El año recién terminado vio el inicio de dos
controversias en las que el “ciberespacio” es tanto campo de batalla como
terreno a conquistar por diversos medios, y que tendrán repercusiones
importantes a nivel mundial: el caso de MicroSoft vs. el Departamento de
Justicia de EE. UU. y la vulneración de los sistemas de Sony Entertainment.
En el primero, con motivo de una
investigación penal el US DOJ requirió a MicroSoft la entrega de correos
electrónicos alojados en servidores de su subsidiaria irlandesa, localizados en
la República de Irlanda, requerimiento que la empresa ha combatido en
tribunales y está en apelación, con el apoyo de docenas de empresas de
tecnología y el propio gobierno irlandés. En el segundo, los sistemas de Sony
fueron atacados, según afirmaciones del gobierno estadounidense, por un grupo
presuntamente afiliado al de Corea del Norte que la amenazaron por su intención
de lanzar un filme de humor nivel “pastelazo” en el que al final muere el líder
de aquel país, evitando que fuera proyectado como se planeaba, por lo que fue
duramente criticada por el presidente al ceder a tales presiones.
La aproximación a ambos casos es
fundamentalmente distinta, pero también presentan comunes denominadores
relevantes. La del primero es la de un soberano que actúa por canales
jurídicos, discutibles como pudieran parecer sus fundamentos, en el interés de
la procuración y administración de justicia. La del segundo sería la de un
soberano que habría operado de manera subrepticia a través de un grupo
encubierto en contra de un nacional de otro, de sus derechos y bienes, e
incluso de los de sus ciudadanos al haber presionado para que el filme no fuera
proyectado.
Los comunes denominadores son los riesgos
que podrían resultar de ambos casos.
En el primer caso llama la atención la
decisión de EE. UU. de actuar a través de sus propios tribunales sobre una
empresa sujeta a su jurisdicción para obtener materiales en poder de una
subsidiaria de esta sujeta a la de otro soberano con el que tiene disponibles
canales de cooperación procesal internacional, aunque también diferencias
fundamentales en materia de privacidad. Si la apelación de MicroSoft no
prosperase y tampoco obtuviera certiorari para que la Suprema Corte escuchara
su caso, quedaría sentado un precedente que lo mismo podría poner en riesgo a
los modelos de negocios de las empresas transnacionales de tecnología,
incrementar su carga regulatoria y exponerlas a gran incertidumbre jurídica,
que afectar las relaciones entre los Estados Unidos de América e Irlanda, y tal
vez con otros países más, los cuales podrían seguir su ejemplo y procurar
ejercer a su vez su imperium para lograr acceder a bienes fuera de su alcance
directo.
El riesgo en el segundo es que la
accesibilidad a materiales e ideas de diversas jurisdicciones que internet hace
posible sea motivo para que otras culturas reaccionen en contra y pretendan
imponer, por la vía de los hechos y con actos que constituirían verdaderos
ataques, a hechos realizados o ideas expresadas fuera de su propia jurisdicción
de manera legítima, cuan contrarias pudieran ser en la propia. Ello resulta aún
más preocupante en vista de la “internet de las cosas”, cuya conectividad de
sistemas para infraestructura crítica y objetos, desde enseres domésticos hasta
vehículos, supondría el riesgo de ataques masivos o teledirigidos en contra de grupos
o individuos relevantes.
Esto es particularmente delicado en un
entorno como el ciberespacio en el que, a diferencia de materias establecidas
como parte del ius ad bellum, no existen acuerdos internacionales equiparables
a las Convenciones de Ginebra que prevean los actos de agresión y objetivos de
los mismos que serían válidos en el ciberespacio, y cuándo, o cuáles no, ni la
forma en que los involucrados en un conflicto en ese ámbito actuarían con
proporcionalidad al respecto.
Es decir, no hay un marco normativo
internacional que separe a los legítimos blancos de un ataque de los que no
debieran serlo, ni ofrezcan protección a la infraestructura o población civil.
Un ataque dirigido contra las redes de control de la infraestructura eléctrica
podría suprimir el suministro del fluido lo mismo a objetivos militares que a
la población civil afectando por ejemplo, hospitales y otras instalaciones
asistenciales, potencialmente causando muertes fuera del ámbito previsto por la
ley de la guerra.
En lo que va de la década han habido varios
ejemplos: el “Stuxnet”, código malicioso usado en 2010 contra sistemas
industriales de la República Islámica de Irán; en 2013 un reporte de
inteligencia para el Congreso de EE. UU. señaló a grupos vinculados con la
milicia de la República Popular China (como la PLA Unit 61398) como atacantes
de sistemas de cómputo de ese gobierno y sus contratistas de seguridad y
defensa, y entre ese año y el pasado el tema de la ciberwarfare ocupó un lugar
prominente en el conflicto en Siria.
Pero el caso Sony es tal que, de resultar
como ha sido planteado, un soberano extranjero habría realizado o favorecido la
realización de actos concretos, fuera del derecho internacional, en contra de
un nacional de otro país (las empresas gozan del reconocimiento de la
nacionalidad correspondiente a su lugar de constitución o sede principal de
negocios), y amenazado con la posibilidad de actos en contra de los ciudadanos
de este con motivo del ejercicio de derechos reconocidos por y actividades
lícitas en este último, todo hecho posible por la conectividad que ofrece
internet.
El riesgo derivado de tales líneas de acción
o conducta para la población civil, tanto en sus personas como en sus bienes o
actividades, podría ser de igual magnitud de una acción beligerante convencional
si no son acotadas en el marco del concierto y la concordia internacionales, y esta
década, que ha visto el surgimiento de una forma de guerra que cambiará el
combate como lo hizo el uso del aeroplano en la Primera Guerra Mundial, en
palabras de David Sanger, habría de ser la más oportuna para iniciar su
regulación internacional.