Air & Space Power Journal - Español Segundo Trimestre 2001
Document created: 17 July 01

El Ciberderecho de la Guerra
de Información (IW)

Implicaciones Legales de la IW

Mayor David J. DiCenso, USAF (Ret)

¿Deben las técnicas de la guerra de información ser consideradas como armas o como otro instrumento de política exterior? En este artículo se investigan los tratados y leyes que rigen la guerra desde la perspectiva de la guerra de información. ¿Prohíben dichos tratados y derechos penales la gran mayoría de las técnicas más eficaces que el uso de la tecnología permite, especialmente en tiempo de paz?

En general, muchos de los parámetros legales de la guerra de información (IW) aún son ambiguos. Dicha incertidumbre sólo puede resolverse por medio de una discusión franca y abierta con respecto a qué lugar ocupan las operaciones de la guerra de información en la política exterior, en las relaciones internacionales y en el ambiente de derecho internacional. El problema radica en que un país o un actor puede aprovecharse de las ambigüedades que existen y nos obligan a intentar resolver dichas cuestiones mucho antes de estar preparados para siquiera lidiar con ellas. Este artículo es un paso discreto para sugerir un paradigma de análisis de dichas cuestiones antes de que nos encontremos en la situación proverbial de acorralados y obligados a escoger entre ninguna reacción y una reacción al estilo vigilante.

¿Qué es la "Guerra de
Información"?

Si bien parece claro a primera vista, el término guerra de información significa cosas diferentes para personas diferentes. Hay poco acuerdo con respecto a una definición aceptable. Guerra de información, guerra en modo de ataque y en modo defensivo, guerra electrónica, ciberguerra, manera cibernética de guerrear, "soft war" (guerra suave), guerra de hackers y guerra de baja intensidad son apenas algunos términos que se usan en los círculos de guerra de información para describir la misma idea general.1

Sun Tzu consideró la guerra de información como aquella que incluía todos los elementos necesarios para vencer sin combatir. El aconsejaba "evaluar sus adversarios, hacer que ellos pierdan espíritu y dirección de manera que, incluso si el ejército adversario está intacto, que sea inútil".2 Esto sugiere que el alcance de la guerra de información ha sido, desde el más remoto inicio, exhaustivo y abarca todos los aspectos del uso de la información que permiten la guerra sin batallas. Esto parece incluir las nociones modernas de inteligencia humana (HUMINT), inteligencia electrónica (ELINT), inteligencia de comunicaciones (COMINT), operaciones sicológicas (PSYOP) y todos los demás métodos de recopilar y afectar información que puede usarse para la ventaja de un país o en detrimento de otro durante un conflicto.

El General Ronald R. Fogleman, ex-Jefe de Estado Mayor de la Fuerza Aérea, se refirió a la explosión de información y a la proliferación del interés por las operaciones de información como la "quinta dimensión de la guerra".3 El se refiere a la tierra, al mar, al aire y al espacio como las primeras cuatro dimensiones.4 Caracterizó la guerra de información como "cualquier acción para impedir, explotar, corromper o destruir las informaciones del enemigo y sus funciones; protegernos contra dichas acciones; y aprovechar nuestras propias funciones militares de información".5

Alvin y Heidi Toffler estuvieron entre los primeros que trataron de manera significativa la moderna explosión de información y su impacto en la sociedad. Ellos hablan de nuestro próximo conflicto como si fuera una "anti-guerra". Caracterizan la revolución de información que ocurre últimamente como la "era de la información", en sentido muy parecido a la existencia de una era agrícola y de una era industrial.6 Reconocen que el conocimiento es "el recurso central para la destrucción, del mismo modo que es el recurso central para la producción.7 Las anti-guerras del mañana se tratarán acerca del conocimiento".8 La opinión de los Toffler sugiere que la envergadura de la guerra de información abarca todo, incluso todas las formas de conocimiento.

La National Defense University (NDU) define la guerra de información como el "uso agresivo de los medios de información para conseguir los objetivos nacionales…la secuencia de acciones emprendidas por todos los participantes de un conflicto para destruir, degradar o sacarle ventaja a los sistemas de información de sus adversarios…" Y esto incluye, además, las acciones cuya intención es la de proteger los sistemas en contra de acciones hostiles.9 El Information Warfare Center (Centro de Guerra de Información), en la Base Aérea Kelly, Texas, reúne una red amplia en su definición de guerra de información. Su opinión es que la guerra de información es "considerada, de manera amplia, como el uso de computadoras, satélites, teléfonos y otros sistemas para dañar, destruir, degradar y sacarle ventaja a los sistemas de mando y control (y otros) de un adversario o posible adversario, y el uso de dichas técnicas para impedir que un enemigo o enemigo potencial tenga la capacidad de dañar, destruir, degradar, aprovecharse de o interferir con sistemas similares poseídos y usados por Estados Unidos".10

Esta opinión, y una noción industrial o comercial de "garantía de información", o métodos defensivos para proteger los recursos de información son, probablemente, las mejores conceptualizaciones que podemos adoptar para describir el ambiente de información específicamente militar relevante a esas cuestiones que siguen. Esta es la posición que es adoptada en el resto de este artículo. No obstante, IW es, generalmente, mucho más amplia en alcance que aquellos aspectos orientados hacia la tecnología, que son relevantes aquí.

¿Qué Puede Hacer
Legítimamente Estados Unidos?

La respuesta a esta pregunta exige una búsqueda exhaustiva de orientación. El derecho espacial, de las telecomunicaciones, internacional, penal y del conflicto armado (LOAC) aplican hasta cierto grado. Es necesario examinar dichas fuentes como un cuerpo íntegro de leyes para derivar una estructura válida y eficaz para resolver dicha cuestión.

La ley obliga a la nación que la creó pero, por lo regular, no obliga a otras naciones. El cumplimiento de la ley puede ser impuesto por el sistema del tribunal del país que tiene jurisdicción sobre el incumplimiento. Los tratados son acuerdos entre naciones que tratan sobre cuestiones que tendrán algún tipo de impacto mutuo entre ellas. Los tratados son, esencialmente, contratos entre naciones y obligan sólo a los países signatarios. El derecho consuetudinario son aquellas reglas no escritas mediante las cuales las naciones obran recíprocamente. Los tratados y el derecho consuetudinario son puestos en vigor de varias maneras a través de la Corte Internacional de Justicia (ICJ), las leyes del país, el arbitraje o el proceso político intrincado, por ejemplo.

¿Aplica la Carta de las Naciones
Unidas a la Guerra de Información?

El primer tratado en que se piensa cuando se tratan cuestiones y conflictos internacionales es la Carta de las Naciones Unidas. Lamentablemente, fue redactada desde el punto de vista de agresión armada, no de guerra de información. La Carta dispone en cuanto a las relaciones entre las naciones en actividades multinacionales conjuntas de diversos tipos, no sólo en tiempo de guerra.11 El Artículo 2(4) de la Carta indica que "todos los miembros se abstendrán…de usar la fuerza o la amenaza en contra de la integridad territorial o la independencia política de cualquier estado". Dos casos juzgados por la ICJ, el caso del Canal de Corfú y el caso de Nicaragua,12 indican que el Artículo 2(4) de la Carta de las Naciones Unidas es violado siempre que un país recurre a la agresión en un intento de forzar a otro país a practicar una acción específica. Esta es una codificación de las relaciones internacionales que refleja un concepto que transciende los tratados—la manifestación de la noción fundamental de soberanía. Dicho concepto antiquísimo permanece tan fuerte como siempre, orientando el curso de las relaciones internacionales al igual que la política tanto interna como exterior. Dicho concepto es un punto de partida fundamental para cualquier análisis de cuestiones de derecho internacional.

¿Aplica el Derecho Espacial al
Ciberespacio?

Esta pregunta es fácil de responder en términos tradicionales de un abogado: Depende. Resulta peligroso simplemente igualar el espacio exterior con el ciberespacio. Si bien algunas personas pueden poseer el concepto de que ambos son espacios libres, sin fronteras territoriales, ese enfoque puede enredarse con diversas leyes, tratados y costumbres. Indistintamente de la interpretación que se tenga con respecto al ciberespacio, la relación básica es clara: Una persona está usando una computadora en un lugar determinado para ocasionar un impacto negativo en otro individuo u organización en otro lugar. Por mucho tiempo las telecomunicaciones han sido consideradas como un medio, no como una localidad. Este análisis tradicional contempla el uso de las computadoras para la "guerra de información" como, simplemente, el uso de un sistema de comunicaciones más avanzado".13

Los tratados relacionados con el espacio (derecho espacial) que son apropiados en este contexto son el Tratado del Espacio Exterior, el Tratado de la Luna y la Convención de Responsabilidad. Estados Unidos ha ratificado cada uno de dichos tratados. Todos comparten un principio común subyacente, si bien no siempre se ha expresado claramente: El uso del espacio estará limitado para fines pacíficos.14 Esto fue reconocido por Estados Unidos en el National Air and Space Act (NASA), de 1958, enmendado,15 y en el 42 USC 2451, en el que "el Congreso, por medio de este instrumento, declara que es la política de Estados Unidos que las actividades en el espacio deben ser dedicadas para fines pacíficos para el beneficio de la humanidad".16 Esto disminuye, claramente, el potencial del uso irrestricto del espacio para fines hostiles. En el Tratado del Espacio Exterior se indica que las partes están de acuerdo con "no colocar en órbita en torno a la Tierra cualquier objeto que lleve armas nucleares o cualquier otro tipo de armas de destrucción en masa" (énfasis agregado).17 El texto en letras cursivas de este pasaje indica la ambigüedad del tratado.

¿En qué consiste una "arma de destrucción en masa"? Esto se refiere, generalmente, a las armas nucleares, biológicas o químicas. Cuando este tratado fue redactado en 1967, los que lo redactaron probablemente no previeron la intensificación del poder de la computadora y las capacidades de la ciberguerra. Algunos han interpretado que dicho tratado significa que no incluye equipo de comunicaciones que podría transferir datos entre dos o más puntos terrestres y, por ende, está excluido por una lectura "estricta" del tratado.18 Dicha interpretación, si bien es exacta legalmente, omite necesariamente la consideración práctica de la devastación que la corrupción o manipulación de la información podría ocasionar a los integrantes de una nación víctima. ¿Cómo podría alguien sustentar que el desconectar las redes de servicios públicos, los sistemas de transporte y los sistemas bancarios no constituye una "destrucción en masa"? Según el uso convencional de la frase, tal como se discutió anteriormente, esto simplemente no califica desde el punto de vista legal. ¿Debería? Parece que si el satélite lleva equipo de comunicación que es parte íntegra de un sistema mayor que, de hecho, ocasiona o precipita la "destrucción en masa" del enemigo, entonces el satélite está, sin duda, transportando un componente vital de un sistema de armamento en general.

Esto exige la definición de "sistema de armamento". Al respecto, el Cuerpo de Infantería de Marina de Estados Unidos parece ser progresivo. Ellos no observan el aspecto físico de un ítem, sino el uso que se pretende de él.19 Por lo tanto, si un equipo de comunicaciones vía satélite fue hecho con la intención de usarlo para fines ofensivos, o de guerra en el "modo de ataque", éste exigiría el mismo tipo de revisión que cualquier otro sistema de armamento antes de su adquisición. Para fines prácticos, dicho enfoque parece colocar unilateralmente el equipo de comunicaciones creado para la IW, claramente dentro de la definición del tratado. No obstante, esta no es una cuestión firme.

¿Qué quiere decir el Tratado del Espacio Exterior cuando prohíbe los satélites que "llevan" armas? Algunas personas argumentarían que los satélites no son realmente armas, ya que simplemente transfieren información. Como meros retransmisores del "arma" de la guerra de información, el retransmisor de comunicaciones no sería, en sí o de por sí, un arma sujeta al tratado.20 Nuevamente, esta opinión técnica no considera el sistema esencial de retransmisión como parte del arma total. Una computadora personal aislada no es capaz de un ataque a la infraestructura de una nación, pero, cuando es combinada con satélites de comunicaciones capaces la influencia de la computadora ante una nación en una zona distante del planeta, ¿acaso no se ha convertido el equipo de comunicaciones a bordo de un satélite en parte de una "arma" de información? Esto puede ser apenas un argumento semántico o filosófico, pero ilustra la ambigüedad del tratado.

El Tratado del Espacio Exterior no es el único jugador en el campo. El Acuerdo que Regula las Actividades de los Estados en la Luna y Otros Cuerpos Celestiales (el Tratado de la Luna) fue instituido en 1979. El mismo, prohíbe claramente el uso de la Luna como recurso militar. El desarrollo y la exploración de la Luna tienen que conducirse de manera pacífica. El tratado intenta garantizar que el uso y la exploración de la Luna no se conviertan en una zona de discordia internacional. Un equipo de comunicaciones con base en la Luna para fines de guerra de información parecería estar, sencillamente, prohibido. No obstante, Estados Unidos jamás ratificaría o firmaría dicho tratado. Si bien Estados Unidos no está obligado como país signatario, dichas provisiones deben ser consideradas antes de que se contemple cualquier sistema con base en la Luna, sino por otras razones, en beneficio de la armonía política y de la consistencia de nuestra política exterior.

A primera vista, la Convención sobre Responsabilidad Internacional por Daños Causados por Objetos Espaciales (octubre de 1973) parece relacionarse con el ciberespacio. Dicho tratado, comúnmente referido como "Tratado de Responsabilidad", exige que el estado que lanza pague por los daños causados por alguno de sus objetos espaciales, si el objeto causa daños a la superficie de la Tierra o a una aeronave en vuelo.21 Además, trata sobre los objetos espaciales "lanzados" por un estado, dando a entender la intención de aplicarlo a satélites, cohetes y otros vehículos espaciales tangibles.22 El tratado es lo suficientemente indefinido para que un estado "víctima", si fuese atacado o amenazado, pueda sustentar que el daño a la información terrestre es, con justicia, incluido en el lenguaje de dicho tratado. En vista de que los conceptos y capacidades envueltos en la IW son desarrollos muy recientes, un argumento para imponer la responsabilidad bajo los términos de ese tratado de décadas atrás, puede ser sumamente débil.

Si bien dichos tratados existen y pueden tener algún impacto sobre la guerra de información, proveen poca orientación significativa, si es que proveen alguna. No obstante, el reconocimiento de dichas consideraciones de derecho espacial es vital, no obstante, en la medida en que ellas pueden ser consideradas bastante parecidas a como un infante de marina considera la localización de minas en cuanto atraviesa un campo; no son necesariamente límites en el camino de nuestro progreso, sino, tienen el potencial de causar problemas legales internacionales explosivos y desastrosos si nos enredamos con sus disposiciones. El espacio exterior y el ciberespacio pueden parecer similares conceptualmente, pero los mecanismos legales de los que dependemos para resolver cuestiones legales en el espacio exterior fueron creados para resolver asuntos que, sencillamente, no existen en el ciberespacio. El derecho espacial fue instituido para resolver cuestiones que giran en torno a naves espaciales o el uso de cuerpos celestes. En términos simples, el derecho espacial no nos ayudará a resolver cualquiera de las cuestiones que enfrentamos actualmente en negociar el panorama legal del ciberespacio.

¿Aplica el Derecho de
Telecomunicaciones?

Los tratados conocidos como Acuerdo INTELSAT (Organización Internacional de Satélite de Comunicaciones) y Convenio INMARSAT (Satélite Internacional Marítimo) comprenden el cuerpo de derecho internacional de las telecomunicaciones que existe actualmente y se aplica a la guerra de información.

El INTELSAT de 1973 define, de manera amplia, las "telecomunicaciones".23 La intención del tratado es la de garantizar que un satélite sólo será usado para fines pacíficos. Dicha amplia prohibición incluye virtualmente todos los aspectos del tráfico de datos de guerra de información. Felizmente, también enuncia una posición con respecto a los sistemas de satélites que tengan un fin militar. "Dicho acuerdo no se aplicará al establecimiento, adquisición o utilización de instalaciones de segmentos espaciales aparte de las instalaciones de segmentos espaciales de INTELSAT exclusivamente para fines de seguridad nacional".24

En el Artículo 35 de la Convención Internacional de Telecomunicaciones de Málaga- Torremolinos (25 de octubre de 1973) se establece que "todas las estaciones, cualesquiera que sean sus fines, tienen que ser establecidas y operadas de tal manera que no causen interferencia nociva en los servicios de radio o las comunicaciones de otros Miembros. Por lo tanto, el tratado parece prohibir el uso de una estación de satélite para desorganizar o interferir, de algún modo, con las comunicaciones de otros Estados. Paradójicamente, en el Artículo 38 del mismo tratado se establece que "los Miembros conservan entera libertad con relación a las estaciones de radio militares de sus fuerzas terrestres, navales y aéreas". Por lo tanto, el tratado reconoce que, indudablemente, puede haber el uso militar de un sistema de satélites que, de otro modo, no estaría de acuerdo con las determinaciones anteriores del Artículo 35. No obstante, en vista de que el 95% de nuestro tráfico administrativo militar pasa por sistemas de comunicaciones civiles,25 hay que preguntar si éste es un sistema "militar" para los fines del Artículo 38, o si es un sistema "civil" que está protegido bajo el Artículo 35.

¿Por qué es relevante esa distinción "civil versus militar"? Cuando el INTELSAT se lee en combinación con la Convención Internacional de Telecomunicaciones de Málaga-Torremolinos, es claro que las fuerzas armadas no pueden usar satélites de comunicaciones civiles para imponer poder militar, pero pueden usar un sistema de satélites "militar" para ese fin. Los satélites militares de telecomunicaciones, expresamente excluidos del Tratado Internacional de Telecomunicaciones de Málaga-Torremolinos, pueden ser capaces de desorganizar o interferir con los sistemas de comunicaciones de otros países en el interés de la seguridad nacional, con los límites discutidos anteriormente. El carácter de los satélites de comunicaciones es, de hecho, críticamente importante.

En el Artículo 3(1) del INMARSAT (1976) se limita el uso del segmento espacial de INMARSAT para la mejora y facilitación de las comunicaciones marítimas. El tratado restringe el uso de los satélites propiedad de INMARSAT, o alquilados por él, para fines militares.26 La intención de INMARSAT es la de prohibir el uso de sistemas de satélites para fines militares que no sean las navegaciones o las comunicaciones rutinarias, similares a aquellas en que participaría, normalmente, un vehículo marítimo civil.27 En general, el interés más esencial en materia de comunicaciones parece ser la preservación de la tradición de no interferencia.28

¿Cómo se Aplica el
Derecho Penal?

Con el World Wide Web expandiéndose de la manera que se está expandiendo, abundan las oportunidades para aquellos que tengan malas intenciones. La gran mayoría de los sistemas en el Internet son propiedad privada e impresionantemente vulnerables a un ciberataque por una persona técnicamente competente con intenciones criminales. El derecho penal constituye un área importante y relevante para ser considerada cuando se evalúa, de manera precisa, lo que podemos hacer legítimamente. El derecho es específico e incorpora numerosas consideraciones constitucionales, como el derecho del usuario a la privacidad y la protección del individuo contra allanamientos y secuestros.

A pesar de la impresión que se podría acumular de los medios de comunicaciones populares, existe, en realidad, un cuerpo substancial de derecho positivo que se aplica directamente al crimen con computadoras y a los hackers.29 Los crímenes con computadoras son delitos federales.30 Las computadoras del gobierno y las computadoras que son simplemente usadas por el gobierno o para el mismo son protegidas31, al igual que las computadoras que se usan "en las comunicaciones o comercio interestatal".32 Obviamente, toda computadora que tenga acceso a el Internet, probablemente caerá firmemente dentro de este estatuto. Alguien que, a sabiendas, ocasione la "transmisión de un programa, una información, un código o un comando y, como resultado de esa conducta, ocasione intencionalmente daños no autorizados a una computadora protegida, en el comercio interestatal, también comete un delito federal. (énfasis agregado).33

El Access Device Fraud Act protege las contraseñas de las computadoras. El uso de dispositivos para el acceso es prohibido y el uso de equipo que produzca instrumentos de acceso es, igualmente, prohibido.34 Además, en el Título 18 se provee la protección de contraseñas a las contraseñas que son obtenidas de maneras fraudulentas o robadas y que luego se pueden usar para que individuos no autorizados tengan acceso a computadoras para obtener, de manera criminal, cosas de valor.35

La interceptación no autorizada (o la divulgación intencional del contenido de una interceptación no autorizada) de las comunicaciones telegráficas, orales o electrónicas es prohibida por la ley federal.36 Hay varias excepciones, siendo la más notoria la que permite la interceptación si una de las partes en la conversación consiente.37 El sistema de legislación también determina la responsabilidad civil de la interceptación no autorizada de las comunicaciones.38

El acceso no autorizado a las comunicaciones almacenadas también es prohibido y produce una responsabilidad civil de quien haya obtenido ilegalmente dicho acceso.39 La ley federal también proscribe el acceso no autorizado intencional a una "instalación en la que se ofrecen servicios de comunicaciones electrónicas" si esa persona que tiene acceso "obtiene, altera o impide el acceso autorizado" a las comunicaciones mientras se encuentran almacenadas.40

Hay reglamentos federales que protegen los registros federales, la propiedad o el dinero público.41 Por lo tanto, los registros bancarios y de crédito están protegidos,42 al igual que las transferencias electrónicas de fondos que tienen que ver con el comercio interestatal o exterior.43 La ley prohíbe el fraude postal.44 Además, prohíbe el usar un terminal remoto o una computadora para practicar fraude en los puntos en que los mensajes cruzan las líneas estatales.45 En vista de que el prestar declaraciones falsas o fraudulentas a un departamento o agencia gubernamental es prohibido,46 un hacker que, de manera intencional y falsa, se representa electrónicamente como si fuese un usuario autorizado de un sistema de computación del gobierno puede estar violando la ley federal.

De especial interés para la comunidad de el Internet es el Privacy Protection Act de 1980.47 Este reglamento federal protege a los operadores de bulletin boards electrónicos (BBS). Sin embargo, los BBS pueden ser objeto de investigación, si el gobierno cumple con criterios específicos y cuenta con la autorización adecuada.48 La interceptación del e-mail (correo electrónico) está reglamentada por el derecho de telecomunicaciones existente. Es posible interceptar las comunicaciones y tener acceso a ellas si se cumple con los criterios establecidos por la ley, se cuenta con la autoridad adecuada para buscar o una orden judicial.49 ¿Por qué todos estos asuntos de derecho penal son importantes para ayudarnos a determinar qué pueden hacer legítimamente las fuerzas armadas? Hasta tanto la identidad del hacker sea conocida, tenemos que obedecer las leyes penales. Dichas leyes se aplican tanto al hacker como a nosotros. Sin embargo, una vez identificado el hacker, se pueden adoptar diferentes enfoques (esto se trata más adelante).

Las leyes con respecto al allanamiento y captura varían radicalmente de un país a otro, y el mayor problema que las autoridades responsables de la imposición de la ley encontrarán es el caos que parece surgir cuando el hacker se encuentra en un país extranjero, o viaja por el mismo electrónicamente. Por ejemplo, si bien reconocemos una excepción a las garantías de la Cuarta Enmienda, si hubiese la necesidad o "persecución" para aprender a un criminal,50 no todos los gobiernos reconocerían, o le darían importancia, a las excepciones en cuanto las garantías de las enmiendas constitucionales de Estados Unidos, cuando Estados Unidos busca entrometerse en sus sistemas sin autorización previa. Imagínese un hacker hipotético, situado en New York, que invadió una computadora en Francia por medio de un sistema comercial y, seguidamente, penetró una computadora del gobierno de Taiwán y, después, a través de una instalación militar china, de regreso a Corea del Sur o una instalación en Corea del Norte y, luego, al sistema de computadoras de las Fuerzas de Defensa Japonesas en Okinawa y, por último, de regreso a Estados Unidos, donde el hacker entra ilegalmente a una computadora de NASA. Considere la conmoción internacional si Corea del Norte y China considerasen que la persecución del hacker por parte del gobierno de Estados Unidos es una intrusión a sus sistemas de información militar. Suponga que ellos ven al hacker como un usuario normal y a la persona que está "persiguiéndolo" a través de sus sistemas como el hacker. Las ramificaciones políticas crecen considerablemente si, en un final, ellos deciden que ¡el hacker es un agente del gobierno de Estados Unidos o de un sistema de imposición de la ley! Esta es un área en que la política es, evidentemente, una preocupación de suma importancia y puede estar en desacuerdo con las inquietudes obvias de seguridad nacional.

En los casos de los Laboratorios Roma y de la Intrusión Argentina, los hackers viajaron electrónicamente pasando por países extranjeros antes de llegar a sus blancos. En ambos casos, el problema principal para identificar rápidamente al invasor fue obtener la cooperación de las agencias de la policía internacional y de los gobiernos involucrados.51 Recientemente, el Concilio de Europa acordó tratar dicha situación. Fue claro que los diversos países necesitaban trabajar juntos con respecto a estandarizar su proceso penal. Luego de evaluar los problemas pertinentes, el Concilio recomendó que "el poder para extender una búsqueda a otros sistemas de computadoras también debe aplicarse cuando el sistema está situado en una jurisdicción extranjera, siempre que se exija dicha acción inmediata. A fin de evitar posibles violaciones a la soberanía o derecho internacional, se debe establecer una base legal sin ambigüedades para dicha extensión de búsqueda y arresto".52

Por lo regular, la investigación de delitos federales por computadoras en Estados Unidos está contemplada en la jurisdicción del Buró Federal de Investigaciones (FBI). Si una fuente extranjera fuese identificada, la Agencia Central de Inteligencia (CIA) se involucraría. El Servicio Secreto es la oficina de responsabilidad principal cuando la intrusión tiene implicaciones financieras. Si bien la Agencia de Sistemas de Información del Departamento de Defensa (DISA) trata las violaciones a la seguridad de los sistemas de computadoras militares, la Oficina de Investigaciones Especiales de la Fuerza Aérea (AFOSI) es considerada el líder en elaborar estrategias de investigación y, por lo regular, se le concede un gran margen de libertad para investigar incidentes que involucran a las computadoras de la Fuerza Aérea.

Parece que va haber alguna iniciativa internacional para resolver la incompatibilidad en cuanto al derecho penal, en algún futuro próximo. Hasta tanto eso suceda, el mejor modo para que los agentes del cumplimiento de la ley rastreen los hackers a través de diversas jurisdicciones es por medio de la estrecha cooperación con los investigadores en los países anfitriones y estrictamente acatando las leyes de dichos países. Este enfoque no es, especialmente, rápido o eficaz, pero respeta el importantísimo concepto de la soberanía nacional y no produce ramificaciones adversas en la política internacional.

La Ley del Conflicto Armado
(LOAC)

Gran parte de nuestro derecho internacional es, apenas, un reconocimiento del "derecho consuetudinario" de los países. Algunos se han codificado en tratados, mientras que otros continúan siendo simples manifestaciones de práctica internacional aceptada por la tradición.53 Las reglas que gobiernan la conducta de las naciones y de los combatientes durante hostilidades son conocidas colectivamente como la Ley del Conflicto Armado (LOAC). LOAC es, simplemente, esa parte del derecho internacional que representa un intento de reglamentar la conducta durante hostilidades armadas de manera que sea práctica (de modo que no impida que se combata una guerra) pero que, no obstante, minimice su salvajismo. Indistintamente que la guerra sea trabada en los campos de batalla enlodados de Verdun, por tropas de infantería que sufren de neurosis de guerra, o en un campo de batalla high-tech en el ciberespacio, las reglas y los principios generales de la LOAC continúan siendo aplicables.

Las convenciones primordiales que codificaron los conceptos de los principios de combate en la guerra se encuentran en varias Convenciones de La Haya y de Ginebra.54 Básicamente, las Convenciones de La Haya pueden considerarse de naturaleza "ofensiva", mientras que las Convenciones de Ginebra, que tienen que ver con el trato de los enfermos, los heridos y los prisioneros de guerra, pueden ser consideradas, colectivamente, tan sólo provisiones "defensivas". Dichas Convenciones son, hoy en día, el núcleo de las LOAC.55

El objetivo primordial de dichas Convenciones es el de garantizar que las hostilidades sean dirigidas a derrotar las fuerzas enemigas, no a herir civiles inocentes u otros no-combatientes. La LOAC es un intento de proteger a todos, combatientes o no, del sufrimiento innecesario, del salvajismo y de la brutalidad que acompañan al conflicto armado. Es un método de facilitar la restauración de la paz luego de la conclusión de las hostilidades armadas.

La LOAC se caracteriza por tener, como principios fundamentales, la necesidad militar, la humanidad, la proporcionalidad y el caballerismo. Dichos principios fundamentales se usan como guía para interpretar el LOAC y para llegar a una conclusión adecuada cuando circunstancias específicas no se ajustan especialmente a los parámetros de las reglas actuales.56

La LOAC le otorga a los combatientes ciertos derechos y privilegios cuando son heridos o capturados en tiempo de guerra, y proscribe ciertas actividades ofensivas. La Convención con Respecto a los Prisioneros de Guerra identifica a las "personas protegidas" por la LOAC.57 Generalmente, los civiles que acompañan una fuerza armada y que no participan en actos de guerra, como los representantes de los medios de comunicación, contratistas, personal del servicio civil y así por el estilo, son considerados "servicios auxiliares" y tienen derecho al status de prisionero de guerra (POW) si fuesen capturados. Si una de dichas personas participa en un acto de hostilidad, dicho individuo sería considerado "un combatiente ilegal" y podría ser castigado bajo las leyes del capturador.58 Los espías no reciben ningún trato especial de la LOAC y son castigados según las leyes del país que los captura.59

Las convenciones y las tradiciones parecen ser claras y fáciles de entender, pero, cuando se aplican a la guerra de información se tornan difíciles de administrar. Hasta la fecha, las reglas y las leyes se referían a fronteras soberanas y la invasión física de dichas fronteras por beligerantes armados. En el ciberespacio no hay fronteras. El panorama es el de un terreno continuo de conexiones de redes entre sistemas de computadoras civiles y militares que interactúan rápidamente, sin tomar en cuenta las líneas artificiales del mapa que designa las fronteras internacionales. La amenaza proviene de los técnicos en computación que pueden ser capaces de inhabilitar sistemas bancarios, redes eléctricas, sistemas de control de tráfico aéreo y equipos de comunicaciones. ¿En qué punto dichas acciones se tornan lo suficientemente serias para que el país víctima de ellas reaccione con una fuerza? ¿Qué constituye un acto de guerra en el ciberespacio? ¿Acaso una computadora personal o un sistema Unix es una arma? ¿Es considerado un "ataque" la actividad hacker por el sistema de comunicaciones de una país hostil?

La Air Force Policy Directive (AFPD) 51-4, Compliance with the Law of Armed Conflict (Cumplimiento con la LOAC), párrafo 2, exige que el personal de la Fuerza Aérea acate las reglas "durante el conflicto armado". La AFPD define conflicto armado60 como una situación en que por lo menos un Estado ha comenzado a usar la fuerza armada. No obstante, no hay orientación con respecto a qué constituye legalmente una "fuerza armada". Lógicamente, para usar la fuerza armada es preciso utilizar un arma de algún tipo. La Air Force Instruction (AFI) 51-402, Weapons Review, de mayo de 1994, indica que los sistemas de computadoras, probablemente, no serían considerados armas. "Las armas son instrumentos destinados a matar, herir o incapacitar personas o a damnificar o destruir propiedades. Las armas incluyen...instrumentos de guerra electrónica".61 Si bien la computadora en sí no sería, por lo tanto, considerada una "arma", podría, de hecho, ocasionar daños substanciales a la capacidad de guerrear del enemigo.62

Ninguna de dichas cuestiones ha sido, aún, resuelta. No es de sorprender que la LOAC no está actualizada con respecto a la IW. Durante la Primera Guerra Mundial, no existían provisiones relativas a la guerra aérea; fue necesario que los principios se elaborasen de las reglas existentes que regían la guerra terrestre y el bombardeo naval. Apenas después de ver los resultados de aplicar las reglas de guerra terrestre al bombardeo es que surgió la idea de elaborar un código diseñado específicamente para tratar la guerra aérea.63 La LOAC es dinámica y evoluciona junto con las nuevas tecnologías y las nuevas capacidades de guerrear de diversos países.

Si bien se puede hacer daño a las capacidades de un país, no estamos autorizados a sugerir que una computadora es un arma o una operación de información como un "acto de guerra". Por supuesto, si un país hostil define el acto de guerra con base en los daños ocasionados o el potencial de daños, en lugar de la naturaleza del instrumento usado para practicar el acto, el análisis sería muy diferente. A pesar que esta opinión tal vez no favorezca al país que domine la tecnología de punta, es la conclusión más lógica. Si de la operación de IW resulta la muerte y la destrucción, probablemente se permita una respuesta armada por parte del país víctima. Si tuviésemos que ocasionar el paro de las redes eléctricas en un país extranjero, esto podría ocasionar tumultos civiles; los hospitales podrían tener bajas imprevistas por las fallas en los sistemas de apoyo de vida u otros que dependiesen de la red de energía eléctrica para fines de salud pública; el tráfico en las ciudades más importantes podría verse interrumpido, llevando a una catástrofe económica cuando los trabajadores no pudiesen llegar a sus lugares de trabajo; y el sistema financiero podría ser inhabilitado. Las repercusiones adversas potenciales podrían ser notablemente espectaculares. Sería difícil, sin duda, convencer al país víctima que dicha explotación intencional de su vulnerabilidad por un país hostil no es un acto de guerra. Si incluso perturbaciones poco importantes pueden producir explosiones y desórdenes violentos,64 imagínese las repercusiones de la manipulación intencional y estratégica de los sistemas de la infraestructura de un país. La represalia militar por el país víctima debe ser una consecuencia a esperar de un ataque electrónico de ese tipo.

Aplicación Defensiva de la
LOAC a la Guerra de Información

Desde el punto de vista defensivo, no parece haber ninguna cuestión de gran significado legal. Una nación puede proteger sus informaciones o sistemas por el modo que prefiera, siempre que no produzca un impacto negativo en otra nación o en los sistemas de comunicación de otra nación. Temas tales como el lenguaje cifrado, y otros aspectos de la criptografía, están actualmente despertando gran interés, pero, en este momento, los temas de interés parecen ser los de política y estrategia, no de derecho. Desde el punto de vista ofensivo, la naturaleza del problema es bien diferente.

Aplicación Ofensiva de la
LOAC a la Guerra de Información

¿Cuáles son algunas de las posibilidades ofensivas? ¿Podríamos anexar una "bomba lógica" a las informaciones del DOD, de manera que el hacker que obtuviese dicha información se encontrara con una "bomba" que destruyera su sistema de computación? ¿Podríamos participar en "defensa activa", en que enviásemos intencionalmente un código destructivo a su máquina una vez percibida y confirmada la penetración no autorizada al sistema del DOD? ¿Podríamos enviarle un "gusano" (worm) para infectar o deshabilitar su sistema?

No podemos hacer ninguna de esas cosas. Sin identificar al infiltrado, no podemos siquiera determinar si es o no una cuestión de seguridad nacional. La nueva enmienda al Computer Fraud and Abuse Act del 18 USC 1030(a)(5), prohíbe la destrucción intencional de datos en las computadoras, sin distinción de si la persona "atacada" era originalmente alguien con acceso autorizado o no. Dicha actividad es un delito federal. Además, si el atacante se abrió camino a través de diversos sistemas diferentes antes de "atacar" la computadora del DOD, y, en respuesta, le enviamos un código destructivo a él, hay la posibilidad de que todos los sistemas a lo largo del camino sean también damnificados o contaminados. Eso podría ser desastroso si estuviésemos utilizando una computadora del gobierno u obteniendo información por medio de otra computadora del gobierno. Pero, ¿qué sucedería si el hacker fuese un adolescente usando una computadora de su padre, civil, en el lugar donde su padre tiene sus negocios, fuera de casa, como, por ejemplo, en el consultorio de un dentista, o en la oficina de un contador, abogado u otro profesional? Arrasar con el sistema de computación con datos de clientes almacenados ahí podría tener consecuencias no previstas, posiblemente muy costosas. ¿Cómo podría la reacción rápida garantizar que los daños colaterales fuesen minimizados o, por lo menos, tomados en consideración? Parece no haber una manera eficaz de tomar defensas "activas" que fuesen aceptables, ya sea legal, conceptual o prácticamente. El tratamiento preferible puede ser el uso de señales adicionales (que se alteren a sí mismas) y una codificación avanzada, o incluso, diversos niveles de codificación, de ser necesario.65

Parece que ahora está en boga la discusión de los actos de guerra en los círculos de la guerra de información. Incluso una reflexión poco cuidadosa en este punto llevaría a la conclusión de que es una "idea singularmente imprecisa y sin utilidad" que se tornó anticuada hace medio siglo.66 El conflicto es un proceso de intensificación. Si un país participa en una conducta hostil de algún tipo, entonces, la nación afectada de manera adversa probablemente respondería de manera "ofensiva". Esto no es una progresión por etapas distintas, sino un continuo en que los actos de hostilidad se tornan cada vez más serios. Difícilmente habrá un punto en que podamos identificar el místico acto de guerra. Las inquietudes internacionales, tanto en la perspectiva política como en la legal, siempre tienen que ser consideradas en todo momento en que una nación busque involucrarse en actividades hostiles que puedan causar sufrimiento a otra nación. Los actos hostiles fueron usados por cientos de años para exhortar a un país a cumplir con una demanda en particular de otro país. Un bloqueo naval constituye un ejemplo antiquísimo de un "acto hostil" planificado para dirigir y controlar las acciones de otra nación. Los embargos y los bloqueos económicos son, también, actos hostiles con impactos internacionales adversos y concomitantes. Históricamente, ambos han sido considerados como actos hostiles, pero no necesariamente como actos de guerra.

¿Hay algún paralelo electrónico entre un embargo económico y un embargo de información? El aislamiento en términos de información ¿es una contraparte equivalente al bloqueo naval de años anteriores? Dichas actividades ocurren fuera de las fronteras de un país, ya sea un bloqueo físico o electrónico. Un bloqueo no es un acto de infiltración, como lo sería un ataque. El bloqueo electrónico crearía un aislamiento similar, sólo que aplicaría a las redes electrónicas del país. En ese escenario, un embargo o bloqueo electrónico estaría (y debería estar) sujeto, precisamente, a las mismas consideraciones políticas y estratégicas que se aplicaban a sus contrapartes del siglo XVIII.67 Las actividades hostiles de baja intensidad de tipos como ese no son nuevas, sólo el medio cambió en tamaño, alcance y complejidad de las coordenadas físicas al ciberespacio.

La guerra de información ofensiva usando tecnología de información debe ser vista como una intensificación de hostilidades, en lugar de un acto de guerra. Este enfoque de sentido común reflejaría mejor la realidad de la política en las relaciones internacionales. La intensificación de hostilidades puede llegar al punto en que un daño físico real puede ser inequívocamente aplicable. Ejemplo de ello constituye el bombardeo de una discoteca, en 1986, en Alemania, por terroristas libios patrocinados por el Estado. Nuestra respuesta fue el bombardeo de diversos lugares militares en Libia, incluso el Aeropuerto de Trípoli, las instalaciones militares de Aziziya, una base naval o aeródromo, y el puerto de Bengasi.68 Esta reacción de Estados Unidos estaba bien dentro de los parámetros de comportamiento aceptables de una nación según la LOAC.

Si el uso ofensivo de las computadoras para interrumpir, alterar, interferir o impedir el uso de un sistema de computación e información del enemigo no es equivalente a un conflicto armado, entonces (se puede argumentar), la LOAC no se aplica al modo ofensivo de la intervención por computadora de los sistemas de otro país.69 Parece que ésta es una interpretación problemática de la aplicabilidad de la LOAC a la ciberguerra. Ello dejaría las puertas abiertas al uso ofensivo de computadoras, sin ningún tipo de frenos a ese uso, y sugiere que los principios tratados anteriormente no se aplicarían en la ausencia de un conflicto armado.

Pareciera que numerosas actividades electrónicas tuviesen paralelos claros con las acciones "físicas" tradicionales que una nación pudiese realizar. Si se debiese simplemente igualar la acción electrónica con un acto físico de acuerdo con el daño físico causado, el análisis sería mucho menos problemático. En dichos casos, el análisis tradicional de la LOAC aplica.70 No obstante, propongo que, incluso en tiempos de paz, los principios que fundamentan la LOAC aplican en todo momento. La Ley del Conflicto Armado se aplica, obviamente, al conflicto "armado". Tradicionalmente, eso significaba una invasión o confrontación física. Desde el punto de vista conceptual, parece evidente que la guerra por computadoras debe ser regulada por las leyes tradicionales del conflicto armado, pero la terminología empleada en nuestras convenciones no se aplican con claridad. El descartar sin mayor cuidado la aplicabilidad de la LOAC, simplemente porque la LOAC no se aplica según la literatura estricta y literal de las convenciones, sería un enfoque simplista por una nación que se sintiese inclinada a aprovecharse de ese vacío. El peligro radica en que esa manera imprecisa (y, podría argumentarse, impropia) de leer las leyes funciona en ambos sentidos. La nación que busca aprovecharse de la vulnerabilidad de otra nación y sostiene que no se aplica la LOAC debería estar atenta al hecho de que puede ser víctima de un ciberataque por otra nación que piense de la misma manera. En tales circunstancias, la víctima indefensa del ataque, probablemente, cambiaría rápidamente sus definiciones y sustentaría una interpretación opuesta a la LOAC. Es imprescindible que dichas cuestiones se resuelvan cuanto antes para prohibir o inhibir el juego a que convidan dichas ambigüedades.

¿Viola una nación su neutralidad si las comunicaciones de una nación beligerante viajan por retransmisores de comunicaciones localizados físicamente dentro de las fronteras neutras? Las operaciones de guerra de información tienen la misma probabilidad de viajar por países neutros que tienen de viajar por otros, antes de llegar al blanco beligerante. Las telecomunicaciones por computadora viajan por el ciberespacio exactamente de la misma manera que el tráfico telefónico rutinario. Una sola comunicación telefónica puede viajar por diferentes conexiones. Parte de la conversación puede ocurrir a través de un conjunto de conexiones que, automáticamente, la desvían por otro camino, sin deshacer la conexión, mientras que permanece sin ser percibida por el usuario.71 No hay ninguna manera garantizada de saber exactamente qué camino el ataque de información seguirá por los sistemas internacionales de telecomunicaciones, en el proceso de alcanzar el blanco beligerante. Sin embargo, las intrusiones no intencionales de un estado beligerante en un sistema de comunicaciones de un país neutro no son consideradas violaciones a la LOAC, ni tampoco la nación neutra viola su neutralidad.72 Es claro que si una nación neutra le impidiese a una nación beligerante usar su sistema de retransmisiones telefónicas mientras que permite dicho uso por otra nación beligerante, entonces un análisis diferente aplicaría. Si el mismo sistema de comunicaciones está abierto a todos y el uso por los beligerantes no es intencional, entonces no hay amenaza al reclamo de neutralidad por parte del país neutro.

Jurisdicción e Investigaciones en
la Guerra de Información

Durante el conflicto de Vietnam, el Ejército de Estados Unidos fue llamado a responder a una variedad de explosiones violentas de protestas. El Ejército trabajó en combinación con los agentes locales de imposición de la ley y rápidamente descubrieron que las informaciones disponibles con relación a los adversarios potenciales era inadecuada. El US Army Intelligence Command (USAINTC), creó un "sistema nacional elaborado con el potencial de vigilar toda y cualquiera expresión política. Nadie era demasiado insignificante para ser vigilado, ninguna actividad o incidente, demasiado irrelevante para registrar".73

Aunque el DOD prohibió la recopilación de datos para la vigilancia civil en la década de los años 70 y exigió la destrucción de los informes que se habían recopilado,74 tanto la Cámara de Representantes como el Senado organizaron comisiones especiales para vigilar la recopilación de datos para la vigilancia militar y actuar en calidad de comisión supervisora.75 El Intelligence Oversight Committee actúa como un control en la capacidad militar de investigación agresiva y de construcción de bancos de datos.

La actividad IW secreta76 es reglamentada por la ley federal.77 El Presidente de Estados Unidos tiene que someter al Congreso un informe, por escrito, que explique detalladamente por qué las actividades de la política exterior de Estados Unidos exigen la acción secreta y por qué es importante para la seguridad nacional.78

Incluso la CIA tiene que obtener un Informe Presidencial antes de llevar a cabo operaciones de recopilación de información secretas en tiempo de paz.79 Es tarea del DOD responder a las necesidades de la CIA, presentadas por el director de la CIA. El DOD es la única agencia principal para las actividades de informaciones por señales por medio de la National Security Agency (NSA).80 El Departamento del Tesoro es responsable de recopilar información relacionada con asuntos financieros, información monetaria e información económica. El Departamento del Tesoro sólo está autorizado a recopilar información "pública".81 La recopilación de información pública es considerada una recopilación de datos en que el blanco de dicha recopilación está consciente que está dando informes a una agencia del gobierno que se dedica a la actividad de recopilación.82 El Departamento de Estado recopila información relevante para la política exterior de Estados Unidos. Como ocurre con el Departamento del Tesoro, el Departamento de Estado, por lo regular, se limita a recopilar sólo información pública.83

Todas las agencias del poder ejecutivo están prohibidas, de modo general, de participar en operaciones secretas a menos que obtengan la aprobación de la agencia y del procurador general. Incluso en ese caso, la actividad sólo puede realizarse como parte de una investigación legal del FBI cuando el blanco de vigilancia consta principalmente de personas cuya fidelidad es a una potencia extranjera y los investigadores tienen que creer, de manera razonable, que la organización o las personas que son el blanco de la investigación están actuando a favor de una potencia extranjera.84

La recopilación de información del exterior (datos con respecto a las capacidades, intenciones y actividades de países, organizaciones y personas extranjeras)85 es permisible en Estados Unidos y tiene que ser llevada a cabo por el FBI o por un organismo de inteligencia (con algunas prohibiciones) y no puede ser recopilada si el propósito es adquirir información acerca de las actividades de un individuo en el país. La recopilación de datos de inteligencia es permitida en investigaciones relacionadas con el terrorismo internacional o el tráfico internacional de drogas, de ser necesario, para proteger una persona u organización.86 La recopilación de información para proteger fuentes de inteligencia de Estados Unidos (o del exterior), o los métodos para recopilar dicha información, también es permisible.87

Al FBI se le permite recopilar información en Estados Unidos si los esfuerzos fuesen para proteger fuentes o metodología de inteligencia contra una divulgación no autorizada.88 Un organismo de inteligencia sólo puede recopilar información con respecto a sus empleados o contratistas.89 Además, puede recopilar información relacionada con personas que, en el pasado o en el presente, solicitaron empleo. Si el organismo de inteligencia es parte del organigrama de una agencia gubernamental, puede recopilar información con respecto a las personas que considere posibles fuentes o contactos. Dicha vigilancia se considera necesaria para establecer la credibilidad o conveniencia de que sean utilizados como contactos.90 El reconocimiento por satélites, no dirigido específicamente a personas de Estados Unidos, también es permitido, al igual que información acerca de investigaciones del personal de seguridad de personal o de comunicaciones.91 La información obtenida incidentalmente, que indica la participación en un delito, también es permitida.92 Por último, un organismo o sector autorizado puede obtener información si esto fuese "necesario para fines administrativos". Si bien esto parece un eufemismo de una autorización abierta al DOD, sería improbable que la National Security Authority (el presidente actuando por medio del secretario de defensa) aprobase una operación de ese tipo sin una razón administrativa válida y necesaria.94

El DOD no está exento de las reglas "civiles" normales que rigen la conducta de las operaciones de computadoras. Esto significa que no está exento de obedecer a la Constitución de Estados Unidos o las varias leyes penales federales, estatales o extranjeras. Las restricciones a las operaciones de recopilación de información tienen que cumplir con las restricciones impuestas a dicha actividad por las reglas del derecho penal, derecho penal extranjero y tratados internacionales. Para fines de guerra de información, dicha restricción es la más onerosa, según se estipula en la sección de derecho penal que se trató anteriormente en este artículo.

Conclusión

Mi paradigma para el análisis de dichas cuestiones incorpora un "incumplimiento" del derecho penal. Es decir, cualquier análisis con respecto a la defensa de información o de una actividad de hacker tiene que revisarse desde el punto de vista del derecho penal—por lo menos hasta que la fuente de intrusión se pueda identificar. No debemos actuar de cualquier manera que pueda dañar la computadora del invasor no autorizado o cualquier sistema intermediario, ya que no somos capaces, aún, de evaluar los riesgos de una acción afirmativa y agresiva contra la intrusión.95 Una vez que hayamos determinado la identidad del invasor desconocido o el origen de la intrusión, podemos establecer mejor quién debe responder y cómo. Exactamente cómo procedemos, a partir de ese punto, depende de la localización del hacker y de una evaluación de los daños colaterales posibles.

Si la intrusión se da por parte de un ciudadano de Estados Unidos o por un hacker militar, entonces la investigación y el recurso son encaminados por la agencia gubernamental adecuada, como el FBI, la CIA o el Servicio Secreto. Si el invasor no es un ciudadano, pero constituye una potencia extranjera, entonces el FBI o la CIA, con el apoyo del DOD, serán, probablemente, las agencias que resolverán la cuestión. Todo el derecho internacional, los tratados y el derecho penal, evidentemente, aplicarían.

No obstante, en tiempo de guerra, al DOD se le otorga amplia libertad de acción para llevar a cabo actividades de recopilación de información. En esas épocas de conflicto, la preocupación fundamental sería la seguridad nacional. Muchas de las costumbres y tratados internacionales son simplemente pasados por alto en tiempo de guerra, con algunas limitaciones (como lo es la permanencia de la Ley del Conflicto Armado). Si fuesen planificadas operaciones secretas en el interés de la seguridad nacional, entonces las reglas de derecho internacional no aplicarían estrictamente, ya que, posiblemente, no se consideraría procesar a los violadores. En ese punto, estaríamos más interesados en garantizar la seguridad nacional en vez de un futuro proceso penal contra los violadores. Es claro que dicho descuido de los acuerdos internacionales sólo sucederá cuando es determinado por los niveles máximos de gobierno y apenas después que las ramificaciones y repercusiones de dichas actividades hayan sido completamente examinadas. Esto evoluciona rápidamente para tornarse en una cuestión que recalca la dimensión política y se vale de motivaciones cuyas raíces están en la política nacional e internacional, no siendo necesariamente orientadas o restringidas por el derecho.

Si bien este cuadro analítico pareciera indefinido, la cuestión puede resolverse, siempre, valiéndose del incumplimiento al derecho penal. Una vez que se conozca la identidad del sistema invasor, seremos más capaces de evaluar las ventajas relativas de nuestras alternativas de respuesta. Si la invasión ocurre en tiempo de guerra, entonces las reglas por las cuales nos regimos estarían ligeramente alteradas para beneficiar los intereses de la seguridad nacional. Si se trata de operaciones secretas, entonces se aplicarían reglas completamente diferentes, como se mencionó anteriormente.

Las técnicas de la guerra de información son mejor consideradas como uno de los instrumentos de la política exterior, desde una perspectiva de la LOAC. El aspecto problemático de esta conclusión es que los tratados mencionados anteriormente y el derecho penal probablemente prohibirían el conjunto de técnicas más eficaces tecnológicamente, particularmente en tiempo de paz.

Hay aspectos del "ciberderecho" que aún no están claros. Dichas incertidumbres tienen que resolverse. Si una nación se aprovecha de las ambigüedades que existen, el tiempo para resolver dichas cuestiones puede llegar antes que estemos preparados para tratarlas. En esas circunstancias, es improbable que tengamos el resultado que sería para nuestro mejor interés. Estados Unidos debe tomar la iniciativa en dichas cuestiones y proveer una orientación y liderazgo que ayudaría a garantizar que las ambigüedades fuesen resueltas de manera apropiada y según los mejores intereses de Estados Unidos.

Fue claramente demostrado que no estamos dándole a la cuestión de la vulnerabilidad de los sistemas de computadoras una atención adecuada. Desde los sistemas desatendidos hasta los administradores de sistemas desatendidos, parecemos estar dejando pasivamente que los hackers, crackers y diversos invasores no autorizados logren sus metas. Tenemos que realzar la seguridad de nuestros sistemas y darle a los que participan en la operación de los mismos el reconocimiento y la capacitación que merecen. Comprendemos que nuestros sistemas son desoladoramente vulnerables y tenemos que actuar mucho más rápido de lo que parecemos estar actuando para corregir dicha situación lamentable.

A pesar de los problemas que hemos experimentado, Estados Unidos (especialmente las fuerzas armadas de Estados Unidos) parece estar cada vez más activo para adoptar acciones decisivas. Por más vulnerables que parezcamos ser, aún estamos a la vanguardia en el trato de la guerra de información y de las cuestiones globales del ciberespacio. El Concilio de Europa recomendó que estandarizáramos nuestros procesos penales para facilitar el seguimiento de hackers internacionales, y tenemos que tomar la iniciativa de influenciar adecuadamente la redacción e implementación de acuerdos internacionales eficaces, tan pronto como sea factible. Si bien otros países reconocen los problemas, parece que nosotros (Estados Unidos) continuamos siendo los líderes en el ámbito del ciberderecho y en el reconocimiento de su importancia en la era de información. El costo presente y futuro de perder nuestra posición de liderazgo en ese campo puede estar más allá de cualquier cálculo. Es imperativo que permanezcamos a la vanguardia, en garantizar la capacidad de respuesta, tanto de las leyes del país como de los acuerdos internacionales, y en las tecnologías emergentes en el mundo on-line. Tenemos la oportunidad de darle forma a la propia substancia del futuro del ciberderecho. Si no logramos hacerlo, tendremos que contentarnos con vivir según tratados y prácticas globales que tal vez no nos agraden del todo. No podemos darnos el lujo de perder esa oportunidad singular.

Notas

1. Donald E. Elam, “Attacking the Infrastructure: Exploring Potential Uses of Offensive Information Warfare”, (tésis de maestría, Naval Postgraduate School, Junio de 1996), 14

2. Sun Tzu, The Art of War, trad. Thomas Cleary (Boston, Mass.: Shambhala Publications, distribuída por Random House, 1988), 67.

3. Gen Ronald R. Fogleman, Jefe de Estado Mayor de la USAF, “Information Operations: The Fifth Dimension of Warfare”, observaciones presentadas a la Armed Forces Communications-Electronics Association, Washington, D.C., 25 de Abril de 1995, Defense Issues 10, núm. 47 (1995); 1-3.

4. Ibid.

5. Department of the Air Force, Cornerstones of Information Warfare (Washington, D.C.: Department of the Air Fiorce, 1995), 3-4.

6. Alvin y Heidi Toffler, War and Anti-War: Survival at the Dawn of the Twenty-First Century (New York: Warner Books, 1993).

7. Ibid, 71.

8. Ibid, 203.

9. Definitions for the Discipline of Warfare and Strategy (Washington D.C.: School of Information Warfare and Strategy, National Defense University, sin fecha), 37.

10. Col Richard A. McDonald, “Intelligence Law”, Department of the Air Force, resumen elaborado para el Air Force Information Warfare Center, 1.

11. En el Artículo 51 de la Carta de las Naciones Unidas se establece que “nada en la presente Carta debe impedir el derecho intrínseco de autodefensa individual o colectiva si ocurre un ataque armado contra un Miembro de las Naciones Unidas antes que el Consejo de Seguridad haya tomado las medidas necesarias para mantener la paz y la seguridad internacional” (énfasis añadido).

12. United Kingdom v. Albania, (1949), Tribunal Internacional de Justicia (ICJ) 4; y Nicaragua v. United States, (1986), ICJ 1.

13. Vea, por ejemplo, la Convención con Respecto a los Derechos y Deberes de las Potencias y las Personas Neutras en Caso de Guerra Terrestre, Artículo 8, La Haya, 8 de Octubre de 1907.

14. Vea, por ejemplo, el Tratado con Respecto a los Principios que Rigen las Actividades de Estados Unidos en la Exploración y Uso del Espacio Exterior, Incluso la Luna y Otros Cuerpos Celestes, 27 de Enero de 1967, United States Treaties and Other International Agreements (UST) (Washington, D.C.: US Government Printing Office, 1976), vol 18, 2410 (18 UST 2410), y United Nations Treaty Series (UNTS) (New York: Secretariat of the United Nations, (1970), vol. 610, 205 (610 UNTS 205), de aquí en adelante referido como el Tratado del Espacio Exterior. Vea, también, el Acuerdo entre los Estados Unidos de Norteamérica y la Unión de Repúblicas Socialistas Soviéticas con Respecto a la Cooperación de la Exploración y Uso del Espacio Exterior para Fines Pacíficos, Abril de 1987. Cabe notar que los tratados fomentan los fines pacíficos de las naciones signatarias, pero no las limitan a “sólo” fines pacíficos dejando, de ese modo, una ambigüedad para que una determinada nación explore el uso de potenciales que no sean pacíficos. Observe que el uso del verbo deber como término técnico dejas las puertas abiertas a las excepciones. Si dichas provisiones hubiesen sido planificadas para prohibir de manera absoluta el uso hostil del espacio, en cualquier circunstancia, los redactores estarían usando palabras como tendrá que o tiene que.

15. National Aeronautics and Space Act, de 1958, enmendado. Vea Public Law 85-568, 85th Congress; H.R. 12575, 20 de Julio de 1958: 72 Stat. 426.

16. Observe, una vez más, el uso de la palabra debe en lugar de tendrá que o tiene que.

17. Tratado del Espacio Exterior, Artículo IV.

18. Maj Richard W. Aldrich, "The International Legal Implications of Information Warfare" (estudio no publicado, US Air Force Academy, Institute for National Security Studies, Colorado Springs, Colo., Abril de 1996), 20.

19. Lt Col Gary Sharp, USMC, Joint Chiefs of Staff Legal Counsel´s Office, entrevista al autor, 9 de Julio de 1996.

20. Aldrich, 20.

21. Convención con Respecto a la Responsabilidad Internacional por Daños Causados por Objetos Espaciales, Octubre de 1973, 24 UST 2389: y Treaties and Other International Acts Series (TIAS) No. 7762, Article II (Washington, D.C.: US State Department, 1973), de aquí en adelante conocido como Tratado de Responsabilidad.

22. Ibid, Artículo IV.

23. Acuerdo Internacional de la Organización de los Satélites de Telecomunicaciones (INTELSAT), 20 de Agosto de 1971, Artículo I(j) (de aquí en adelante conocido como INTELSAT).

24. Ibid, Artículo XIV(g). Observe que el término segmento espacial es definido en el Artículo I (h). Las instalaciones del segmento espacial incluyen no sólo el satélite de comunicaciones en sí, sino, además, el equipo de mando y control afín necesario para controlar el satélite.

25. Col Philip Jonson, Headquarters USAF/JAI, "The International Legal Implications of Information Warfare", en Air Force Publication (AFP) 110-34, Commander´s Handbook on the Law of Armed Conflict: A Primer on Legal Issues in Information Warfare, Octubre de 1995.

26. Se puede argumentar que el uso agresivo de un sistema de comunicaciones por satélite INMARSAT, para proteger la seguridad de una nación, se califica como un "fin pacífico" o defensivo; este argumento aparente puede formularse, pero parece, en la mejor de las hipótesis, obviamente falso.

27. El contra argumento es que si el tráfico de comunicaciones militares "rutinarias" tuviese que pasar por los satélites en anticipación de una guerra, entonces el tratado aplicaría y se prohibiría dichas comunicaciones. No obstante, el argumento probablemente no es convincente porque si el tráfico que ellos pasasen fuese para fines de navegación, y no táctico, entonces las comunicaciones difícilmente podrían ser diferenciadas de las telecomunicaciones civiles.

28. Este sentimiento de no-interferencia en las comunicaciones se repite en la Convención de las Naciones con Respecto al Derecho del Mar, Artículo 109, que prohíbe las difusiones de ultramar para causar interferencia en las difusiones de radio costeras.

29. Para una discusión profunda de las investigaciones criminales y una aplicación más detalladas de las normas federales, vea "Legal Guide to Computer Crime", elaborado por la Office of the Staff Judge Advocate, Air Force Office of Special Investigations, por Lt Col John T. Soma, USAFR; Elizabeth A. Banker, Headquarters AFOSI/JA; y Alexander R. Smith, University of Denver College of Law (de aquí en adelante conocido como OSI Guide). También vea "Federal Guidelines for Searching and Seizing Computers", Julio de 1994, US Department of Justice Criminal Division y Scott C. Charney y Martha Stansell-Gamm del Computer Crime Unit (de aquí en adelante conocido como DOJ Guide). Ambas fuentes son excelentes recursos para una evaluación completa de la investigación y del proceso penal y fueron las fuentes de donde se obtuvo la mayor parte de las citas de derecho penal de este proyecto.

30. El Computer Fraud and Abuse Act, de 1986, y el Computer Abuse Amendments Act, de 1994 (18 USC 1030), tratan sobre delitos con el uso de computadoras.

31. 10 USC 1030(a)(3).

32. 10 USC 1030(a)(5).

33. 18 USC 1030(a)(5) (enmendado).

34. 18 USC 1029; y United States v. Fernandez, 1993, U.S. Dist. LEXIS 3590.

35. 18 USC 1030(6).

36. 18 USC 2511

37. 18 USC 2511 (2)(d).

38. 18 USC 2520.

39. 18 USC 2707.

40. 18 USC 2701(a).

41. 118 USC 641; y 18 USC 2071.

42. 18 U SC 1005-1006.

43. 15 USC 1963.

44. 18 USC 1341; y 18 USC 1343.

45. 18 USC 1341.

46. 18 USC 1001; y 18 USC 912.

47. 42 USC 2000

48. OSI Guide, 11; además, vea DOJ Guide, part V, section B.

49. OSI Guide, anexo 1.1.

50. Vea, por ejemplo, Warden v. Hayden, 387 U.S. 294 (1967).

51. Incidente del Laboratorio Roma: "En marzo y abril de 1994, un hacker británico conocido como ‘Datastream Cowboy’ y otro hacker llamado ‘Kuji’ (los hackers, por lo regular, usan apodos o aliases para esconder sus identidades reales) atacaron el sistema de computadoras del Laboratorio Roma más de 150 veces. Para dificultar aún más el poder rastrear sus ataques, los hackers se abrieron camino a través de conexiones telefónicas internacionales a un módem de computadora en Manhattan. Los dos hackers usaron técnicas bastante comunes, incluso el cargamento de ‘caballos de Troya’ y de programas ‘sniffer’ para penetrar en el sistema del laboratorio. Asumieron el control de la red del laboratorio, logrando desconectar 33 redes secundarias por varios días". La Fuerza Aérea no puede determinar si alguno de los ataques era una amenaza a la seguridad nacional, en el caso específico. Es muy posible que por lo menos uno de los hackers haya estado al servicio de un país extranjero interesado en obtener datos militares de investigaciones y descubrir exactamente en qué proyectos la Fuerza Aérea estaba trabajando en esa época. "Durante los ataques, los hackers robaron datos de investigaciones de carácter reservado de órdenes de operaciones de la Fuerza Aérea...(y) además lanzaron otros ataques desde los sistemas de computadoras del laboratorio, obteniendo acceso al sistema de Goddard Space Flight Center, de la NASA, de la Base Aérea Wright-Patterson y de los contratistas del Departamento de Defensa. El Datastream Cowboy, de 16 años, fue capturado el año pasado por Scotland Yard, y Kuji, de 21 años, fue capturado en junio de 1996. (Vea el testimonio de Jack L. Brock Jr., director, Defense Information and Financial Management Systems Accounting and Information Management Division, "Information Security: Computer Attacks at Department of Defense Pose Increasing Risks", GAO Committee on Governmental Affairs, U.S. Senate, Permanent Subcommittee on Investigations (GAO/T-AIMD-96-2), 3.

La Intrusión Argentina: En Agosto de 1995, intrusiones en el sistema de computadoras de la Armada de Estados Unidos fueron conectadas a un sistema de computadoras localizado en la Universidad de Harvard y, eventualmente, rastreadas de regreso a Argentina. Dicha investigación cruzó varias fronteras internacionales y exigió la cooperación, en cada paso, de autoridades en jurisdicciones diversas. Fue la primera autorización de búsqueda por interceptación de líneas telefónicas conforme al Título 3 que se haya expedido para un hacker cuya identidad no era conocida. El hacker, un estudiante universitario de 21 años, fue arrestado, finalmente, por las autoridades argentinas y, aparentemente, no creía que hubiese cometido ningún tipo de delito. El padre del hacker indicó que "estos Yankees no tienen ni la menor idea de lo que es la seguridad. ¿De quién es la culpa? No hemos hecho nada. Obviamente, los norteamericanos no entienden mucho de la seguridad de sus sistemas, si un chico de Sudamérica puede entrar en ellas. Yo me avergonzaría si tuviese que admitirlo [sic]." El mismo hacker se vanaglorió: "Usted puede entrar a las computadoras militares de Estados Unidos, de la NASA, un millón de lugares...yo entré en toda la defensa de la Armada de Estados Unidos...todos los submarinos..." y "pasé nueve meses adentro de esa computadora. Podía borrar todo, entrar en cualquier sector y borrar todo tipo de información. No lo hice porque no me interesaba hacerlo [sic]." ("Investigación de la Instrusión Argentina", presentación de la US Naval Criminal Investigative Service en el Intermediate Information Based Warfare Course (IB9604) de la School of Information Warfare and Strategy, 24 de Julio de 1996. Vea, también, Public Law 90-351, Title III (observe que se emitió la autorización para dicha búsqueda, pero, en vista de que no hubo un juicio, aún no ha sido sometido a prueba de los tribunales, en lo que se refiere a la jurisdicción competente para tratar la legalidad de dicha emisión. Simplemente porque fue emitida no significa, necesariamente, una garantía o una certificación de que esto fue llevado a cabo adecuadamente de acuerdo con la ley del país o internacional). Vea Austin American Statesman (periódico), sábado, 30 de Marzo de 1996, y Reuters World Service, Buenos Aires, 30 de Marzo de 1996. (Observe que los periódicos argentinos Clarín y La República cubrieron este incidente en 1995, pero el incidente fue básicamente ignorado por la prensa de Estados Unidos.)

52. Recomendación Núm. R (95) 13 de la Comisión de Ministros de los Estados Miembros con Relación a los Problemas de Proceso Penal Relacionados con la Tecnología e Información en Septiembre 11 de 1995, en la 543ava reunión de representantes de los Ministros, Concilio de Europa, Estrasburgo, Francia.

53. Sir Arnold Duncan, The Development of International Justice (New York: New York University Press, 1954), 23-25.

54. Vea, también, Finn Seyersted, United Nations Forces in the Law of Peace and War (Leyden, Netherlands: A. W. Sijthoff, 1966).

55. La LOAC se conocía como las "leyes de guerra", pero dicha terminología se tornó inexacta cuando fue claro que las hostilidades armadas y los enfrentamientos militares, en la ausencia de una declaración de guerra, eran más frecuentes y más probables. De esa manera, la LOAC se aplica a cualquier conflicto armado, indistintamente si se ha declarado o no la "guerra". Gerhard von Glahn, Law among Nations: An Introduction to Public International Law (London: Macmillan Company, 1970), 550-51.

56. Capt Maura T. McGowan, en un estudio no publicado titulado "Law of Armed Conflict" (Colorado Springs, Colo.: United States Air Force Academy, Department of Law), 20, cita United States v. Liste et al. Vea United Nations War Crimes Commissions, Trials of War Criminales before the Nuremberg Military Tribunals, vol. XI, The High Command Case: The Hostage Case (Washington D.C.: US Government Printing Office, 1950), 1253-55: y McDonald, 5.

57. Convención de Ginebra para el Trato de Prisioneros de Guerra, 12 de Agosto de 1949, Artículo 4.

58. McGowan 3-4 (citando la Convención de Ginebra para el Trato de Prisioneros de Guerra, 12 de Agosto de 1949, 6 U.S.T. 3316, TIAS No. 3364, 75 UNTS 135, Article 85).

59. McGowan, 6 (citando la Convención de La Haya No. IV de 1907, Artículo 29).

60. Gerhard von Glahn, 595.

61. Air Force Policy Directive (AFPD) 51-4, Compliance with the law of Armed Conflict, párrafo 1.6.1.

62. McDonald, 5.

63. Considere que la acciones ejecutadas por medio de una computadora no serían, por lo tanto, consideradas un "ataque armado" en vista de que no hay "armas" y pueden causar daño, pero no involucran un acto de "fuerza violenta", independientemente de cuán destructivas puedan ser las repercusiones de las actividades de computación.

64. Un ejemplo lo constituye la tormenta de nieve de 1995-1996 en la ciudad de New York que causó numerosas perturbaciones de violencia menor, y la falta de energía eléctrica en muchos estados causados por la caída de un árbol en la parte oeste de Estados Unidos en el otoño de 1996.

65. El potencial para dicho enfoque surgió durante una entrevista del autor con la Sra Martha H. Stansell-Gamm, Computer Crime Unit, US Department of Justice, Criminal Division, 10 de julio de 1996.

66. Col Pillip Jonson, HQ USAF/JAI, "Primer on Legal Issues in Information Warfare", artículo presentado oralmente, octubre de 1995, 11.

67. Observe que este es sólo un análisis de la LOAC y no toma en cuenta el derecho de las telecomunicaciones o el derecho penal que, probablemente, obscurecerían la cuestión. Estas cosas se discuten en otro lugar en este artículo.

68. Este incidente fue ampliamente cubierto por los medios de comunicación contemporáneos de Estados Unidos. Vean, por ejemplo, los artículos con respecto a la redada en Newsweek 107 (28 de Abril de 1986): 16-36.

69. Aldrich, 7.

70. Cabe destacar que esta conclusión lógica fue hecha en la perspectiva de la LOAC y no considera el derecho penal o los tratados con respecto a los satélites que pueden ser violados por dichos actos. En tiempo de paz, ellos serían una limitación válida de la capacidad de respuesta, represalia o combate de una nación y, en tiempo de guerra, serían casi con certeza contemplados antes de que ninguna violación fuese realizada conscientemente.

71. Lt Col Richard Marshall, National Security Agency, Fort Meade, Maryland, entrevistado por el autor, 12 de Julio de 1996.

72. Department of the Air Force Intelligence Law, resumen elaborado para el Air Force Information Warfare Center, preparado por el Col Richard A. McDonald, 6; vea, también, la Convención con Respecto a los Derechos y Deberes de las Potencias y Personas Neutras en Caso de Guerra Terrestre, Artículo 8, La Haya, 18 de Octubre de 1907.

73. McDonald, 7 (citando al Senado, Military Surveillance of Civilian Politics: A Report of the Subcommittee on Constitutional Rights, Committee on the Judiciary, 93d Cong., 1st sess. (1973), 117.

74. Ibid., 7.

75. Ibid., 8.

76. La acción secreta se define como una actividad del gobierno de Estados Unidos para influenciar las condiciones políticas, económicas o militares en el exterior, donde se pretende que el rol de Estados Unidos no sea evidente o reconocido públicamente. La acción secreta con la intención de influenciar el proceso político interno de Estados Unidos, la opinión pública, las políticas o los medios de comunicación en masa está expresamente prohibida. Vea "Memorandum for IW Wargame Participants", J02L7, del Capt Stephen A. Rose, JAGC, US Navy, Staff Judge Advocate, con fecha del 29 de Enero de 19996 (de aquí en adelante conocido como el Memorando Wargame).

77. 50 USC 413(b).

78. Ibid.

79. Executive Order (EO) 12333, United States Intelligence Activities, 4 December 1981.

80. Ibid., vea, además, Federal Register 46 (1981): 59941.

81. Ibid.

82. McDonald, 9.

83. Wargame Memorandum; vea, además, EO 12333 y Federal Register 46 (1981): 59941.

84. Wargame Memorandum.

85. Ibid., 9.

86. Ibid., 10.

87. Ibid.

88. Ibid.

89. Ibid.

90. Ibid., 11.

91. Ibid.

92. Ibid.

93. Ibid.

94. Vea EO12333 y Federal Register 46 (1981): 59941, para una articulación más detallada de la autoridad específica de diversas agencias para realizar las diversas actividades de vigilancia.

95. Considere la siguiente situación hipotética: El invasor es un adolescente, hijo de un funcionario del Pentágono, que usó la computadora del padre sin permiso, mientras esperaba que su padre regresase de una reunión. Enviar una "bomba lógica" de regreso al origen, desde el punto de intrusión, podría dañar una variedad de computadoras del DOD y podría incapacitar potencialmente las redes del Pentágono. Evidentemente, una respuesta automática que sería dañina para el sistema de computadoras no corresponde con los intereses de Estados Unidos.


El Mayor (Ret) David J. DiCenso, USAF, (Licenciatura, University of Maine; Juris Doctor, Vermont School of Law) es director de los servicios de capacitación de SecureLogix Corporation, San Antonio, Texas. En calidad de profesor adjunto de Derecho en la Academia de la USAF, él elaboró el curso de ciberderecho y co-creó y dirigió un curso interdisciplinario titulado Derecho y Política de Computación. Ha sido fundamental en la instrucción de los oficiales en el campo de la Ley del Conflicto Armado, y su especialización en las implicaciones internacionales de guerra de información han conducido a la investigación y trabajos escritos extensos en este campo. Antes de su comisión en la Academia de la Fuerza Aérea, se desempeñó durante varios años en una variedad de funciones que van desde trabajos de defensa penal militar en Estados Unidos y en Europa, al trato de una miríada de asuntos de derecho civil, asuntos consuetudinarios y reclamos de agravios internacionales en Japón.

No debe entenderse que nuestra revista representa la política de la Secretaría de Defensa, la Fuerza Aérea de los EE.U.U. o la Universidad del Aire. Más bien su contenido refleja la opionión de los autores sin tener carácter oficial. Está autorizado a reproducir los artículos en esta edición sin permiso. Por favor, si los reproduce, mencione la fuente, Aerospace Power Journal, y el nombre de los autores.


[ Home Page de Air & Space Power - Español | Ediciones Anteriores | Email su Opinión]