"La GCSC propuso ocho normas para resolver las falencias en los principios declarados anteriormente, con énfasis en cuestiones técnicas que son fundamentales para la ciberestabilidad". (Ilustración: Rolando Pinillos)
"La GCSC propuso ocho normas para resolver las falencias en los principios declarados anteriormente, con énfasis en cuestiones técnicas que son fundamentales para la ciberestabilidad". (Ilustración: Rolando Pinillos)

En poco más de una generación, Internet se ha convertido en un sustrato vital para las interacciones económicas, sociales y políticas, y ha hecho posibles enormes avances. Pero una mayor interdependencia trae consigo vulnerabilidades y conflictos. La cantidad de ataques de actores estatales y no estatales ha aumentado, lo que pone en riesgo la estabilidad del ciberespacio.

En noviembre, en el Foro de París para la Paz, la Comisión Mundial sobre la Estabilidad del Ciberespacio (GCSC por la sigla en inglés) publicó un informe sobre cómo crear un marco general para la ciberestabilidad.

Con el correr de los años, se han multiplicado los pedidos de que se dicten leyes y normas para controlar la nueva inseguridad internacional creada por la tecnología de la información, desde las primeras propuestas que formuló Rusia hace dos décadas en las Naciones Unidas para que se estableciera un tratado vinculante. Por desgracia, dada la naturaleza de las armas cibernéticas y la volatilidad de la tecnología, ese tratado no sería verificable y no tardaría en volverse obsoleto.

En vez de eso, la ONU congregó a expertos gubernamentales que presentaron un conjunto no vinculante de normas en el 2013 y 2015. El grupo no pudo emitir un informe en el 2017, pero su trabajo continúa con más miembros que antes, y se le ha unido en la ONU un grupo de trabajo abierto que el pasado setiembre contaba con la participación de unos 80 estados. Además, el secretario general de la ONU António Guterres creó un grupo de alto nivel que ha publicado un informe a la espera de un debate más amplio en la ONU en el 2020.

La GCSC define la ciberestabilidad como una situación en la que personas e instituciones pueden usar los servicios cibernéticos con una expectativa de seguridad razonable, donde hay un manejo relativamente pacífico de los cambios y donde las tensiones se resuelven sin escaladas. Esa estabilidad se basa en el derecho internacional preexistente, que, como afirmó el grupo gubernamental de expertos en sus informes del 2013 y 2015, es aplicable al .

Pero proceder ya mismo a la firma de un tratado legal internacional vinculante sería prematuro. En vez de eso, una serie de normas de conducta esperada puede ofrecer un término intermedio flexible entre la rigidez de los tratados y la total inacción.

La GCSC propuso ocho normas para resolver las falencias en los principios declarados anteriormente, con énfasis en cuestiones técnicas que son fundamentales para la ciberestabilidad.

La primera norma es la no interferencia con el núcleo público de Internet. Aunque entre estados autoritarios y democráticos pueda haber desacuerdo en relación con la libertad de expresión o la regulación del contenido virtual, pueden ponerse de acuerdo en no interferir los elementos centrales como el sistema de nombres de dominio, sin los cuales no habría una interconexión predecible entre las redes que forman Internet.

En segundo lugar, los actores estatales y no estatales deben abstenerse de apoyar operaciones cibernéticas cuyo objetivo sea interferir la infraestructura técnica esencial para elecciones, referendos o plebiscitos.

En tercer lugar, los actores estatales y no estatales se abstendrán de adulterar bienes y servicios en desarrollo o producción cuando ello pueda menoscabar sustancialmente la estabilidad del ciberespacio.

En cuarto lugar, los actores estatales y no estatales no usarán recursos informáticos de la población general para la creación de ‘botnets’ (redes de agentes de software que se instalan en equipos ajenos y se manejan en forma remota sin el conocimiento ni el consentimiento de los afectados).

En quinto lugar, los estados deben crear marcos procedimentalmente transparentes para evaluar la conveniencia de revelar a la población vulnerabilidades o fallas de las tecnologías o sistemas de información y el momento adecuado para hacerlo. Las armas cibernéticas suelen basarse en esas fallas. Mantener esas vulnerabilidades ocultas para un posible uso futuro es un riesgo para todos. Debe haber una presunción favorable a la divulgación y reparación de las fallas.

En sexto lugar, los desarrolladores y productores de bienes y servicios de los que dependa la estabilidad del ciberespacio deben hacer hincapié en la seguridad, tomar medidas razonables para garantizar que sus productos estén libres de vulnerabilidades significativas, mitigar las fallas cuando se descubran y ser transparentes en relación con el proceso.

En séptimo lugar, los estados deben implementar medidas apropiadas para garantizar una ciberhigiene básica. Esta puede ayudar a eliminar vulnerabilidades fáciles de explotar a disposición de posibles cibermalhechores.

Finalmente, los actores no estatales no deben emprender ciberoperaciones ofensivas, y los actores estatales deben prevenir esas actividades o darles respuesta si se producen. La autodefensa privada contra ciberataques puede escalar y plantear una importante amenaza a la ciberestabilidad.

Estas ocho normas no bastarán para asegurar dicha estabilidad, pero combinadas con sugerencias de otras partes respecto de normas, principios y medidas de generación de confianza pueden servir de punto de partida. En el largo plazo, los estados observan normas de conducta para mejorar la coordinación, limitar la incertidumbre, preservar la reputación o en respuesta a presiones internas. Al mundo todavía le falta mucho para tener un régimen normativo de esa naturaleza para el ciberespacio, pero la GCSC hizo un aporte al avance del proceso.


–Glosado–

Traducción: Esteban Flamini