PDF Translator 1697816134846

EL MANUAL DE TALLIN 2.
0: DESTACADOS Y
PERSPECTIVAS
E RIC T ALBOT J ENSEN *
ARESUMEN
é á
Las actividades cibern ticas maliciosas est n omnipresentes en las vidas de las personas y en el
debates sobre seguridad nacional de los gobiernos nacionales de todo el mundo. Es extra o ñ
í ú é
que pase un d a sin que alg n evento cibern tico llegue a los informativos nacionales. Estos
é
Las actividades cibern ticas maliciosas se atribuyen a actores tanto estatales como no estatales, como
grupos criminales transnacionales, organizaciones terroristas e individuos.
En respuesta a este fen ómeno generalizado, incluido un importante ciberataque

incidente en Estonia en 2007, el Centro de Excelencia Cooperativa de Ciberdefensa
En Tallin, Estonia, se organiz ó un proceso de varios años diseñado para brindar las opiniones de un
grupo de reconocidos expertos en la aplicaci ón del derecho internacional a la cibernética
actividades. El primer Manual de Tallin trataba del derecho aplicable a los casos armados.
conflicto. El segundo Manual de Tallin, publicado recientemente (conocido como
á
Tallinn 2.0) aborda un tipo mucho m s amplio de operaciones cibern ticas, tanto en é
y fuera del conflicto armado.
í
Este art culo resume brevemente los puntos clave del Manual de Tallin 2.0,
incluida la identificaci ón de algunas de las áreas más importantes de falta de consenso entre
los Expertos que escribieron el Manual. A continuaci ón, el artículo ofrece algunas ideas sobre
hacia dónde deberá llegar el derecho internacional sobre operaciones cibernéticas en el futuro.
yo yoNTRODUCCIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736
II. t EL PROCESO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738
III. t EL MANUAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
A. Soberanía. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
B. Debida diligencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744
C. Jurisdicción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746
D. Ley de Responsabilidad Internacional. . . . . . . . . . . . . . . . . . 750
E. Operaciones cibernéticas no reguladas per se. . . . . . . . . . . . . . . . 755
F. Derecho Internacional de los Derechos Humanos. . . . . . . . . . . . . . . . . . . 758
G. Derecho Diplomático y Consular. . . . . . . . . . . . . . . . . . . . . 761
H. Derecho del Mar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764
I. Derecho Aéreo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766
* Profesor de Derecho, Facultad de Derecho de la Universidad Brigham Young. El profesor Jensen sirvió como
miembro del Grupo Internacional de Expertos tanto en Tallin 1.0 como en Tallin 2.0. © 2017, Eric
Talbot Jensen.
735
REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN
J. Derecho espacial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768

K. Derecho Internacional de las Telecomunicaciones. . . . . . . . . . . . . . . 770
L. Solución pacífica de controversias. . . . . . . . . . . . . . . . . . . . . 772
M. Prohibición de intervención. . . . . . . . . . . . . . . . . . . . . . . . 774
IV. C ONCLUSIÓN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777
yo yo
NTRODUCCIÓN
Las actividades cibernéticas maliciosas se han convertido en una parte normal de nuestras vidas. No
1
Sólo los eventos cibernéticos aparecen regularmente enpero las noticias,
ellos también
2 3
capturar la imaginación de los espectadores que ven películas
y la televisión,
4
y proporcionar intriga infinita en la literatura. Muchas de estas ficciones
Los escenarios implican importantes violaciones cibernéticas que conducen a consecuencias catastróficas.
5
consecuencias, que a menudo implican conflictos armados entre países.
Afortunadamente, un escenario cibernético de este tipo aún no se ha producido en la vida real.
En cambio, la gran mayoría de la actividad cibernética maliciosa se ha producido lejos
por debajo del umbral de conflicto armado entre estados, y no ha aumentado
al nivel que desencadenaría tal conflicto. Más bien, la mayoría de
Las actividades cibernéticas tan frecuentes en las noticias implican el robo de información corporativa.
6 7
calificar secretos,
la difusión de información falsa, o el incumplimiento de
1. Véase, por ejemplo, Juliet Eilperin y Adam Entous, Operación rusa hackeó una utilidad de Vermont, que muestra
Riesgo para la seguridad de la red eléctrica de EE. UU., dicen funcionarios, W ASH. P OST (21 de diciembre de 2016), https://www.
washingtonpost.com/world/national-security/russian-hackers-penetated-us-electricity-grid
a través de una utilidad en vermont/2016/12/30/8fc90cc4-ceec-11e6-b8a2-8c2a61b0436f_story.html?utm_
término = .8cf73411023c.
2. SOMBRERO NEGRO (Entretenimiento legendario 2015); Elizabeth Weise, ocho grandes hackers de todos los tiempos
Películas, USA T ODAY (14 de enero de 2015, 12:08 p. m.), https://www.usatoday.com/story/tech/2015/01/1
4/lista-de-películas-de-piratería-cyber-blackhat/21713327/.
3. Véase, por ejemplo, CSI: Cyber, CBS, http://www.cbs.com/shows/csi-cyber/ (última visita el 7 de junio de 2017).
é ; í
(drama televisivo estadounidense sobre investigaciones policiales de delitos cibern ticos) Bueno o malo, aqu
Son 4 nuevos programas de televisión de hackers que debutaron en 2015, C LOUDBRIC, https://www.cloudbric.com/blog/20
15/07/good-or-bad-here-are-4-new-hacker-tv-shows-debuted-in-2015/ (última visita el 1 de junio de 2017).
4. Véase, por ejemplo, Diane Biller, Aquí hay 21 libros esenciales sobre Cyberpunk que definitivamente debería leer.
G IZMODO (2 de enero de 2016, 4:15 p.m.) https://www.gizmodo.com.au/2016/01/the-essential-cyberpunk
leyendo lista/.
5. Una de las primeras películas de este tipo fue “Juegos de guerra”, la historia de un ordenador de defensa que salió mal.
que amenaza con iniciar una guerra nuclear. JUEGOS DE GUERRA (United Artists 1983).
6. Véase, por ejemplo, James Griffiths, El cibercrimen cuesta a la empresa estadounidense promedio 15 millones de dólares al año, CNN T ECH
(8 de octubre de 2015, 3:28 a. m.), http://money.cnn.com/2015/10/08/technology/cybercrime-cost

negocio/.
7. Rebecca Greenfield, Mire lo que el tweet de AP pirateado sobre las bombas de la Casa Blanca le hizo a la
Mercado, THE A TLANTIC (23 de abril de 2013), https://www.theatlantic.com/technology/archive/2013/0

4/ap-tweet-pirateado-bombas-de-la-casa-blanca-mercado-de-valores/315992/.
736 [vol. 48
EL MANUAL DE TALLIN 2.0
8
computadoras gubernamentales en un intento de robar secretos de estado.
Sin embargo, la importancia del ciberataque se ha convertido en una realidad.
para millones de personas cuya información personal ha sido compartida
9
prometido a través de medios cibernéticos.
La prevalencia de estos cibereventos,
junto con los riesgos que plantean para los Estados individualmente y para la comunidad internacional.
10
comunidad internacional en su conjunto, han obligado a yambos
multinaestados
11
organizaciones nacionales
tomar nota y buscar soluciones. Entre aquellos
organizaciones multinacionales es la Organización del Tratado del Atlántico Norte
(OTAN) cuyo Centro de Excelencia Cooperativa de Ciberdefensa (CCD
12
COE) en Tallin, Estonia, ayudó a facilitar el Manual de Tallin original
sobre el derecho internacional aplicable a la guerra cibernética (Manual de Tallin
13
1.0) y el recién publicado Manual de Tallin 2.0 sobre la política internacional
14
Ley Aplicable a las Operaciones Cibernéticas.
La esencia de Tallin 1.0
aparece en Tallin 2.0, aunque ligeramente alterado para reflejar puntos de
aclaración desde su publicación original.
Este artículo resumirá brevemente los puntos clave del Congreso de Tallin.
Manual 2.0 (el Manual), incluida la identificación de algunos de los aspectos más
importantes áreas de falta de consenso entre los expertos legales que escribieron
8. é
V ase, por ejemplo, Ryan O'Hare, China presenta con orgullo su nuevo avi ón furtivo que construyó pirateando EE.UU.
Computers and Stealing Plans', D AILY MAIL (1 de noviembre de 2016, 06:57 EDT), http://www.dailymail.co.uk/
sciencetech/article-3893126/Planes-militares-basados-en-aviones-furtivos-chinos-J-20-robados-hackers-hackers
public-debut.html (alegando que el nuevo avión chino tomó prestado en gran medida de planes robados para EE. UU.)
aeronave).
9. Véase Sam Thielman, Yahoo Hack: mil millones de cuentas comprometidas por la mayor filtración de datos de la historia,
T HE G UARDIAN (15 de diciembre de 2016, 7:23 p. m.), https://www.theguardian.com/technology/2016/dec/1
4/yahoo-hackea-la-seguridad-de-mil-millones-de-cuentas-vulnerada.
10. Véase la declaración de James R. Clapper ante el Comité de Servicios Armados del Senado,
Evaluación de amenazas mundiales de la comunidad de inteligencia de EE. UU. 1 a 4 (9 de febrero de 2016),
https://www.armed-services.senate.gov/imo/media/doc/Clapper_02-26-15.pdf; ver también Reino Unido
OFICINA DEL GABINETE, ESTRATEGIA DE SEGURIDAD CIBERNÉTICA DEL REINO UNIDO 2011-2016: INFORME ANUAL (2016), https://www.
gov.uk/government/uploads/system/uploads/attachment_data/file/516331/UK_Cyber_Security_
Informe_Anual_Estrategia_2016.pdf.
11. Ver Representante del Grupo de Expertos Gubernamentales sobre los Avances en el Campo de
Información y telecomunicaciones en el contexto de la seguridad internacional, Doc. ONU. A/70/
174 (22 de julio de 2015) [en adelante Doc. ONU. A/70/174]; Representante del Grupo de Expertos Gubernamentales
sobre los avances en el campo de la información y las telecomunicaciones en el contexto de
Seguridad Internacional, Doc. ONU. A/68/98 (24 de junio de 2013) [en adelante Doc. ONU. A/68/98].
12. C ENTRO DE E XCELENCIA COOPERATIVA DE CIBER DEFENSA DE LA OTAN (CCDCOE), https://ccdcoe.
org/ (última visita el 1 de junio de 2017).
13. MANUAL DE T ALLINN SOBRE EL DERECHO INTERNACIONAL APLICABLE A LA GUERRA CIBERNÉTICA (Michael N.
Schmitt ed., 2012) [en adelante T ALLINN M ANUAL 1.0].
14. M ANUAL 2.0 DE T ALLINN SOBRE EL DERECHO INTERNACIONAL APLICABLE A LAS OPERACIONES CIBERNÉTICAS
(Michael N. Schmitt ed., 2a ed. 2017) [en adelante T ALLINN M ANUAL 2.0].
2017] 737
el manual. El artículo también intentará algunas ideas sobre dónde

El derecho internacional sobre operaciones cibernéticas deberá desaparecer en el futuro.
II. t EL PROCESO
Ambos Manuales de Tallin fueron escritos por grupos de expertos jurídicos internacionales.
15
expertos (los expertos) reunida por el CCD COE y Michael N.
dieciséis
Schmitt, un destacado experto cibernético mundial. El primer grupo incluía
expertos en derecho de los conflictos armados (LOAC), principalmente de Occidente.
Hemisferio. En respuesta a las críticas, el grupo internacional de
expertos para Tallin 2.0 fue más amplio tanto en origen (incluidos miembros
de Tailandia, Japón, China y Bielorrusia) y experiencia sustantiva
(incluidos expertos en derechos humanos, derecho espacial y derecho internacional)
ley de telecomunicaciones). El Comité Internacional de la Roja
Cross (CICR) fue invitado a enviar observadores a ambos grupos, al igual que
otros estados y organizaciones.
La intención del proyecto nunca fue hacer leyes o producir una
manual que tendría fuerza de ley. Como hace la introducción
claro:
En última instancia, el Manual de Tallin 2.0 debe entenderse sólo como una
expresión de las opiniones de los dos Grupos Internacionales de
Peritos sobre el estado de la ley. . . . Este Manual está destinado a
ser un reflejo de la ley tal como existía en el momento de la
Adopción del Manual por los dos Grupos Internacionales de Expertos
en junio de 2016. No es una guía de "mejores prácticas", no
representan un "desarrollo progresivo del derecho" y son políticas
y políticamente neutral. En otras palabras, el Manual de Tallin 2.0 es
17
pretende ser una reformulación objetiva de la lex lata.
Los procesos diferían algo en el origen de la sustancia del

Manuales, pero en ambos casos, el procedimiento para finalizar la sustancia
era lo mismo. Reglas, que aparecen en letras negras y negritas en ambos
Manuales, requerían consenso, por lo que todos los expertos debían ponerse de acuerdo en cada uno de ellos.
regla. Después de cada regla del manual hay un comentario bastante extenso.
15. El autor era miembro de ambos Grupos Internacionales de Expertos. Para los miembros de
el Grupo Internacional de Expertos y los demás participantes involucrados en la publicación del
T ALLINN M ANUAL 1.0, ver T ALLINN M ANUAL 2.0, supra nota 14, xix–xxii. Para aquellos involucrados en el
publicación del M ANUAL 2.0 DE T ALLINN, ver id. en xii-xviii.
dieciséis.
Facultad: Michael N. Schmitt, COLEGIO DE GUERRA NAVAL DE EE. UU., https://usnwc.edu/Faculty-and
Departamentos/Directorio/Michael-N-Schmitt (última visita el 1 de junio de 2017).
17. T ALLINN M ANUAL 2.0, supra nota 14, en 2-3.
738 [vol. 48
tary, producido en fuente normal para mayor claridad de la regla. El comentario

El diario proporciona definiciones, explicaciones de las reglas, detalles de cómo
se va a aplicar la regla, escenarios y ejemplos, y lo más importante,
identifica dónde los expertos no pudieron ponerse de acuerdo sobre un aspecto particular de
la regla.
Por ejemplo, los expertos coincidieron en que la nacionalidad prescriptiva jurídica
ción se aplicaba a los nacionales de un estado incluso cuando estaban en el extranjero, pero no estuvo de acuerdo
sobre si los datos de ese individuo estaban sujetos a aplicación extraterritorial
jurisdicción del Estado nacional. La Regla, sobre la cual todos los
Los expertos coincidieron en afirmar que “Un Estado puede ejercer prescripción extraterritorial
jurisdicción activa con respecto a actividades cibernéticas: (a) realizadas por sus
18
nacionales; . . . " pero el comentario a una Regla posterior dice:
Cabe señalar que algunos expertos distinguieron entre

jurisdicción prescriptiva sobre las actividades cibernéticas de los nacionales
y jurisdicción sobre los datos creados durante esas actividades. Ellos
opinaban que la jurisdicción del Estado sobre los datos a menudo
no puede equipararse a su jurisdicción sobre las actividades cibernéticas de
sus nacionales. Sin embargo, todos los expertos coincidieron en que el Estado donde
19
donde se encuentran los datos tendrá plena jurisdicción sobre los mismos.
El Este pasaje
manual señala
aborda otrade
la falta parte clave del
consenso. proceso:
Cuando loscómo el no estuvieron de acuerdo, el
expertos
El manual señala ese desacuerdo de varias maneras. donde estaba el grupo
20
dividido en mayoría y minoría, el Manual toma nota de
eso. En momentos en que el grupo estuviera aún más dividido, el Manual
21
A menudo se utiliza la descripción de “algunos de los- expertos”.
generalmente significa
ing varios o una pequeña minoría. En ocasiones, el Manual señalará que “[a]
22
algunos de los expertos”
adoptó una postura particular. Eso normalmente significa sólo
uno o a veces dos de los expertos sostenían esa opinión. Y finalmente, allí
18. T ALLINN M ANUAL 2.0, supra nota 14, en 60 r. 10 a).

19. Ídem. en 63, ¶ 8.
20. Véase, por ejemplo, id. en 19, ¶ 7 (“A este respecto, los expertos están divididos sobre el caso único de
espionaje (Regla 32) por un Estado que se lleva a cabo estando físicamente presente en el territorio de
otro Estado. La mayoría adoptó la posición de que la actividad viola esta Regla”).
21. Por ejemplo, con respecto al uso de contramedidas, el M ANUAL 2.0 DE T ALLINN
añade: “Sin embargo, algunos de los expertos adoptaron la posición contraria. Por su enfoque, por
Por ejemplo, se exigiría a un Estado lesionado que intentara realizar los actos disponibles de ciberrretorsión antes de
tomar contramedidas cibernéticas si es probable que hagan que el Estado responsable cumpla con sus
obligaciones”. Identificación. en 118, ¶ 4.
22. Por ejemplo, en lo que respecta a la aplicación de los derechos humanos, el M ANUAL 2.0 DE T ALLINN
establece: “Algunos de los expertos adoptaron la posición de que mientras el ejercicio o disfrute de una
2017] 739
Eran opiniones legítimas que los expertos sabían que existían, pero
que ninguno de los Peritos sostuvo. En esos casos, el Manual normalmente
23
afirmar que "los expertos reconocieron una opinión".
Mientras los expertos completaban el texto para Tallin 2.0, los holandeses gobiernan
El gobierno inició un proceso de varias reuniones con los Estados durante las cuales
podrían revisar y comentar sobre el contenido del Manual antes
fue finalizado. Más de cincuenta estados aprovecharon esas reuniones,
incluidos todos los miembros permanentes del Consejo de Seguridad. Este
entrada, aunque no necesariamente se incluye en el Manual porque el
Manual es la opinión de los expertos, proporcionó información invaluable sobre cómo
Los Estados consideraron la implementación del derecho internacional con respecto a
operaciones cibernéticas.
Además, se enviaron partes seleccionadas del Manual a “pares
revisores” para obtener sus opiniones también. Una vez que toda la entrada externa
Se recibió, tanto de estados como de pares, se presentó a los Expertos
para su consideración a medida que se ultimaran el proyecto de reglas y el comentario.
Este amplio proceso, en particular con respecto a Tallin 2.0,
permitió la consideración y posible adopción de un conjunto mucho más amplio
de puntos de vista y experiencia que los que se recogen en cualquier otra fuente única. De este modo,
Los Manuales de Tallin proporcionarán un estado único y completo.
ment sobre el derecho internacional aplicable a las operaciones cibernéticas.
III. t EL MANUAL
El Manual está dividido en cuatro partes. La parte I trata sobre aspectos generales.
Derecho internacional y ciberespacio. La Parte II cubre los regímenes especializados de
Derecho internacional y ciberespacio. La parte III se refiere a la paz internacional.
y actividades de seguridad y cibernéticas, que proviene principalmente de Tallin
1.0. Y la Parte IV es el resto de Tallin 1.0 y se aplica a la ley de ciberseguridad.
conflicto armado. Como ya se ha comentado ampliamente Tallin 1.0
A partir de ahora, este artículo se basará exclusivamente en las Partes I y II y una pequeña
parte de la Parte III.
A. Soberan a í
El Manual comienza con una discusión sobre la soberanía y hace las

punto en su primera regla que “[e]l Principio de Soberanía se aplica a
derecho humano en cuestión está dentro del poder o control efectivo de un Estado, ese Estado tiene poder o
control efectivo sobre el individuo respecto del derecho de que se trate”. Identificación. en 185, ¶ 10.
23. Por ejemplo, al discutir la inviolabilidad de los locales diplomáticos y consulares, el
T ALLINN M ANUAL 2.0 establece: “Los expertos reconocieron una opinión, que ninguno de ellos sostenía, al
la cual la inviolabilidad de los locales de una misión diplomática es absoluta”. Identificación. en 214,¶ 7.
740 [vol. 48
24
ciberespacio." Las dos reglas siguientes diferencian entre interna
25
y soberanía exterior, y la Regla 4 dice que “[un] Estado no debe
26
realizar operaciones cibernéticas que violen la soberanía de otro Estado”.
El supuesto que subyace a la conclusión del experto en la Regla 4 es que
La soberanía es una norma de derecho internacional cuya violación es una
hecho internacionalmente ilícito. El comentario a la Regla 4 establece:
En el contexto cibernético, por tanto, se trata de una violación de los derechos territoriales.
soberanía de un órgano de un Estado, o de otros cuya conducta
pueden atribuirse al Estado, para realizar operaciones cibernéticas
mientras esté físicamente presente en el territorio de otro Estado contra ese
Estado o entidades o personas allí radicadas. Por ejemplo, si un
agente de un Estado utiliza una unidad flash USB para introducir malware
en infraestructura cibernética ubicada en otro Estado, una violación de
27
La soberanía ha tenido lugar.
Este enfoque de “soberanía como gobierno” no es universalmente aceptado. Colo

nel Gary Corn, asesor jurídico principal del Comando Cibernético de EE. UU., sostiene:
Una opinión contraria sostiene que la soberanía es un principio básico

del orden internacional de Westfalia que sustenta la vinculación
normas como la prohibición del uso de la fuerza en el artículo
2(4) de la Carta de las Naciones Unidas, o la norma del derecho internacional consuetudinario
de no intervención, que los Estados han aceptado como ejercicio
28
cise de su igualdad soberana.
Según este enfoque, la soberanía se refleja en reglas como la

prohibición del uso de la fuerza y la norma contra la intervención, pero es
no es una norma aplicable en sí misma.
Existe también una tercera visión, remitida por este trabajo, de la aplicación
de soberanía a las operaciones cibernéticas. Desde este punto de vista, la soberanía es un principio.
24. Ídem. a las 11 p.m. 1.

25. M ANUAL DE TALLINN 2.0 La regla 2 establece que “Un Estado goza de autoridad soberana con respecto
a la infraestructura cibernética, las personas y las actividades cibernéticas ubicadas dentro de su territorio, sujeto a su
obligaciones jurídicas internacionales”. Identificación. a las 13 p.m. 2. La regla 3 establece que “Un Estado es libre de realizar actividades cibernéticas
actividades en sus relaciones internacionales sujetas a cualquier norma contraria de derecho internacional vinculante para
él." Identificación. a las 16 p.m. 3.
26. Ídem. a las 17 p.m. 4.
27. Ídem. en 19, ¶ 6.
28. Gary Corn, Manual de Tallin 2.0: Avanzando en la conversación, J UST S ECURITY (15 de febrero de 2017,
8:41 a. m.), https://www.justsecurity.org/37812/tallinn-manual-2-0-advancing-conversation/#more
37812.
2017] 741
principio que depende del dominio y de los imperativos prácticos de

estados y está sujeto a ajustes en la aplicación interestatal. brevemente
contrastar cómo se trata la soberanía en los regímenes territoriales
del aire, la tierra, el mar y el espacio ilustra este punto.
Históricamente, la soberanía es anterior al establecimiento del sistema moderno.
29
Estado y tiene su origen en el Príncipe como Soberano. Con el ascenso de la
Estado moderno, el derecho internacional ha sido formado por Estados que aplican la
doctrina de soberanía a conjuntos particulares de hechos o instancias de estado
interacción. Por ejemplo, considerando el territorio terrestre, la soberanía tiene
se ha aplicado de manera diferente a diplomáticos y espías de otros estados
nacionales. Con respecto al espionaje, los estados no han encontrado espionaje
ser una violación per se de la soberanía, incluso cuando esas acciones se llevan a cabo
colocarse y/o tener efectos en otro estado. Los estados rutinariamente prohíben
los métodos de espionaje como una cuestión de derecho interno, pero no como una
violación de la soberanía. De manera similar, mucho antes de la Convención de Viena
30
sobre el derecho de los tratados
se promulgó el derecho internacional consuetudinario
otorgó inmunidades a los locales diplomáticos y a las personas en el territorio
historia de otros estados. Aunque los estados adaptaron la aplicación de la
principio de soberanía con respecto al territorio terrestre de manera diferente en
En estos dos casos, apoyan la afirmación de que la soberanía es un principio.
principio que se aplica basándose en los imperativos prácticos de los estados,
y no como una norma uniforme de derecho internacional.
Contrastando la aplicación de31la soberanía en los dominios del aire,
El espacio y el mar también son instructivos.
En estos casos, la soberanía ha sido
29. Véase en general P HILIP BOBBITT, THE S HIELD OF A CHILLES (2002) (que rastrea la doctrina de
soberanía a través de la historia hasta la aplicación moderna).
30. Convención de Viena sobre el Derecho de los Tratados, 23 de mayo de 1969, 1155 UNTS 331, 8 ILM
679.
31. Evaluación del Departamento de Defensa de Estados Unidos sobre cuestiones jurídicas internacionales en Informa
tion Operations contrasta útilmente la soberanía aplicada a los dominios del aire, el espacio y el mar:
La comunidad internacional normalmente no negocia tratados para abordar los problemas.

problemas hasta que sus consecuencias hayan comenzado a sentirse. Esto no es del todo malo, ya que la solución
pueden adaptarse a los problemas reales que han ocurrido, en lugar de a una variedad de
posibilidades hipotéticas. Una consecuencia, sin embargo, es que la ley resultante, ya sea
nacional o internacional, puede verse marcadamente influenciado por la naturaleza de los acontecimientos que
precipitar desarrollos legales, junto con todas las políticas y políticas concomitantes.
consideraciones.
El desarrollo del derecho internacional relativo a los satélites terrestres artificiales proporciona una
buen ejemplo. Si las naciones se hubieran sentado con perfecta previsión y se hubieran preguntado:
“¿Deberíamos permitir que aquellas naciones entre nosotros que tienen acceso a tecnología avanzada
poner en órbita satélites que pasarán sobre el territorio del resto de nosotros y tomarán
imágenes de alta resolución, escuchar nuestras telecomunicaciones, registrar información meteorológica,
742 [vol. 48
aplicados de manera diferente por la comunidad internacional dependiendo del

práctica de los estados en estos dominios, lo que resulta en leyes dispares
paradigmas. La falta de coherencia jurídica en estos ámbitos hace que
la formulación de una norma que se aplicará al ciberespacio, especialmente
difícil. Según la práctica estatal hasta la fecha, parece que los estados están
aplicar la soberanía con respecto al ciberespacio de una manera que no
impedir actividades cibernéticas en la infraestructura y el territorio de otro
estado para incluir acciones tomadas por un estado que no afecten la
funciones inherentemente gubernamentales de otro estado.
Lo que parece claro es que, como afirma el ex Departamento de Estado
Asesor Legal Brian Egan, la comunidad internacional está actualmente
32
“ante un relativo vacío de práctica pública del Estado”. Mike Schmitt
Se hizo eco de esto en el lanzamiento en Estados Unidos del Manual de Tallin 2.0. Cuando se le preguntó
qué parte del Manual es más probable que cambie en los próximos cinco años,
respondió que pensaba que sería que los estados necesitarían
33
aclarar sus posiciones sobre la soberanía. Una vez más, como argumentó Brian Egan,
“Los Estados deberían expresar públicamente sus puntos de vista sobre cómo las políticas internacionales existentes
La ley se aplica en la mayor medida posible a la conducta del Estado en el ciberespacio.
y transmitir información directamente a teléfonos y computadoras dentro de nuestras fronteras?”,

El resultado podría ser un régimen de derecho espacial muy restrictivo. En cambio, lo que pasó fue que
Los primeros satélites lanzados por la Unión Soviética y los Estados Unidos fueron vistos como
dispositivos totalmente benignos dedicados a la investigación científica, y también estaba perfectamente claro que
ninguna nación tenía la capacidad de interferir con ellos cuando pasaban por su territorio. En
En estas circunstancias, rápidamente se convirtió en derecho internacional consuetudinario aceptado,
consagrado en el Tratado del Espacio Ultraterrestre, que los objetos en órbita estaban más allá del territorio
reclamaciones de cualquier nación, y que el espacio ultraterrestre esté disponible para su explotación por todos.
La historia del derecho espacial contrasta marcadamente con la del derecho aéreo. Gran parte de los primeros
El desarrollo de la aviación más pesada que el aire coincidió con la Primera Guerra Mundial, durante
que el poder militar de los aviones para recopilar inteligencia, atacar a las fuerzas terrestres,
y el bombardeo de ciudades enemigas quedó claramente demostrado. El resultado fue una muy restringida
régimen de derecho aéreo en el que cualquier entrada al espacio aéreo de una nación sin su permiso era
considerarse una grave violación de su soberanía e integridad territorial.
DÓLARDEPARTAMENTO
ESTADOUNIDENSE
DE DEFENSA OFICINA DEL ABOGADO G ENERAL , ANÁLISIS DE LAS CONDICIONES INTERNACIONALES
CUESTIONES JURÍDICAS EN OPERACIONES DE INFORMACIÓN 2 (2ª ed. noviembre de 1999).

32. Brian Egan, Asesor Jurídico del Departamento de Estado, Comentarios sobre derecho internacional y
Estabilidad en el ciberespacio en Berkeley Law 5 (10 de noviembre de 2016), https://www.justsecurity.org/wp-content/
uploads/2016/11/Brian-J.-Egan-Derecho-internacional-y-estabilidad-en-el-ciberespacio-Berkeley-Nov-201
6.pdf [en adelante Observaciones de Egan].
33. Michael N. Schmitt, Palabras en la reunión del Consejo Atlántico: Manual de Tallin 2.0 sobre la
Derecho internacional aplicable a las operaciones cibernéticas, (8 de febrero de 2017), http://www.atlanticcouncil.org/
blogs/new-atlanticist/tallinn-manual-2-0-defending-cyberspace (que proporciona una descripción general de la generación
discusión general). El punto específico se basa en una pregunta planteada a Schmitt por el autor en la
Reunión.
2017] 743
34
posible en foros nacionales e internacionales”. Es sólo a través del
dilucidación de las posiciones estatales sobre la interacción de la soberanía y
capacidades cibernéticas que esta pregunta será respondida.
B. Debida diligencia
La diligencia debida no es una disposición sustantiva del derecho internacional, pero

más bien el estándar que los estados deben aplicar para impedir que su territorio
35
que se utilice para causar daños transfronterizos. Como se establece en la Regla 6 de
Según el Manual de Tallin, “un Estado debe actuar con la debida diligencia para no
permitiendo que su territorio, o territorio o infraestructura cibernética bajo su
control gubernamental, para ser utilizado para operaciones cibernéticas que afecten la
36
derechos de otros Estados y producir graves consecuencias adversas para ellos”.
Hay varios aspectos importantes de esta regla. Primero, la regla
reconoce que la obligación de los Estados de aplicar la debida diligencia es de hecho una regla
del derecho internacional. Cuándo debe aplicarse esa norma y a qué
grado sigue siendo un tema de discusión, pero el hecho de que la regla exista y
37
se aplica a los estados no fue cuestionada por los expertos.
Los Estados no están obligados a reparar todos los daños transfronterizos; sólo eso
daño que tenga consecuencias adversas graves. Algún nivel de daño es
se supone que está por debajo del umbral que activaría la diligencia debida
38
principio. A pesar de utilizar este lenguaje en la Regla, el Ex de Tallin
Los expertos no pudieron describir completamente qué “consecuencias adversas graves”
quiso decir. De hecho, llegaron a la conclusión de que el derecho internacional sobre este punto era
39
poco claro.Sin embargo, los expertos sostuvieron que no había “daños físicos a
40
objetos o lesiones a personas”.
Para que un Estado sea responsable de aplicar la debida diligencia para prevenir
daño transfronterizo, el Estado debe tener conocimiento del daño. Eso
El conocimiento puede ser conocimiento constructivo si el Estado, en condiciones normales.
curso de los acontecimientos, habría o debería haber sabido objetivamente acerca de la
41
dañar. Sin embargo, tal punto de vista no requiere que un Estado tome medidas preventivas.
42
medidas positivas con su infraestructura cibernética,
o incluso monitorear la infraestructura
34. Egan Remarks, supra nota 33, en 7.

35. T ALLINN M ANUAL 2.0, supra nota 14, en 30 r. 6.
36. Ídem. r. 6.
37. Ídem. en 31, ¶ 4.
38. Ídem. en 36, ¶ 22.
39. Ídem. en 36–37, ¶ 25 n. 48.
40. Ídem. en 37 y 38, ¶ 28.
41. Ídem. en 41, ¶ 39.
42. Ídem. en 439, de los erts de trabajo y de los demás participantes implicados en la publicación del
44 y 45, ¶ 7.
744 [vol. 48
43
tura en un esfuerzo por ser informado de cualquier daño transfronterizo potencial.
En el momento en que un Estado tiene conocimiento del daño transfronterizo, es
debe tomar “todas las medidas que sean factibles dadas las circunstancias para
44
poner fin a las operaciones cibernéticas”.En otras palabras, el Estado debe
45
tomar medidas que estén “razonablemente disponibles y prácticas” aunque
Los medios para lograrlo quedan a discreción del Estado.
46
de donde emana el daño.
En general, a los Estados no les gusta el principio de diligencia debida porque
les impone cierta responsabilidad. En las Naciones Unidas
Grupo de Expertos Gubernamentales (UN GGE), los estados sólo estaban dispuestos a
admitir que “deberían” ejercer la debida diligencia, en lugar de que
47
“debe”, como dice la Regla. Sin embargo, cuando se analiza en conjunto
con el anterior principio de soberanía, incluso la norma propuesta
por los expertos deja un gran vacío donde quedan las víctimas del daño cibernético
con pocos remedios.
Por ejemplo, supongamos que una organización terrorista en el Estado A está
realizar actividades cibernéticas dañinas contra entidades en el Estado C a través de
Estado B. Tanto el Estado A como el B no tienen ninguna obligación afirmativa hasta que
saber que el daño está ocurriendo. Porque no tienen obligación de
monitorear o prevenir, es probable que los Estados A y B lleguen a conocer
del daño sólo después de que el Estado C haya sufrido suficiente daño para realizar
análisis forense informático y determinar de dónde proviene el daño.
Incluso
incapaz decuando el Estadoproactivas,
tomar medidas C sabe de dónde se origina el daño,
como contramedidas quees
se discutirá más adelante, porque el daño está siendo causado por una acción no estatal.
actor. Esto deja al Estado C completamente dependiente de los Estados A y B.
aceptación de la afirmación por parte del Estado C, la determinación del Estado A y del Estado B
nación que es verdad y que el daño proviene de su interior.
territorio (incluido cualquier tiempo y proceso que consideren necesario para
determinar los hechos), su análisis de lo que sería factible hacer para
bloquear el daño y su determinación de qué medidas factibles deben tomar
implementará para detener el daño transfronterizo.
Algunos podrían argumentar en respuesta que esto no es diferente a la
Aplicación del principio de diligencia debida en otras áreas de la economía internacional.
derecho internacional, como el derecho ambiental internacional. sin embargo, el
43. Ídem.
44. Ídem. a 43 rublos. 7.
45. Ídem. , ¶ 2.
46. Ídem. en 44, ¶ 6.
47. Véase ONU Doc. A/70/174, supra nota 11, ¶¶ 13(c), 28(e); ¶ 23, Doc. ONU. A/68/98, supra
nota 11, ¶ 23.
2017] 745
Las diferencias fundamentales incluyen que el medio ambiente transfronterizo

El daño suele manifestarse de forma más transparente y suele ser más fácil de asignar.
responsabilidad. Además, el daño ambiental a menudo tiene efectos en
el estado anfitrión en su camino hacia el estado víctima, proporcionando un mayor estímulo
necesario para que el Estado anfitrión tome medidas. El daño ambiental suele ser
contiguos e involucran a vecinos que podrían compartir derechos más adquiridos
intereses. Y, por último, hay poca evidencia de que los Estados utilicen indicadores para
causar daño ambiental a sus vecinos, dejando pocos incentivos para
negar el daño o retrasar la reparación. Sin embargo, con ciberataques maliciosos
actividades, la situación es bastante diferente, con una serie de acusaciones de que
Los estados utilizan representantes para realizar actividades cibernéticas, específicamente con la intención.
48
de poder negar la atribución.
Dado que la soberanía es uno de los principios más bajo
La presión y la debida diligencia son uno de los principales medios para aplicar
presión, esta es un área de gran interés a seguir en los próximos años.
años a medida que se desarrolle una mayor práctica estatal.
C. Jurisdicci ón
El capítulo del Manual sobre jurisdicción comprende seis reglas y

extenso comentario. La jurisdicción se define como “la competencia de
Estados para regular personas, objetos y conductas bajo sus normas nacionales.
49
derecho, dentro de los límites impuestos por el derecho La primera
internacional”.
regla sobre
estados de jurisdicción, “[s]ujeto a las limitaciones establecidas en el derecho internacional
derecho, un Estado puede ejercer jurisdicción territorial y extraterritorial sobre
50
actividades cibernéticas”.
Esto significa que “en principio, las actividades cibernéticas y la
quienes los practican están sujetos a la misma jurisdicción.
51
prerrogativas y limitaciones como cualquier otra forma de actividad”.
El Manual aborda los tres tipos tradicionales de jurisdicción:
prescriptivo, de cumplimiento y adjudicativo, y analiza aspectos clave
de cada uno. Con respecto a la jurisdicción prescriptiva, el Manual
explica que los estados básicamente no tienen restricciones con respecto a las normas prescriptivas.
jurisdicción dentro de su territorio soberano y pueden ejercer prescripción
48. Véase Tim Mauer, Cyber Proxies and the Crisis in Ukraine, en C YBER W AR EN PERSPECTIVA: RUSIA
AGRESIÓN CONTRA UCRANIA, OTAN CCD COE 79, 81–82 (Kenneth Geers ed., 2015) https://
ccdcoe.org/sites/default/files/multimedia/pdf/CyberWarinPerspective_Maurer_09.pdf; Timo
Maurer, 'Proxies' and Cyberspace, 21 J. C ONFLICT & S ECURITY L. 383 (2016); Luke Penn-Hall, El
Problema con los servidores proxy, T HE C IPHER BRIEF (21 de julio de 2016), https://www.thecipherbrief.com/article/
tecnología/proxies-problema-1092.
49. T ALLINN M ANUAL 2.0, supra nota 14, en 51, ¶ 1 (citas internas omitidas).
50. Ídem. r. 8.
51. Ídem. , ¶ 2.
746 [vol. 48
jurisdicción tiva extraterritorialmente (es decir, basada en cualquier ubicación de

la actividad cibernética o sus efectos) si se basa en una de las bases tradicionales
52
para la jurisdicción extraterritorial.
53
Regla 9 analiza la jurisdicción territorial y confirma que tanto
La jurisdicción territorial subjetiva y objetiva se aplica a las actividades cibernéticas.
En la mayoría de los casos, se trataba de una norma no controvertida. Sin embargo, el grupo
dividido sobre la cuestión de las actividades cibernéticas con sólo una conexión mínima
ción, como el tránsito de datos. Algunos miembros del grupo pensaron que un estado podría
54
ejercer jurisdicción sobre el tránsito de datos y otros no lo creían así.
Este punto se ilustra con un ejemplo del Manual.
Considere un escenario donde los datos de una operación cibernética iniciada en
El Estado A transita por el Estado B en su camino hacia el Estado C, donde efectivamente tiene efectos.
El Estado A puede ejercer jurisdicción territorial prescriptiva como Estado
dónde se originó la actividad cibernética; El Estado C puede, al igual que el Estado donde
los efectos ocurren; pero ¿puede el Estado B ejercer jurisdicción? Los expertos
55
divididos sobre esa pregunta.Para determinar una respuesta, por supuesto es
importante resolver quién determina cuál es una conexión mínima,
o de minimis. Y, por supuesto, como sea que se resuelva esta cuestión,
no impedirá que un Estado ejerza otras bases de jurisdicción, tales como
56
nacionalidad.Además, esta determinación tiene importantes repercusiones
sobre la cuestión de la diligencia debida analizada anteriormente.
57
Regla 10 reconoce que los estados también pueden hacer valer derechos extraterritoriales
52. Ídem. en 51 y 52, ¶ 3.

53. M ANUAL DE T ALLINN 2.0 La Regla 9 establece que:
Un Estado puede ejercer jurisdicción territorial sobre:
a) la infraestructura cibernética y las personas que realicen actividades cibernéticas en su territorio;

(b) actividades cibernéticas que se originen o se completen en su territorio; o
c) actividades cibernéticas que tengan un efecto sustancial en su territorio.
Identificación. a 55 rublos. 9.
54. Ídem. , ¶¶ 2–3.
55. Ídem. en 55 y 56, ¶ 4.
56. Ídem. en 56, ¶ 55.
57.T M ANUAL ALLINN 2.0 La regla 10 establece que:
Un Estado puede ejercer jurisdicción prescriptiva extraterritorial con respecto a actividades cibernéticas:
(a) realizado por sus nacionales;

b) cometidos a bordo de buques y aeronaves que posean su nacionalidad;
(c) llevadas a cabo por ciudadanos extranjeros y diseñadas para socavar gravemente las funciones esenciales del Estado.
intereses;
(d) realizadas por extranjeros contra sus nacionales, con ciertas limitaciones; o
(e) que constituyan crímenes de derecho internacional sujetos al principio de universalidad.
2017] 747
jurisdicción por nacionalidad, principio protector, persona pasiva

Alidad y universalidad con respecto a las actividades cibernéticas fuera de su
territorio. Con respecto a la jurisdicción de nacionalidad, una de las cuestiones interesantes
Las cuestiones que siguen sin resolver se refieren a las actividades cibernéticas de un
nacionales de un Estado y si un Estado puede ejercer jurisdicción sólo sobre
58
el individuo en el extranjero o también los datos creados por el individuo.
En
En otras palabras, si el nacional del Estado A crea datos en el Estado B, es
No está claro si el Estado A puede ejercer jurisdicción sobre esos datos, así como sobre los
individual.
59
La regla 11 trata de la jurisdicción de ejecución.Al igual que con prescriptivo
jurisdicción, los estados pueden ejercer jurisdicción de ejecución en su territorio
pero tienen una capacidad más limitada para ejercer medidas de aplicación extraterritorial
jurisdicción de gobierno, tal ejercicio generalmente se permite sólo
consentimiento del Estado territorial. Esta es también una de las áreas donde la cibernética
Las actividades presentan una serie de cuestiones interesantes.
La regla 11 presenta una visión limitada de la jurisdicción de ejecución y no
Ciertamente hay algunos que han abogado por una visión más amplia. El Tallin
La visión manual es que el derecho internacional, incluidos tratados específicos como
el derecho del mar, el espacio ultraterrestre y los tratados relativos a la aviación
actividades, podrían apoyar el ejercicio de la jurisdicción de ejecución en el extranjero.
En opinión de los expertos, cuando estas concesiones de competencia
60
ocurrirían, incluirían actividades relacionadas con lo cibernético.
De hecho, algunos
Los tratados pueden invocar específicamente ciertas medidas de aplicación extraterritorial.
61
privilegios, como el Convenio sobre la Ciberdelincuencia.
Dada la naturaleza de los datos cibernéticos, el Grupo Tallinn (Grupo) reconoce
Tenga en cuenta que puede haber ocasiones en las que no esté claro en qué estado se almacenan los datos o
reside otra evidencia digital. El Grupo determinó que interna
La ley nacional actualmente no aborda esta cuestión claramente, por lo que el Grupo estaba
62
incapaz de llegar a ningún tipo de consenso sobre ese caso.
Supuestamente, en
58. Véase ídem. en 63, ¶ 8.

59. M ANUAL DE T ALLINN 2.0 La Regla 11 establece que:
Un Estado sólo puede ejercer jurisdicción de ejecución extraterritorial en relación con

personas, objetos y actividades cibernéticas sobre la base de:
(a) una asignación específica de autoridad según el derecho internacional; o

(b) consentimiento válido de un gobierno extranjero para ejercer jurisdicción en su territorio.
60. Ídem. en 67, ¶ 3.
61. Convenio sobre Cibercrimen, Consejo de Europa, ETS 185, 23 de noviembre de 2001 (entrado en
vigente desde el 1 de julio de 2004), https://www.coe.int/en/web/conventions/full-list/-/conventions/rms/0900
001680081561.
62.T ALLINN M ANUAL 2.0, supra nota 14, en 68, ¶ 8.
748 [vol. 48
En tal caso, un Estado que decidió ejercer su derecho de ejecución

ción lo haría sujeto a cierto riesgo.
Los expertos también señalaron que puede resultar difícil evaluar
si son datos electrónicos que están ampliamente disponibles en Internet, pero
alojado en servidores de otro estado es un ejercicio de soberanía territorial o
jurisdicción de ejecución extraterritorial. En definitiva, el Grupo de
decidió que se trataba de un ejercicio de competencia territorial porque los datos
está disponible en el estado en cuestión. Esto es cierto incluso si los datos son
no público y protegido con contraseña siempre que se acceda desde el
63
territorio del estado.Por el contrario, los datos a los que se puede acceder a través de
Internet, pero no está destinado a estar disponible para personas en el
El Estado en cuestión requiere un ejercicio de aplicación extraterritorial.
jurisdicción y consentimiento o autorización específica por parte de
64
ley nacional.
El Manual también reconoce que la jurisdicción adjudicativa es generalmente
coextensiva con la jurisdicción prescriptiva pero su ejercicio puede ser
sesenta y cinco
limitado por el consentimiento de un estado Con territorial.
respecto a situaciones
de miembros militares en el extranjero, los Acuerdos sobre el Estatuto de las Fuerzas a menudo tienen
concesiones específicas de consentimiento al estado de envío para permitir decisiones
jurisdicción sobre los miembros de la fuerza. Otros acuerdos podrían haber
66
efectos similares en situaciones específicas.
Por supuesto, ninguno de estos tipos de jurisdicción es excluyente. Los estados pueden
A menudo tienen jurisdicción concurrente y esto se aplica en el ámbito cibernético.
también. Observe una de las ilustraciones del Manual: “un criminal que
es nacional del Estado A, pero se encuentra en el Estado B, puede realizar una actividad cibernética
operación contra un servidor web en el Estado C para robar el banco
67
información de personas físicas ubicadas en el En Estado
ese caso,
D.” cada
68
El Estado tendría la capacidad de ejercer jurisdicción. Por supuesto, tal
Este escenario enfatiza la necesidad de cooperación internacional.
69
El capítulo sobre competencia concluye con una norma sobre inmunidad y
70
una regla sobre la cooperación internacional. Este capítulo, si bien identifica
63. Ídem. en 69 y 70, ¶ 13.

64. Ídem.
65. Ídem. en 53, ¶ 10-11.
66. Ídem. en 53–54, ¶¶ 10–14.
67. Ídem. en 54, ¶ 15.
68. Ídem.
69. M ANUAL DE T ALLINN 2.0 La regla 12 establece que “Un Estado no podrá ejercer la aplicación o
jurisdicción judicial en relación con personas dedicadas a actividades cibernéticas o infraestructura cibernética que
gozar de inmunidad según el derecho internacional”. Identificación. a las 71 p. 12.
70. M ANUAL DE TALLINN 2.0 La Regla 13 establece que “Aunque como cuestión general los Estados no están
obligados a cooperar en la investigación y enjuiciamiento de delitos cibernéticos, dicha cooperación
2017] 749
algunas áreas donde no existe consenso internacional sobre un tema o

donde el derecho internacional aún no está claro, es poco probable que cause mucho
controversia.
D. Derecho de la Responsabilidad Internacional
Debido a la naturaleza de las actividades cibernéticas actuales, esta es una situación extremadamente
capítulo importante del Manual. Aplica la doctrina del estado.
responsabilidad, codificada principalmente en la Comisión de Derecho Internacional
71
Artículos sobre responsabilidad del a los
Estado,
ciberactores y las ciberactividades.
Hubo pleno acuerdo entre los expertos en que la costumbre
72
La ley de responsabilidad estatal se aplica a las actividadesPor lo tanto,
cibernéticas.
la regla 14
establece que “[un] Estado tiene responsabilidad internacional por un ciberataque
acto conexo que sea atribuible al Estado y que constituya un incumplimiento
73
de una obligación jurídica internacional”.Ni daño físico ni
74
Se requiere daño para que un acto cibernético sea un hecho internacionalmente ilícito.
75
y la geografía no es determinante para determinar la responsabilidad del Estado.
El concepto de atribución de actos cibernéticos ha generado mucho
76
de discusión y consternación. Las reglas 15 a 17 abordan esto
problema con respecto a las operaciones cibernéticas. La regla 15 se hace eco de los artículos 4 y 5
de los Artículos sobre Responsabilidad del Estado y señala que las acciones cibernéticas de
Los órganos estatales, como la CIA o la NSA en los Estados Unidos, son atributos
77
capaz del estado, incluso si fuera del autor aprobado de esa organización
78
ity, o ultra vires . Para ello, los órganos del Estado también
incluir actores que no son órganos por ley, pero que tienen “total
79
dependencia” del Estado, y personas o entidades que estén facultadas
é ón de derecho internacional”. Identificación.

puede ser requerido por los t rminos de un tratado aplicable u otra obligaci
a 75 rublos. 13.
71. Comisión Internacional de Derecho, Proyecto de artículos sobre la responsabilidad del Estado por hechos internacionalmente ilícitos.
Acts, Representante de la Comisión Internacional de Derecho sobre la labor de su quincuagésimo tercer período de sesiones, Doc. de la ONU. A/56/10
(2001) [en adelante Proyecto de Artículos de la CIT sobre Responsabilidad].
72. T ALLINN M ANUAL 2.0, supra nota 14, en 80, ¶ 4.
73. Ídem. a 84 rublos. 14.
74. Ídem. en 86, ¶ 8.
75. Ídem. en 87, ¶ 11.
76. Véase Lily Hay Newman, Hacker Lexicon: ¿Cuál es el problema de la atribución? , CABLEADO (24 de diciembre de 2016,
7:00 a. m.) https://www.wired.com/2016/12/hacker-lexicon-attribution-problem/; Dimitar Kostadi
noviembre, El problema de la atribución en los ataques cibernéticos, INFOSEC I NST. (1 de febrero de 2013), http://resources.
/
infosecinstitute.com attribution-problem-in-cyber-attacks/#gref; Nicholas Tsagourias, cibernético en
Tachuelas, Autodefensa y el problema de la atribución, 17 J. C ONFLICT & S ECURITY L. 229 (2012).
77. T ALLINN M ANUAL 2.0, supra nota 14, en 87–90, ¶¶ 3, 8–11.
78. Ídem. en 89, ¶ 9.
79. Ídem. en 88, ¶ 4 (cita interna omitida).
750 [vol. 48
80
cedidos para ejercer elementos de autoridad gubernamental.
Aunque estas declaraciones reflejan el derecho internacional en ámbitos no cibernéticos
situaciones, su aplicación a las actividades cibernéticas no está exenta de control
muy. Por ejemplo, los expertos observaron que tradicionalmente el uso de
activos gubernamentales como tanques o buques de guerra era una prueba casi irrefutable
indicación de atribución de una actividad a un estado. lo mismo no puede ser
Dicho de las actividades cibernéticas. De hecho, dada la capacidad de capturar o falsificar
infraestructura cibernética, incluido el lugar donde podrían originarse las actividades cibernéticas.
derivar de “el mero hecho de que se haya lanzado o iniciado una operación cibernética”.
de otra manera se origina en la infraestructura cibernética gubernamental, o que
El malware utilizado contra la infraestructura cibernética pirateada está diseñado para "informar
"regresar" a la infraestructura cibernética gubernamental de otro Estado, suele ser
81
pruebas insuficientes para atribuir la operación a ese Estado”.
En el caso de que un órgano del Estado se ponga a disposición de
otro Estado, si ese órgano funciona exclusivamente bajo el control
del Estado receptor y toma acciones para los fines y en nombre de
82
que dicho Estado, los actos del órgano son imputables al Estado receptor.
La cuestión jurídica más difícil en el ámbito de la atribución surge
de actores no estatales que pueden estar trabajando como representantes de un estado o que
están actuando de alguna manera en nombre de un estado sin una autoridad legal clara
83
para hacerlo. Esto se aborda en la Regla 17, y refleja el artículo 8 de la
84
Reglas de Responsabilidad del Muchas
Estado. de las discusiones sobre los recientes
Los eventos cibernéticos han girado en torno al intento de atribuir las acciones.
85
de actores privados a Estados con los que esos actores estaban alineados.
En
De conformidad con el derecho internacional, las operaciones cibernéticas realizadas por
actores no estatales, pero llevados a cabo bajo el “control efectivo” de un estado,
86
son atribuibles al Estado. El mero estímulo o apoyo a la
80. Ídem. en 89, ¶¶ 6–9.

82. Ídem. en 93, ¶ 1.
83. M ANUAL 2.0 DE TALLINN La regla 17 establece: “Las operaciones cibernéticas realizadas por un actor no estatal son
atribuible a un Estado cuando:
(a) realizado de conformidad con sus instrucciones o bajo su dirección o control; o
(b) el Estado reconoce y adopta las operaciones como propias”.

84. Proyecto de Artículos sobre Responsabilidad de la CDI, supra nota 72, art. 8.
85. Véase Dorothy Denning, El auge del hacktivismo, G. EO. J. I NT ' LA FFAIRS (8 de septiembre de 2015),
http: //journal.georgetown.edu/the-rise-of-hacktivism/; Sarah Geary, El nexo de la ciberinteligencia:
Uso de poderes por parte de Rusia, C IPHER BRIEF (24 de febrero de 2017), https://www.thecipherbrief.com/article/tech/
ciber-inteligencia-nexus-rusia-uso-proxies-1092.
86. T ALLINN M ANUAL 2.0, supra nota 14, en 95–96, 4 –6.
2017] 751
87
Las acciones del actor no estatal son insuficientes para alcanzar laEn atribución.
En contraste con las acciones de los órganos estatales, los actos ultra vires de actores no estatales
en estas situaciones no son imputables al estado ya que serían actos
88
fuera del “control efectivo” del Estado. Finalmente, si un Estado no
controlar efectivamente a un actor no estatal, pero posteriormente adopta el sistema cibernético.
acciones de ese actor no estatal como propias, esos actos también son atribuibles
89
al Estado.
Como ocurre con la atribución en general, es mucho más fácil identificar y
enunciar la regla que aplicarla en situaciones fácticas. Por ejemplo, como
Como señalaron los expertos, “la participación preponderante o decisiva de un Estado
en el 'financiamiento, organización, capacitación, suministro y equipamiento. . . ,
la selección de sus objetivos militares o paramilitares, y la planificación de
"Toda su operación" se ha considerado insuficiente para alcanzar el objetivo.
90
umbral de 'control efectivo'”. En el ámbito cibernético, eso podría ser
traducido como un estado que proporciona las herramientas cibernéticas, identifica los objetivos,
y seleccionando la fecha para que se lleve a cabo la operación cibernética y
todavía no implicaría responsabilidad estatal. Algunos alegan que esto es exactamente
el escenario con Rusia y los hacktivistas rusos que atacaron cibernéticamente
91
Estonia tras el traslado de un monumento a los caídos en la guerra ruso.
Con el tiempo, será interesante ver cómo los estados continúan respondiendo.
al umbral elevado de atribución. A medida que los estados siguen siendo los
víctimas de actividades cibernéticas que no son atribuibles a un Estado, y las normas
de soberanía y diligencia debida no permiten que los estados víctimas exijan
acción efectiva por parte del Estado anfitrión, la presión sobre la atribución
estándar aumentará como método para permitir que los estados víctimas tengan
un acceso más amplio a las contramedidas (que se analizan más adelante).
La regla 18 cubre las doctrinas de ayuda y asistencia, y la responsabilidad.
92
idad por los actos de otros estados.
Con respecto a la ayuda y asistencia, es
87. Ídem. en 97, ¶ 8.

88. Ídem. en 98, ¶ 13.
89. Ídem. en 99-100, ¶ 17.
90. Ídem. en 97, ¶ 9.
91. R. Ottis, Análisis de los ciberataques de 2007 contra Estonia desde la guerra de la información
Perspectiva , en ACTAS DE LA 7ª CONFERENCIA EUROPEA SOBRE GUERRA DE INFORMACIÓN Y
SEGURIDAD, P LYMOUTH, 2008, en 163 (2008), https://ccdcoe.org/multimedia/analysis-2007-cyber

ataques-contra-estonia-información-guerra-perspectiva.html.
92. M ANUAL 2.0 DE T ALLINN La regla 18 establece que “Con respecto a las operaciones cibernéticas, un Estado es
responsable de:
(a) su ayuda o asistencia a otro Estado en la comisión de un hecho internacionalmente

hecho ilícito cuando el Estado proporciona la ayuda o asistencia conociendo el
circunstancias del hecho internacionalmente ilícito y el hecho sería internacional
aliado ilícito si lo comete;
752 [vol. 48
Es vital que el Estado sepa que realmente está proporcionando ayuda y asistencia a
93
el hecho internacionalmente ilícito, y que el Estado tiene la intenciónÉlde hacerlo.
También es importante tener en cuenta que el Estado que presta asistencia sólo es responsable de
94
ayudar y asistir, no el acto ilícito en sí. Aunque no directamente
tratados por los expertos, parece claro que ayudar y asistir sería
requieren más que permitir el tránsito de datos dañinos a través de su ciberespacio
infraestructura, incluso si lo hizo a sabiendas. Sería contrario a la lógica que el
estándar para activar el requisito de diligencia debida sería similar o
incluso menos que el nivel de ayuda y asistencia.
El Manual sostiene que todas las circunstancias normales que impiden
95
La ilicitud se aplica a las actividades cibernéticas.
El Manual se embarca entonces en una
96
un debate bastante largo sobre las contramedidas. porque las contramedidas
Las medidas de seguridad no deben llegar al nivel del uso de la fuerza, las actividades cibernéticas parecen
97
encajan bien en el paradigma.
Es importante señalar que las contramedidas
sólo están disponibles contra los Estados y no impedirán la ilicitud
de un acto si está dirigido contra actores no estatales, a menos que sus acciones sean
98
atribuible a un estado. Sin embargo, la contramedida cibernética no tiene por qué
apuntar al órgano específico del Estado que está violando el derecho internacional como
99
el Estado mismo es el objetivo. Además, las contramedidas cibernéticas son
no se limita a una respuesta “en especie”. En otras palabras, un Estado puede responder a
una infracción no cibernética con una contramedida cibernética, y a una infracción cibernética
100
infracción con una contramedida no cibernética.
(b) el hecho internacionalmente ilícito de otro Estado que dirige y controla si el Estado
lo hace con conocimiento de las circunstancias del hecho internacionalmente ilícito y
el hecho sería internacionalmente ilícito si lo cometiera; o
(c) un hecho internacionalmente ilícito que obliga a otro Estado a cometer”.
TALLINN M ANUAL 2.0, supra nota 14, en 100 r. 18.
93. Ídem. en 101, ¶ 3.
94. Ídem. en 102, ¶ 6.
95. Ídem. en 104-11. M ANUAL 2.0 DE T ALLINN La Regla 19 establece que “La ilicitud de un hecho
que impliquen operaciones cibernéticas queda excluido en el caso de:
(a) consentimiento; b) legítima defensa; (c) contramedidas; d) necesidad; (e) fuerza mayor;
o (f) angustia”.
96. Ídem. en 111–34.
97. Véase en general Michael N. Schmitt, “Debajo del umbral” Cyber Operations: The Countermeasures
Opción de Respuesta y Derecho Internacional, 54 VA. J. I NT ' L L. 697, 718–719 (2014).
98. T ALLINN M ANUAL 2.0, supra nota 14, en 113, ¶¶ 7–8.
99. Ídem. en 112-13, ¶ 6.
100. Ídem. en 128 y 129, ¶ 7.
2017] 753
Las contramedidas cibernéticas plantean varias cuestiones interesantes. Uno de los

Los requisitos de una contramedida son que sea de naturaleza temporal y
101
reversible en la medida de lo posible.
Los expertos entendieron que era necesario
ment en términos generales y argumentó en el contexto de ciber que la eliminación de
datos, incluso si impidió alguna actividad posterior posterior a la contramedida,
102
no impediría la contramedida. Los expertos no pudieron
acordar si, dadas dos opciones de contramedidas cibernéticas, había una
103
requisito de utilizar el que fuera más reversible.
Otro elemento de las contramedidas que los expertos consideraron particular
Lo más destacable es el requisito de notificar y potencialmente tratar de
104
Negociar una resolución antes de tomar una contramedida. Los expertos
señaló que este requisito no era absoluto y acordó que si
Notificar al estado objetivo antes de tomar la contramedida cibernética.
haría que la contramedida fuera ineficaz, no es necesario notificarlo.
105
proporcionó.Dada la naturaleza de las operaciones cibernéticas, esta es una solución pragmática.
acercarse.
Los expertos coincidieron en que las contramedidas cibernéticas no pueden violar un
106
norma imperativa y debe ser proporcional al daño causado.
107
ellos responden,aunque no es necesario que el contador cibernético
108
La medida apunta exactamente al órgano estatal que viola el derecho internacional.
Los expertos están divididos sobre la cuestión de las contramedidas colectivas con los
mayoría argumentó que no era lícito que un Estado no perjudicado tomara
109
contramedidas en nombre de un Estado lesionado. Sin embargo, la mayor
La sociedad entonces se dividió sobre la cuestión de si un Estado no perjudicado puede ayudar a la
110
Estado lesionado al adoptar contramedidas.
El resto del capítulo del Manual contiene reglas y 111
comentario sobre el efecto de las contramedidas sobre terceros, el
103. Ídem. , párrafo 9.
106. M ANUAL 2.0 DE T ALLINN La Regla 22 establece que “Las contramedidas, ya sean de naturaleza cibernética
o no, no pueden incluir acciones que afecten derechos humanos fundamentales, constituyen actos prohibidos
represalias beligerantes o violar una norma imperativa. Un Estado que adopte contramedidas debe cumplir sus
obligaciones respecto de la inviolabilidad diplomática y consular”. Identificación. a 122-23 p. 22.
107. M ANUAL 2.0 DE TALLINN La Regla 23 establece que “Las contramedidas, ya sean de naturaleza cibernética
o no, debe ser proporcional al daño al que responde”. Identificación. a 127 rublos. 23.
108. Ídem. en 129, ¶ 10.
109. Véase ídem. en 131, ¶ 5.
110. Ídem. en 132, ¶ 7.
111. M ANUAL 2.0 DE TALLINN La regla 23 establece que “Una contramedida, ya sea de naturaleza cibernética
Queda prohibida o no, que viole una obligación jurídica contraída frente a un tercer Estado o a otra parte”. Identificación. en
133 rublos. 23.
754 [vol. 48
112
alegato de necesidad,varias reglas sobre las obligaciones de los estados para
113
hechos internacionalmente ilícitos,y una norma sobre la responsabilidad de
114
organizaciones internacionales.
Estas reglas y comentarios sobre contramedidas resaltan la
diferencia entre aplicar una contramedida, particularmente en ciber
espacio, en lugar de tomar una acción en defensa propia. las reglas y
Las limitaciones a las contramedidas detalladas anteriormente actúan como una mayor limitación.
presión sobre la capacidad de un Estado para actuar en respuesta a acciones que no
equivalen a uso de la fuerza que acciones en respuesta a un ataque armado.
Es importante destacar que los estándares para aplicar contramedidas son mucho menos
discrecional en el sentido de que se deben tomar ciertas medidas reales en lugar de una
decisión discrecional de un Estado de que una acción equivale a un conflicto armado.
ataque o que un ataque armado es inminente. Con respecto a lo cibernético, esto es
Un punto particularmente importante porque gran parte de los cibernéticos hostiles
La interacción entre Estados no equivale a un ataque armado.
Quizás este desequilibrio sea exactamente lo que los Estados desean con respecto a
contramedidas cibernéticas. Este autor ha argumentado en otro lugar que facilitar
La capacidad de utilizar contramedidas puede provocar daños no deseados.
115
consecuencias. Sin embargo, será interesante ver si en el futuro
En el futuro, los Estados desarrollan el derecho internacional para disminuir las limitaciones
contramedidas cibernéticas o suavizar el umbral de un ataque armado en
fin de dar medidas de respuesta más efectivas a una mayor variedad
de actividades cibernéticas.
é
E. Operaciones cibern ticas no reguladas per se
Esta sección del Manual reconoce que algunas acciones de los estados son
no está específicamente regulado por el derecho internacional, pero encuentra un conjunto limitado de
acciones que entran en esta categoría. Como se mencionó anteriormente con respecto a
116
soberanía, Existe la opinión de que esta categoría de cibernéticos no regulados
actividades es más amplia. Sin embargo, los expertos de Tallin hicieron una lectura estricta
de operaciones cibernéticas no reguladas per se por el derecho internacional.
112. M ANUAL DE TALLINN 2.0 La Regla 23 establece que “Un Estado podrá actuar de conformidad con el motivo de
necesidad en respuesta a actos que presentan un peligro grave e inminente, ya sea de naturaleza cibernética o
no, a un interés esencial cuando hacerlo sea el único medio de salvaguardarlo”. Identificación. a 135 rublos. 23.
113. M ANUAL DE T ALLINN 2.0 La regla 27 se refiere a la cesación, los seguros y las garantías; Reglas 28
y 29 tratan de reparaciones; y la Regla 30 trata de obligaciones erga omnes. Ver identificación. en 142–53.
114. Ídem. a 157 rublos. 157; ver también identificación. en 153–67.
115. Véase en general Eric Talbot Jensen y Sean Watts, A Cyber Duty of Due Diligence: Gentle Civilizer.
¿O un crudo desestabilizador? , TEX . L.R.E.V. (próximamente) (en el archivo de los autores).

116. Véase supra Sección III.A.
2017] 755
La regla 32 se aplica al ciberespionaje en tiempos de paz y requiere casi

tono de disculpa. Sin afirmar realmente que el ciberespionaje esté permitido
Según el derecho internacional, la Regla dice “[a]unque en tiempo de paz el ciberataque
El espionaje por parte de los Estados no viola per se el derecho internacional,
117
método por el cual se lleva a cabo podría hacerlo”.Con el propósito de
Por regla general, el ciberespionaje se define como “cualquier acto realizado clandestinamente”.
continuamente o bajo falsos pretextos que utilice capacidades cibernéticas para recopilar, o
118
intento de recopilar información”. La regla sólo se aplica al espionaje.
119
realizado por los estados, y los expertos reconocieron que no sólo
Muchos estados consideran que el espionaje es ilegal como cuestión de derecho interno cuando
120
llevado a cabo contra ellos, pero también que hay una serie de estados
que han autorizado específicamente ciertas formas de espionaje contra
121
otros estados.
A pesar del acuerdo de que aunque no existe ninguna prohibición por
Se, los expertos coincidieron en que “el espionaje puede llevarse a cabo de manera
que viola el derecho internacional debido a que ciertos métodos
122
empleados para realizar ciberespionaje son ilegales”. sin embargo, el
Los expertos no pudieron llegar a un consenso sobre si la ciberseguridad remota
El espionaje violaba el derecho internacional. La mayoría creía que el
La filtración de datos no violó ninguna norma del derecho internacional. Por el contrario, un
Pocos de los expertos creían que en algún momento la exfiltración podría ser
123
tan severo como para hacerlo ilegal.Del mismo modo, los expertos no se pusieron de acuerdo sobre
operaciones de acceso cercano, como operaciones en las que un individuo en el
El territorio del estado objetivo inserta una unidad USB en un gobierno.
sistema y extrae datos. Ninguno de los expertos sostuvo que el
La exfiltración fue una violación del derecho internacional, pero una mayoría creía
124
violaba la soberanía del estado objetivo. El resto del
125
Los expertos vieron el espionaje como una excepción a la soberanía.
Los expertos coincidieron en que los “honeypots” (datos o redes valiosos)
segmentos diseñados para atraer a piratas informáticos malintencionados con el fin de identificar
ellos y examinar sus métodos, pero en realidad no revelan ninguna utilidad
126
datos—no eran ilegales como cuestión de derecho internacional. Armado

118. Ídem. , ¶ 2.
119. Ídem. , párrafo 3.
120. Ídem. en 174, ¶ 17.
122. Ídem. en 170, ¶ 6.
123. Ídem. en 170-171, ¶ 8.
124. Ídem.
125. Ídem. en 171, ¶ 9.

126. Ídem. en 173–74, ¶ 15.
756 [vol. 48
Honeypots, donde los datos diseñados para ser exfiltrados contienen malware.
que luego se ejecuta en el propio sistema del infiltrado, provocó una división
entre los expertos, y la mayoría los encuentra completamente
127
permisible.
El tratamiento del espionaje en el Manual de Tallin está estrechamente vinculado a
La visión de la soberanía. En muchos de los casos presentados donde el
El "método" de espionaje podría hacerlo ilegal, determinaron los expertos.
la regla violada fue la de la soberanía. La evidencia parece estar acumulada
128
que las naciones con capacidad cibernética están participando en ciberespionaje.
Es probable que el aumento del ciberespionaje ejerza presión sobre el actual
comprensión de cómo se aplica la soberanía al dominio del ciberespacio,
tal vez afecte la Regla 32 en el futuro.
La otra regla en esta sección de operaciones cibernéticas no reguladas dice
“El derecho internacional regula las operaciones cibernéticas realizadas únicamente por actores no estatales.
129
en casos limitados”. Con excepción de los regímenes de derecho internacional
específicamente aplicable a individuos como el derecho de los derechos humanos y la
derecho de los conflictos armados, los expertos creían que el derecho internacional no
130
no regular a los actores no estatales.
Esto queda en manos de los estados.
a través del derecho interno.
Al igual que con el espionaje, ésta es un área del derecho internacional donde la regla
es probable que se vea presionado. La combinación del volumen de
131
incidentes causados por actores no estatales,
la aplicación restrictiva de la
132
regla de diligencia debida a los estados,
y la prohibición del uso de
133
contramedidas contra actores no estatales puede obligar a los estados a realizar reconocimientos
considerar la efectividad del derecho internacional con respecto a la aplicación
medidas contra actores no estatales.
127. Ídem. en 174, ¶ 16.

128. Kevin Rawlinson, Vigilancia de la NSA: El teléfono de Merkel puede haber sido monitoreado durante más de 10 años
Años, 'THE G UARDIAN (26 de octubre de 2013, 15:19 EDT), https://www.theguardian.com/world/2013/oct/
26/nsa-vigilancia-brasil-alemania-resolución-onu; Rusia detrás del ataque al Parlamento alemán, DW
. COM (11 de diciembre de 2016) http://www.dw.com/en/russia-behind-hack-on-german-parliament-paper
informes/a-36729079; Jose Pagliery, China pirateó la FDIC y los funcionarios estadounidenses lo encubrieron, según un informe,
CNN T ECH (13 de julio de 2016, 15:31), http://money.cnn.com/2016/07/13/technology/china-fdic
cortar a tajos/.
130. Ídem. en 175, ¶ 4.
131. Mark Pomerlau, Hackers estatales versus piratas informáticos no estatales: ¿diferentes tácticas, igual amenaza? , DE EF . S Y S . (Ago.
17, 2015), https://defensesystems.com/articles/2015/08/17/cyber-state-vs-non-state-haclers
tácticas.aspx.
132. Véase supra Sección III.B.
133. Véase supra Sección III.D.
2017] 757
F. Derecho internacional de los derechos humanos
Esta parte del Manual y las que siguen en este Artículo son
separados en lo que los Expertos denominan Regímenes Especializados. Estos
Los regímenes están especializados en que se han desarrollado con el tiempo para
convertirse en sus propios regímenes, en cierto modo autónomos, que gobiernan una
gama reducida de actividades. El Manual aplica esos regímenes a la cibernética.
actividades.
El primer régimen especializado cubierto en el Manual es el internacional.
derecho de los derechos humanos. Muchas de las dificultades para elaborar esta parte del
Manual puede estar directamente relacionado con la falta de claridad con respecto a
134
el derecho internacional de los derechos humanosCombinado
en general. con el
caprichos de las operaciones cibernéticas, este capítulo contiene quizás los aspectos más
desacuerdo entre los expertos. En esta línea, uno de los importantes
Puntos importantes planteados con respecto a la aplicación de las normas de derechos humanos a
operaciones cibernéticas es que “aunque la actividad de un Estado puede interferir con una
derecho humano internacional específico, como el derecho a la privacidad, este hecho
no responde a la pregunta de si ese derecho ha sido violado
135
tarde.” En otras palabras, la determinación de que los derechos humanos se aplican a
una actividad cibernética no significa que la actividad cibernética haya violado
derechos humanos. La posible infracción es una infracción separada y adicional.
análisis.
La regla 34 establece la regla general de aplicabilidad. Dice “[i]nterna
136
El derecho internacional de derechos humanos es aplicable a las actividades
En relacionadas con la cibernética”.
Al definir la aplicabilidad, los expertos coincidieron en que “como principio general,
El derecho internacional consuetudinario de derechos humanos se aplica en el contexto cibernético.
más allá del territorio de un Estado en situaciones en las que ese Estado ejerza
137
'poder o control efectivo', como ocurre fuera de línea”.
Sin embargo, los expertos
estaban divididos sobre si “poder o control efectivo” requería “físico”
138
control, y la mayoría creía que se requería control físico.
Los expertos también estaban divididos sobre si un tratado de derechos humanos que
silencio sobre su aplicación extraterritorial debe interpretarse como aplicable
yendo extraterritorialmente. La mayoría consideró que debería aplicarse
extraterritorialmente en ausencia de alguna disposición que limitara su
134. T ALLINN M ANUAL 2.0, supra nota 14, en 179 –82, ¶¶ 1–7. Notas del M ANUAL 2.0 DE T ALLINN
que “el Grupo Internacional de Expertos reconoció que los entendimientos de los Estados sobre la
alcance preciso de ciertos derechos humanos en el contexto cibernético, así como los de derechos humanos
Los tribunales de derechos humanos y otros órganos pertinentes de derechos humanos varían”. Identificación. en 182, ¶ 1.
135. Ídem. en 181, ¶ 7.
136. Ídem. a 182 rublos. 134.
137. Ídem. en 184, ¶ 6.
138. Ídem. en 185, ¶ 8.
758 [vol. 48
139
alcance.
La Regla 35 establece que “Las personas disfrutan de los mismos derechos humanos internacionales.
derechos con respecto a actividades relacionadas con la cibernética que de otro modo realizarían
140
alegría."Esto incluye la libertad de expresión, aunque los expertos
141
no pueden ponerse de acuerdo sobre los parámetros precisos El derecho
de esea derecho.
142 143
mantener una opinión y el derecho a la privacidad también están protegidos.
Con respecto al derecho a la privacidad, los expertos consideraron que este
144
Este derecho “abarca la confidencialidad de las comunicaciones”.El
Los expertos coincidieron en que esto protegía la comunicación privada de un individuo.
ciones de la inspección humana, pero estaban divididos sobre cómo el derecho
145
aplicado a casos de inspecciones algorítmicas por máquinas. Sin embargo,
la mayoría creía que tal inspección no implicaba a la
derecho del individuo a menos y hasta que el Estado acceda a la comunicación
146
ciones de alguna manera, incluido el procesamiento Por supuesto,
de datos.información
disponible al público generalmente no implica el derecho a la privacidad,
incluso si se recopilan a través de medios cibernéticos, mientras que aquellos disponibles solo para un
un grupo pequeño podría hacerlo. Los expertos no tenían claro dónde estaban estas líneas.
147
en realidad se encuentran entre estas dos situaciones. Los expertos podrían
no estoy de acuerdo sobre cómo se aplica la expectativa de privacidad en general a este
148
bien.
Los expertos coincidieron en que el derecho a la privacidad también protegía a los individuos.
“datos personales” de otros usuarios, aunque los expertos reconocieron que este término es
149
no está bien definido en el derecho internacional.
Con respecto a los metadatos, el
Los expertos coincidieron en que los metadatos se considerarían “datos personales” y
por lo tanto protegido para los efectos de esta regla en el punto donde
estaba “vinculado a un individuo y se relaciona con la vida privada de ese individuo”
150
vida." Con respecto a otros metadatos, los expertos no pudieron llegar a un acuerdo
151
consenso.
139. Ídem. en 186, ¶ 11.

140. Ídem. a 187 rublos. 35.
141. Ídem. en 187–88, ¶¶ 2–4.
142. Ídem. en 188 –89, ¶ 5.
143. Ídem. en 189, ¶ 6.
144. Ídem. , ¶ 7 (citas internas omitidas).
145. Ídem. en 190, ¶ 8.
146. Ídem. , ¶ 9 n. 420.
147. Ídem. en 190–91, ¶ 10.
148. Ídem. en 191, ¶ 11.
149. Ídem. en 191–92, ¶ 12.
150. Ídem. en 192, ¶ 13.
151. Ídem. , ¶ 14.
2017] 759
Los expertos observaron además que el carácter consuetudinario de los derechos económicos,
Los derechos sociales y culturales siguen sin estar resueltos en el derecho internacional, pero
coincidieron en que en la medida en que sean reconocidos como derechos, las ciberseguridad
152
operaciones ciertamente podrían implicar esos derechos. Finalmente, el ex
Los expertos señalaron la afirmación de que existe un derecho humano internacional de
acceso a Internet y un “derecho al olvido”. Ninguno de los expertos
153
los reconoció como derechos según el derecho consuetudinario vigente.
La Regla 36 establece que “[c]on respecto a las actividades cibernéticas, un Estado debe: (a)
respetar los derechos humanos internacionales de las personas; y (b) proteger
154
los derechos humanos de las personas frente a abusos por parteEl de terceros”.
La obligación de respetar los derechos humanos se aplica generalmente a esos derechos.
discutido en la regla anterior y se aplica extraterritorialmente a aplica
155
derechos de cable.
La obligación de proteger o garantizar el respeto de los derechos humanos es una
obligación afirmativa de los Estados, aunque los expertos reconocieron que
algunos estados no están de acuerdo en que exista tal regla y que los parámetros
156
de la norma son al menos cuestionadas. Sin embargo, los expertos coincidieron en que
157
Tal regla existe, a pesar de su falta de definición clara. Por ejemplo,
Los expertos no pudieron ponerse de acuerdo sobre las “circunstancias territoriales precisas en
que un Estado tiene la obligación de proteger la vida de un individuo en particular
158
derechos humanos frente a la injerencia de terceros”.
Los expertos coincidieron en que este derecho incluía el requisito de tomar
medidas preventivas tales como prevenir los impactos terroristas en los seres humanos
159
derechos.Volviendo a la opinión de los expertos de que no hay derecho a
Internet discutido anteriormente, los expertos están divididos sobre el tema en el que
El acceso a Internet era necesario para ejercer un derecho humano como el
160
votación. Sin embargo, la mayoría de los expertos creían que los estados no tienen
derecho consuetudinario a proporcionar recursos cuando se violen derechos individuales
161
ocurren los derechos humanos.
La regla 37 analiza las limitaciones a la obligación de respetar y proteger
y establece “[l]as obligaciones de respetar y proteger el derecho internacional
Los derechos humanos, con excepción de los derechos absolutos, siguen estando sujetos a
152. Ídem. en 194, ¶ 18.

153. Ídem. en 195–96. párrafo 23.
154. Ídem. a 196 rublos. 36.
155. Ídem. , ¶ 2.
156. Ídem. en 197–98, ¶ 5 (citas internas omitidas).
157. Ídem. en 198, ¶ 6.
158. Ídem.
159. Ídem. en 199, ¶ 9.

160. Ídem. en 199-200, ¶ 10.
161. Ídem. en 200, ¶ 12.
760 [vol. 48
ciertas limitaciones que son necesarias para lograr un propósito legítimo,

162
no discriminatorio y autorizado por la ley”. Esta regla reconoce
que los Estados deben lograr un equilibrio en las actividades cibernéticas entre
derechos individuales y otras responsabilidades importantes, como la responsabilidad pública
163
orden y seguridad nacional, aunque algunos derechos como la protección
de la esclavitud y la tortura son de naturaleza absoluta y no pueden ser limitados.
164
ited. El Manual ilustra este punto afirmando que “generalmente es
considerado necesario restringir la libertad de expresión en línea o
derecho a la privacidad para eliminar la pornografía infantil y la
explotación, proteger los derechos de propiedad intelectual y detener la incitación
165
al genocidio”.
Al ejercer limitaciones a los derechos humanos, los expertos estaban divididos sobre la
aplicabilidad del principio de proporcionalidad, siendo la mayoría
166
argumentando que sí se aplica. Todos los expertos creían que cualquier cosa
167
Si se imponen limitaciones, éstas deben hacerse de forma no discriminatoria.
Además de las limitaciones, los estados también pueden derogar ciertas
168
obligaciones en materia de derechos humanos, como se Esta analiza
regla
en es
la Regla 38.
centrado completamente en el derecho de los tratados y depende enteramente de las
disposiciones del tratado considerado.
El grado de desacuerdo entre los expertos en este capítulo
refleja no sólo la aplicación cibernética al derecho de los derechos humanos, sino también la
aceptación general de las leyes de derechos humanos en todos los estados. Los expertos
En muchos casos se ha observado que los Estados simplemente divergen en sus opiniones,
a veces dramáticamente, sobre la aplicación de las normas de derechos humanos. Esto es
reflejado en la aplicación de las operaciones cibernéticas al derecho de los derechos humanos. Como
Surge una mayor claridad con respecto a las reglas primarias del ser humano.
derechos humanos, la aplicación a las actividades cibernéticas sin duda también
volverse más claro.
á
G. Derecho Diplom tico y Consular
El Capítulo sobre Derecho Diplomático y Consular se basa en gran medida en

la Convención de Viena sobre Relaciones Diplomáticas de 1961 y la Convención de 1963
162. Ídem. en 201-02 p. 37.

164. Ídem. en 202-03, ¶ 4.
165. Ídem. en 203 (se omiten paréntesis y citas).
166. Ídem. en 205, ¶ 9.
167. Ídem. en 206, ¶ 11 (citas internas omitidas).
168. M ANUAL 2.0 DE TALLINN La regla 38 establece que “Un Estado podrá suspender su tratado de derechos humanos
obligaciones relativas a actividades cibernéticas cuando lo permitan, y bajo las condiciones establecidas, por
el tratado en cuestión”. Identificación. a 207 rublos. 38.
2017] 761
Convención de Viena sobre Relaciones Consulares como reflejo sustancial de

169
derecho internacional consuetudinario.
La primera regla refleja uno de los fundamentos
principios nacionales del derecho diplomático y consular, la inviolabilidad de
170
instalaciones. Aunque todos los expertos estuvieron de acuerdo con la regla, la aplicación
La modificación de la norma provocó algunas opiniones divididas.
La mayoría creía que esta protección impedía la ciberoperación remota.
171
ciones sobre la infraestructura ubicada en el local, así como diplomático
o equipo consular no ubicado en las instalaciones pero utilizado para
172
fines diplomáticos o consulares. Los expertos estaban divididos equitativamente
sobre la cuestión de si los terceros Estados tienen la obligación de respetar
la inviolabilidad de los locales o si esa obligación sólo recae en el
173
Estado anfitrión.
El examen del artículo 39 impulsó el debate sobre las embajadas virtuales
y presencias diplomáticas en línea. Los expertos no creyeron
inviolabilidad extendida a estas presencias virtuales, salvo en la medida
174
que estar alojados en las instalaciones como se mencionó anteriormente los protegía.
La regla 40 exige que “[un] Estado receptor debe tomar todas las medidas apropiadas
medidas para proteger la infraestructura cibernética en las instalaciones de un país de envío
Misión diplomática del Estado u oficina consular contra intrusión o presa
175
edad." La aplicación de esta regla depende de “la magnitud del
la amenaza a los locales, la medida en que el Estado receptor esté
consciente de una amenaza específica y la capacidad del Estado receptor para tomar medidas
176
acción en las circunstancias”.
La Regla 41 aplica la protección otorgada a las autoridades diplomáticas y consulares.
archivos, documentos y correspondencia oficial a versión electrónica
177
siones del mismo. Sin embargo, los expertos estaban divididos con respecto a
presentaciones privadas a una misión u oficina consular, siendo la mayoría
178
creyendo que estaban cubiertos por la extensión de la norma.Al igual que con
premisas, los peritos estaban divididos con respecto a la obligación de terceros
169. Ídem. en 209, ¶ 1.

170. M ANUAL 2.0 DE T ALLINN La regla 39 establece “La infraestructura cibernética en las instalaciones de un diplomático
misión diplomática u oficina consular está protegida por la inviolabilidad de esa misión o oficina”. Identificación. a 212 rublos.
39.
171. Ídem. en 213–14, ¶¶ 5–6.
172. Ídem. en 215–16, ¶¶ 10–12.
173. Ídem. en 214, ¶ 6.
174. Ídem. en 216-17, ¶ 15.
175. Ídem. a 217 rublos. 40.
176. Ídem. en 217-18, ¶ 2.
177. M ANUAL DE TALLINN 2.0 La regla 41 establece “Archivos, documentos y correspondencia oficial
de una misión diplomática u oficina consular que se encuentren en formato electrónico son inviolables”. Identificación. a 219 rublos. 41.
178. Ídem. en 220, ¶ 4.
762 [vol. 48
estados a archivos, documentos y correspondencia diplomática o consular

179
dencia, y la mayoría volvió a ampliar las protecciones. El
Los expertos también estaban divididos sobre si la protección seguía aplicándose a
Comunicaciones distintas de las que existen entre la misión y el lugar de envío.
Estado miembro, como por ejemplo entre la misión y terceros Estados. La mayoría
180
creía que todas esas comunicaciones estaban protegidas.Finalmente, el
Se planteó una cuestión relativa a las comunicaciones normalmente protegidas.
que hayan sido divulgados por terceros. En este caso, la mayoría
181
creía que la protección ya no se aplicaba.
La regla 42 se refiere al derecho a la libertad de comunicación y a los estados.
que “[un] Estado receptor debe permitir y proteger el libre acceso cibernético
comunicación de una misión diplomática u oficina consular para todos los asuntos oficiales
182
propósitos”. Los expertos coincidieron en que los Estados receptores “no podrán interponer
ferir con el acceso al sitio web de una misión diplomática o oficina consular que
se utiliza para transmitir información esencial a sus ciudadanos en el país,
interrumpir o ralentizar la conexión a Internet de una misión diplomática o
oficina consular, ni bloquear o interferir con sus teléfonos móviles u otros
183
equipos de telecomunicaciones”. El requisito de “proteger” en este
La regla es similar a la regla de diligencia debida en el sentido de que todavía no existe el deber de
monitorear o tomar medidas proactivas para prevenir, pero simplemente para remediar
comió cuando el estado receptor tiene conocimiento.
La regla 43 trata de las instalaciones y el personal de los estados y dice:
a) [l]os locales de una misión diplomática u oficina consular podrán

no debe utilizarse para participar en actividades cibernéticas que sean incompatibles
con funciones diplomáticas o consulares, y (b) Diplomáticas
Los agentes y funcionarios consulares no podrán participar en actividades cibernéticas.
que interfieran en los asuntos internos del Estado receptor o sean
184
incompatible con las leyes.
Luego, la sección enumera algunas actividades cibernéticas que estarían permitidas.

bajo esta regla en un contexto cibernético. Es importante destacar que los expertos concluyeron
185
que no se permitiría la realización de ciberespionaje. La sección
concluye con una norma relativa a los privilegios e inmunidades de los diplomáticos.
179. Ídem. en 221–23, ¶¶ 7–10.

180. Ídem. en 224, ¶¶ 14-15.
181. Ídem. , ¶ 14.
182. Ídem. a 225 rublos. 25.
183. Ídem. en 226, ¶ 3.
184. Ídem. en 227-28 p. 43.
185. Ídem.
2017] 763
186
personal mático y consular, y concluye que el mismo priv
187
Las leyes e inmunidades se aplican a las actividades relacionadas con la cibernética.
Obviamente hay una serie de preguntas sin respuesta con respecto
a las operaciones cibernéticas y al derecho diplomático y consular, particularmente con
respecto a las comunicaciones. Porque muchas de esas comunicaciones
ahora ocurren a través de modalidades cibernéticas, la aplicación del derecho internacional a
Esta área va a ser un área importante de desarrollo legal.
H. Derecho del Mar
El derecho del mar es un régimen especializado con una larga historia y

importante codificación reciente. Los expertos coincidieron en que gran parte de los
188
Convención de las Naciones Unidas sobre el Derecho costumbre
del Mar reflejada
derecho internacional común y, en consecuencia, los expertos se basaron en él
189
fuertemente.
La regla 45 establece el principio general de aplicabilidad y confirma que
“[l]as operaciones cibernéticas en alta mar podrán realizarse únicamente con fines
fines pacíficos, salvo disposición en contrario de las disposiciones internacionales.
190
ley nacional”. A modo de ejemplo, los expertos concluyeron que “[e]l particular
Una nota destacada en el contexto cibernético son las libertades de navegación en alta mar,
sobrevuelos y tendido de cables submarinos. Basado en, por ejemplo,
las dos primeras libertades, tanto las aeronaves como los buques tienen derecho a realizar
operaciones cibernéticas en alta mar y en alta mar, siempre que no violen
191
derecho internacional aplicable”.Respecto a la ciberopera militar
ciones, los expertos “no vieron ninguna razón para desviarse del principio general
que las actividades militares que no impliquen un uso prohibido de la fuerza estén dentro
el alcance de las libertades en alta mar y otros usos internacionalmente lícitos de
192
el mar, según lo establecido en el artículo 87(1) de la Convención sobre el Derecho del Mar”.
Los expertos conﬁrmaron el “derecho de visita” respecto de los ciberataques
193
actividadespero dividido sobre la permisibilidad de una “visita virtual”, es decir
186. M ANUAL DE TALLINN 2.0 La Regla 44 establece “En la medida en que los agentes diplomáticos y consulares
Los oficiales disfrutan de inmunidades de jurisdicción penal, civil y administrativa, disfrutan de la
inmunidades con respecto a sus actividades cibernéticas”. Identificación. a 230 rublos. 44.
187. Ídem. en 231, ¶¶ 1–4.
188. Convención de las Naciones Unidas sobre el Derecho del Mar, 10 de diciembre de 1982, 1833 UNTS 3.
189. T ALLINN M ANUAL 2.0, supra nota 14, en 232, ¶¶ 1–2.
190. Ídem. a 233 rublos. 45.
191. Ídem. en 234, ¶ 3 (citas omitidas).
192. Ídem. , ¶ 5 (citas omitidas).
193. M ANUAL DE T ALLINN 2.0 La regla 46 establece que “Un buque de guerra u otro buque debidamente autorizado podrá
ejercer el derecho de visita para abordar un buque sin el consentimiento del Estado del pabellón en alta mar o dentro de una
zona económica exclusiva si tiene motivos razonables para sospechar que el buque está utilizando cibernéticos
764 [vol. 48
194
utilizando modalidades cibernéticas para realizarLos la visita.
expertos además
confirmó la aplicación del estándar de debida consideración a las ciberacciones
195
tomadas en la Zona Económica Exclusiva (ZEE), aunque los expertos
división sobre la legalidad de realizar operaciones militares en la ZEE con
196
la mayoría argumentó que estaban permitidos.
Con respecto al mar territorial y al derecho de paso inocente,
Los expertos estuvieron de acuerdo con la Regla 48, que establece: “[p]ara que un buque pueda
reclamar el derecho de paso inocente a través del territorio territorial de un Estado ribereño
mar, cualquier operación cibernética realizada por el buque debe cumplir con las
197
condiciones impuestas a ese derecho”.Los expertos enumeraron útilmente una
número de ejemplos de actividades cibernéticas que harían que el paso
198
no inocente. Los Expertos consideraron el impacto en inocentes
paso de un buque estatal procedente del Estado A en las aguas territoriales del Estado B,
realizar operaciones cibernéticas contra el Estado C. La mayoría de los expertos
199
determinó que esto no sería compatible con el paso inocente.
A pesar de que el Manual reserva la mayoría de las normas relativas a las normas internacionales
conflicto armado hasta más adelante en el Manual, la Regla 49 dice “[d]urante un
conflicto armado internacional, un Estado ribereño neutral no puede discriminar
diferencias entre los beligerantes con respecto a las operaciones cibernéticas en ese
200
Mar territorial del Estado”.La regla 50 vuelve a reglas más generales y
201
se ocupa de la jurisdicción de ejecución en el mar territorial. La ex
Los expertos están divididos en cuanto a la escala de las posibles consecuencias necesarias para
activar el derecho de jurisdicción de ejecución. La mayoría argumentó que
cualquier violación era suficiente, pero la minoría pensaba que los efectos de minimis
significa participar en piratería, trata de esclavos o transmisiones no autorizadas; parece estar sin
nacionalidad; o sea de la nacionalidad del buque visitante.” Identificación. en 235.
194. Ídem. en 238, ¶ 10.
195. M ANUAL 2.0 DE TALLINN La regla 47 establece “En el ejercicio de sus derechos y deberes, un Estado
realizar operaciones cibernéticas en la zona económica exclusiva de otro Estado debe tener la debida
respecto de los derechos y deberes de ese Estado en la zona y las operaciones cibernéticas deben realizarse para
fines pacíficos, salvo disposición en contrario del derecho internacional”. Identificación. en 239.
196. Ídem. en 240, ¶ 4.
197. Ídem. a 241 rublos. 48.
198. Ídem. en 242–43, ¶ 6–7.
199. Ídem. en 243, ¶ 8
200. Ídem. en 245. p. 49.
201. M ANUAL DE TALLINN 2.0 La regla 50 establece que “Un Estado ribereño puede ejercer la aplicación de leyes jurídicas”.
ción a bordo de buques en el mar territorial con respecto a actividades delictivas que impliquen cibernética
operaciones si: las consecuencias del delito se extienden al Estado ribereño; el delito es de un tipo que
perturbar el orden público y la seguridad del Estado ribereño o el buen orden del mar territorial;
El capitán del buque o el Estado del pabellón ha solicitado la asistencia del Estado ribereño.
autoridades; o según sea necesario para contrarrestar el narcotráfico”. Identificación. a 246 rublos. 50.
2017] 765
202
no activaría el derecho.
Los expertos sostuvieron que las disposiciones estándar del derecho del mar
203
se aplican a las operaciones cibernéticas en la zona contigua,
internacional
204 205 206
estrecheces,
aguas archipelágicas, y a cables submarinos. Con
Con respecto a los cables submarinos, los expertos no pudieron ponerse de acuerdo sobre la
aplicación de jurisdicción “entre el Estado ribereño y el Estado
tendido del cable de comunicación submarino en la costa del Estado ribereño
207
plataforma continental o en su ZEE”. Aunque los expertos coincidieron en que
violaba el derecho internacional al dañar las comunicaciones submarinas
cables, también acordaron que dichos cables pueden aprovecharse para recolectar y
208
dato transmitido.
El propio Manual señala áreas en las que el derecho del mar es
inestable con respecto a las operaciones cibernéticas, como la necesidad de que los estados
Encontrar un método para tipificar como delito los daños intencionales o negligentes a los submarinos.
209
Cables de comunicación bajo alta mar. Dada la gran cantidad de
datos que pasan a través de cables de comunicación submarinos, y la
creciente capacidad de los estados para acceder a ellos, es casi seguro que ésta es un área
donde la práctica estatal seguirá desarrollándose.
é
I. Derecho A reo
Al igual que con el derecho del mar, los expertos determinaron que el derecho internacional
La ley se reﬂejaba generalmente en las disposiciones de los más destacados
210
tratado en el área —en este caso, la Convención sobre Derechos Internacionales de 1944.
Aviación Civil (OACI), o “Convenio de Chicago”, como se le conoce
211
conocido. De hecho, los términos utilizados en esta sección se rigen
202. Ídem. en 247, ¶ 4.
203. M ANUAL 2.0 DE TALLINN La Regla 51 establece “Con respecto a los buques ubicados en el territorio de un Estado ribereño
zona contigua, ese Estado puede utilizar medios cibernéticos para prevenir o abordar violaciones dentro de su
territorio o mar territorial de sus leyes fiscales, migratorias, sanitarias o aduaneras, incluidas las violaciones
perpetrado por medios cibernéticos”. Identificación. en 248.
204. M ANUAL 2.0 DE TALLINN La regla 52 establece “Operaciones cibernéticas en un estrecho utilizado para
la navegación debe ser compatible con el derecho de paso en tránsito”. Identificación. en 249.
205. M ANUAL 2.0 DE TALLINN La regla 53 establece que “Las operaciones cibernéticas en aguas archipelágicas deben
compatible con el régimen jurídico aplicable en la misma.” Identificación. en 251.
206. M ANUAL DE T ALLINN 2.0 La regla 54 establece “Las reglas y principios del derecho internacional
aplicables a cables submarinos se aplican a cables de comunicaciones submarinos.” Identificación. en 252.
207. Ídem. en 255, ¶ 9.
208. Ídem. en 257, ¶ 17.
209. Ídem. en 258, ¶ 19 (citas internas omitidas).
210. Ídem. en 259 –60, ¶¶ 4 –6.
211. El Convenio de la Organización de Aviación Civil Internacional sobre Aviación Civil Internacional,
7 de diciembre de 1944, 61 Stat. 1180, 15 UNTS 295.
766 [vol. 48
212
según las definiciones de la OACI.
213
Regla 55 establece la regla de aplicabilidad general del derecho del espacio aéreo a
operaciones cibernéticas en aeronaves en el espacio aéreo nacional. Los expertos señalaron
que este régimen especializado sólo rige los aviones, y no el cibernético
operaciones en las que participa. Esas operaciones se regirían por
214
otras leyes, como las del estado subyacente. Con respecto a
aviones militares: aquellos con mayor probabilidad de estar involucrados en ataques cibernéticos aéreos.
operaciones—los expertos señalaron que el Convenio requiere el permiso
sión del estado subyacente para el sobrevuelo, y permite que el estado subyacente
el derecho a fijar las condiciones de ese sobrevuelo, condiciones que
215
podría incluir una prohibición de las operaciones cibernéticas.
Los expertos estaban divididos sobre cómo caracterizar una violación de los derechos de un Estado.
espacio aéreo por aviones militares de otro estado que participan en actividades cibernéticas.
operaciones. Una minoría creía que la combinación de presiones no consentidas
La presencia y la realización de operaciones cibernéticas eran suficientes para ser un grupo armado.
atacar y activar el derecho de legítima defensa. La mayoría pensó que
La caracterización dependía de la naturaleza de la operación cibernética. Alguno
de los expertos también opinaron que el mero hecho sin consentimiento
presencia de una aeronave militar autorizó el uso de la fuerza para expulsar al
216
aeronaves desde el territorio del estado.
A diferencia del espacio aéreo nacional, las operaciones cibernéticas en el espacio aéreo internacional
El espacio aéreo generalmente está permitido. La regla 56 dice “[s]ujeto a restricciones
contenidas en el derecho internacional, un Estado puede llevar a cabo actividades cibernéticas
217
operaciones en el espacio aéreo internacional”.
Los estados no pueden reclamar más
soberanía sobre el espacio aéreo internacional. Además, al realizar ciber
operaciones en el espacio aéreo internacional, los estados sólo están limitados por interna
prohibiciones de la ley nacional, como la prohibición de intervención y
el uso de la fuerza, o regímenes de navegación aceptados, como sobrevolar
218
estrechos internacionales.Además, al volar sujeto a una navegación
régimen que requiere transporte en modo normal, la mayoría de los expertos
consideró que esto no incluía operaciones cibernéticas activas, ni siquiera para
219
Aeronaves cuyo propósito es realizar operaciones cibernéticas ofensivas.
212. T ALLINN M ANUAL 2.0, supra nota 14, en 260.

213. M ANUAL DE T ALLINN 2.0 La regla 55 dice: “Un Estado puede regular la operación de aeronaves,
incluidos aquellos que realizan operaciones cibernéticas, en su espacio aéreo nacional”. Identificación. en 261.
214. Ídem. en 263, ¶ 6.
215. Ídem. en 264.
216. Ídem. en 264 –65, ¶¶ 12–13.
217. Ídem. a 265 rublos. 56.
218. Ídem. en 266, ¶ 4.
219. Ídem. en 266 –67, ¶ 5.
2017] 767
Finalmente, los estados no pueden realizar operaciones cibernéticas que

220
podría poner en peligro la seguridad de la aviación internacional.
221
Como se mencionó anteriormente, al menos con respecto a la estadosoberanía,
La práctica no ha adoptado una visión tan restrictiva hacia el ciberespacio como lo ha hecho
hacia el espacio aéreo. Aumentar las capacidades del Estado para llevar a cabo ciberopera
ciones desde plataformas en el aire potencialmente resultarán en un choque de
paradigmas, con el paradigma menos restrictivo del ciberespacio dando paso a
las normas más restrictivas sobre el espacio aéreo. En comparación con los más
régimen espacial liberal que se analiza a continuación, esta diferencia en la regulación legal
puede impulsar el desarrollo cibernético, particularmente con respecto al principio
de soberanía, a los bienes espaciales más que a los aéreos.
J. Derecho espacial
Aunque la diferenciación espacial entre la ley que rige el aire

222
El espacio y el espacio no están definidos las
condiferencias
precisión. entre los
dos regímenes son bastante distintos, particularmente con respecto al ejercicio
de autoridad soberana. Los expertos hicieron una distinción entre
permitió operaciones cibernéticas, a las que el derecho espacial solo tiene una aplicación limitada
223
ción y operaciones espaciales cibernéticas. Al redactar las normas, el
Los expertos observaron que el derecho convencional aplicable es menos completo y menos
reconocido como codificador del derecho consuetudinario. Sin embargo, en los casos en que el
Los expertos se basaron en el lenguaje de varios tratados espaciales, lo hicieron
224
utilizando disposiciones que creían que se consideraban habituales.
La regla 58 señala la diferencia en las prohibiciones legales sobre el uso de
cibernético en la luna y otros cuerpos celestes y en el espacio más
generalmente. La regla establece “(a) [c]iberoperaciones en la luna y
otros cuerpos celestes sólo podrán realizarse con fines pacíficos.
b) Las operaciones cibernéticas en el espacio ultraterrestre están sujetas al derecho internacional
225
limitaciones al uso de la fuerza”. Los expertos concluyeron que como resultado de
esta regla de que las capacidades cibernéticas ofensivas no pueden colocarse en el
luna, mientras que no existe ninguna prohibición similar para el espacio exterior más
226
generalmente. Con respecto al espacio en términos más generales, la proscripción es
sobre el uso de capacidades cibernéticas y se rige por los mismos estándares
220. M ANUAL 2.0 DE TALLINN La regla 57 dice: “Un Estado no puede realizar operaciones cibernéticas que
poner en peligro la seguridad de la aviación civil internacional”. Identificación. en 268.
221. Véase supra Sección III.A.
222. T ALLINN M ANUAL 2.0, supra nota 14, en 259 –60, ¶¶ 1–11; ver también identificación. en 271, ¶¶ 3–4.
223. Ídem. en 270–71, ¶¶ 2–3.
224. Ídem. en 272, ¶ 6.
225. Ídem. a 273 rublos. 58.
226. Ídem. en 273–75, ¶¶ 1–7.
768 [vol. 48
227
como en la Tierra, incluida la Carta de las Naciones Unidas.
La regla 59 dice “(a) [un] Estado debe respetar el derecho de los Estados de registro
ejercer jurisdicción y control sobre los objetos espaciales que aparecen en
sus registros. (b) Un Estado debe realizar sus operaciones cibernéticas que impliquen
espacio ultraterrestre teniendo debidamente en cuenta la necesidad de evitar interferencias con el
228
actividades espaciales pacíficas de otros Estados”.
De acuerdo con esta norma, los expertos coincidieron en que los estados tienen competencia jurídica
ción sobre sus satélites y otros objetos espaciales y las personas que se encuentren en ellos,
pero también señaló que esta jurisdicción podría no ser exclusiva. por ejemplo
Por ejemplo, si las actividades de los objetos espaciales de un Estado afectan a los de otro Estado.
229
objetos espaciales, esos estados pueden compartir jurisdicción concurrente.
El
Los expertos también señalaron que el término “debida consideración” en esta norma conllevaba el
230
mismo significado que en el contexto del derecho del mar.
Finalmente, respetar las responsabilidades de los estados por las actividades cibernéticas en
espacio ultraterrestre, la Regla 60 dice “(a) [un] Estado debe autorizar y supervisar
las "actividades cibernéticas en el espacio ultraterrestre" de sus entidades no gubernamentales. (b)
Las operaciones cibernéticas que involucran objetos espaciales están sujetas a la responsabilidad
231
Régimen de responsabilidad y responsabilidad del derecho espacial”.
A medida que más y más entidades privadas comienzan a operar en el espacio ultraterrestre,
232
incluida la colocación de personas en estael espacio,
regla aumentará en importancia
tancia. La regla sigue el derecho de los tratados al describir el régimen de gobernanza.
233
como de naturaleza “nacional”.
Los Estados deben aceptar la responsabilidad de vigilar
y aprobar las acciones de entidades no gubernamentales.
En consecuencia, los Estados son generalmente responsables de sus acciones bajo
el régimen de derecho espacial que incorpora algunos de los principios de
234
los Artículos de Responsabilidad del PorEstado.
ejemplo, los estados de lanzamiento son
235
responsable de los daños causados a otro Estado con motivo de un lanzamiento espacial.
Sin embargo, los daños causados a objetos espaciales por otros objetos espaciales se
236
basado en “culpa”. Los expertos determinaron que estos principios se aplican a
227. Ídem. en 275–77, ¶¶ 8–11.

228. Ídem. en 277, ¶ 4.
229. Ídem. en 278, ¶ 6 n. 229.
230. Ídem. en 279, ¶ 6.
231. Ídem. a 279 –80 rublos. 60.
232. Calla Cofield y SpaceX llevarán pasajeros en un viaje privado alrededor de la Luna en 2018
ESPACIO . COM (27 de febrero de 2017, 6:53 p.m.), http://www.space.com/35844-elon-musk-spacex
anuncio-hoy.html.
233. T ALLINN M ANUAL 2.0, supra nota 14, en 280, ¶ 1 (cita interna y comillas
omitido).
234. Ídem. en 281, ¶ 4 n. 700.
235. Ídem. en 281–82, ¶ 7.
236. Ídem. en 282, ¶ 8.
2017] 769
operaciones cibernéticas en el espacio también.

La continua expansión hacia el espacio incluirá el aumento
empleo de capacidades cibernéticas. La ley que rodea el espacio.
El régimen se formuló cuando pocos estados tenían acceso al espacio y es bastante
permisivo, particularmente si se compara con las normas que rigen el transporte aéreo
237
espacio. A medida que más estados, incluidas entidades privadas dentro de esos estados,
comenzar a realizar operaciones, incluidas operaciones cibernéticas en el espacio ultraterrestre,
el régimen permisivo puede dar paso a un régimen más restrictivo. Al menos
Actualmente se está llevando a cabo un importante esfuerzo transnacional para examinar más de cerca
238
el régimen jurídico aplicable al espacioy sin duda proporcionará
aportaciones extremadamente útiles sobre este importante tema.
K. Derecho Internacional de las Telecomunicaciones
A diferencia de secciones anteriores del Manual, que se basaban principalmente en

derecho internacional consuetudinario para respaldar las normas contenidas en él, en
En esta sección del Manual los expertos señalan la falta de derecho consuetudinario
y basar explícitamente las siguientes reglas en el régimen convencional de la
239
Unión Internacional de Telecomunicaciones. Los expertos se sintieron reconfortados
capaz de hacerlo porque “casi todos los Estados son Partes en el tratado
240
régimen."
La regla 61 establece que “[un] Estado debe tomar medidas para garantizar la
establecimiento de una infraestructura de telecomunicaciones internacionales que
es necesario para unas telecomunicaciones internacionales rápidas e ininterrumpidas.
ciones. Si en cumplimiento de este requisito el Estado establece
infraestructura para las telecomunicaciones internacionales, debe mantener
241
y salvaguardar esa infraestructura”. El régimen del tratado establece
tres obligaciones distintas para los estados miembros: “garantizar el establecimiento
desarrollo de infraestructura que facilite un intercambio rápido e ininterrumpido
telecomunicaciones nacionales; salvaguardar esa infraestructura; y para
242
mantenlo." Los expertos señalaron que se trata de obligaciones de con
243
conducto, no de resultado, y por tanto basado en la viabilidad.
Así, un estado
no necesita cumplir su obligación a través de medios cibernéticos, pero si decide hacerlo
237. DEPARTAMENTO DE DEFENSA DE LOS EE.UU., OFICINA DEL ASESOR GENERAL, ANÁLISIS DE LA ASESORÍA INTERNACIONAL
CUESTIONES JURÍDICAS EN OPERACIONES DE INFORMACIÓN 2 (2ª ed.1999).

238. Véase Manual sobre derecho internacional aplicable a los usos militares del espacio ultraterrestre, MCG ILL U NIVER
SITY, http://www.mcgill.ca/milamos/ (última visita el 4 de junio de 2017).
240. Ídem.
241. Ídem. a 288 rublos. 61.

242. Ídem. , ¶ 2.
243. Ídem. en 289–90, ¶ 3.
770 [vol. 48
244
Para hacerlo, debe salvaguardar y mantener esa infraestructura cibernética.
Como
esta obligación es una obligación del Estado, la mayoría de los expertos opinaron que
No era lícito que un Estado estableciera comunicaciones en otro.
245
Estado sin el consentimiento del segundo Estado.
Los Expertos determinaron que los Estados en general pueden ejercer sus
autoridad soberana para suspender o detener las comunicaciones. La regla 62 dice:
a) [un] Estado podrá suspender, total o parcialmente, los derechos internacionales

servicios de cibercomunicación dentro de su territorio. Inmediato
debe notificarse dicha suspensión a otros Estados. (b)
Un Estado puede detener la transmisión de una cibercomunicación privada
ción que parezca contraria a sus leyes nacionales, al orden público o
246
decencia, o que sea peligroso para la seguridad nacional.
Sin embargo, los expertos señalan en el comentario que “[e]ste derecho es

sin perjuicio de cualesquiera obligaciones de derecho internacional, el Estado
el interesado puede asumir la posibilidad de prohibirle hacerlo en un
247 248
caso" como las comunicaciones diplomáticas. Asumiendo comunicación
suspendidas, los peritos divididos en cuanto a la legalidad de otra
Estado que restablece las comunicaciones sin el consentimiento del territorio.
estado. La mayoría estuvo de acuerdo en que tal acción no sería legal sin
249
el consentimiento del Estado territorial.
Con respecto a comunicaciones específicas, los expertos coincidieron en que
detener comunicaciones cibernéticas privadas específicas podría incluir “un
250
mensaje instantáneo, correo electrónico o un Tweet”.
La regla 63 dice que “[un] uso estatal de estaciones de radio no puede causar daños
interferir con el uso protegido de radiofrecuencias por parte de otros Estados para
251
comunicaciones o servicios cibernéticos inalámbricos”.
Los expertos aceptaron
la definición de interferencia perjudicial significa la interferencia que
“pone en peligro el funcionamiento de un servicio de radionavegación o . . . o
degrada gravemente, obstruye o interrumpe repetidamente una comunicación de radio
servicio de comunicación que opera de acuerdo con la [International Telecom
é í
244. V ase dem.
245. Ídem. en 290–91, ¶¶ 9–10.

246. Ídem. a 291 rublos. 62(a)–(b).
247. Ídem. en 291–92, ¶ 1.
248. Ídem. en 294, ¶ 9.
249. Ídem. en 293–94, ¶ 6.
250. Ídem. en 294, ¶ 7.
251. Ídem. r. 63.
2017] 771
252
Unión de Comunicaciones] Reglamento de Radiocomunicaciones.”
Acordaron además que
la norma “se aplica exclusivamente a la injerencia causada por un Estado en
el uso por parte de otra persona de frecuencias que permiten comunicaciones cibernéticas o
servicios, dondequiera que se realicen dichas comunicaciones o servicios, incluidos
253
en el espacio exterior”.
Finalmente, la Regla 64 exime a las estaciones de radio militares y dice “[un] Estado
conserva toda su libertad en virtud del derecho internacional de las telecomunicaciones
254
en lo que respecta a instalaciones de radiocomunicaciones
Aunque la regla
militares”.
es
limitado a las instalaciones de radio, los expertos coincidieron en que también incluía
“Dispositivos que permiten la transmisión inalámbrica de datos por radio.
255
ondas." Los expertos precisaron que la exención sólo se aplica a
instalaciones verdaderamente “militares” y no otras instalaciones de radio puestas en uso
256
por los militares en una doble capacidad militar y civil.
Aunque este régimen se basa casi por completo en tratados y no,
por lo tanto, considerada como derecho internacional consuetudinario vinculante, la práctica
de las telecomunicaciones interestatales crearán normas y prácticas que
Sin duda ayudará a formular normas con respecto al ciberespacio. Para
Por ejemplo, la interacción del derecho de un Estado a detener o suspender las telecomunicaciones.
Comunicaciones bajo este régimen con expectativas emergentes en materia de derechos humanos.
Las cuestiones relativas al acceso individual a Internet seguirán refinando lo que
Los estados aceptan como sus obligaciones legales con respecto al ciberespacio en el
futuro.
L. Soluci ón pacífica de controversias
Esta sección marca el comienzo de la transición del Manual a

"Paz y seguridad internacionales y actividades cibernéticas". Los tres primeros
Las reglas de esta sección actúan como introducción a las reglas sobre el uso de la fuerza (solo
ad bellum) y las normas que rigen los conflictos armados (jus in bello). Porque
Las primeras tres reglas no se tratan en Tallin 1.0, merecen un poco de atención.
comenta aquí.
La regla 65 se refiere a la obligación de los estados de resolver pacíficamente sus disputas
257
y se basa en los párrafos 2(3) y 33(1) de la Carta de las Naciones y esUnidas.
252. Ídem. en 296, ¶ 7 n. 728 (citas internas omitidas).

253. Ídem. en 296–97, ¶ 8.
254. Ídem. a 298 rublos. 64.
255. Ídem. en 299, ¶ 2.
256. Ídem. , ¶ 4 (cita interna omitida).
257. Carta de las Naciones Unidas, art. 2(3) establece: “Todos los Miembros resolverán sus controversias internacionales mediante
medios pacíficos de tal manera que la paz, la seguridad y la justicia internacionales no sean
en peligro." Arte. 33(1) establece: “Las partes en cualquier controversia cuya continuación pueda afectar
poner en peligro el mantenimiento de la paz y la seguridad internacionales, buscaremos, en primer lugar, una solución mediante
772 [vol. 48
258
generalmente aceptado como derecho internacional consuetudinario.
La Regla establece:
“(a) Los Estados deben intentar resolver sus controversias internacionales que involucren
actividades cibernéticas que ponen en peligro la paz y la seguridad internacionales al
medios pacíficos; b) Si los Estados intentan solucionar controversias internacionales
que impliquen actividades cibernéticas que no pongan en peligro la paz internacional y
259
seguridad, deben hacerlo por medios pacíficos”.
Los expertos coincidieron en que esta norma sólo se aplica a los acuerdos internacionales.
260
disputas y “no a las puramente internas”. Sin embargo, los expertos
no estuvo de acuerdo sobre la aplicación a una disputa transnacional entre un estado
y un actor no estatal con sólo una minoría que cree que tales conflictos son
261
cubierto. A pesar de este desacuerdo, los expertos coincidieron en que “la paz
medios lícitos”, cuando fuera necesario, no limitaba el recurso a medios lícitos tales
como contramedidas o el uso de la fuerza en defensa propia, o cualquier medida
262
autorizado por el Consejo de Seguridad de las Naciones Unidas.
Los Estados deben actuar de buena fe al intentar resolver pacíficamente
263
sus disputas cibernéticas,
pero no es necesario que tenga éxito ni agote todos
264
posibles medios pacíficos para cumplir con esta obligación. El
Los expertos también coincidieron en que esta obligación continúa incluso en tiempos de
hostilidades si los medios pacíficos permanecen abiertos en cuanto a un ciberataque específico.
265
puta. Los expertos coincidieron además en que los Estados deben seguir utilizando medios pacíficos.
significa si se esfuerzan por resolver disputas internacionales que no
poner en peligro la paz y la seguridad internacionales, pero que los estados no están bajo ninguna
obligación de intentar resolver disputas internacionales si deciden no hacerlo.
266
para hacerlo.
Dado el creciente número de empresas internacionales y transnacionales
En disputas cibernéticas, esta regla es extremadamente importante. Cibernético reciente
267
disputas entre estados y entre estados y no estados
Negociación, consulta, mediación, conciliación, arbitraje, acuerdo judicial, recurso a instancias regionales.
agencias o acuerdos, u otros medios pacíficos de su propia elección”.
258. Véase T ALLINN M ANUAL 2.0, supra nota 14, en 303, ¶ 1.
259. Ídem. en 304.
260. Ídem. en 304, ¶ 2.
261. Ídem. en 305, ¶ 6-7.
262. Ídem. en 307, ¶ 11, 13.
263. Ídem. en 308, ¶ 14.
264. Ídem. en 309, ¶ 17-18.
265. Ídem. en 309-10, ¶ 20-21.
266. Ídem. en 310, ¶ 22-23.
267. Véase Gina Chon, Estados Unidos persigue un caso contra los piratas informáticos del ejército chino, F INANCIAL TIMES (24 de septiembre de
2015), https://www.ft.com/content/a378b4c6-62b0-11e5-9846-de406ccb37f2 (discutiendo los EE.UU.
acusación de cinco militares chinos por robo cibernético); Jane Pérez y Xi Jingping se comprometen a trabajar
With US to Stop Cybercrimes, NY TIMES (22 de septiembre de 2015) https://www.nytimes.com/2015/09/23/
2017] 773
268
actores generalmente se han resuelto por medios pacíficos, pero como
aumenta la gravedad de las intervenciones cibernéticas, esta regla probablemente
probado. El reconocimiento aparentemente desdeñoso del presidente ruso Putin
269
la intervención de rusos “patrióticos” en las elecciones estadounidenses,
dis
que se analiza en la siguiente sección, destaca la importancia de la claridad en
270 271
aplicando principios de soberanía, debida diligencia, y el
272
Remedios de retorsión y contramedidas. a las actividades cibernéticas.
Los diversos “medios pacíficos” más eficaces resultan ser para resolver
Mientras más disputas cibernéticas, más contentos estarán los estados de confiar en ellas.
M. Prohibici ón de intervención
La prohibición consuetudinaria de intervención se divide en dos reglas

en el Manual, el primero trata de los Estados y el segundo de los
Naciones Unidas.
273
La regla 66 establece el principio bien reconocido del derecho internacional:
"A
El Estado no podrá intervenir, ni siquiera por medios cibernéticos, en el orden interno o
274
asuntos exteriores de otro Estado”. La regla sólo se aplica a las relaciones.
world/asia/xi-jinping-of-china-to-address-wary-us-business-leaders.html?_r = 0 (explicando el acuerdo

acuerdo entre China y Estados Unidos para trabajar juntos para detener el delito cibernético por parte de China en el
Estados Unidos.); David Lee, Russia and Ukraine in cyber 'stand-off', BBC (5 de marzo de 2014), http://www.
bbc.com/news/technology-26447200 (que analiza el reciente intercambio de ataques cibernéticos entre
Ucrania y las supuestas fuerzas cibernéticas estatales rusas).
268. Vea a Alastair Stevenson: Parece que el gobierno de EE. UU. acaba de ser pirateado nuevamente, y esto
Time Anonymous está reivindicando la responsabilidad, B US. I NSIDER (24 de julio de 2015, 7:45 a. m.) http://www.
businessinsider.com/anonymous-hackers-leak-4200-us-government-workers-alleged-details-to
protest-ttip-and-tpp-2015-7 (discutiendo el hackeo de Anonymous a la Oficina del Censo de Estados Unidos);
Andrea Peterson, Explicación del truco de Sony Pictures, W ASH. P OST (18 de diciembre de 2014), https://www.
washingtonpost.com/news/the-switch/wp/2014/12/18/the-sony-pictures-hack-explained/?utm_
término = .adaf6a618dbe; Anonymous 'Hacks' cuentas de redes sociales de Corea del Norte, BBC (4 de abril de 2013),
http://www.bbc.com/news/technology-22025724 (discutiendo el hackeo de las redes sociales por parte de Anonymous).
cuentas dia en Corea del Norte).
269. Ian Phillips y Vladimir Isachenkov, Putin: Rusia no piratea sino a individuos “patrióticos”
als Might, US News & World Rep. (1 de junio de 2017), https://www.usnews.com/news/world/articles/
2017-06-01/putin-el-estado-ruso-nunca-ha-estado-involucrado-en-hacking (discutiendo el presidente Putin
afirma que Rusia no piratea como función estatal, pero que los rusos patrióticos pueden decidir hacerlo
los suyos).
270. Véase supra Parte IIIA.
271. Véase supra Parte IIIB.
272. Véase supra Parte IIID.
273. Véase T ALLINN M ANUAL 2.0, supra nota 14, en 312, 314, ¶ 1, 5.
274. Ídem. en 312.
774 [vol. 48
275 276
entre estados, y sólo prohíbe la interferencia coercitiva. Aunque
Los expertos sintieron que “los contornos precisos y la aplicación de la prohibición
ciones de intervención no están claras a la luz de la constante evolución y aumento
277
relaciones internacionales profundamente entrelazadas”,
coincidieron en el
definición proporcionada por la Corte Internacional de Justicia de que una prohibición
La intervención indicada debe afectar a la reserva de dominio de un Estado, es decir,
asuntos son la “elección de una situación política, económica, social y cultural”.
278
sistema y la formulación de la política exterior”.
Los expertos también coincidieron en que “el alcance de la reserva de dominio puede reducirse
a medida que los Estados someten las cuestiones relacionadas con el ciberespacio al derecho internacional
279
regulación," pero concluyó que “el asunto más claramente dentro de un
La reserva de dominio del Estado parece ser la elección tanto del poder político
280
sistema y su organización”. Con respecto a la coerción, los expertos
división sobre si la coerción debe estar “diseñada para influir en los resultados”
en, o conducta con respecto a, un asunto reservado a un Estado objetivo”, con
281
la mayoría estuvo de acuerdo en que así También
fue. se dividieron sobre si el
El acto coercitivo tenía que causar directamente el efecto, y la mayoría argumentó que
282
no lo hizo, “siempre que exista un nexo causal”.
Del mismo modo, los expertos no se pusieron de acuerdo sobre si el Estado debía
saber realmente que estaba siendo coaccionado para que el Estado interviniente fuera
violando el derecho internacional. La mayoría decidió que tal conocimiento era
283
no es una condición previa necesaria. Por otra parte, los expertos
Estuvo de acuerdo en que el conocimiento de que la coerción cibernética provenía de un Estado
284
(o una entidad atribuible a un estado) no era necesaria para una infracción,
285
aunque se requería la intención de coaccionar.
Además, la eficacia de
286
la coerción fue irrelevante en cuanto a si hubo o no una intervención.
Los expertos están divididos sobre si las operaciones cibernéticas diseñadas para proteger su
nacionales que se encontraban en el estado objetivo equivaldría a intervención,
275. Ídem. en 313, ¶ 4.

276. Ídem. en 313, ¶ 3.
277. Ídem. en 314, ¶ 6.
278. Ídem. en 315, ¶ 8 (citando actividades militares y paramilitares en y contra Nicaragua
(Nicar. contra Estados Unidos), 1986 CIJ 14, 205 (27 de junio).
279. Ídem. en 316, ¶ 13.
280. Ídem. en 315, ¶ 10.
281. Ídem. en 318, ¶ 19.
282. Ídem. en 320, ¶ 24.
283. Ídem. en 320, ¶ 25.
284. Ídem. en 321, ¶ 26.
285. Ídem. en 321, ¶ 27.
286. Ídem. en 322, ¶ 29.
2017] 775
287
y la mayoría decidió que generalmente no lo harían. Aunque
Los expertos coincidieron en que las medidas económicas, como las medidas ecológicas unilaterales
288
sanciones económicas, no equivaldrían a una intervención, Ellos eran
división en torno a las operaciones cibernéticas en apoyo de la intervención humanitaria
ción en ausencia de una autorización del Consejo de Seguridad de las Naciones Unidas,
con los expertos divididos entre si creían
289
la intervención humanitaria en sí misma era legal.
La Regla 67 continúa la discusión sobre la intervención pero se centra en
acciones de las Naciones Unidas. La norma establece que “Las Naciones Unidas pueden
no intervenir, incluso por medios cibernéticos, en asuntos que sean esencialmente
dentro de la jurisdicción interna de un Estado. Este principio no
perjuicio de la adopción de las medidas de ejecución decididas por el
Consejo de Seguridad de la ONU bajo el Capítulo VII de la Charla de las Naciones Unidas
290
ter.” Algunos expertos consideraron que esta regla debería aplicarse a las negociaciones internacionales.
organizaciones en general, pero sólo se pudo lograr consenso sobre
291
aplicándolo a las Naciones Unidas.
La base de esta regla es el Artículo 2(7) de la Carta de las Naciones Unidas.
que prohíbe a las Naciones Unidas intervenir en “asuntos que
292
están esencialmente dentro de la jurisdicción interna de cualquierComo
estado”.
un
Como resultado, los expertos coincidieron en que esta regla no limitaría las acciones relacionadas
293
la paz y la seguridad internacionales. Si bien los expertos coincidieron en que
las cuestiones comprendidas en el ámbito del artículo 2(7) han sido estrictas
294
En g, Estuvieron de acuerdo en que, a pesar de que la norma estaba redactada en términos de
intervención, para asuntos verdaderamente dentro de la jurisdicción interna de cualquier
Estado, incluso una interferencia no coercitiva por parte de las Naciones Unidas
295
violar esta regla.
La prohibición de la ciberintervención se ha vuelto muy importante en
A la luz de las recientes acusaciones de ciberintervención rusa en las elecciones.
287. Ídem. en 323, ¶ 34.

288. Ídem. en 324, ¶ 35.
289. Ídem. en 324, ¶ 36.
290. Ídem. en 325.
291. Ídem. en 325, ¶ 1.
292. Carta de las Naciones Unidas, art. 2, ¶ 7.
293. Véase T ALLINN M ANUAL 2.0, supra nota 14, en 325, ¶ 2.
294. Ídem. en 326, ¶ 4.
295. Ídem. en 326, ¶ 5.
776 [vol. 48

296 297
tanto en Estados Unidos y Europa. Si bien ningún objetivo de Rusia
La piratería informática aún ha declarado que tales actividades constituyen una violación de las normas internas.
ley nacional, el presidente Obama hizo una amenaza un tanto velada a
Presidente Putin en octubre de 2016 a través del famoso “teléfono rojo”, por
decirle al Presidente Putin que “[l]el derecho internacional, incluido el derecho de
298
conflicto armado, se aplica a acciones en el ciberespacio”.
La tibia respuesta internacional a lo que durante mucho tiempo se ha entendido
ya que el estereotipo de una intervención prohibida puede estar empujando a la
límites de normas previamente reconocidas. El manual es fuerte
Es de esperar que la declaración sea una articulación clara de la prohibición como
aplicado a actividades cibernéticas que los estados pueden comenzar a utilizar para hacer retroceder
contra las ciberoperaciones rusas.
Por supuesto, mientras el Presidente Putin pueda simplemente atribuir el ciberataque
entrometerse con los "hackers patrióticos" y luego no aceptar ninguna responsabilidad por
299
controlarlos o limitar sus actividades, el derecho internacional tendrá poco
impacto en la intervención cibernética. Esto, una vez más, pone de relieve la importancia
importancia de la evolución futura del principio de diligencia debida y su
potencial para imponer más estrictamente la responsabilidad a los estados por el ciberataque
acciones de aquellos dentro de sus fronteras o bajo su control.
El resto del Manual proporciona reglas con respecto al jus
ad bellum y el jus in bello, y sólo está ligeramente modificado de las reglas

300
tal como se publicó en el Manual de TallinPor 1.0.
lo tanto, no se resaltarán
proporcionarse aquí.
IV. C ONCLUSIÓN
Es importante recordar que los Expertos que participaron en el

Los Manuales de Tallin se comprometieron a establecer la ley tal como era y a
producir manuales que se entiendan como sus propios puntos de vista
296. David E. Sanger y Scott Shane, piratas informáticos rusos actuaron para ayudar a Trump en las elecciones, dice Estados Unidos,
NY TIMES (9 de diciembre de 2016), https://www.nytimes.com/2016/12/09/us/obama-russia-election-hack.
html?rref = colección%2Fnewseventcollection%2Frusian-elección-hacking&action = clic&content
Colección = política y región = rango y módulo = paquete y versión = aspectos destacados y contenidoPlacement =
4&pgtype = colección.
297. Oren Dorell, Rusia diseñó trucos electorales e intromisión en Europa, EE.UU. T ODAY (9 de enero de
2017, 7:03 a. m.), https://www.usatoday.com/story/news/world/2017/01/09/russia-engineered
elección-hacks-europe/96216556/.
298. William M. Arkin, Ken Dilanian y Cynthia McFadden, Lo que Obama le dijo a Putin sobre el
Red Phone About the Election Hack, NBC NEWS (19 de diciembre de 2016, 6:30 p.m.), http://www.nbcnews.com/
news/us-news/what-obama-said-putin-red-phone-about-election-hack-n697116.
299. Véase Phillips e Isachenkov, supra nota 270.
300. Véase T ALLINN M ANUAL 2.0, supra nota 14, en 328–562; ver también T ALLINN M ANUAL 1.0, supra
nota 13, en 42-256.
2017] 777
y no los de los estados. Los Expertos fueron más humildes en su intención

para el proyecto que otros que han comentado al respecto. De hecho, como
señalado en la presentación del Manual en los Estados Unidos por el Sr. Rutger van Marrising
del Ministerio de Asuntos Exteriores del Reino de los Países Bajos
tierras, Tallinn 2.0 está realmente diseñado para ser el comienzo de un largo y
301
discusión más significativa.
Sin embargo, Tallin 2.0 será el punto de partida del debate.
durante los próximos años y tal vez más. Es integral
naturaleza, análisis y conclusiones informados, e incorporación de ambos
Los comentarios estatales y de pares lo convierten en la referencia más valiosa y
punto de partida para una discusión sobre el derecho internacional aplicable a
operaciones cibernéticas.
Como señala este artículo, todavía hay muchas áreas de desacuerdo y
falta de claridad, incluso entre los expertos que escribieron el informe de Tallin
Manuales. También hay muchas situaciones en las que los Estados no se han pronunciado.
o actuó públicamente con respecto a operaciones cibernéticas. Esto sigue siendo un
área creciente del derecho y en la que existe una gran necesidad de
Conocimiento y comprensión para crear nuevos enfoques para los problemas existentes.
lemas. Sin embargo, hasta que los estados aclaren exactamente hacia dónde se dirige la ley,
Tallin 2.0 servirá como punto de partida para avanzar en la
Ley sobre operaciones cibernéticas.
301. Véase Corn, supra nota 28.
778 [vol. 48

PDF Translator 1697816134846

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PDF Translator 1697816134846

Cargado por

Copyright:

Formatos disponibles

EL MANUAL DE TALLIN 2.

E RIC T ALBOT J ENSEN *

grupos criminales transnacionales, organizaciones terroristas e individuos.

En respuesta a este fen ómeno generalizado, incluido un importante ciberataque

conflicto. El segundo Manual de Tallin, publicado recientemente (conocido como

REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN

J. Derecho espacial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768

(8 de octubre de 2015, 3:28 a. m.), http://money.cnn.com/2015/10/08/technology/cybercrime-cost

Mercado, THE A TLANTIC (23 de abril de 2013), https://www.theatlantic.com/technology/archive/2013/0

EL MANUAL DE TALLIN 2.0

el manual. El artículo también intentará algunas ideas sobre dónde

Los procesos diferían algo en el origen de la sustancia del

EL MANUAL DE TALLIN 2.0

tary, producido en fuente normal para mayor claridad de la regla. El comentario

Cabe señalar que algunos expertos distinguieron entre

18. T ALLINN M ANUAL 2.0, supra nota 14, en 60 r. 10 a).

REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN

El Manual comienza con una discusión sobre la soberanía y hace las

Este enfoque de “soberanía como gobierno” no es universalmente aceptado. Colo

Una opinión contraria sostiene que la soberanía es un principio básico

Según este enfoque, la soberanía se refleja en reglas como la

24. Ídem. a las 11 p.m. 1.

REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN

principio que depende del dominio y de los imperativos prácticos de

La comunidad internacional normalmente no negocia tratados para abordar los problemas.

EL MANUAL DE TALLIN 2.0

aplicados de manera diferente por la comunidad internacional dependiendo del

y transmitir información directamente a teléfonos y computadoras dentro de nuestras fronteras?”,

CUESTIONES JURÍDICAS EN OPERACIONES DE INFORMACIÓN 2 (2ª ed. noviembre de 1999).

La diligencia debida no es una disposición sustantiva del derecho internacional, pero

34. Egan Remarks, supra nota 33, en 7.

EL MANUAL DE TALLIN 2.0

nota 11, ¶ 23.

REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN

Las diferencias fundamentales incluyen que el medio ambiente transfronterizo

El capítulo del Manual sobre jurisdicción comprende seis reglas y

jurisdicción tiva extraterritorialmente (es decir, basada en cualquier ubicación de

52. Ídem. en 51 y 52, ¶ 3.

Un Estado puede ejercer jurisdicción territorial sobre:

a) la infraestructura cibernética y las personas que realicen actividades cibernéticas en su territorio;

(a) realizado por sus nacionales;

REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN

jurisdicción por nacionalidad, principio protector, persona pasiva

58. Véase ídem. en 63, ¶ 8.

Un Estado sólo puede ejercer jurisdicción de ejecución extraterritorial en relación con

(a) una asignación específica de autoridad según el derecho internacional; o

EL MANUAL DE TALLIN 2.0

En tal caso, un Estado que decidió ejercer su derecho de ejecución

63. Ídem. en 69 y 70, ¶ 13.

algunas áreas donde no existe consenso internacional sobre un tema o

D. Derecho de la Responsabilidad Internacional

é ón de derecho internacional”. Identificación.

EL MANUAL DE TALLIN 2.0

80. Ídem. en 89, ¶¶ 6–9.

(a) realizado de conformidad con sus instrucciones o bajo su dirección o control; o

(b) el Estado reconoce y adopta las operaciones como propias”.

REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN

87. Ídem. en 97, ¶ 8.

SEGURIDAD, P LYMOUTH, 2008, en 163 (2008), https://ccdcoe.org/multimedia/analysis-2007-cyber

(a) su ayuda o asistencia a otro Estado en la comisión de un hecho internacionalmente

REVISTA DE DERECHO INTERNACIONAL DE GEORGETOWN

Las contramedidas cibernéticas plantean varias cuestiones interesantes. Uno de los

EL MANUAL DE TALLIN 2.0