1_9788411477987

EL DESAFÍO DE LA CIBERSEGURIDAD GLOBAL. ANALISIS

DESDE EL DERECHO INTERNACIONAL Y EUROPEO

COMITÉ CIENTÍFICO DE LA EDITORIAL TIRANT LO BLANCH

María José Añón Roig

Catedrática de Filosofía del Derecho de la Universidad de Valencia

Ana Cañizares Laso

Catedrática de Derecho Civil de la Universidad de Málaga

Jorge A. Cerdio Herrán

Catedrático de Teoría y Filosofía de Derecho.

Instituto Tecnológico Autónomo de México

José Ramón Cossío Díaz

Ministro en retiro de la Suprema

Corte de Justicia de la Nación y miembro de El Colegio Nacional

María Luisa Cuerda Arnau

Catedrática de Derecho Penal de la Universidad Jaume I de Castellón

Carmen Domínguez Hidalgo

Catedrática de Derecho Civil de la Pontificia Universidad Católica de Chile

Eduardo Ferrer Mac-Gregor Poisot

Juez de la Corte Interamericana de Derechos Humanos

Investigador del Instituto de Investigaciones Jurídicas de la UNAM

Owen Fiss

Catedrático emérito de Teoría del Derecho de la Universidad de Yale (EEUU)

José Antonio García-Cruces González

Catedrático de Derecho Mercantil de la UNED

José Luis González Cussac

Catedrático de Derecho Penal de la Universidad de Valencia

Luis López Guerra

Catedrático de Derecho Constitucional de la Universidad Carlos III de Madrid Ángel M. López y López

Catedrático de Derecho Civil de la Universidad de Sevilla

Marta Lorente Sariñena

Catedrática de Historia del Derecho de la Universidad Autónoma de Madrid

Javier de Lucas Martín

Catedrático de Filosofía del Derecho y Filosofía Política de la Universidad de Valencia

Víctor Moreno Catena

Catedrático de Derecho Procesal de la Universidad Carlos III de Madrid

Francisco Muñoz Conde

Catedrático de Derecho Penal de la Universidad Pablo de Olavide de Sevilla

Angelika Nussberger

Catedrática de Derecho Constitucional e Internacional en la Universidad de Colonia (Alemania)

Miembro de la Comisión de Venecia

Héctor Olasolo Alonso

Catedrático de Derecho Internacional de la Universidad del Rosario (Colombia) y

Presidente del Instituto Ibero-Americano de La Haya (Holanda)

Luciano Parejo Alfonso

Catedrático de Derecho Administrativo de la Universidad Carlos III de Madrid

Consuelo Ramón Chornet

Catedrática de Derecho Internacional

Público y Relaciones Internacionales de la Universidad de Valencia

Tomás Sala Franco

Catedrático de Derecho del Trabajo y de la Seguridad Social de la Universidad de Valencia

Ignacio Sancho Gargallo

Magistrado de la Sala Primera (Civil) del Tribunal Supremo de España

Elisa Speckmann Guerra

Directora del Instituto de Investigaciones

Históricas de la UNAM

Ruth Zimmerling

Catedrática de Ciencia Política de la Universidad de Mainz (Alemania)

Fueron miembros de este Comité:

Emilio Beltrán Sánchez, Rosario Valpuesta Fernández y Tomás S. Vives Antón

Procedimiento de selección de originales, ver página web:

www.tirant.net/index.php/editorial/procedimiento-de-seleccion-de-originales

EL DESAFÍO DE LA

CIBERSEGURIDAD GLOBAL.

ANALISIS DESDE EL DERECHO INTERNACIONAL Y EUROPEO

ANTONIO SEGURA SERRANO

tirant lo blanch

Valencia, 2023

Copyright ® 2023

Todos los derechos reservados. Ni la totalidad ni parte de este libro puede reproducirse o transmitirse por ningún procedimiento electrónico o mecánico, incluyendo fotocopia, grabación magnética, o cualquier almacenamiento de información y sistema de recuperación sin permiso escrito de los autores y del editor.

En caso de erratas y actualizaciones, la Editorial Tirant lo Blanch publicará la pertinente corrección en la página web www.tirant.com.

La presente obra ha sido sometida a la revisión de pares ciegos según el protocolo de publicación de la editorial a efectos de ofrecer el rigor y calidad correspondiente tanto en su contenido como en su forma, aplicándose los criterios específicos aprobados por la Comisión Nacional E 016 (BOE num. 286, de 26 de noviembre de 2016).

© TIRANT LO BLANCH

EDITA: TIRANT LO BLANCH

C/ Artes Gráficas, 14 - 46010 - Valencia

TELFS.: 96/361 00 48 - 50

FAX: 96/369 41 51

Email:tlb@tirant.com

www.tirant.com

Librería virtual: www.tirant.es

DEPÓSITO LEGAL: V-474-2023

ISBN: 978-84-1147-798-7

MAQUETA: Disset Ediciones

Si tiene alguna queja o sugerencia, envíenos un mail a: atencioncliente@tirant.com. En caso de no ser atendida su sugerencia, por favor, lea en www.tirant.net/index.php/empresa/politicas-de-empresa nuestro procedimiento de quejas.

Responsabilidad Social Corporativa: http://www.tirant.net/Docs/RSCTirant.pdf

A mi esposa, Emma, y mis hijas, Emma y Clara por su paciencia al soportar las ausencias que han permitido alumbrar esta obra

Índice

Capítulo 1. INTRODUCCIÓN

Basta repasar los titulares de prensa de los últimos años para comprobar que los ciberataques con repercusiones transfronterizas han ido en aumento, tanto desde un punto de vista cuantitativo como cualitativo. La BBC tiene una página dedicada en exclusiva a relatar los ciberataques con consecuencias importantes ocurridos en todo el mundo siguiendo un orden cronológico inverso y la lista se antoja muy extensa.1 Por su parte, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha realizado diversos estudios en los que se pone de manifiesto que la ciberdelincuencia ha reforzado sus estrategias y técnicas a la hora de llevar a cabo actividades maliciosas online en los últimos tiempos,2 con un especial auge del ransomware. 3 Entre los ejemplos recientes de ciberataques con origen en el cibercrimen ha recibido mucha atención el llevado a cabo contra Colonial Pipeline, que ha puesto en jaque el suministro de energía en Estados Unidos y que ha conllevado el pago de un rescate de 4.4 millones de dólares a los ciberdelincuentes, aparentemente un grupo criminal ruso.4 En cuanto a los ciberataques con origen estatal, el Council on Foreign Relations cuenta con un proyecto conocido como “Cyber Operations Tracker” para hacer el seguimiento a tiempo real de este tipo de actividades maliciosas, en el que se advierte que “[s]ince 2005, thirty-

1 BBC, “Cyber-attacks”, en https://www.bbc.com/news/topics/cp3mvpdp1r2t.

2 ENISA, “Main incidents in the EU and worldwide-ENISA Threat Landscape”, Atenas, 2020, en donde se señala que “[t]he sophistication of threat capabilities increased in 2019, with many adversaries using exploits, credential stealing, and multistage attacks”, p. 2.

3 ENISA, “ENISA Threat landscape for ransomware attacks”, Atenas, 2022, el cual indica que “[d]uring the last decade ransomware has become one of the most devastating types of attacks, impacting organisations of all sizes worldwide. Quickly adapting to new business models with advanced threat actors leveraging the cybercrime ecosystem for a better distribution of labour, ransomware has managed to increase its reach and impact significantly. No business is safe”, p. 5.

4 Turton, W. y Mehrotra, K, “Hackers Breached Colonial Pipeline Using Compromised Password”, Bloomberg, en https://www.bloomberg.com/news/articles/2021-06-04/hackers-breached-colonial-pipeline-using-compromised-password#xj4y7vzkg.

four countries are suspected of sponsoring cyber operations. China, Russia, Iran, and North Korea sponsored 77 percent of all suspected operations. In 2019, there were a total of seventy-six operations, most being acts of espionage”.5 Ejemplos conocidos de estos ciberataques estatales producidos en los últimos años son Wannacry, NotPetya, Cloud Hopper6 o, más recientemente, SolarWinds, 7 entre otros que han sido objeto de tratamiento por parte de la doctrina.8

La ciberseguridad constituye un bien público de carácter internacional. En este sentido, la aproximación más primigenia por parte de la doctrina internacionalista a la ciberseguridad se ha producido con relación a la seguridad colectiva. Sin embargo, la prevalencia de todo tipo de actividades cibernéticas de carácter malicioso con relevancia jurídico-internacional hace necesario un estudio más omnicomprensivo del fenómeno. Junto a la amenaza de la ciberguerra, han surgido otras amenazas más cotidianas pero por esa misma razón más dañinas para la seguridad del ciberespacio, como es el caso de la ciberdelincuencia, en donde ya existe un instrumento internacional como el Convenio de Budapest de 2001 del Consejo de Europa. Otras amenazas igualmente perniciosas con alcance internacional son el ciberterrorismo y el ciberespionaje.

La presente monografía pretende llevar a cabo un análisis holístico de la ciberseguridad desde el punto de vista jurídico-internacional, asumiendo como hipótesis de partida, y siempre con una aproximación crítica, que un aumento de la colaboración internacional per-

5 Council on Foreign Relations, “Cyber Operations Tracker”, en https://www.cfr. org/cyber-operations/.

6 Bendiek, A. y Schulze, M., “Attribution: A Major Challenge for EU Cyber Sanctions–An Analysis of WannaCry, NotPetya, Cloud Hopper, Bundestag Hack and the Attack on the OPCW”, SWP Research Paper 11, 2021, Berlin.

7 Schmitt, M., “Russia’s SolarWinds Operation and International Law”, 21 December 2020, en https://www.justsecurity.org/73946/russias-solarwinds-operation-and-international-law/.

8 Broeders, D. et al., “Revisiting past cyber operations in light of new cyber norms and interpretations of international law: inching towards lines in the sand?”, Journal of Cyber Policy, vol. 7, 2022, pp. 97-135. Véase también Pérez-Prat Durbán, L., “Los Ciberataques y el uso de la fuerza en las relaciones internacionales”, en Millán Moro, L. (dir.) y Fernández Arribas, G. (ed.), Ciberataques y ciberseguridad en la escena internacional, Aranzadi, Cizur Menor, 2019, pp. 17-50, 23.

mitirá hacer frente de modo más efectivo a las distintas amenazas antes mencionadas. No en vano el objetivo de la mayor cooperación internacional se encuentra además respaldado por la Estrategia de Ciberseguridad Nacional aprobada por el Gobierno de España en 2013 y renovada en 2019, así como por la Estrategia de Ciberseguridad de la Unión Europea de 2013 y renovada en 2020.

Esta obra se estructura en siete capítulos. Tras la Introducción, el Capítulo 2 se dedica a analizar en profundidad uno de los problemas cardinales que la disciplina jurídica internacional debe afrontar en relación con los ciberataques de origen estatal, como es el relativo a la atribución de responsabilidad. Si se parte de la base de que el Derecho internacional existente resulta igualmente aplicable en el ciberespacio, el régimen jurídico de la responsabilidad internacional que ha de aplicarse a los ilícitos estatales cometidos a través de sus actividades en línea no debería plantear excesivos obstáculos. En efecto, el Proyecto de Artículos de la Comisión de Derecho internacional (CDI) de 2001 constituye este régimen jurídico aplicable ya que, como se verá, la Corte Internacional de Justicia (CIJ) ha aceptado el carácter consuetudinario de las reglas secundarias previstas en dicho Proyecto de Artículos. No obstante, la atribución jurídica resulta compleja, también porque es una operación que depende de la previa atribución técnica de una actividad cibernética. Esta atribución técnica, basada en instrumentos y mecanismos propiamente forenses, se plantea como especialmente dificultosa en el ciberespacio, ya que Internet fue diseñado con unos objetivos que primaban la facilidad y libertad de comunicación e interconexión, lo que impide el rastreo generalizado de las ciberoperaciones. Pero, además, con independencia de los inconvenientes derivados de la anonimidad en la Red, se plantea como problemática la cuestión relativa a cómo aplicar los criterios de atribución, desde el punto de vista jurídico-internacional, a las actividades maliciosas desarrolladas en Internet por un Estado, no sólo a través de sus agentes, sino a través de otros actores no estatales. Se trata de saber si los criterios generalmente utilizados hasta ahora en Derecho internacional y avalados por la CIJ siguen siendo útiles en el marco del ciberespacio o si debe revisarse estos criterios o su interpretación jurisprudencial para acomodarse mejor a este nuevo ámbito, o si debe ponerse en marcha algún mecanismo institucional para que se pueda realizar adecuadamente esta atribución jurídica.

El Capítulo 3 se dedica a analizar la regulación jurídica internacional que puede ser aplicada a los ciberataques llevados a cabo por Estados. La primera norma objeto de estudio es la relativa a la prohibición de la amenaza o el uso de la fuerza. Se trata de saber cuándo un ciberataque puede ser considerado como un uso de la fuerza prohibido. La cuestión más dificultosa consiste en determinar si el concepto de uso de la fuerza requiere de la mediación de algún tipo de armamento o si, por el contrario, un ataque cibernético puede constituir también un uso de la fuerza prohibido. La jurisprudencia internacional con origen en el asunto Nicaragua, donde la CIJ articuló el criterio de la “escala y los efectos”, resulta crucial para esta determinación. La segunda regla jurídico-internacional analizada es el principio de no intervención. Cuando un ciberataque no constituye un uso de la fuerza prohibido, sin embargo, podría dar lugar a la vulneración de esta regla consuetudinaria. La dificultad estriba en identificar una actividad cibernética maliciosa que reúne los dos elementos que se exigen para su infracción, esto es, la coerción, por un lado, y la intromisión en el domaine réservé de un Estado, por otro lado. Resulta relevante el esclarecimiento de esta cuestión, ya que podría invocarse este principio frente a cierto tipo de ciberataques que presuntamente han pretendido influir en recientes procesos electorales. En tercer lugar, la regla de la soberanía ha sido rescatada como el último baluarte sobre el que sostener una alegación de infracción del Derecho internacional con relación a determinados ciberataques. No sólo interesa clarificar si estamos ante una auténtica regla de Derecho internacional, en lugar de un mero principio de referencia, sino que es necesario indagar sobre el contenido normativo derivado de esta regla, ya que de su correcta articulación va a depender que actividades como el ciberespionaje sean lícitas o no. En cuarto lugar, en este capítulo se analizará la obligación de diligencia debida como un resorte jurídico novedoso y muy útil para hacer frente a los ciberataques, especialmente los que tienen origen en los actores no estatales. No obstante, resulta necesario elucidar si el deber de prevención que se deriva de esta obligación es exigible a los Estados hasta el punto de requerir una monitorización constante de las redes.

El Capítulo 4 se centra en el análisis de las respuestas que los Estados afectados por los ciberataques pueden adoptar de manera unilateral, pero lícitamente conforme al Derecho internacional. La primera

reacción analizada, la que consiste en la legítima defensa, se antoja como la más inmediata y jurídicamente válida en Derecho internacional. No obstante, habrá que indagar si los requisitos exigidos para su invocación son fáciles de cumplir en el ciberespacio, como es el caso del relativo al “ataque armado” previo, así como la necesidad y la proporcionalidad, teniendo en cuenta la velocidad intrínseca de este ámbito. Conectada con este problema, está la cuestión de la legítima defensa anticipada, una figura que presenta dificultades evidentes de carácter temporal para poder encontrar acomodo en este ciberespacio. En segundo lugar, las contramedidas han sido esgrimidas en la práctica internacional reciente como una herramienta jurídica cuya aplicación al ciberespacio es mucho más realista que en el caso de la legítima defensa, ya que se pueden aplicar a todos los ciberataques que se denominan de baja intensidad (no implican el uso de la fuerza). No obstante, resulta problemático el cumplimiento en el ciberespacio de determinados requisitos de las contramedidas, tanto sustantivos como procesales, como el requerimiento previo o la notificación previa, que no deberían tratarse con indiferencia si no se quiere vaciar de contenido esta causa de exclusión de la ilicitud en Derecho internacional, convirtiéndola en una herramienta de carácter punitivo. En tercer lugar, se analizará el estado de necesidad, como fórmula que permite también a los Estados víctimas de un ciberataque adoptar medidas de reacción frente a esta amenaza, en situaciones en que no se puede invocar la legítima defensa o las contramedidas. No obstante, resulta problemática la invocación del estado de necesidad en el ciberespacio, como ya lo es fuera de él, en la medida en que su régimen jurídico ha quedado regulado de forma muy restrictiva en el Proyecto de Artículos de la CDI de 2001. En efecto, habrá que dilucidar hasta qué punto es posible justificar la existencia de un peligro grave e inminente para un interés esencial del Estado, como consecuencia de la ocurrencia de un ciberataque concreto.

El Capítulo 5 ofrece un estudio del desarrollo normativo alcanzado en el ámbito de la ciberseguridad dentro de la ONU. En efecto, en dicho capítulo se analizará la actividad desarrollada por los Grupos de Expertos Gubernamentales (GEG), así como la actividad desplegada por el recientemente creado Grupo de Trabajo de Composición Abierta (OEWG, en sus siglas en inglés). La aproximación basada en la aplicabilidad, en todo caso evolutiva y dinámica, del Derecho

internacional existente al ciberespacio, ha sido defendida por los países occidentales, con Estados Unidos a la cabeza, de forma tradicional. No obstante, desde hace tiempo se viene defendiendo por otros Estados, señaladamente Rusia y China entre ellos, que la vía consistente en la formulación de normas específicas para el ciberespacio en el marco del sistema multilateral es la más acertada. Esta vía multilateral se ha concretado en los mencionados GEG y OEWG y sus Informes serán objeto de análisis en esta obra. Se trata de comprobar hasta qué punto se ha avanzado en la regulación jurídica de este ciberespacio y la mejora que se consigue con esta regulación. En este sentido, el Capítulo 5 incorpora un caso de estudio relativo a la cooperación multilateral en materia de lucha contra la ciberdelincuencia. La cuestión radica en determinar si esta cooperación está funcionando y si las dos vías iniciadas, por un lado, en el seno del Consejo de Europa con la Convención de Budapest de 2001 y, por otro lado, con una iniciativa similar puesta en marcha en el seno de la ONU, por otro lado, son complementarias o, por el contrario, resultan contraproducentes.

El Capítulo 6 se dedica a realizar un análisis del Derecho de la Unión Europea (UE) en materia de ciberseguridad. En este capítulo se analizará cada uno de los ámbitos más sobresalientes de la acción legislativa y reglamentaria de la UE que tiene que ver con la ciberseguridad, en su vertiente interna y externa. En primer lugar se analizarán los principales logros de la UE en su política de ciberseguridad, poniendo el acento en los grandes hitos que han supuesto las dos Estrategias de Ciberseguridad de 2013 y 2020. A continuación, se indagará en la política de ciberdiplomacia de la UE, que ha sido objeto de un muy reciente desarrollo, especialmente en forma de un “Conjunto de instrumentos de ciberdiplomacia”, que incorpora la posibilidad de puesta en marcha de medidas restrictivas. Estas medidas se han concretado en un régimen sancionador que, como es habitual, necesita de la combinación de actos normativos de la Política Exterior y de Seguridad Común (PESC) y de la Política Comercial Común (PCC). Las cuestiones problemáticas más importantes que este régimen plantea giran en torno a la posibilidad de la atribución colectiva de ilícitos internacionales por parte de la UE, así como a la efectividad alcanzada a través de las medidas restrictivas finalmente impuestas. Por último, se analiza la política de ciberdefensa de la UE, que aún resulta muy

incipiente. Se trata de elucidar hasta qué punto para la materialización de la ciberdefensa se cuenta con los mecanismos de respuesta adecuados.

Finalmente, el Capítulo 7 se dedica a ofrecer unas conclusiones.