Análisis de Schmitt

El análisis de Schmitt es un marco legal desarrollado en 1999 por Michael N. Schmitt , autor principal del Manual de Tallin , para decidir si la participación de un estado en un ciberataque constituye un uso de la fuerza . ^[1] Este marco es importante como parte del proceso de adaptación del derecho internacional a la creciente amenaza de la ciberguerra. Las características de un ciberataque pueden determinar qué régimen legal regirá el comportamiento del estado, y el análisis de Schmitt es una de las formas más utilizadas para analizar esas características. ^[2] También puede utilizarse como base para la formación de profesionales en el ámbito jurídico para abordar la ciberguerra.

Motivaciones

A medida que la sociedad se vuelve más dependiente de las computadoras para la infraestructura crítica, los países se han preocupado cada vez más por las amenazas en el ciberespacio . La prevalencia de las computadoras y el ritmo de la innovación tecnológica han hecho avanzar significativamente a la civilización, pero han dejado muchas vulnerabilidades que pueden ser explotadas. Los países deben estar preparados para defenderse y saber cómo responder en consecuencia a los ataques a las redes informáticas (CNA). Estos ataques únicos son diferentes en muchos aspectos a los usos físicos de la fuerza que ocurren en la guerra tradicional. Los atacantes ahora pueden inutilizar a sus objetivos de forma remota simplemente mediante la transmisión de datos. Los CNA también tienen una definición amplia, y no todos los CNA promulgados por un Estado contra otro son razón suficiente para que los Estados escalen hacia un enfrentamiento armado.

Dependiendo de si el CNA se considera un uso de la fuerza o no, la parte infractora será juzgada con base en el DIH o el DIDH . Y el jus ad bellum es el cuerpo de leyes que define cuándo es razonable que los estados soberanos recurran al uso de la fuerza para defender sus recursos, su población y sus intereses. El artículo 51 de la Carta de las Naciones Unidas define una situación en la que un estado soberano podría recurrir al uso de la fuerza y ​​establece que:

"Nada de lo dispuesto en esta Carta menoscabará el derecho inmanente de legítima defensa, individual o colectiva, en caso de ataque armado contra un Miembro de las Naciones Unidas, hasta que el Consejo de Seguridad haya tomado las medidas necesarias para mantener la paz y la seguridad internacionales. Las medidas tomadas por los Miembros en ejercicio de este derecho de legítima defensa serán comunicadas inmediatamente al Consejo de Seguridad y no afectarán en modo alguno la autoridad y responsabilidad que le confiere esta Carta para tomar, en cualquier momento, la acción que considere necesaria a fin de mantener o restablecer la paz y la seguridad internacionales."

Un Estado tiene autonomía para actuar en defensa propia, pero necesita pruebas de que existe una amenaza inminente. También necesita actuar de acuerdo con los criterios de proporcionalidad y necesidad. El análisis de Schmitt es un marco para evaluar un uso indebido de la fuerza, según siete parámetros, para determinar si constituye un uso indebido de la fuerza y ​​para que los gobiernos decidan un curso de acción válido después de ser atacados. ^[3]

Antecedentes históricos

Los ciberataques de 2007 contra los recursos de Internet de Estonia parecen ser los primeros que se utilizan como arma en un conflicto político. En Estonia había tensión entre los ciudadanos que querían que su país fuera más independiente y los estonios rusos. Como los ataques provenían de direcciones rusas, se acusó al gobierno ruso de apoyarlos. ^[4] El Consejo de Seguridad de las Naciones Unidas no reaccionó a los ciberataques de Estonia. Después, la amenaza de una ciberguerra entre Estados parecía mucho más real e inminente. Este acontecimiento también puso de relieve la importancia de la cooperación internacional para la protección del ciberespacio. También pone de manifiesto la necesidad de una legislación internacional sobre lo que se considera una respuesta gubernamental adecuada a los ataques cibernéticos. ^{[5] [6]}

Durante el conflicto de 2008 entre los nacionalistas georgianos y los separatistas de Osetia del Sur , muchos sitios web georgianos fueron objeto de ataques DDoS y de desfiguración. Durante este conflicto se creó un sitio web llamado StopGeorgia.ru, en el que se incluían enlaces a posibles objetivos de ataques, junto con software malicioso. Los civiles rusos podrían participar en los ciberataques, y se plantea la cuestión de si esta participación directa implica que ya no se los debería considerar civiles.

En 2010 se descubrió el gusano Stuxnet, que infectó las instalaciones de enriquecimiento de uranio de Natanz (Irán) y del que se sospecha que destruyó hasta 1.000 centrifugadoras, lo que hizo retroceder varios años el programa nuclear iraní. La empresa rusa Kaspersky afirmó que el virus sólo podría haberse desplegado con el apoyo de un estado-nación y que conduciría a la creación de un nuevo tipo de carrera armamentística en el mundo. Teniendo en cuenta los daños causados, junto con su carácter invasivo, la falta de legitimidad clara y la especulación de que el gusano se desarrolló y desplegó con la ayuda del gobierno de Estados Unidos, con posible asistencia israelí o alemana, significa que Stuxnet podría considerarse un uso de la fuerza, aunque tal vez no se considere un uso ilegal de la fuerza, ya que las actividades nucleares iraníes a las que se dirigía eran ilegales. Por esta razón, el virus ha sido calificado como un arma cibernética, aunque el gobierno iraní no afirmó que hubiera sido víctima de un ciberataque. La inacción del gobierno iraní podría tener implicaciones para el desarrollo de normas jurídicas relativas al ciberespacio, y la inacción de un Estado no se aborda en el marco de Schmitt. ^{[2] [7]}

La CNA como uso de la fuerza

El análisis de Schmitt está fuertemente ligado al Artículo 2(4) de la Carta de las Naciones Unidas , que establece que:

"Todos los Miembros se abstendrán, en sus relaciones internacionales, de recurrir a la amenaza o al uso de la fuerza contra la integridad territorial o la independencia política de cualquier Estado, o en cualquier otra forma incompatible con los Propósitos de las Naciones Unidas."

No todo uso de la fuerza cae dentro del ámbito del artículo 2(4), sólo aquellos que pueden amenazar la paz internacional. Y el artículo no especifica la fuerza armada, y está la cuestión de si puede ser interpretada como cualquier tipo de fuerza, incluso fuerza económica como la coerción económica violatoria. La idea es que cualquier uso de la fuerza no autorizado por la Carta es ilícito. En la práctica, sin embargo, es necesario tener un grado de flexibilidad. Hay situaciones, como las de descolonización y la intervención humanitaria, en las que un estricto seguimiento de esta regla podría no estar alineado con los intereses de la comunidad. Y el derecho relativo al uso de la fuerza necesita adaptarse y evolucionar a nuevas situaciones y circunstancias, como las de la guerra cibernética. Sería difícil clasificar cada CNA como un uso de la fuerza, considerando, por ejemplo, que algunos podrían ni siquiera causar daño físico directo. Para hacer uso del derecho establecido que se ha ocupado de las fuerzas armadas, Schmitt propuso comparar las características y consecuencias de los CNA. El objetivo de este enfoque caso por caso es clasificar adecuadamente qué CNA caen en la categoría de uso de la fuerza y ​​cuáles no. ^[3]

La analogía de la guerra nuclear

Los ataques a las redes informáticas son, como las armas de destrucción masiva , de naturaleza asimétrica. Dado que las infraestructuras como las redes eléctricas, el transporte y las telecomunicaciones están interconectadas, un ataque a un sitio puede tener un efecto dominó catastrófico. Las capacidades destructivas de los ciberataques se han comparado con los efectos de la radiación nuclear y el efecto EMP de las explosiones nucleares. Los países pequeños que quieran tener un impacto pueden aprovechar lo barato que es lanzar un CNA. Las armas nucleares tampoco han sido prohibidas, pero, al igual que otras armas de guerra, es necesario ser muy cuidadoso al usarlas o amenazar con usarlas y seguir las reglas de proporcionalidad, necesidad y humanidad. Tanto las armas nucleares como las armas de información no distinguen entre civiles y no civiles. ^[8]

Criterios de análisis

Se utilizan siete criterios para evaluar el ataque a una red informática. El análisis se centra predominantemente en criterios que dependen de las consecuencias del ataque a una red informática (y, como tal, un ataque cibernético se considera un ataque cibernético solo cuando hay lesiones, muertes y daños a objetos y su funcionalidad), ^[9] y, por lo tanto, es más útil para analizar los eventos después de que han sucedido y no cuando se están planeando. Este enfoque utilitario también predomina en el jus in bello , que lucha por la humanidad al tiempo que permite en algunos casos un equilibrio entre ganancias militares y víctimas civiles, por ejemplo. El análisis de Schmitt también es subjetivo y depende en gran medida del contexto. No intenta establecer mediciones para determinar dónde se encuentran los límites en los que los ataques a una red informática se convierten en usos de la fuerza, sino que intenta comparar las características de un ataque a una red informática en particular y las características de los usos tradicionales de la fuerza. ^{[1] [2] [10]}

1. Gravedad: es el nivel de destrucción causado por el ataque. Se tienen en cuenta el alcance, la duración y la intensidad del ataque. Dañar el sitio web de una figura pública podría considerarse no un uso de la fuerza, mientras que deshabilitar un sistema bancario en línea o apagar los mecanismos de seguridad de una planta nuclear podría serlo.
2. Inmediatez: La velocidad con la que se produce el daño, donde un ataque más inmediato deja menos espacio para el diálogo y la negociación entre el atacante y el objetivo. Para que un Estado actúe en legítima defensa, debe tener pruebas irrefutables de que la amenaza a la nación es inmediata.
3. Inmediatez: Un ataque cibernético puede tener consecuencias inesperadas y puede ser difícil predecir el impacto total de un ciberataque. Así de claro está que las consecuencias son, en realidad, consecuencias del ataque cibernético y no de otros eventos.
4. Invasividad: Los ataques cibernéticos suelen ser menos invasivos que un movimiento de tropas en el territorio de un Estado. Si un ciberataque afecta la soberanía de un Estado, es más probable que se considere un uso de la fuerza.
5. Medibilidad: Es la claridad con la que se conocen las consecuencias exactas de la CNA en términos de cuánto daño se ha causado. En el caso de la coerción armada, las consecuencias suelen ser muy claras.
6. Legitimidad presunta: Un Estado puede emplear un CNA como método de contraataque defensivo. La legítima defensa es una de las excepciones a la prohibición del uso de la violencia. Un Estado también puede emplear un CNA de una manera que no se asemeje a la coerción armada.
7. Responsabilidad: El USDOD sostiene que si un ataque del Estado A al Estado B no está patrocinado por el Estado A, entonces el Estado B no tiene derecho a invadir la nación del Estado A y, en cambio, debería pedirle que intervenga y detenga el ataque. Pero como los atacantes pueden enviar sus datos a través de ubicaciones remotas, puede resultar difícil atribuir con certeza un ataque de naturaleza no autorizada al Estado acusado, como ocurrió en Estonia en 2007.

Un factor relevante a la hora de realizar un análisis Schmitt es preguntarse si los autores del ataque intentaron actuar de acuerdo con el Derecho de los Conflictos Armados (LOAC). Este podría ser el caso de Stuxnet, que fue diseñado para minimizar los daños colaterales y solo se propagó más allá de su objetivo previsto de manera accidental. Este intento puede implicar la participación de un Estado en el ataque, ya que los particulares podrían no estar tan preocupados por el derecho internacional. Y también significa que es más probable que el ataque se caracterice como un uso de la fuerza, incluso si no causan daños reales.

Posibles deficiencias

El principal problema con el uso del marco Schmitt es que exige atribución de responsabilidades, es decir, que la nación atacante sea considerada responsable del ataque. Esto no parece ocurrir en la mayoría de los casos, ya que los estados llevan a cabo sus acciones en el ciberespacio de manera secreta y no se atribuyen la responsabilidad. También existe la posibilidad de que el estado que ha sido atacado no tome medidas contra los infractores y no acuse a otro estado de acciones ilegales. Algunos también critican la adhesión del marco al paradigma basado en instrumentos y la definición restrictiva del uso ilegal de la fuerza del artículo 2(4), y están a favor de un marco más basado en las consecuencias.

Véase también

• Guerra cibernética
• Uso de la fuerza en el derecho internacional
• Carta de la ONU
• Derecho internacional humanitario
• Derecho internacional de los derechos humanos
• Ciberataques en Estonia en 2007
• Stuxnet
• Virus informático

Referencias

1. Schmitt, Michael N., Ataque a redes informáticas y uso de la fuerza en el derecho internacional: reflexiones sobre un marco normativo (1999). Columbia Journal of Transnational Law, vol. 37, 1998-99. Disponible en SSRN: https://ssrn.com/abstract=1603800
2. Stuxnet, análisis de Schmitt y el debate sobre el "uso de la fuerza" cibernético.." The Free Library. 2012 National Defense University 08 de diciembre de 2016 https://www.thefreelibrary.com/Stuxnet%2c+Schmitt+Analysis%2c+and+the+cyber+%22use-of-force%22+debate.-a0328945066
3. Schmitt, Michael N., Cyber ​​Operations and the Jus in Bello: Key Issues (2 de marzo de 2011). Naval War College International Law Studies, 2011. Disponible en SSRN: https://ssrn.com/abstract=1801176
4. Schmidt, Andreas. "Los ciberataques estonios". Los feroces conflictos de dominio en el ciberespacio 2012 (1986): 1986-2012.
5. Waxman, Matthew C., Ataques cibernéticos y uso de la fuerza: regreso al futuro del artículo 2(4) (16 de marzo de 2011). Yale Journal of International Law, vol. 36, 2011. Disponible en SSRN: https://ssrn.com/abstract=1674565 o https://dx.doi.org/10.2139/ssrn.1674565
6. Papanastasiou, Afroditi, Aplicación del derecho internacional en operaciones de guerra cibernética (8 de septiembre de 2010). Disponible en SSRN: https://ssrn.com/abstract=1673785 o https://dx.doi.org/10.2139/ssrn.1673785
7. "Ataque cibernético 'apuntaba a Irán': los expertos afirman que un software malicioso descubierto en sistemas de todo el mundo podría haber sido diseñado para atacar el reactor de Bushehr". Al Jazeera English . 2010-09-24. Archivado desde el original el 2012-07-08 . Consultado el 2021-03-08 .{{cite web}}: CS1 maint: URL no apta ( enlace )
8. Scott J. Shackelford, De la guerra nuclear a la guerra en la red: analogía de los ciberataques en el derecho internacional, 27 Berkeley J. Int'l Law. 192 (2009). Disponible en: http://scholarship.law.berkeley.edu/bjil/vol27/iss1/7
9. Vossen, Celine, Ataques cibernéticos bajo la Carta de las Naciones Unidas. Reflexiones críticas sobre el razonamiento consecuencialista. (11 de agosto de 2014). Disponible en SSRN: https://ssrn.com/abstract=2594675 o https://dx.doi.org/10.2139/ssrn.2594675
10. Michael, JB; Wingfield, TC; Wijesekera, D. (2003). "Respuestas medidas a ataques cibernéticos utilizando el análisis de Schmitt: un estudio de caso de escenarios de ataque para un sistema intensivo en software". Actas de la 27.ª Conferencia Anual Internacional de Aplicaciones y Software Informático. COMPAC 2003. págs. 622–626. CiteSeerX 10.1.1.111.4082 . doi :10.1109/CMPSAC.2003.1245406. ISBN.  978-0-7695-2020-9. Número de identificación del sujeto  23277767.