cometer”.
TALLINN M ANUAL 2.0, supra nota 14, en 100 r. 18.
93. Ídem. en 101, ¶ 3.
94. Ídem. en 102, ¶ 6.
95. Ídem. en 104-11. M ANUAL 2.0 DE T ALLINN La Regla 19 establece que “La ilicitud de un hecho
que impliquen operaciones cibernéticas queda excluido en el caso de:
(a) consentimiento; b) legítima defensa; (c) contramedidas; d) necesidad; (e) fuerza mayor;
o (f) angustia”.
Identificación. a 104 rublos. 19.
96. Ídem. en 111–34.
97. Véase en general Michael N. Schmitt, “Debajo del umbral” Cyber Operations: The Countermeasures
Opción de Respuesta y Derecho Internacional, 54 VA. J. I NT ' L L. 697, 718–719 (2014).
98. T ALLINN M ANUAL 2.0, supra nota 14, en 113, ¶¶ 7–8.
99. Ídem. en 112-13, ¶ 6.
100. Ídem. en 128 y 129, ¶ 7.
2017] 753
101. Proyecto de Artículos sobre Responsabilidad de la CDI, supra nota 72, art. 49.
102. T ALLINN M ANUAL 2.0, supra nota 14, en 119, ¶ 8.
103. Ídem. , párrafo 9.
104. Proyecto de Artículos sobre Responsabilidad de la CDI, supra nota 72, art. 52.
105. T ALLINN M ANUAL 2.0, supra nota 14, en 120, ¶ 11.
106. M ANUAL 2.0 DE T ALLINN La Regla 22 establece que “Las contramedidas, ya sean de naturaleza cibernética
o no, no pueden incluir acciones que afecten derechos humanos fundamentales, constituyen actos prohibidos
represalias beligerantes o violar una norma imperativa. Un Estado que adopte contramedidas debe cumplir sus
obligaciones respecto de la inviolabilidad diplomática y consular”. Identificación. a 122-23 p. 22.
107. M ANUAL 2.0 DE TALLINN La Regla 23 establece que “Las contramedidas, ya sean de naturaleza cibernética
o no, debe ser proporcional al daño al que responde”. Identificación. a 127 rublos. 23.
108. Ídem. en 129, ¶ 10.
109. Véase ídem. en 131, ¶ 5.
110. Ídem. en 132, ¶ 7.
111. M ANUAL 2.0 DE TALLINN La regla 23 establece que “Una contramedida, ya sea de naturaleza cibernética
Queda prohibida o no, que viole una obligación jurídica contraída frente a un tercer Estado o a otra parte”. Identificación. en
133 rublos. 23.
754 [vol. 48
112
alegato de necesidad,varias reglas sobre las obligaciones de los estados para
113
hechos internacionalmente ilícitos,y una norma sobre la responsabilidad de
114
organizaciones internacionales.
Estas reglas y comentarios sobre contramedidas resaltan la
diferencia entre aplicar una contramedida, particularmente en ciber
espacio, en lugar de tomar una acción en defensa propia. las reglas y
Las limitaciones a las contramedidas detalladas anteriormente actúan como una mayor limitación.
presión sobre la capacidad de un Estado para actuar en respuesta a acciones que no
equivalen a uso de la fuerza que acciones en respuesta a un ataque armado.
Es importante destacar que los estándares para aplicar contramedidas son mucho menos
discrecional en el sentido de que se deben tomar ciertas medidas reales en lugar de una
decisión discrecional de un Estado de que una acción equivale a un conflicto armado.
ataque o que un ataque armado es inminente. Con respecto a lo cibernético, esto es
Un punto particularmente importante porque gran parte de los cibernéticos hostiles
La interacción entre Estados no equivale a un ataque armado.
Quizás este desequilibrio sea exactamente lo que los Estados desean con respecto a
contramedidas cibernéticas. Este autor ha argumentado en otro lugar que facilitar
La capacidad de utilizar contramedidas puede provocar daños no deseados.
115
consecuencias. Sin embargo, será interesante ver si en el futuro
En el futuro, los Estados desarrollan el derecho internacional para disminuir las limitaciones
contramedidas cibernéticas o suavizar el umbral de un ataque armado en
fin de dar medidas de respuesta más efectivas a una mayor variedad
de actividades cibernéticas.
é
E. Operaciones cibern ticas no reguladas per se
Esta sección del Manual reconoce que algunas acciones de los estados son
no está específicamente regulado por el derecho internacional, pero encuentra un conjunto limitado de
acciones que entran en esta categoría. Como se mencionó anteriormente con respecto a
116
soberanía, Existe la opinión de que esta categoría de cibernéticos no regulados
actividades es más amplia. Sin embargo, los expertos de Tallin hicieron una lectura estricta
de operaciones cibernéticas no reguladas per se por el derecho internacional.
112. M ANUAL DE TALLINN 2.0 La Regla 23 establece que “Un Estado podrá actuar de conformidad con el motivo de
necesidad en respuesta a actos que presentan un peligro grave e inminente, ya sea de naturaleza cibernética o
no, a un interés esencial cuando hacerlo sea el único medio de salvaguardarlo”. Identificación. a 135 rublos. 23.
113. M ANUAL DE T ALLINN 2.0 La regla 27 se refiere a la cesación, los seguros y las garantías; Reglas 28
y 29 tratan de reparaciones; y la Regla 30 trata de obligaciones erga omnes. Ver identificación. en 142–53.
114. Ídem. a 157 rublos. 157; ver también identificación. en 153–67.
115. Véase en general Eric Talbot Jensen y Sean Watts, A Cyber Duty of Due Diligence: Gentle Civilizer.
2017] 755
REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN
Se, los expertos coincidieron en que “el espionaje puede llevarse a cabo de manera
que viola el derecho internacional debido a que ciertos métodos
122
empleados para realizar ciberespionaje son ilegales”. sin embargo, el
Los expertos no pudieron llegar a un consenso sobre si la ciberseguridad remota
El espionaje violaba el derecho internacional. La mayoría creía que el
La filtración de datos no violó ninguna norma del derecho internacional. Por el contrario, un
Pocos de los expertos creían que en algún momento la exfiltración podría ser
123
tan severo como para hacerlo ilegal.Del mismo modo, los expertos no se pusieron de acuerdo sobre
operaciones de acceso cercano, como operaciones en las que un individuo en el
El territorio del estado objetivo inserta una unidad USB en un gobierno.
sistema y extrae datos. Ninguno de los expertos sostuvo que el
La exfiltración fue una violación del derecho internacional, pero una mayoría creía
124
violaba la soberanía del estado objetivo. El resto del
125
Los expertos vieron el espionaje como una excepción a la soberanía.
Los expertos coincidieron en que los “honeypots” (datos o redes valiosos)
segmentos diseñados para atraer a piratas informáticos malintencionados con el fin de identificar
ellos y examinar sus métodos, pero en realidad no revelan ninguna utilidad
126
datos—no eran ilegales como cuestión de derecho internacional. Armado
756 [vol. 48
Honeypots, donde los datos diseñados para ser exfiltrados contienen malware.
que luego se ejecuta en el propio sistema del infiltrado, provocó una división
entre los expertos, y la mayoría los encuentra completamente
127
permisible.
El tratamiento del espionaje en el Manual de Tallin está estrechamente vinculado a
La visión de la soberanía. En muchos de los casos presentados donde el
El "método" de espionaje podría hacerlo ilegal, determinaron los expertos.
la regla violada fue la de la soberanía. La evidencia parece estar acumulada
128
que las naciones con capacidad cibernética están participando en ciberespionaje.
Es probable que el aumento del ciberespionaje ejerza presión sobre el actual
comprensión de cómo se aplica la soberanía al dominio del ciberespacio,
tal vez afecte la Regla 32 en el futuro.
La otra regla en esta sección de operaciones cibernéticas no reguladas dice
“El derecho internacional regula las operaciones cibernéticas realizadas únicamente por actores no estatales.
129
en casos limitados”. Con excepción de los regímenes de derecho internacional
específicamente aplicable a individuos como el derecho de los derechos humanos y la
derecho de los conflictos armados, los expertos creían que el derecho internacional no
130
no regular a los actores no estatales.
Esto queda en manos de los estados.
a través del derecho interno.
Al igual que con el espionaje, ésta es un área del derecho internacional donde la regla
es probable que se vea presionado. La combinación del volumen de
131
incidentes causados por actores no estatales,
la aplicación restrictiva de la
132
regla de diligencia debida a los estados,
y la prohibición del uso de
133
contramedidas contra actores no estatales puede obligar a los estados a realizar reconocimientos
considerar la efectividad del derecho internacional con respecto a la aplicación
medidas contra actores no estatales.
2017] 757
Esta parte del Manual y las que siguen en este Artículo son
separados en lo que los Expertos denominan Regímenes Especializados. Estos
Los regímenes están especializados en que se han desarrollado con el tiempo para
convertirse en sus propios regímenes, en cierto modo autónomos, que gobiernan una
gama reducida de actividades. El Manual aplica esos regímenes a la cibernética.
actividades.
El primer régimen especializado cubierto en el Manual es el internacional.
derecho de los derechos humanos. Muchas de las dificultades para elaborar esta parte del
Manual puede estar directamente relacionado con la falta de claridad con respecto a
134
el derecho internacional de los derechos humanosCombinado
en general. con el
caprichos de las operaciones cibernéticas, este capítulo contiene quizás los aspectos más
desacuerdo entre los expertos. En esta línea, uno de los importantes
Puntos importantes planteados con respecto a la aplicación de las normas de derechos humanos a
operaciones cibernéticas es que “aunque la actividad de un Estado puede interferir con una
derecho humano internacional específico, como el derecho a la privacidad, este hecho
no responde a la pregunta de si ese derecho ha sido violado
135
tarde.” En otras palabras, la determinación de que los derechos humanos se aplican a
una actividad cibernética no significa que la actividad cibernética haya violado
derechos humanos. La posible infracción es una infracción separada y adicional.
análisis.
La regla 34 establece la regla general de aplicabilidad. Dice “[i]nterna
136
El derecho internacional de derechos humanos es aplicable a las actividades
En relacionadas con la cibernética”.
Al definir la aplicabilidad, los expertos coincidieron en que “como principio general,
El derecho internacional consuetudinario de derechos humanos se aplica en el contexto cibernético.
más allá del territorio de un Estado en situaciones en las que ese Estado ejerza
137
'poder o control efectivo', como ocurre fuera de línea”.
Sin embargo, los expertos
estaban divididos sobre si “poder o control efectivo” requería “físico”
138
control, y la mayoría creía que se requería control físico.
Los expertos también estaban divididos sobre si un tratado de derechos humanos que
silencio sobre su aplicación extraterritorial debe interpretarse como aplicable
yendo extraterritorialmente. La mayoría consideró que debería aplicarse
extraterritorialmente en ausencia de alguna disposición que limitara su
134. T ALLINN M ANUAL 2.0, supra nota 14, en 179 –82, ¶¶ 1–7. Notas del M ANUAL 2.0 DE T ALLINN
que “el Grupo Internacional de Expertos reconoció que los entendimientos de los Estados sobre la
alcance preciso de ciertos derechos humanos en el contexto cibernético, así como los de derechos humanos
Los tribunales de derechos humanos y otros órganos pertinentes de derechos humanos varían”. Identificación. en 182, ¶ 1.
135. Ídem. en 181, ¶ 7.
136. Ídem. a 182 rublos. 134.
137. Ídem. en 184, ¶ 6.
138. Ídem. en 185, ¶ 8.
758 [vol. 48
EL MANUAL DE TALLIN 2.0
139
alcance.
La Regla 35 establece que “Las personas disfrutan de los mismos derechos humanos internacionales.
derechos con respecto a actividades relacionadas con la cibernética que de otro modo realizarían
140
alegría."Esto incluye la libertad de expresión, aunque los expertos
141
no pueden ponerse de acuerdo sobre los parámetros precisos El derecho
de esea derecho.
142 143
mantener una opinión y el derecho a la privacidad también están protegidos.
Con respecto al derecho a la privacidad, los expertos consideraron que este
144
Este derecho “abarca la confidencialidad de las comunicaciones”.El
Los expertos coincidieron en que esto protegía la comunicación privada de un individuo.
ciones de la inspección humana, pero estaban divididos sobre cómo el derecho
145
aplicado a casos de inspecciones algorítmicas por máquinas. Sin embargo,
la mayoría creía que tal inspección no implicaba a la
derecho del individuo a menos y hasta que el Estado acceda a la comunicación
146
ciones de alguna manera, incluido el procesamiento Por supuesto,
de datos.información
disponible al público generalmente no implica el derecho a la privacidad,
incluso si se recopilan a través de medios cibernéticos, mientras que aquellos disponibles solo para un
un grupo pequeño podría hacerlo. Los expertos no tenían claro dónde estaban estas líneas.
147
en realidad se encuentran entre estas dos situaciones. Los expertos podrían
no estoy de acuerdo sobre cómo se aplica la expectativa de privacidad en general a este
148
bien.
Los expertos coincidieron en que el derecho a la privacidad también protegía a los individuos.
“datos personales” de otros usuarios, aunque los expertos reconocieron que este término es
149
no está bien definido en el derecho internacional.
Con respecto a los metadatos, el
Los expertos coincidieron en que los metadatos se considerarían “datos personales” y
por lo tanto protegido para los efectos de esta regla en el punto donde
estaba “vinculado a un individuo y se relaciona con la vida privada de ese individuo”
150
vida." Con respecto a otros metadatos, los expertos no pudieron llegar a un acuerdo
151
consenso.
2017] 759
Los expertos observaron además que el carácter consuetudinario de los derechos económicos,
Los derechos sociales y culturales siguen sin estar resueltos en el derecho internacional, pero
coincidieron en que en la medida en que sean reconocidos como derechos, las ciberseguridad
152
operaciones ciertamente podrían implicar esos derechos. Finalmente, el ex
Los expertos señalaron la afirmación de que existe un derecho humano internacional de
acceso a Internet y un “derecho al olvido”. Ninguno de los expertos
153
los reconoció como derechos según el derecho consuetudinario vigente.
La Regla 36 establece que “[c]on respecto a las actividades cibernéticas, un Estado debe: (a)
respetar los derechos humanos internacionales de las personas; y (b) proteger
154
los derechos humanos de las personas frente a abusos por parteEl de terceros”.
La obligación de respetar los derechos humanos se aplica generalmente a esos derechos.
discutido en la regla anterior y se aplica extraterritorialmente a aplica
155
derechos de cable.
La obligación de proteger o garantizar el respeto de los derechos humanos es una
obligación afirmativa de los Estados, aunque los expertos reconocieron que
algunos estados no están de acuerdo en que exista tal regla y que los parámetros
156
de la norma son al menos cuestionadas. Sin embargo, los expertos coincidieron en que
157
Tal regla existe, a pesar de su falta de definición clara. Por ejemplo,
Los expertos no pudieron ponerse de acuerdo sobre las “circunstancias territoriales precisas en
que un Estado tiene la obligación de proteger la vida de un individuo en particular
158
derechos humanos frente a la injerencia de terceros”.
Los expertos coincidieron en que este derecho incluía el requisito de tomar
medidas preventivas tales como prevenir los impactos terroristas en los seres humanos
159
derechos.Volviendo a la opinión de los expertos de que no hay derecho a
Internet discutido anteriormente, los expertos están divididos sobre el tema en el que
El acceso a Internet era necesario para ejercer un derecho humano como el
160
votación. Sin embargo, la mayoría de los expertos creían que los estados no tienen
derecho consuetudinario a proporcionar recursos cuando se violen derechos individuales
161
ocurren los derechos humanos.
La regla 37 analiza las limitaciones a la obligación de respetar y proteger
y establece “[l]as obligaciones de respetar y proteger el derecho internacional
Los derechos humanos, con excepción de los derechos absolutos, siguen estando sujetos a
760 [vol. 48
á
G. Derecho Diplom tico y Consular
2017] 761
REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN
762 [vol. 48
2017] 763
186
personal mático y consular, y concluye que el mismo priv
187
Las leyes e inmunidades se aplican a las actividades relacionadas con la cibernética.
Obviamente hay una serie de preguntas sin respuesta con respecto
a las operaciones cibernéticas y al derecho diplomático y consular, particularmente con
respecto a las comunicaciones. Porque muchas de esas comunicaciones
ahora ocurren a través de modalidades cibernéticas, la aplicación del derecho internacional a
Esta área va a ser un área importante de desarrollo legal.
186. M ANUAL DE TALLINN 2.0 La Regla 44 establece “En la medida en que los agentes diplomáticos y consulares
Los oficiales disfrutan de inmunidades de jurisdicción penal, civil y administrativa, disfrutan de la
inmunidades con respecto a sus actividades cibernéticas”. Identificación. a 230 rublos. 44.
187. Ídem. en 231, ¶¶ 1–4.
188. Convención de las Naciones Unidas sobre el Derecho del Mar, 10 de diciembre de 1982, 1833 UNTS 3.
189. T ALLINN M ANUAL 2.0, supra nota 14, en 232, ¶¶ 1–2.
190. Ídem. a 233 rublos. 45.
191. Ídem. en 234, ¶ 3 (citas omitidas).
192. Ídem. , ¶ 5 (citas omitidas).
193. M ANUAL DE T ALLINN 2.0 La regla 46 establece que “Un buque de guerra u otro buque debidamente autorizado podrá
ejercer el derecho de visita para abordar un buque sin el consentimiento del Estado del pabellón en alta mar o dentro de una
zona económica exclusiva si tiene motivos razonables para sospechar que el buque está utilizando cibernéticos
764 [vol. 48
EL MANUAL DE TALLIN 2.0
194
utilizando modalidades cibernéticas para realizarLos la visita.
expertos además
confirmó la aplicación del estándar de debida consideración a las ciberacciones
195
tomadas en la Zona Económica Exclusiva (ZEE), aunque los expertos
división sobre la legalidad de realizar operaciones militares en la ZEE con
196
la mayoría argumentó que estaban permitidos.
Con respecto al mar territorial y al derecho de paso inocente,
Los expertos estuvieron de acuerdo con la Regla 48, que establece: “[p]ara que un buque pueda
reclamar el derecho de paso inocente a través del territorio territorial de un Estado ribereño
mar, cualquier operación cibernética realizada por el buque debe cumplir con las
197
condiciones impuestas a ese derecho”.Los expertos enumeraron útilmente una
número de ejemplos de actividades cibernéticas que harían que el paso
198
no inocente. Los Expertos consideraron el impacto en inocentes
paso de un buque estatal procedente del Estado A en las aguas territoriales del Estado B,
realizar operaciones cibernéticas contra el Estado C. La mayoría de los expertos
199
determinó que esto no sería compatible con el paso inocente.
A pesar de que el Manual reserva la mayoría de las normas relativas a las normas internacionales
conflicto armado hasta más adelante en el Manual, la Regla 49 dice “[d]urante un
conflicto armado internacional, un Estado ribereño neutral no puede discriminar
diferencias entre los beligerantes con respecto a las operaciones cibernéticas en ese
200
Mar territorial del Estado”.La regla 50 vuelve a reglas más generales y
201
se ocupa de la jurisdicción de ejecución en el mar territorial. La ex
Los expertos están divididos en cuanto a la escala de las posibles consecuencias necesarias para
activar el derecho de jurisdicción de ejecución. La mayoría argumentó que
cualquier violación era suficiente, pero la minoría pensaba que los efectos de minimis
significa participar en piratería, trata de esclavos o transmisiones no autorizadas; parece estar sin
nacionalidad; o sea de la nacionalidad del buque visitante.” Identificación. en 235.
194. Ídem. en 238, ¶ 10.
195. M ANUAL 2.0 DE TALLINN La regla 47 establece “En el ejercicio de sus derechos y deberes, un Estado
realizar operaciones cibernéticas en la zona económica exclusiva de otro Estado debe tener la debida
respecto de los derechos y deberes de ese Estado en la zona y las operaciones cibernéticas deben realizarse para
fines pacíficos, salvo disposición en contrario del derecho internacional”. Identificación. en 239.
196. Ídem. en 240, ¶ 4.
197. Ídem. a 241 rublos. 48.
198. Ídem. en 242–43, ¶ 6–7.
199. Ídem. en 243, ¶ 8
200. Ídem. en 245. p. 49.
201. M ANUAL DE TALLINN 2.0 La regla 50 establece que “Un Estado ribereño puede ejercer la aplicación de leyes jurídicas”.
ción a bordo de buques en el mar territorial con respecto a actividades delictivas que impliquen cibernética
operaciones si: las consecuencias del delito se extienden al Estado ribereño; el delito es de un tipo que
perturbar el orden público y la seguridad del Estado ribereño o el buen orden del mar territorial;
El capitán del buque o el Estado del pabellón ha solicitado la asistencia del Estado ribereño.
autoridades; o según sea necesario para contrarrestar el narcotráfico”. Identificación. a 246 rublos. 50.
2017] 765
202
no activaría el derecho.
Los expertos sostuvieron que las disposiciones estándar del derecho del mar
203
se aplican a las operaciones cibernéticas en la zona contigua,
internacional
204 205 206
estrecheces,
aguas archipelágicas, y a cables submarinos. Con
Con respecto a los cables submarinos, los expertos no pudieron ponerse de acuerdo sobre la
aplicación de jurisdicción “entre el Estado ribereño y el Estado
tendido del cable de comunicación submarino en la costa del Estado ribereño
207
plataforma continental o en su ZEE”. Aunque los expertos coincidieron en que
violaba el derecho internacional al dañar las comunicaciones submarinas
cables, también acordaron que dichos cables pueden aprovecharse para recolectar y
208
dato transmitido.
El propio Manual señala áreas en las que el derecho del mar es
inestable con respecto a las operaciones cibernéticas, como la necesidad de que los estados
Encontrar un método para tipificar como delito los daños intencionales o negligentes a los submarinos.
209
Cables de comunicación bajo alta mar. Dada la gran cantidad de
datos que pasan a través de cables de comunicación submarinos, y la
creciente capacidad de los estados para acceder a ellos, es casi seguro que ésta es un área
donde la práctica estatal seguirá desarrollándose.
é
I. Derecho A reo
Al igual que con el derecho del mar, los expertos determinaron que el derecho internacional
La ley se reflejaba generalmente en las disposiciones de los más destacados
210
tratado en el área —en este caso, la Convención sobre Derechos Internacionales de 1944.
Aviación Civil (OACI), o “Convenio de Chicago”, como se le conoce
211
conocido. De hecho, los términos utilizados en esta sección se rigen
202. Ídem. en 247, ¶ 4.
203. M ANUAL 2.0 DE TALLINN La Regla 51 establece “Con respecto a los buques ubicados en el territorio de un Estado ribereño
zona contigua, ese Estado puede utilizar medios cibernéticos para prevenir o abordar violaciones dentro de su
territorio o mar territorial de sus leyes fiscales, migratorias, sanitarias o aduaneras, incluidas las violaciones
perpetrado por medios cibernéticos”. Identificación. en 248.
204. M ANUAL 2.0 DE TALLINN La regla 52 establece “Operaciones cibernéticas en un estrecho utilizado para
la navegación debe ser compatible con el derecho de paso en tránsito”. Identificación. en 249.
205. M ANUAL 2.0 DE TALLINN La regla 53 establece que “Las operaciones cibernéticas en aguas archipelágicas deben
compatible con el régimen jurídico aplicable en la misma.” Identificación. en 251.
206. M ANUAL DE T ALLINN 2.0 La regla 54 establece “Las reglas y principios del derecho internacional
aplicables a cables submarinos se aplican a cables de comunicaciones submarinos.” Identificación. en 252.
207. Ídem. en 255, ¶ 9.
208. Ídem. en 257, ¶ 17.
209. Ídem. en 258, ¶ 19 (citas internas omitidas).
210. Ídem. en 259 –60, ¶¶ 4 –6.
211. El Convenio de la Organización de Aviación Civil Internacional sobre Aviación Civil Internacional,
7 de diciembre de 1944, 61 Stat. 1180, 15 UNTS 295.
766 [vol. 48
212
según las definiciones de la OACI.
213
Regla 55 establece la regla de aplicabilidad general del derecho del espacio aéreo a
operaciones cibernéticas en aeronaves en el espacio aéreo nacional. Los expertos señalaron
que este régimen especializado sólo rige los aviones, y no el cibernético
operaciones en las que participa. Esas operaciones se regirían por
214
otras leyes, como las del estado subyacente. Con respecto a
aviones militares: aquellos con mayor probabilidad de estar involucrados en ataques cibernéticos aéreos.
operaciones—los expertos señalaron que el Convenio requiere el permiso
sión del estado subyacente para el sobrevuelo, y permite que el estado subyacente
el derecho a fijar las condiciones de ese sobrevuelo, condiciones que
215
podría incluir una prohibición de las operaciones cibernéticas.
Los expertos estaban divididos sobre cómo caracterizar una violación de los derechos de un Estado.
espacio aéreo por aviones militares de otro estado que participan en actividades cibernéticas.
operaciones. Una minoría creía que la combinación de presiones no consentidas
La presencia y la realización de operaciones cibernéticas eran suficientes para ser un grupo armado.
atacar y activar el derecho de legítima defensa. La mayoría pensó que
La caracterización dependía de la naturaleza de la operación cibernética. Alguno
de los expertos también opinaron que el mero hecho sin consentimiento
presencia de una aeronave militar autorizó el uso de la fuerza para expulsar al
216
aeronaves desde el territorio del estado.
A diferencia del espacio aéreo nacional, las operaciones cibernéticas en el espacio aéreo internacional
El espacio aéreo generalmente está permitido. La regla 56 dice “[s]ujeto a restricciones
contenidas en el derecho internacional, un Estado puede llevar a cabo actividades cibernéticas
217
operaciones en el espacio aéreo internacional”.
Los estados no pueden reclamar más
soberanía sobre el espacio aéreo internacional. Además, al realizar ciber
operaciones en el espacio aéreo internacional, los estados sólo están limitados por interna
prohibiciones de la ley nacional, como la prohibición de intervención y
el uso de la fuerza, o regímenes de navegación aceptados, como sobrevolar
218
estrechos internacionales.Además, al volar sujeto a una navegación
régimen que requiere transporte en modo normal, la mayoría de los expertos
consideró que esto no incluía operaciones cibernéticas activas, ni siquiera para
219
Aeronaves cuyo propósito es realizar operaciones cibernéticas ofensivas.
2017] 767
REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN
J. Derecho espacial
220. M ANUAL 2.0 DE TALLINN La regla 57 dice: “Un Estado no puede realizar operaciones cibernéticas que
poner en peligro la seguridad de la aviación civil internacional”. Identificación. en 268.
221. Véase supra Sección III.A.
222. T ALLINN M ANUAL 2.0, supra nota 14, en 259 –60, ¶¶ 1–11; ver también identificación. en 271, ¶¶ 3–4.
223. Ídem. en 270–71, ¶¶ 2–3.
224. Ídem. en 272, ¶ 6.
225. Ídem. a 273 rublos. 58.
226. Ídem. en 273–75, ¶¶ 1–7.
768 [vol. 48
227
como en la Tierra, incluida la Carta de las Naciones Unidas.
La regla 59 dice “(a) [un] Estado debe respetar el derecho de los Estados de registro
ejercer jurisdicción y control sobre los objetos espaciales que aparecen en
sus registros. (b) Un Estado debe realizar sus operaciones cibernéticas que impliquen
espacio ultraterrestre teniendo debidamente en cuenta la necesidad de evitar interferencias con el
228
actividades espaciales pacíficas de otros Estados”.
De acuerdo con esta norma, los expertos coincidieron en que los estados tienen competencia jurídica
ción sobre sus satélites y otros objetos espaciales y las personas que se encuentren en ellos,
pero también señaló que esta jurisdicción podría no ser exclusiva. por ejemplo
Por ejemplo, si las actividades de los objetos espaciales de un Estado afectan a los de otro Estado.
229
objetos espaciales, esos estados pueden compartir jurisdicción concurrente.
El
Los expertos también señalaron que el término “debida consideración” en esta norma conllevaba el
230
mismo significado que en el contexto del derecho del mar.
Finalmente, respetar las responsabilidades de los estados por las actividades cibernéticas en
espacio ultraterrestre, la Regla 60 dice “(a) [un] Estado debe autorizar y supervisar
las "actividades cibernéticas en el espacio ultraterrestre" de sus entidades no gubernamentales. (b)
Las operaciones cibernéticas que involucran objetos espaciales están sujetas a la responsabilidad
231
Régimen de responsabilidad y responsabilidad del derecho espacial”.
A medida que más y más entidades privadas comienzan a operar en el espacio ultraterrestre,
232
incluida la colocación de personas en estael espacio,
regla aumentará en importancia
tancia. La regla sigue el derecho de los tratados al describir el régimen de gobernanza.
233
como de naturaleza “nacional”.
Los Estados deben aceptar la responsabilidad de vigilar
y aprobar las acciones de entidades no gubernamentales.
En consecuencia, los Estados son generalmente responsables de sus acciones bajo
el régimen de derecho espacial que incorpora algunos de los principios de
234
los Artículos de Responsabilidad del PorEstado.
ejemplo, los estados de lanzamiento son
235
responsable de los daños causados a otro Estado con motivo de un lanzamiento espacial.
Sin embargo, los daños causados a objetos espaciales por otros objetos espaciales se
236
basado en “culpa”. Los expertos determinaron que estos principios se aplican a
2017] 769
237. DEPARTAMENTO DE DEFENSA DE LOS EE.UU., OFICINA DEL ASESOR GENERAL, ANÁLISIS DE LA ASESORÍA INTERNACIONAL
770 [vol. 48
EL MANUAL DE TALLIN 2.0
244
Para hacerlo, debe salvaguardar y mantener esa infraestructura cibernética.
Como
esta obligación es una obligación del Estado, la mayoría de los expertos opinaron que
No era lícito que un Estado estableciera comunicaciones en otro.
245
Estado sin el consentimiento del segundo Estado.
Los Expertos determinaron que los Estados en general pueden ejercer sus
autoridad soberana para suspender o detener las comunicaciones. La regla 62 dice:
é í
244. V ase dem.
2017] 771
252
Unión de Comunicaciones] Reglamento de Radiocomunicaciones.”
Acordaron además que
la norma “se aplica exclusivamente a la injerencia causada por un Estado en
el uso por parte de otra persona de frecuencias que permiten comunicaciones cibernéticas o
servicios, dondequiera que se realicen dichas comunicaciones o servicios, incluidos
253
en el espacio exterior”.
Finalmente, la Regla 64 exime a las estaciones de radio militares y dice “[un] Estado
conserva toda su libertad en virtud del derecho internacional de las telecomunicaciones
254
en lo que respecta a instalaciones de radiocomunicaciones
Aunque la regla
militares”.
es
limitado a las instalaciones de radio, los expertos coincidieron en que también incluía
“Dispositivos que permiten la transmisión inalámbrica de datos por radio.
255
ondas." Los expertos precisaron que la exención sólo se aplica a
instalaciones verdaderamente “militares” y no otras instalaciones de radio puestas en uso
256
por los militares en una doble capacidad militar y civil.
Aunque este régimen se basa casi por completo en tratados y no,
por lo tanto, considerada como derecho internacional consuetudinario vinculante, la práctica
de las telecomunicaciones interestatales crearán normas y prácticas que
Sin duda ayudará a formular normas con respecto al ciberespacio. Para
Por ejemplo, la interacción del derecho de un Estado a detener o suspender las telecomunicaciones.
Comunicaciones bajo este régimen con expectativas emergentes en materia de derechos humanos.
Las cuestiones relativas al acceso individual a Internet seguirán refinando lo que
Los estados aceptan como sus obligaciones legales con respecto al ciberespacio en el
futuro.
772 [vol. 48
258
generalmente aceptado como derecho internacional consuetudinario.
La Regla establece:
“(a) Los Estados deben intentar resolver sus controversias internacionales que involucren
actividades cibernéticas que ponen en peligro la paz y la seguridad internacionales al
medios pacíficos; b) Si los Estados intentan solucionar controversias internacionales
que impliquen actividades cibernéticas que no pongan en peligro la paz internacional y
259
seguridad, deben hacerlo por medios pacíficos”.
Los expertos coincidieron en que esta norma sólo se aplica a los acuerdos internacionales.
260
disputas y “no a las puramente internas”. Sin embargo, los expertos
no estuvo de acuerdo sobre la aplicación a una disputa transnacional entre un estado
y un actor no estatal con sólo una minoría que cree que tales conflictos son
261
cubierto. A pesar de este desacuerdo, los expertos coincidieron en que “la paz
medios lícitos”, cuando fuera necesario, no limitaba el recurso a medios lícitos tales
como contramedidas o el uso de la fuerza en defensa propia, o cualquier medida
262
autorizado por el Consejo de Seguridad de las Naciones Unidas.
Los Estados deben actuar de buena fe al intentar resolver pacíficamente
263
sus disputas cibernéticas,
pero no es necesario que tenga éxito ni agote todos
264
posibles medios pacíficos para cumplir con esta obligación. El
Los expertos también coincidieron en que esta obligación continúa incluso en tiempos de
hostilidades si los medios pacíficos permanecen abiertos en cuanto a un ciberataque específico.
265
puta. Los expertos coincidieron además en que los Estados deben seguir utilizando medios pacíficos.
significa si se esfuerzan por resolver disputas internacionales que no
poner en peligro la paz y la seguridad internacionales, pero que los estados no están bajo ninguna
obligación de intentar resolver disputas internacionales si deciden no hacerlo.
266
para hacerlo.
Dado el creciente número de empresas internacionales y transnacionales
En disputas cibernéticas, esta regla es extremadamente importante. Cibernético reciente
267
disputas entre estados y entre estados y no estados
Negociación, consulta, mediación, conciliación, arbitraje, acuerdo judicial, recurso a instancias regionales.
agencias o acuerdos, u otros medios pacíficos de su propia elección”.
258. Véase T ALLINN M ANUAL 2.0, supra nota 14, en 303, ¶ 1.
259. Ídem. en 304.
260. Ídem. en 304, ¶ 2.
261. Ídem. en 305, ¶ 6-7.
262. Ídem. en 307, ¶ 11, 13.
263. Ídem. en 308, ¶ 14.
264. Ídem. en 309, ¶ 17-18.
265. Ídem. en 309-10, ¶ 20-21.
266. Ídem. en 310, ¶ 22-23.
267. Véase Gina Chon, Estados Unidos persigue un caso contra los piratas informáticos del ejército chino, F INANCIAL TIMES (24 de septiembre de
2015), https://www.ft.com/content/a378b4c6-62b0-11e5-9846-de406ccb37f2 (discutiendo los EE.UU.
acusación de cinco militares chinos por robo cibernético); Jane Pérez y Xi Jingping se comprometen a trabajar
With US to Stop Cybercrimes, NY TIMES (22 de septiembre de 2015) https://www.nytimes.com/2015/09/23/
2017] 773
REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN
268
actores generalmente se han resuelto por medios pacíficos, pero como
aumenta la gravedad de las intervenciones cibernéticas, esta regla probablemente
probado. El reconocimiento aparentemente desdeñoso del presidente ruso Putin
269
la intervención de rusos “patrióticos” en las elecciones estadounidenses,
dis
que se analiza en la siguiente sección, destaca la importancia de la claridad en
270 271
aplicando principios de soberanía, debida diligencia, y el
272
Remedios de retorsión y contramedidas. a las actividades cibernéticas.
Los diversos “medios pacíficos” más eficaces resultan ser para resolver
Mientras más disputas cibernéticas, más contentos estarán los estados de confiar en ellas.
M. Prohibici ón de intervención
774 [vol. 48
275 276
entre estados, y sólo prohíbe la interferencia coercitiva. Aunque
Los expertos sintieron que “los contornos precisos y la aplicación de la prohibición
ciones de intervención no están claras a la luz de la constante evolución y aumento
277
relaciones internacionales profundamente entrelazadas”,
coincidieron en el
definición proporcionada por la Corte Internacional de Justicia de que una prohibición
La intervención indicada debe afectar a la reserva de dominio de un Estado, es decir,
asuntos son la “elección de una situación política, económica, social y cultural”.
278
sistema y la formulación de la política exterior”.
Los expertos también coincidieron en que “el alcance de la reserva de dominio puede reducirse
a medida que los Estados someten las cuestiones relacionadas con el ciberespacio al derecho internacional
279
regulación," pero concluyó que “el asunto más claramente dentro de un
La reserva de dominio del Estado parece ser la elección tanto del poder político
280
sistema y su organización”. Con respecto a la coerción, los expertos
división sobre si la coerción debe estar “diseñada para influir en los resultados”
en, o conducta con respecto a, un asunto reservado a un Estado objetivo”, con
281
la mayoría estuvo de acuerdo en que así También
fue. se dividieron sobre si el
El acto coercitivo tenía que causar directamente el efecto, y la mayoría argumentó que
282
no lo hizo, “siempre que exista un nexo causal”.
Del mismo modo, los expertos no se pusieron de acuerdo sobre si el Estado debía
saber realmente que estaba siendo coaccionado para que el Estado interviniente fuera
violando el derecho internacional. La mayoría decidió que tal conocimiento era
283
no es una condición previa necesaria. Por otra parte, los expertos
Estuvo de acuerdo en que el conocimiento de que la coerción cibernética provenía de un Estado
284
(o una entidad atribuible a un estado) no era necesaria para una infracción,
285
aunque se requería la intención de coaccionar.
Además, la eficacia de
286
la coerción fue irrelevante en cuanto a si hubo o no una intervención.
Los expertos están divididos sobre si las operaciones cibernéticas diseñadas para proteger su
nacionales que se encontraban en el estado objetivo equivaldría a intervención,
2017] 775
287
y la mayoría decidió que generalmente no lo harían. Aunque
Los expertos coincidieron en que las medidas económicas, como las medidas ecológicas unilaterales
288
sanciones económicas, no equivaldrían a una intervención, Ellos eran
división en torno a las operaciones cibernéticas en apoyo de la intervención humanitaria
ción en ausencia de una autorización del Consejo de Seguridad de las Naciones Unidas,
con los expertos divididos entre si creían
289
la intervención humanitaria en sí misma era legal.
La Regla 67 continúa la discusión sobre la intervención pero se centra en
acciones de las Naciones Unidas. La norma establece que “Las Naciones Unidas pueden
no intervenir, incluso por medios cibernéticos, en asuntos que sean esencialmente
dentro de la jurisdicción interna de un Estado. Este principio no
perjuicio de la adopción de las medidas de ejecución decididas por el
Consejo de Seguridad de la ONU bajo el Capítulo VII de la Charla de las Naciones Unidas
290
ter.” Algunos expertos consideraron que esta regla debería aplicarse a las negociaciones internacionales.
organizaciones en general, pero sólo se pudo lograr consenso sobre
291
aplicándolo a las Naciones Unidas.
La base de esta regla es el Artículo 2(7) de la Carta de las Naciones Unidas.
que prohíbe a las Naciones Unidas intervenir en “asuntos que
292
están esencialmente dentro de la jurisdicción interna de cualquierComo
estado”.
un
Como resultado, los expertos coincidieron en que esta regla no limitaría las acciones relacionadas
293
la paz y la seguridad internacionales. Si bien los expertos coincidieron en que
las cuestiones comprendidas en el ámbito del artículo 2(7) han sido estrictas
294
En g, Estuvieron de acuerdo en que, a pesar de que la norma estaba redactada en términos de
intervención, para asuntos verdaderamente dentro de la jurisdicción interna de cualquier
Estado, incluso una interferencia no coercitiva por parte de las Naciones Unidas
295
violar esta regla.
La prohibición de la ciberintervención se ha vuelto muy importante en
A la luz de las recientes acusaciones de ciberintervención rusa en las elecciones.
776 [vol. 48
IV. C ONCLUSIÓN
296. David E. Sanger y Scott Shane, piratas informáticos rusos actuaron para ayudar a Trump en las elecciones, dice Estados Unidos,
NY TIMES (9 de diciembre de 2016), https://www.nytimes.com/2016/12/09/us/obama-russia-election-hack.
html?rref = colección%2Fnewseventcollection%2Frusian-elección-hacking&action = clic&content
Colección = política y región = rango y módulo = paquete y versión = aspectos destacados y contenidoPlacement =
4&pgtype = colección.
297. Oren Dorell, Rusia diseñó trucos electorales e intromisión en Europa, EE.UU. T ODAY (9 de enero de
2017, 7:03 a. m.), https://www.usatoday.com/story/news/world/2017/01/09/russia-engineered
elección-hacks-europe/96216556/.
298. William M. Arkin, Ken Dilanian y Cynthia McFadden, Lo que Obama le dijo a Putin sobre el
Red Phone About the Election Hack, NBC NEWS (19 de diciembre de 2016, 6:30 p.m.), http://www.nbcnews.com/
news/us-news/what-obama-said-putin-red-phone-about-election-hack-n697116.
299. Véase Phillips e Isachenkov, supra nota 270.
300. Véase T ALLINN M ANUAL 2.0, supra nota 14, en 328–562; ver también T ALLINN M ANUAL 1.0, supra
nota 13, en 42-256.
2017] 777
778 [vol. 48