El uso de tecnología digital en los conflictos armados avanza a pasos agigantados. Se trata de un cambio que tiene sus riesgos, pero también genera oportunidades. Por ejemplo: ¿podrían las nuevas tecnologías contribuir a indicar en el mundo digital que determinados recursos e infraestructuras gozan de protección en virtud del derecho internacional humanitario? Durante ciento cincuenta años, la cruz roja, la media luna roja y, más recientemente, el cristal rojo han cumplido su función en entornos físicos. ¿Sería factible, y recomendable desde el punto de vista de la ciberseguridad, señalizar los recursos digitales de las entidades protegidas en tiempo de conflicto armado?

En este artículo, Tilman Rodenhäuser, asesor jurídico del CICR; Laurent Gisel, director de la Unidad de Armas y Conducción de las Hostilidades del CICR; Larry Maybee, asesor jurídico de la Cruz Roja Australiana; Hollie Johnston, asesora principal de la Cruz Roja Australiana; y Fabrice Lauber, asesor técnico del CICR, presentan los conceptos y las ideas fundamentales del proyecto del CICR para la digitalización de los emblemas de la cruz roja, la media luna roja y el cristal rojo.

Es el tercer año de conflicto armado entre los Estados de Boronia y Banksia. Con la salida del sol, dos aviones de combate F-15 de Boronia sobrevuelan una ciudad rumbo al objetivo militar que les han asignado. Lo que los pilotos desconocen, sin embargo, es que los encargados de la planificación operacional han confundido el objetivo. En lugar de dirigirse hacia el depósito militar que suponían que debían atacar, los aviones se dirigen a un hospital de Banksia que brinda asistencia de salud a una comunidad de 55 000 personas.

Cuando se aproximan a su objetivo, los pilotos se preparan para lanzar los proyectiles guiados, de acuerdo con la lista de objetivos que les han dado. Cuando están a punto de lanzar los proyectiles, una de los pilotos advierte en el panel frontal de la cabina que el supuesto objetivo asignado tiene algo pintado en el techo: una cruz roja sobre fondo blanco de grandes dimensiones, de unos diez metros cuadrados. Sabe que, en virtud del derecho internacional humanitario (DIH), los establecimientos sanitarios están protegidos contra los ataques, y la cruz roja es un signo de dicha protección. Sin dudarlo, decide abortar la misión.

Esta situación ficticia muestra la importancia de los emblemas distintivos de la cruz roja, la media luna roja y el cristal rojo en la identificación de personas, unidades, establecimientos y medios de transporte específicamente protegidos por el DIH.

En el mundo de hoy, la guerra está cambiando. Las operaciones cibernéticas ya son una realidad en los conflictos armados, y los Estados están cada vez más abocados al desarrollo de sus capacidades militares cibernéticas. Se trata de un cambio que tiene sus riesgos, pero también genera oportunidades. Por ejemplo: ¿podrían las nuevas tecnologías contribuir a indicar en el mundo digital que determinados recursos e infraestructuras gozan de protección en virtud del DIH? ¿Qué habría ocurrido si Boronia hubiese empleado software malicioso para dañar servidores que, según creía, se utilizaban con fines militares? ¿Podría haber un emblema, una marca o un signo digital que indicara si algunos de esos servidores gozan de la protección que los emblemas simbolizan?

El CICR se ha abocado, junto con algunos de sus asociados, a estudiar la cuestión en el marco de un proyecto de investigación sobre la digitalización de la cruz roja, la media luna roja y el cristal rojo. En el proyecto, se analiza la posibilidad y el modo de emplear los emblemas distintivos en el ámbito de las tecnologías de la información y la comunicación (TIC), con un enfoque crítico sobre la viabilidad y el valor de protección de la señalización de los recursos digitales de las entidades protegidas en tiempo de conflicto armado.

En este artículo, presentamos los conceptos y las ideas fundamentales que definen el proyecto. En sendos documentos que se presentarán próximamente, el Centro para la Confianza Cibernética de ETH Zúrich (ETHZ) y el Laboratorio de Física Aplicada de la Universidad Johns Hopkins propondrán distintas opciones técnicas, producto de sus investigaciones, para señalizar la infraestructura digital y los datos de las entidades protegidas.

Los emblemas distintivos: identificación y protección durante los conflictos armados

La protección jurídica de los establecimientos sanitarios durante los conflictos armados está contemplada en el DIH. El concepto fundamental del Primer Convenio de Ginebra de 1864, que continúa siendo una noción básica del DIH en la actualidad, es que los heridos y los enfermos, así como las personas que los asisten y los recursos empleados para asistirlos –personal, establecimiento, unidades y medios de transporte sanitarios– deben ser respetados y protegidos en todas las circunstancias durante los conflictos armados (por ejemplo, véanse normas 2528 29 del Estudio del CICR sobre DIH consuetudinario[1].

Durante 150 años, la cruz roja, la media luna roja y, más recientemente, el cristal rojo han dado visibilidad a esa protección, señalando que quienes ostentan esos emblemas están protegidos contra todo daño (véase norma 30 del Estudio del CICR sobre DIH consuetudinario). Los instrumentos fundamentales del DIH (véase art. 44 del I Convenio de Ginebra y art. 18 del Protocolo adicional I) autorizan y reglamentan el uso de los emblemas por los servicios sanitarios y religiosos de las fuerzas armadas, así como por las unidades y los medios de transporte sanitarios civiles autorizados, durante los conflictos armados. Los emblemas también se utilizan para identificar y proteger al CICR y a la Federación Internacional en tiempo de conflicto armado, y a otros componentes del Movimiento Internacional de la Cruz Roja y de la Media Luna Roja (el Movimiento) cuando realizan actividades de asistencia de salud en tiempo de guerra [2].

Tradicionalmente, en el DIH, los emblemas están concebidos para el mundo físico: una cruz roja, una media luna roja o un cristal rojo sobre fondo blanco de grandes dimensiones. Cuando las personas o los bienes protegidos ostentan el emblema, este funciona como expresión visual de la protección jurídica que se les confiere..

Ejemplo de uso del emblema distintivo por los servicios sanitarios de las fuerzas armadas.

Sin embargo, la obligación de respetar y proteger a esas personas y esos bienes no se limita a la guerra cinética: también se extiende a las operaciones cibernéticas que se realizan durante un conflicto armado. La necesidad de señalizar esa protección frente a los operadores cibernéticos es importante. Los ataques cibernéticos contra los establecimientos sanitarios ya se están produciendo, con riesgo de daño para las personas, en particular en tiempo de conflicto armado, cuando preservar el funcionamiento de la infraestructura y los sistemas sanitarios es una necesidad urgente. Del mismo modo, el avance en la digitalización de los sistemas y las operaciones del CICR –y de otros componentes del Movimiento– los pone en riesgo de ser víctimas de operaciones cibernéticas hostiles..

La cuestión del «emblema digital»

En la búsqueda de medidas concretas para reforzar la protección de los servicios sanitarios de las fuerzas armadas y de otras entidades sanitarias y humanitarias durante los conflictos armados, surgió una solución posible: crear un nuevo signo, una forma de señalización digital o algún otro modo de identificación en el ciberespacio (es decir, un «emblema digital»). Una ventaja fundamental de este concepto es que podría incorporarse al marco jurídico y de políticas reconocido en el ámbito internacional que rige los «emblemas distintivos» o los «signos distintivos» (como las señales luminosas, de radio electrónicas; véase Anexo 1 del Protocolo adicional I).

En los últimos años, el CICR planteó la idea de un «emblema digital» en conversaciones con expertos en ciberseguridad y cuestiones operacionales, quienes mencionaron las ventajas del concepto pero también algunos riesgos (véase aquí, págs. 9, 39-42, y aquí, págs. 27-31). Por un lado, el «emblema digital» podría utilizarse para señalizar la infraestructura y los datos de los actores protegidos, con el fin de facilitar su identificación y evitar los errores en los objetivos de los ciberataques y los efectos accidentales de las operaciones cibernéticas. Por otro lado, la señalización digital entraña el riesgo de identificación de «objetivos fáciles», que podrían ser atacados más fácilmente y de manera sistemática por los actores maliciosos. Más aún, los actores maliciosos podrían hacer un uso abusivo del «emblema digital» e identificar de manera engañosa sus operaciones como operaciones protegidas por el DIH. Las ventajas y los riesgos mencionados no son nuevos y existen también en entornos físicos. La pregunta es si son distintos en el ámbito de las TIC y, en caso afirmativo, en qué sentido lo son.

Proceso de investigación y consulta para evaluar la viabilidad y el valor de protección del «emblema digital»

En 2020, el CICR puso en marcha un proyecto para analizar los medios técnicos de identificación de la infraestructura digital y los datos de las entidades con derecho a usar los emblemas distintivos.

En un comienzo, el CICR se asoció con dos centros de investigación –el Centro para la Confianza Cibernética de ETH Zúrich (ETHZ) y el Laboratorio de Física Aplicada de la Universidad Johns Hopkins– con el fin de determinar cuáles eran los medios tecnológicos para señalizar la infraestructura digital y los datos de las entidades protegidas. Ahora, el CICR se asoció con la Cruz Roja Australiana (CRA) para realizar una ronda de consultas con un grupo de expertos en cuestiones cibernéticas de distintos países, en la que se evaluarán las propuestas de los investigadores y se analizarán los posibles riesgos, ventajas y dificultades vinculados con la creación de un «emblema o signo digital» para el ciberespacio. El proceso de consulta, que se iniciará a la brevedad, contará con la participación de expertos en cuestiones operacionales y ciberseguridad con distintas trayectorias.

La finalidad de las consultas es evaluar si es posible esperar que el «emblema digital» refuerce la protección de quienes tienen derecho a usarlo contra las operaciones cibernéticas maliciosas. Si la evaluación permite encontrar una solución de protección viable, no terminará allí el análisis de la posibilidad y el modo de emplear los emblemas distintivos en el ámbito de las TIC, sino que la conclusión dará comienzo a un nuevo proceso (o etapa) del proyecto «emblema digital».

Desde el punto de vista técnico, habrá que desarrollar y poner a prueba los prototipos del «emblema digital». Y, lo que es aún más importante, el CICR –en cumplimiento de su mandato de «trabajar por la comprensión y la difusión del derecho internacional humanitario aplicable en los conflictos armados y preparar el eventual desarrollo del mismo»– deberá presentar las posibles soluciones a los Estados y analizar los modos de incorporarlas al marco jurídico existente. También habrá que mantener conversaciones con otros actores clave, en particular, con los otros componentes del Movimiento.

.

* * *

Más allá del resultado, el proyecto constituye una importante reflexión acerca de cómo el marco del DIH actual permite abordar e incorporar los avances tecnológicos recientes. Los resultados de este proyecto de investigación podrían afectar la forma en que los beligerantes actúan en el ciberespacio. Volvamos al ejemplo presentado al inicio de este artículo…

Estamos ya en el cuarto año del conflicto armado.

Banksia ha desarrollado un software malicioso que se propaga automáticamente y afecta un software basado en la nube utilizado por Boronia para gestionar la logística de abastecimiento militar. En una misión de reconocimiento, el comando cibernético de Banksia advierte que el software objetivo se utiliza con más frecuencia de lo esperado, incluso en sistemas señalizados con un «emblema digital» de reciente creación. Los operadores investigan un poco más y ven que esos sistemas pertenecen a un hospital.

El comando cibernético de Banksia sabe que los emblemas y signos distintivos señalan bienes protegidos. El jefe del comando ordena a su equipo que reprograme el software malicioso, para no afectar la infraestructura digital perteneciente al hospital. Alertado del uso del software por unidades sanitarias gracias al emblema digital y a una misión de reconocimiento exitosa, el jefe puede ordenar a los programadores que revisen los procedimientos y las capacidades cibernéticas del programa, a fin de evitar que las acciones nocivas se activen con sistemas señalizados con el emblema digital.

[1] Perderán su protección si se utilizan, al margen de su función humanitaria, para cometer actos perjudiciales para el enemigo.

[2] Los componentes del Movimiento están autorizados a utilizar el emblema en todo momento para señalizar sus unidades, sus medios de transporte, a su personal y a sus voluntarios. Es el «uso indicativo» del emblema. Cuando se usa a título indicativo, el emblema debe mostrarse siempre junto con el nombre o las iniciales del componente del Movimiento que lo emplee y debe ser de pequeñas dimensiones.

Véase también: