• Buscar

La legítima defensa del Estado frente a ataques cibernéticos según el Derecho internacional

https://global-strategy.org/la-legitima-defensa-del-estado-frente-a-ataques-ciberneticos-segun-el-derecho-internacional/ La legítima defensa del Estado frente a ataques cibernéticos según el Derecho internacional 2021-05-28 09:15:57 Iker Pérez Sierra Blog post Global Strategy Reports Política de Defensa Ciberseguridad
Print Friendly, PDF & Email

Global Strategy Report, 25/2021

Resumen: La posibilidad de legítima defensa por parte de los Estados frente a ciberataques es una cuestión de gran actualidad. En este artículo se trata de aclarar su marco jurídico dentro del derecho internacional público, realizando un análisis de los conceptos de uso de la fuerza y ataque armado concretados para el caso de los ciberataques, que son fundamentales para establecer cuando es lícita o no la reacción del Estado en legítima defensa. Se realiza también un análisis de las diferencias entre la legítima defensa anticipada y la legítima defensa preventiva, explicando por qué la defensa preventiva no es conforme a derecho, pese a que pudiera parecer útil dentro de la estrategia de ciberdefensa. Finalmente, se lleva a cabo una breve explicación del Manual de Tallin 2.0, documento que contiene una amplia recopilación de las normas que regulan este tema.


Introducción

Este trabajo tiene por objetivo repasar la fundamentación del derecho de legítima defensa del Estado en un aspecto tan actual como es la ciberguerra. Es una realidad patente que, mediante las tecnologías informáticas, cada día más avanzadas, los Estados pueden llevar a cabo no sólo hechos ilícitos internacionales como puede ser la injerencia en unas elecciones o el bloqueo del sistema sanitario de todo un país, como ocurrió en el Reino Unido en mayo de 2017; sino que además se pueden llevar a cabo actos que son susceptibles de ser considerados ataques armados.

En este contexto, la finalidad de este trabajo es explicar cuándo un ciberataque puede dar lugar a la reacción armada del Estado atacado, amparada por su derecho a la legítima defensa y esgrimir los argumentos jurídicos que lo justifica.

¿Existe un marco jurídico internacional aplicable a la legítima defensa frente a los ataques cibernéticos?

La existencia de nuevas formas de realizar un ataque frente a un Estado, o de llevar a cabo actuaciones en perjuicio del mismo, que implican el uso de nuevas armas como son las informáticas, implica que exista la duda acerca de si el derecho existente es o no aplicable a estas nuevas situaciones internacionales, especialmente debido a las singulares características del ciberespacio y las ciberarmas.

Principalmente, uno de los mayores problemas que se puede plantear es sobre la existencia o no de un marco jurídico internacional que se pueda aplicar a la legítima defensa en estos casos. La mayoría de las dudas existentes vienen referidas a la identificación de un uso de la fuerza tradicional con un uso de la fuerza cibernético, ya que a primera vista las características del segundo parecen hacer intuir que no cabe referirse a un uso de la fuerza o ataque armado mediante el uso de medios cibernéticos. Asimismo, puesto que la mayoría de ataques son llevados a cabo por actores no estatales, podría parecer de nuevo que no existe relación entre estos actos y el derecho internacional.

Analizaremos por tanto las normas ya existentes en relación con la legítima defensa y veremos si resultan aplicables a la cuestión.

¿En qué consiste la legítima defensa en el orden jurídico internacional?

En el Derecho Internacional, la legítima defensa se basa en una respuesta del Estado frente a un uso de la fuerza en forma de ataque armado, (también calificado como uso mayor frente al uso menor de la fuerza), en los términos recogidos en el art. 51 de la Carta de las Naciones Unidas. Para que la legítima defensa esté justificada no es suficiente con un mero uso de la fuerza menor, que sería el prohibido en el art. 2.4 de la Carta, sino que este debe alcanzar la gravedad suficiente, el grado máximo posible de uso de la fuerza[1]; sin olvidar además la obligación del Estado de comunicar que está siendo víctima de un ataque armado.

Para identificar qué se entiende por uso mayor o menor de la fuerza, conviene traer a colación la sentencia de la Corte Internacional de Justicia en el asunto Nicaragua de 1986, donde se determinó que el ataque armado hace referencia a los usos más graves de la fuerza, señalando que el empleo de bandas armadas en territorio extranjero puede ser considerado un ataque armado cuando su envergadura y efectos son equivalentes a los de un ataque llevado a cabo por fuerzas regulares[2], matizando que en el caso concreto que allí se juzgaba, que, la financiación, entrenamiento o dirección de fuerzas guerrilleras no podía ser entendido como un ataque armado, pese a que las guerrillas hubieran causado efectos equivalentes al uso mayor de la fuerza cinética, ya que no se podía imputar a los Estados Unidos la actuación de las guerrillas por no haber fijado los objetivos concretos o haber instigado los actos, dirigido las acciones, en definitiva, haber tenido un control efectivo sobre la actuación de las guerrillas[3].

Para que exista un “ataque armado” es necesario que, según indica la profesora Hortall Cervell, en primer lugar, el uso de la fuerza sea grave, o en todo caso equiparable a un uso grave, pues la Corte no ha concretado qué nivel de intensidad se considera ataque armado[4]; y que sea llevado a cabo por un Estado o por grupos bajos su dirección y control; según establece el art. 8 del Proyecto de artículos de la CDI sobre la responsabilidad del Estado por hechos internacionalmente ilícitos (2001), que acoge el criterio de seguir las instrucciones del Estado o actuar bajo su dirección y control, que han de ser efectivos según la Corte Internacional de Justicia (asunto Nicaragua), o al menos existir una participación relevante del Estado que los envía (control general defendido en la jurisprudencia del Tribunal Internacional para la antigua Yugoslavia en el asunto Tadic), para poder imputar al Estado estos actos de los grupos mercenarios[5].

La cuestión sobre cuando hay uso de la fuerza, y cuando este es un uso menor o cuando mayor (el cual sería un ataque armado), se puede dilucidar en base a dos conceptos para el caso de un ataque cibernético, dada la dificultad de aplicar directamente la idea de ataque armado a un ciberataque, ya que se tiende a identificar este con, por ejemplo, una invasión militar, un bombardeo, o el lanzamiento de un misil, pero no con una operación mediante armas cibernéticas.

Los dos conceptos que pueden ayudar a establecer si un ciberataque es o no una agresión armada son, el concepto de infraestructura crítica, que señala al objeto del ataque; y el principio de equivalencia de efectos, que lleva a considerar los efectos producidos por un ciberataque. Si se dan ambos requisitos, que se afecte a una infraestructura crítica y los efectos sean equivalentes a los de un ataque armado mediante fuerzas cinéticas, se puede considerar que efectivamente se está dando un ataque armado.  Una infraestructura crítica de un Estado es aquella infraestructura que es indispensable para los servicios esenciales y su perturbación o destrucción supondría un grave impacto sobre los mismos al no haber otras alternativas disponibles[6]. Se entienden por servicios esenciales todos aquellos indispensables no sólo para la vida, sino para la seguridad nacional, el buen funcionamiento de la Administración Pública o incluso el orden socioeconómico del Estado afectado[7]. Con esta definición parece lógico entender que un ataque a una infraestructura crítica es susceptible de ser considerado un ataque armado, pues los efectos que la destrucción o paralización de esta infraestructura pueden suponer son claramente relevantes y muy graves, dada la importancia que tienen en los servicios esenciales y en la vida de las personas. Si bien, para que sea no sólo susceptible de considerarse como un ataque armado, sino que se considere que efectivamente lo es, sus consecuencias han de ser suficientemente relevantes[8], pues no podríamos considerar un ataque armado una serie de robos que alteren el orden socioeconómico, conforme a lo que veremos en el siguiente párrafo.

Como segundo requisito debe analizarse el principio de equivalencia de efectos, que se refiere a que, cuando los efectos de un ataque cibernético son equivalentes, es decir, causan un resultado similar al que podría causar un ataque armado cinético, estaremos ante un uso de la fuerza mayor. Es decir, si un ataque cibernético causa un número elevado de muertes y destrucción, por ejemplo, al destruir una central nuclear, este efecto es equivalente al que se hubiera producido de bombardear la central o lanzar un misil contra ella.

El hecho de que los ataques no se realicen en el espacio físico o con las armas tradicionales no significa que sus efectos no sean equiparables al uso de la fuerza armada en un acto de agresión. No sería lógico impedir a un Estado ejercer la legítima defensa por el mero hecho de que, en un análisis alejado de la realidad y sin tener en cuenta las consecuencias, se considere que un arma cibernética no tiene potencial suficiente para ser considerada un arma susceptible de ser utilizada en una agresión armada; o incluso sin tener en cuenta que efectos tales como la paralización de, por ejemplo, el sistema hospitalario de un Estado, puede derivar en un gravísimo colapso con fatales consecuencias[9].

Sin perjuicio de la existencia de otros criterios más concretos[10], los señalados anteriormente sirven para dilucidar si estamos o no ante un posible ataque armado o un uso menos grave de la fuerza.

La legítima defensa del Estado. Criterios frente a ataques cibernéticos

Si en atención a los dos criterios señalados anteriormente, un ciberataque puede calificarse como un ataque armado, según el art. 51 de la Carta, cabe preguntarse si dicho ataque legitima al atacado a recurrir a la legítima defensa, incluso mediante el uso de la fuerza armada ordinaria.

En el caso de que el ataque provenga de un Estado, las consecuencias serán las propias que establece el derecho internacional, la activación de la cláusula de legítima defensa contenida en la Carta de la ONU, con las condiciones que se establecen. Estas condiciones, sobre las que vamos a pasar a hablar, se pueden ver alteradas en el caso de un ciberataque, por lo especial en la forma de llevar a cabo tal ataque. Los principales problemas que se pueden plantear y que vamos a analizar aquí son dos. En primer lugar, según la costumbre internacional la legítima defensa estatal exige los requisitos de proporcionalidad, necesidad e inmediatez de la respuesta; sin olvidar que el art. 51 exige la comunicación al Consejo de Seguridad. En el caso de ataques cibernéticos, la inmediatez es uno de los requisitos que más problemas puede plantear, ya que el anonimato que favorecen estos medios cibernéticos supone una grave dificultad del Estado víctima del ataque a la hora de determinar quién le está atacando. Además, los efectos del ciberataque pueden ocultarse a lo largo del tiempo y aparecer de forma intermitente o incluso de forma sorpresiva.

De igual forma, en el caso de la inmediatez, la acción del Estado en legítima defensa no debe ser una represalia, sino una respuesta para detener la acción agresora y evitar agresiones futuras. Por ello, una vez haya cesado el ataque, no cabe legítima defensa[11], aunque perduren sus efectos. Cabría plantearse la posibilidad de una legítima defensa anticipada, que analizaremos más adelante, aunque ya se puede adelantar que esta postura no es defendida de forma general. Aun así, es interesante plantearse su estudio, dadas las peculiaridades que exhiben los ataques cibernéticos.

El segundo problema que se plantea es la posibilidad de encontrarse frente a un ataque de actores no estatales, sean grupos terroristas, lo cual se presenta como la posibilidad más real; o sean mercenarios o empresas privadas de seguridad. De acuerdo al derecho internacional, según la interpretación clásica, sólo cabría legítima defensa frente a los ataques de otros Estados, por lo cual, salvo que estos actores no estatales estuvieran a las órdenes de un Estado (como se percibe en el asunto de las actividades paramilitares en Nicaragua, 1986), cabe decir que no hay posibilidad de invocar la legítima defensa frente a ellos. Esto es así puesto que en la doctrina clásica no era posible imaginar la existencia de actores no estatales cuyas acciones fueran de tal relevancia como para poder equipararse a las de un Estado[12]. Sin embargo, debido a la proliferación de actores terroristas con gran relevancia y cuyas actividades podían causar daños que, conforme al principio de equivalencia de efectos, son englobables en la definición de ataque armado, la comprensión actual del art. 51 de la Carta de Naciones Unidas ha variado. El art. 51, según la doctrina actual, por la mera literalidad del artículo que en ninguna parte señala quien debe ser el sujeto activo de la agresión, ha de ser interpretado de tal manera que no se considera excluida la posibilidad de defenderse frente a ataques de actores no estatales. Esto se puede confirmar en las resoluciones del Consejo de Seguridad de las Naciones Unidas relativas a los ataques terroristas del 11-S[13], donde el Consejo reconoce el derecho inmanente de legítima defensa del Estado frente a los ataques de un grupo terrorista[14]. También puede plantearse, y es muy relevante, el caso de la tolerancia por parte del Estado donde se ubican los atacantes, que puede colaborar de ellos de forma tácita, permitiéndoles realizar los ataques desde su territorio, sin colaborar con ellos mediante la dirección de sus operaciones o la aportación de medios.

La legítima defensa anticipada y preventiva

La legítima defensa anticipada se refiere a la licitud del uso de la fuerza en legítima defensa frente a un ataque armado inminente pero no producido, o incluso en prevención del mismo, siendo en este último caso una actuación en legítima defensa preventiva. El principal problema que plantean estas dos modalidades de legítima defensa es que la legítima defensa anticipada se puede manifestar en algunas situaciones donde no existe todavía un ataque armado en acción, sino en preparación para ser efectuado. Actúa en un momento donde todavía no se ha dado ningún uso mayor de la fuerza, sino donde hay inminencia (real y no meramente potencial) de que se va a dar un ataque armado o cuando se ha iniciado tal ataque, pero no se han producido sus efectos.

Otro caso es la legítima defensa preventiva, donde ya no estamos ante la inminencia de un ataque, que podemos conocer por actos de preparación u otros movimientos, sino que estamos ante la sospecha o presunción de que va a suceder un ataque, pero sin actos o hechos que permitan percibir que efectivamente se está desarrollando el ataque (desarrollándose en el sentido de que el Estado agresor esté decidido a lanzar un ataque de forma inmediata o que lo esté preparando con la seria intención de lanzarlo en un tiempo cercano). Poniendo un ejemplo sencillo para tratar de clarificar la diferencia entre ambas, podríamos decir que la legítima defensa anticipada actuaría cuando un misil apunta a un Estado pero todavía no se ha lanzado o cuando una flota se dirige hacia las costas de un Estado o tropas enemigas se están desplegando en la frontera; mientras que la legítima defensa preventiva actuaría en el caso de que otro Estado comprara misiles, empezara a aumentar su potencial bélico o desarrollara planes de invasión que no hubieran empezado a ponerse en marcha, o incluso cuando el Estado potencialmente agresor amenazara con usar la fuerza. Las posibilidades de utilizar la legítima defensa preventiva como medio fraudulento para legitimar o justificar ataques armados frente a potenciales riesgos que posteriormente demuestran no ser tales, hacen que se rechace la legalidad y legitimidad de actuar en legítima defensa ante la falta de probabilidad y un mínimo de prueba de la realidad del ataque.

Por ello, si concebimos la legítima defensa como una respuesta a un ataque armado, y este todavía no se ha dado, no se respondería a un ataque, sino que se estaría actuando en contra de la prohibición del art. 2.4 de la Carta. Además, puesto que en tal situación se desconoce la realidad de cómo es el ataque frente al que se entabla la defensa, puesto que sólo existen sospechas, presunciones o intuiciones, no se estaría llevando a cabo una reacción proporcional como exigen los requisitos consuetudinarios señalados por la CIJ, sino que se estaría incurriendo en una desproporción.

Ahora bien, el Manual de Tallin y la opinión del grupo de expertos que lo redactó, parece coincidir sobre la posibilidad de aceptar la legítima defensa anticipada[15] en caso de ciberataques equivalentes a ataques cinéticos, aunque no exista acuerdo sobre el momento temporal en que se pueda lícitamente recurrir a la misma. Parece, en cualquier caso, que es lógico suponer que, por las especiales características de las armas cibernéticas, la legítima defensa anticipada podrá ejercerse desde el momento en que se tenga conocimiento cierto de la realidad del ataque y no de su mera potencialidad, sino de hechos ciertos que señalen la inminencia del mismo. La opinión mayoritaria del grupo de expertos en el Manual de Tallin ha generado un interesante concepto, el de “the last feasible window of opportunity standard”[16], que señala que, ante la inminencia de un ataque por parte de un Estado decidido a lanzar tal ataque, surge el derecho de legítima defensa desde el momento en que, si el Estado dejara de actuar, perdería la posibilidad de defenderse de manera efectiva. Parece pues oportuno tener en cuenta la legítima defensa anticipada como una verdadera posibilidad frente a ataques cibernéticos, ya que no sería razonable obligar a un Estado que puede evitar los efectos de un ataque armado cuya realidad conoce[17] (es decir, no es una mera sospecha, sino un ataque en desarrollo, ya desencadenado), a mantenerse a la espera de que se produzca el resultado del ataque armado para actuar después como reacción al mismo. La legítima defensa anticipada es una defensa frente a un ataque, no una represalia, por lo cual parece lógico y coherente aceptar esta postura, especialmente en aquellos casos donde mediante hechos objetivos y verificables se puede demostrar la realidad de la inminencia del ataque.

En el caso de la legítima defensa preventiva, cuestión seriamente discutida, se estaría ampliando el concepto mucho más allá de lo señalado anteriormente con respecto a la legítima defensa anticipada. Ya no estamos ante un ataque inminente cuya realidad se puede comprobar por hechos objetivos y verificables, sino que estamos ante una posibilidad, ya sea mayor o menor, o una fuerte sospecha de que se va a producir un ataque.   

Una de las definiciones propuesta es la siguiente. A diferencia de la legítima defensa anticipada, que es un ataque inminente, contra un enemigo ya preparado y dispuesto a atacar, la preventiva sucedería frente a una amenaza latente, para impedir su materialización en un momento futuro todavía desconocido[18]. Estaríamos pues ante un peligro ya no concreto y específico, sino abstracto e indeterminado, lo cual eliminaría el requisito del ataque específico e inminente, que es lo que podría justificar la legítima defensa anticipada[19]. Desaparece el requisito fundamental de la legítima defensa, que es la existencia de un ataque, ya sea en acto o inminente, pues se estaría actuando incluso antes de que el ataque comenzara a desarrollarse en la realidad.

Es por ello que el recurso a la legítima defensa preventiva es claramente un problema altamente cuestionado en el orden internacional. Aceptarlo supone eliminar el requisito de la existencia misma del ataque, sustituyéndolo por el requisito de que existan sospechas, que, aunque fundadas, pueden conducir a considerar como un ataque en potencia cualquier amenaza para la paz, lo cual supone una ampliación probablemente excesiva del concepto de legítima defensa.

¿Sería pues legítimo recurrir a la legítima defensa mediante el uso de la fuerza en el caso de los ciberataques?

En cuanto a la legitimidad del recurso a la fuerza en caso de un ciberataque, habría que atender, como se viene indicando, a los principios de equivalencia de efectos y atender a si se está afectando a una infraestructura crítica. Una vez determinado esto de forma afirmativa, si el ataque que se está sufriendo es equivalente a un ataque armado, el derecho internacional, a través del art. 51 de la Carta, permitiría al Estado defenderse haciendo uso de la fuerza necesaria y proporcional[20].

Cualquier ataque armado que se diera frente a un Estado, fueran cuales fueran las armas empleadas, es susceptible de ser respondido en legítima defensa. Como bien señala la Carta en el art. 51, la legítima defensa es un derecho inmanente, propio de la naturaleza del Estado[21], y por tanto, lo verdaderamente relevante es sí se está dando o no un ataque armado (en acto o inminente), que es el presupuesto principal que justifica el uso de la fuerza en reacción[22], lo cual se verá de acuerdo a los efectos (principio de equivalencia) que se estén produciendo a causa del ataque con ciberarmas. Los medios empleados o la forma de llevar a cabo el ataque, no son relevantes para establecer si al reaccionar se reacciona en legítima defensa (es cierto que un ordenador no es un misil, pero puede causar efectos análogos a los del lanzamiento de un misil), sino que deberán ser tenidos en cuenta al valorar la proporcionalidad de la respuesta, que podrá implicar el uso de la fuerza proporcional cuando esta sea necesaria para hacer cesar la agresión, que sí que deberá atender a la gran diferencia entre las armas cinéticas y cibernéticas. Es decir, no sería lícito atacar mediante un bombardeo el lugar desde el cual se lanza el ciberataque si podemos defendernos mediante medios cibernéticos que no impliquen tal destrucción. En cambio, si no podemos defendernos mediante armas cibernéticas del atacante que está tomando el control del sistema de lanzamiento de misiles del Estado, es lógico suponer que el Estado habrá de defenderse mediante los medios racionalmente necesarios y proporcionales para hacer cesar la agresión, que podrán incluir las armas cinéticas. En todo caso, la proporcionalidad implica que los objetivos atacados contra los que se use la fuerza deberán ser los implicados en el ataque, si no se incurriría en una desproporción contraria a derecho[23].

Como ya se ha señalado anteriormente, el verdadero problema lo plantea la defensa preventiva, ya que, en el caso de la anticipada, estaríamos respondiendo a un ataque, es decir, estaríamos actuando como consecuencia de la inminencia de un ataque. En cambio, en el caso de la preventiva ni siquiera se puede decir que exista propiamente un ataque en curso.

En cualquier caso, sería interesante mantener clara la distinción entre la defensa anticipada como una reacción frente a un ataque inminente, ya en acción, cuya realidad se conoce, pero se pueden desconocer sus efectos; frente a la defensa preventiva, no como reacción sino como actuación frente a una amenaza latente, todavía no desplegada ni en acción, sino potencial, cuya realidad se puede sospechar, pero no afirmar. Conservando esta distinción, se puede percibir que, si bien la defensa preventiva es una actuación que no es una respuesta a otro acto, la anticipada es una reacción frente a un ataque real, que, aunque no desplegado en todo su potencial, ya existe y es susceptible de causar efectos; y si no se reacciona a tiempo, los causará. Siendo pues una reacción, es verdaderamente un acto de legítima defensa, por lo que la defensa anticipada que cumpla con el resto de requisitos (proporcionalidad, necesidad, inmediatez y comunicación al Consejo de Seguridad) quedará justificada y será lícitamente empleada.

Teniendo en cuenta además la obligación de los Estados de proteger a su población, no se puede negar la razonabilidad de la legítima defensa. Exigir que un Estado deba esperar a que se haya producido un efecto tal y como la muerte de población civil, la destrucción de infraestructuras críticas o un grave colapso de las instituciones del Estado, no es razonable, especialmente cuando el Estado ha podido actuar y evitar el ataque[24].

Y en el caso de los ciberataques, podemos responder del mismo modo. Se admitirá la defensa anticipada cuando se den los requisitos necesarios para que esta sea se pueda emplear. El problema no es tanto la legitimidad y licitud de la defensa anticipada, que se ha justificado anteriormente, sino comprender, en cada caso, cuándo se está ante un ataque inminente[25]. En el caso de los ciberataques este es el principal problema que se puede plantear, puesto que por sus características es difícil pensar en un supuesto en el que sea posible anticiparse al ataque.

En cualquier caso, y manteniéndose firme el rechazo a la legítima defensa preventiva, que no la anticipada, para defenderse de un probable ciberataque puesto que no cumple el requisito ineludible de la existencia del ataque armado o su inminencia, existen otros medios para defenderse tanto frente a amenazas de uso de la fuerza a través de armas cibernéticas, como para responder frente a usos menores de la fuerza, como son las contramedidas.

El Manual de Tallin 2.0 como referencia jurídica aplicable a las ciberoperaciones

Si bien el derecho internacional ya recoge el derecho de legítima defensa en el art. 51 de la Carta, así como la prohibición del uso o amenaza de la fuerza (art. 2.4.), la necesidad de atender a un hecho específico como las ciberarmas y la ciberguerra, ha hecho surgir algunos documentos doctrinales de carácter no vinculante que tratan de aclarar la aplicación del derecho ya vigente a la ciberguerra. El mejor ejemplos es el Manual de Tallin, que recoge diversas normas consuetudinarias compiladas por expertos que contienen el marco aplicable a las ciberoperaciones que, aunque no vinculante según la OTAN, sí recoge normas ya existentes o incluso de ius cogens [26]. Este Manual contiene una amplia compilación de las normas aplicables al ciberespacio y a la ciberdefensa

El Manual responde, entre otras preguntas, a cuestiones como si los principios de derecho internacional son aplicables, o si las normas del ius in bello son aplicables a las operaciones en el ciberespacio. La respuesta dada por el manual a si las normas existentes son o no aplicables se basa en la opinión consultiva de la Corte Internacional de Justicia sobre la licitud del uso o amenaza del empleo de armas nucleares (1996), donde la Corte señaló que la prohibición contenida en el art. 2.4 de la Carta (y por extensión el resto de normas de derecho internacional) se aplica con independencia de las armas empleadas[27]. De ello se extrae, por analogía, que la regulación de las ciberarmas y su empleo se puede encontrar ya en el derecho consuetudinario y en las normas de la Carta.

El Manual considera que los ciberataques pueden constituir un uso de la fuerza aplicando el ya citado principio de equivalencia de efectos, mediante el estudio caso a caso de la existencia ocho factores indicadores de esa equivalencia. Los principales son la severidad de los daños, la inmediación (la rapidez de los efectos), causalidad (entre el ciberataque y las consecuencias), intrusión (entendida como la capacidad de invadir el sistema objetivo), cuantificación de los efectos, el carácter militar de la operación, grado de participación del Estado en la operación; y la presunción de legalidad (que los actos estén amparados o no en el derecho, una actuación presuntamente amparada en una norma internacional gozará de la presunción de no ser un ataque armado)[28].

La opinión de algunos de los expertos redactores del manual establece además una interpretación extensiva del concepto de ataque armado, aplicándolo para justificar la reacción en legítima defensa frente a ciberoperaciones que, por su alcance y las consecuencias provocadas, aunque no causaran daño físico entendido como destrucción o muertes, causen una seria alteración del orden público mediante ataques contra la economía o, se podría incluso entender, un ataque contra el sistema electoral[29] que pudiera derivar en una situación de grave desorden, pudiendo incluso provocar revueltas. Más interesante es la posición adoptada con respecto a los actores no estatales, que en el campo de las operaciones cibernéticas son multitud, pues los expertos se separaron de la opinión que la Corte Internacional de Justicia mantiene en la opinión consultiva sobre las consecuencias legales de la construcción de un muro en el territorio palestino ocupado (2004); y la posición de la Corte en la sentencia sobre las actividades armadas en el territorio del Congo (2005), al considerar que las operaciones conducidas por grupos organizados podían constituir ataques armados que justificaran la reacción en legítima defensa[30].

Finalmente, el Manual contiene diversas normas de ius in bello, como hemos señalado son normas ya existentes, que muestran cómo deben comportarse los Estados dentro de una guerra cibernética para actuar dentro del marco de la legalidad la legitimidad. Tal vez lo más importante para la legítima defensa sean las normas que indican cómo ha de ser llevada a la práctica. Entre estas encontramos el principio de distinción que obliga al Estado a distinguir entre objetivos civiles y militares, la prohibición de ataque a objetivos civiles, la posibilidad de reaccionar frente a civiles que tomen participación en el conflicto, la prohibición de la perfidia, la legitimidad del uso de estratagemas, o la necesidad de advertir del ataque siempre que sea posible y no contrario a la finalidad legítima del mismo[31]. Estas normas, que ya se contenían en algunas otras normas convencionales (las Convenciones de Ginebra y sus Protocolos adicionales), son claramente aplicables a la ciberdefensa.

En definitiva, si bien las armas y los tiempos han cambiado, el derecho aplicable a las ciberoperaciones sigue siendo el mismo, como bien nos muestra el Manual de Tallin 2.0, que reitera constantemente normas que se pueden encontrar tanto en la costumbre internacional como en normas convencionales como en la jurisprudencia de la Corte Internacional de Justicia.


[1]        HORTAL CERVELL, M.ª J., La legítima defensa en el derecho internacional contemporáneo: nuevos tiempos, nuevos actores, nuevos retos, Tirant lo Blanch, 1ª Ed, 2017, pp. 80-82 y 105.

[2]        Sentencia CIJ sobre las actividades paramilitares en Nicaragua (Nicaragua c. Estados Unidos) 1986. Pár. 195.,228, 230, 238 y 247. 292.3 y.4. Especialmente relevante el párrafo 195 donde dice:

“The Court sees no reason to deny that, in customary law, the prohibition of armed attacks may apply to the sending by a State of armed bands to the territory of another State, if such an operation, because of its scale and effects, would have been classified as an armed attack rather than as a mere frontier incident had it been carried out by regular armed forces. But the Court does not believe that the concept of “armed attack” includes not only acts by armed bands where such acts occur on a significant scale but also assistance to rebels in the form of the provision of weapons or logistical or other support. Such assistance may be regarded as a threat or use of force, or amount to intervention in the internal or external affairs of other States.”

[3]        Sentencia CIJ sobre las actividades paramilitares en Nicaragua (Nicaragua c. Estados Unidos) 1986. Pár. 115.: “All the forms of United States participation mentioned above, and even the general control by the respondent State over a force with a high degree of dependency on it, would not in themselves mean, without further evidence, that the United States directed or enforced the perpetration of the acts contrary to human rights and humanitarian law alleged by the applicant State. Such acts could well be committed by members of the contras without the control of the United States. For this conduct to give rise to legal responsibility of the United States, it would in principle have to be proved that that State had effective control of the military or paramilitary operations in the course of which the alleged violations were committed.”

[4]        HORTAL CERVELL, M.ª J., La legítima defensa en el derecho internacional contemporáneo… op. cit., pp. 105-107 y 112-116.

[5]        Ibidem, pp.119-123.

[6]        GUTIERREZ ESPADA, C., “La responsabilidad internacional por el uso de la fuerza en el ciberespacio”, Thomson Reuters-Aranzadi, 1ª Ed, 2020, pp.30-31.

[7]        Art. 2 a) Ley 8/2011 de 28 de abril por la que se establecen medidas para la protección de las infraestructuras críticas. Contiene la definición de lo que se considera un servicio esencial.

[8]        HORTAL CERVELL, M.ª J., La legítima defensa en el derecho internacional contemporáneo… op. cit., pp.300-303.

[9]        GUTIÉRREZ ESPADA, C. “De la legítima defensa en el ciberespacio”, Comares, 1ª Ed, 2020, pp. 41-43.

[10]       “El Grupo de Expertos encargado del Manual de Tallín ofrece, en la norma 11 (norma 69 en la versión de 2017), ocho criterios para determinar la existencia de un uso de la fuerza en estos ataques: gravedad del mismo, inmediatez en la manifestación de las consecuencias, existencia de un vínculo directo entre acto y resultados del mismo, intromisión en los sistemas del Estado, capacidad de medición de los efectos, carácter militar, implicación estatal y presunta legalidad o ilegalidad de la acción (no se prohíben, por ejemplo, las operaciones psicológicas, la propaganda, las medidas de presión económica…) HORTALL CERVELL, M.ª J., La legítima defensa en el derecho internacional contemporáneo… op. cit., p.300.

[11]       Sentencia CIJ sobre las actividades paramilitares en Nicaragua (Nicaragua c. Estados Unidos) 1986. Pár. 237: “On the question of necessity, the Court observes that the United States measures taken in December 198 1 (or, at the earliest, March of that year – paragraph 93 above) cannot be said to correspond to a “necessity” justifying the United States action against Nicaragua on the basis of assistance given by Nicaragua to the armed opposition in El Salvador. First, these measures were only taken, and began to produce their effects. several months after the major offensive of the armed opposition against the Government of El Salvador had been completely repulsed (January 1981)”

[12]       POZO SERRANO, P. “La legítima defensa frente a actores no estatales a la luz de la práctica del Consejo de Seguridad de las Naciones Unidas”, Anuario Español de Derecho Internacional, Vol. 34, 2018, pp. 484-485; LÓPEZ-JACOISTE, E. “El Derecho internacional y los actores no estatales en materia de seguridad: algunos planteamientos estructurales”, en La seguridad más allá del Estado: Actores no estatales y seguridad internacional, JORDN, J.; POZO, P; BAQUÉS, J., (eds.), Plaza y Valdés 2011.

[13]       Ibidem, pp. 488-492.

[14]       Resolución 1368 (2001) del Consejo de Seguridad: “Reconociendo el derecho inmanente de legítima defensa individual o colectiva de conformidad con la Carta de las Naciones Unidas”. Resolución 1373 (2001) del Consejo de Seguridad: “Reafirmando el derecho inmanente de legítima defensa individual o colectiva reconocido en la Carta de las Naciones Unidas y confirmado en la resolución 1368 (2001)”.

[15]       GUTIÉRREZ ESPADA, C. De la legítima defensa en el ciberespacio, op. cit., pp. 45-47.

[16]       Ibidem, pp. 46-47

[17]       GUTIÉRREZ ESPADA, C., “La regulación del uso de la fuerza en las relaciones internacionales y la actuación del Consejo de Seguridad de las Naciones Unidas”, en RAMÓN CHORNET, C. (ed.), Uso de la fuerza y protección de los derechos humanos en un nuevo orden internacional, Valencia, Tirant lo Blanch, 2006, p. 11.

[18]       COCCHINI, A. “Intentando definir la legítima defensa preventiva”, Anuario Español de Derecho Internacional, vol. 34, 2018, pp. 515-517.

[19]       Ibidem, p. 515.

[20]       GUTIÉRREZ ESPADA, C.; CERVELL HORTAL, M.ª J., “El derecho internacional en la encrucijada. Curso general de derecho internacional público”, Editorial Trotta, 3ª Ed, 2012, capítulo 10º.

[21]       BERMEJO GARCÍA, R. El marco jurídico internacional en materia de uso de la fuerza: ambigüedades y límites, Civitas, Madrid, 1993, pp. 220-222.

[22]       Ibidem, pp. 228-238.

[23]       GUTIÉRREZ ESPADA, C.; CERVELL HORTAL, M.ª J., El derecho internacional en la encrucijada. Curso general de derecho internacional público, op. cit., pp. 248 y ss.

[24]       Ibidem, p. 311: “Sabiendo que su existencia está en peligro, ¿qué Estado esperaría que se desencadene el ataque para repelerlo siempre que pueda impedirlo previamente? ¿Cómo se puede exigir de un Estado tener que padecer primero el ataque armado cuando este puede ser la causa de su desaparición?”.

[25]       BERMEJO GARCÍA, R. / LÓPEZ-JACOISTE DÍAZ, E., “La ciberseguridad a la luz del Ius ad Bellum y del Ius in Bello”, Eunsa, Pamploma, 2020, pp.69-72.

[26]       GUTIÉRREZ ESPADA, C. De la legítima defensa en el ciberespacio, op. cit., pp. 32-35.

[27]       SCHMITT, M. “International Law in Cyberspace: The Koh Speech and Tallinn Manual Juxtaposed”, Harvard International Law Journal, Vol. 54, 2012 (Diciembre), p. 16.

[28]       SCHMITT, M. “International Law in Cyberspace: The Koh Speech and Tallinn Manual Juxtaposed”, Harvard International Law Journal, op. cit., p.20.

[29]       Ibidem, p. 22.

[30]       Ibidem, pp. 24-25.

[31]       DE SALAS CLAVER, J. “De la flecha al ratón. Consideraciones jurídicas de las operaciones ofensivas en el ciberespacio”, Cuadernos de Estrategia, N.º 201, 2019, pp.133-176.


Editado por: Global Strategy. Lugar de edición: Granada (España). ISSN 2695-8937

Iker Pérez Sierra

Graduado en Derecho por la Universidad de Navarra

Ver todos los artículos
Iker Pérez Sierra