Mientras que los ciberataques aumentan y las acusaciones entre países se multiplican, existe un detalle que demandó tres años de desarrollo: Crear una equivalencia a las llamadas “reglas de combate” para una ciberguerra. A petición del centro CCDCOE de la OTAN, un grupo de veinte expertos legales, con la participación de la Cruz Roja y el USCYBERCOM, ha creado el “Manual Tallinn sobre el Derecho Internacional Aplicable a la Guerra Cibernética”. Este documento establece, entre otras cosas, los blancos que deben ser evitados para no afectar a la población civil, pero también hace referencia a acciones directas con armas convencionales, e incluso identifica a los hackers como blancos legítimos bajo determinadas circunstancias.
Los ciberataques cargan con la esencia misma de la Web: No hay reglas. Pueden llevarse a cabo a toda hora, y desde cualquier lugar. Desde algo tan básico como volver locas a las impresoras en una red local hasta afectar a toda una infraestructura de alto perfil… cualquier cosa puede pasar. Al mismo tiempo, los blancos ni siquiera necesitan ser militares por definición, algo que ya hemos comprobado con la reciente ola de ataques a empresas como Apple y Facebook. Hasta ahora, los ataques no han provocado la pérdida de vidas o conflictos armados abiertos, pero nadie niega la posibilidad de que tarde o temprano eso vaya a suceder. Ante una situación así, ¿qué se puede interpretar como una acción adecuada? ¿Cuáles son los mecanismos legalmente válidos para una nación que se encuentra en una ciberguerra?
El nuevo “Manual Tallinn sobre el Derecho Internacional Aplicable a la Guerra Cibernética” parece ofrecer la mayoría de las respuestas en sus más de 260 páginas. El documento fue creado a petición del centro CCDCOE de la OTAN, por un grupo de veinte expertos en leyes internacionales, junto al Comité Internacional de la Cruz Roja y el USCYBERCOM. Los especialistas coinciden en que se trata del texto más importante relacionado con las leyes de la ciberguerra. Existen referencias a los reglamentos establecidos en las Convenciones de Ginebra, por ejemplo, la prohibición de ataques contra infraestructuras civiles críticas, como hospitales, unidades médicas de emergencia, represas y plantas de energía nuclear, entre otras. Otro punto importante es que el manual extiende el concepto de “conflicto armado” para incluir a la ciberguerra, ya sea que se lleve a cabo de forma exclusiva, o como parte de las operaciones en una guerra convencional.
En caso de que un estado sea víctima de un ataque y pueda probar de forma fehaciente que una ciber-operación provocó la pérdida de vidas y/o una severa destrucción de propiedad, se instala como “aceptable” la decisión de responder con armamento convencional, siempre y cuando sea de forma “proporcional” a la pérdida. Aunque en la gran mayoría de los casos la respuesta recomendada a un ciberataque es un contraataque por vía digital (manteniendo la proporcionalidad antes mencionada), el texto también establece que los hackers responsables de muertes, de un daño considerable o de un incremento directo en las hostilidades son blancos legítimos sobre los que se puede aplicar fuerza letal, y lo mismo se extiende a los “hacktivistas” civiles que decidan, por voluntad propia, participar en el conflicto. El documento no posee un perfil oficial dentro de la OTAN (por lo tanto, no es vinculante), sino que es una especie de “manual de asesoramiento”, pero establece un consenso inicial sobre las leyes de la ciberguerra, y puede llevar a otros protocolos aún más avanzados.