El uso de la fuerza en el ciberespacio

JUAN ALBERTO SALINAS MACÍAS¹

SUMARIO: I. Introducción. II. Naturaleza de las Operaciones Ofensivas en el Ciberespacio. III. Ius Ad Bellum en el Ciberespacio. IV.Ciberataque como Término de Arte en el Jus Ad Bellum. V. Conclusión

Resumen. En esta era de guerra remota, el ciberespacio se convirtió en uno de los dominios más relevantes. Sus características permiten el incremento en las capacidades de Estados y actores no-estatales para perseguir sus intereses, ya sean económicos, políticos o militares. En caso de ciberguerra existe una incertidumbre sobre el derecho aplicable y hasta qué punto responde a esta nueva realidad. Para ello, este artículo explora la naturaleza de una operación ofensiva en el ciberespacio, cuándo activa el andamiaje legal del jus ad bellum, y los retos que coloca al derecho internacional.

Palabras clave: Ciberespacio, Ciberataques, Derecho Internacional aplicable.

Abstract: In this era of remote warfare, cyberspace became one of the most relevant domains. Its characteristics allow the increase of State’s and non-state actor’s capabilities to pursue their interests, whether they are economic, political, or military. In case of cyberwarfare, there is uncertainty about the applicable law and how it responds to this new reality. To that extent, this article explores the nature of an offensive operation in cyberspace, when it triggers the conventional ius ad bellum framework, and the challenges it poses to international law.

Keywords: Cyberspace, Cyberattacks, International applicable law.

I ] Introducción

El ciberespacio comúnmente se imagina como un espacio paralelo, abstracto, lógico, de ideas, pero ajeno a la realidad material.² Sin embargo, rápidamente se posiciona como el pilar de la economía, investigación, educación, ejército y gobiernos transparentes.³ En el 2011, casi cuatro mil millones de personas estaban conectadas al menos a una fuente móvil de internet.⁴ Se espera que para el 2017, las suscripciones a banda ancha puedan alcanzar al 70% de la población, ya sea móvil o doméstica.⁵

El ciberespacio es una red de redes. Implica, por un lado, que una red tiene posibilidad a conectarse con otras a través del internet⁶ y, por otro, que también incluye aquellas redes offline, sin conexión con otras redes.⁷ Esta realidad, nos hace distinguir entre el ciberespacio como un dominio en general y al Internet como la conectividad entre redes. El ciberespacio y la capacidad de conectarse a la red de redes es la pieza fundamental que hoy discutimos, tanto como derecho humano⁸ y herramienta que fomenta el desarrollo a través de la comunicación instantánea, desapareciendo las barreras geográficas.⁹ El internet fue diseñado para ser expandible, colaborativo y fácilmente adaptable a la innovación tecnológica;¹⁰ por lo tanto, incluye actividades económicas, propiedad intelectual, infraestructura crítica y militar que colocan un creciente valor al ciberespacio.¹¹ Todo ello pertenece a la red en la era de la información.

Las amenazas al ciberespacio se presentan en forma proporcional a la dependencia al mismo. Por ello, la necesidad de explorar el ciberespacio como el quinto dominio, sumado a la tierra, agua, aire y espacio.¹² Desde inicios de la década pasada se sugería por académicos y tomadores de decisiones que las guerras se combatirían en el ciberespacio o con un alto contenido en este dominio.¹³ Las estrategias de los Estados giran en torno a la ciberseguridad, que son medidas principalmente pasivo-defensivas.¹⁴ Recientemente, algunos Estados han comenzado a hacer públicos sus estándares para las operaciones ofensivas después de que algunas realizadas en cubierto se hicieran públicas.¹⁵ Sin embargo, aún persiste la neblina jurídica respecto a diversos retos que quiero abordar en el artículo. Primero, para comprender al ciberespacio como un dominio es necesario explorar su arquitectura, el funcionamiento de las Operaciones Ofensivas en el Ciberespacio (OOC), los diversos tipos de OOC, su compleja ejecución, problemas de atribución y jurisdicción, y sus posibles efectos.

Segundo, la relación del ciberespacio como dominio y el derecho de guerra, para determinar cuál es el marco normativo vigente y su aplicación en un escenario de conflicto armado.

Tercero, si consideramos ciertos tipos de OOC como un ciberataque utilizando el concepto ‘ataque’ como término de arte en el derecho internacional es necesario evaluar la aplicabilidad del derecho de guerra y, particularmente, del jus ad bellum. La falta de consenso en la definición es manifiesta en los ataques a Estonia (2007),¹⁶ Georgia (2008),¹⁷ Irán con Stuxnet (2010)¹⁸ y más recientemente con los ataques a Sony (2014).¹⁹ Se ha llegado a afirmar por académicos y juristas internacionales que los principios del derecho internacional sí aplican al ciberespacio;²⁰ sin embargo, no es claro hasta qué punto y los retos que presenta. Por ejemplo, ¿Cuándo un ciberataque puede ser considerado uso de la fuerza en los términos del Artículo 2(4) de la Carta de las Naciones Unidas (Carta)? ¿Cuándo un ciberataque puede ser considerado un ataque armado para efectos de la legítima defensa establecida en el Artículo 51 de la Carta? ¿Cómo se le permite a un Estado responder si no hay un efecto cinético?

Por último, concluyo con los retos que presenta el marco regulatorio del derecho de guerra para atender a un dominio altamente proliferado, con pocas posibilidades de disuasión y una limitada exploración tanto de seguridad como de derecho internacional.

II ] La naturaleza de las operaciones ofensivas en el ciberespacio

El concepto de ciberespacio fue por primera vez utilizado por William Gibson al señalar que era una alucinación consensual experimentada por millones de legítimos usuarios.²¹Esta alucinación transitó de una red cerrada en la era previa al Internet a una red de redes en la realidad 2.0 que vivimos.²² El ciberespacio incluye: (i) redes locales conectadas y no accesibles. (ii) redes locales no conectadas, que son casi inexistentes; y (iii) redes abiertas.²³ El primer y segundo modelo pertenecen en la era pre-internet, mientras que el último modelo utiliza como premisa la existencia del Internet y la conectividad con cualidades laissez faire.²⁴ Desde la explotación del ciberespacio abierto, el comercio, servicios financieros, gubernamentales, estructura vital, estrategia militar y otros fines fueron dependiendo cada vez más del ciberespacio para sus operaciones cotidianas.²⁵

Las amenazas a este nuevo bien común fueron creciendo de forma proporcional a nuestra dependencia y adquiere un valor estratégico. Originalmente el ciberespacio fue diseñado para convertirse en un commons con cinco elementos fundamentales propios de dicha categoría: (i) no puede haber apropiación pública o privada.²⁶ (ii)ningún actor puede reclamar derechos reales sobre el espacio común.²⁷ (iii) las naciones compartirán los beneficios del commons informático.²⁸ (iv) no puede haber armas.²⁹ y (v) el commons debe ser preservado para el beneficio de futuras generaciones.³⁰ Sin embargo, en la práctica, la protección del ciberespacio como un commons rápidamente se erosionó dado que los Estados y actores no estatales entraron en una carrera de armas de la cual no habrá marcha atrás.³¹

Esta realidad, es lo que llevó al ciberespacio a abandonar su naturaleza y diseño de commons por el de un dominio, considerado como un espacio en el que se realizan actividades beligerantes.³² Históricamente dos dominios han predominado en las operaciones militares: tierra y mar.³³ Durante la Primera Guerra Mundial, el espacio aéreo fue un factor determinante y se incluyó a los dominios tradicionales.³⁴ Asimismo, en la administración del presidente de los Estados Unidos, Ronald Reagan, se incluyó al espacio exterior como un dominio, después de treinta años de investigación espacial.³⁵ Hay ciertas tendencias presentes en los nuevos dominios que nos son fácilmente identificables en el ciberespacio: (i) debe existir la capacidad de operar. (ii) las operaciones provienen de un espacio común. (iii) la capacidad de afectar el dominio y los otros dominios reconocidos. (iv) reconocimiento de las características únicas del dominio y su desarrollo y, (v) apoyo financiero e institucional para su desarrollo.³⁶ El ciberespacio como dominio tiene además una característica esencial: es en sí mismo un dominio, pero también potencializa a los otros cuatro dominios tradicionales.³⁷

El reconocimiento del ciberespacio como un dominio requiere de un mayor y más profundo examen sobre su dinámica y particularmente sus operaciones, de las cuales podemos identificar las siguientes cuatro características. Primero, las OOC tienen resultados inciertos y difícilmente se puede predecir sus consecuencias.³⁸ Sin embargo, sus efectos pueden ser de dos tipos: directos o indirectos.³⁹ Los efectos directos se circunscriben al ciberespacio que, según nos hace referencia el Reporte del National Research Council (NRC), causan la pérdida de integridad, autenticidad o disponibilidad de un sistema.⁴⁰ Los efectos indirectos pueden ser los más graves, ya que causan un daño colateral o exterior al ciberespacio. Estos efectos son los que pudieran ocasionar el incremento de un conflicto a un escenario de guerra armada convencional.⁴¹ De hecho, a diferencia de los efectos directos que pueden ser reversibles, los efectos indirectos buscan un daño permanente a un sistema, inhabilitando la posibilidad de funcionar.⁴² Los efectos indirectos son esencialmente los que analizan los juegos de guerra realizados por los organismos de defensa debido las consecuencias que puede resultar en daños y pérdidas de vidas humanas.⁴³

Segundo, las OOC son complejas de planear y ejecutar. A diferencia de otras operaciones con armas convencionales, las desarrolladas y ejecutadas en el ciberespacio son más propensas de ser efectivas cuando ocurre un error en un sistema de defensa del adversario, además del diseño de la operación ofensiva; es decir, dependen del error del adversario y diseño del software. En ciertos casos como muestra la Operación Juegos Olímpicos contra el sistema nuclear de Irán, la operación se lanzó en 2006 y sus primeros efectos tuvieron lugar en 2008.⁴⁴

Tercero, los OOC son relativamente económicos y fáciles de desarrollar, comparado con otras formas de causar efectos negativos al adversario. Esto, desde el punto de vista estratégico es sumamente relevante, los OOC son ampliamente disponibles, baratos, y fáciles de obtener.⁴⁵ Por ello, la posibilidad de un conflicto en el ciberespacio implica un replanteamiento de lo que es considerado un arma convencional y sus ramificaciones– comenzando por qué trascendería el escenario de guerra convencional entre Estados, para incluir de forma más dinámica a actores de carácter no-estatal.⁴⁶

Cuarto, las OOC colocan un incentivo importante para su negación, o bien, explotación a través de proxies.⁴⁷ Las OOC provienen de un medio altamente proliferado y se presentan los siguientes problemas: (i) atribuir la responsabilidad de un Estado por acciones realizadas por actores de carácter no estatal. (ii) examinar las precondiciones para atribuir a un Estado una OOC cuando sus efectos son suficientemente graves. y (iii) cuándo un Estado permite y promueve los ataques a través de actores de carácter no estatal, se pueda encontrar este en un contexto de conflicto armado internacional.⁴⁸

Las OOC utilizan software como arma, tal y como sucede con operaciones en los otros dominios. Hay tres tipos principales de armas informáticas (AI): (i) software maligno enviado a través de Internet.⁴⁹ (ii) negación del servicio (DOS, por sus siglas en inglés).⁵⁰ y (iii) intrusiones remotas no autorizadas.⁵¹ El primer tipo es un software que se acciona con un click, abriendo los contenidos que permiten al ejecutor de una AI tener control sobre las operaciones que realiza el administrador del sistema o usuario. Estas operaciones se realizan contra sistemas vulnerables y permiten obtener una amplia cobertura una vez que se disemina su software a través del ciberespacio.⁵² Además de ser sencillos, fácilmente se pueden convertir en una operación DOS al aprovechar las vulnerabilidades para desestabilizar un sistema.⁵³ La segunda categoría es la más frecuente y se denominadenial of service o DOS y utiliza los protocolos de comunicación que permiten a las computadoras vincularse entre ellas, ocasionando que se saturen y dejen de funcionar.⁵⁴ Es decir, los ataques DOS saturan a un sistema, dejándolo inoperante por falta de capacidad. Los ataques a Estonia en 2007 fueron a través de esta modalidad de AI.⁵⁵ La tercer variante son intrusiones a un sistema por individuos.⁵⁶ Son programas realizados para obtener acceso sin autorización manipulando el Protocolo de Control de Transmisión/Protocolo de Internet (TCP/IP, por sus siglas en inglés).⁵⁷ Este tipo de AI permite al atacante rodear el proceso de autenticación y conectarse con un modelo peer-to-peer.⁵⁸

Las categorías de OOC y los tipos de AI nos permiten tener una mayor comprensión de la dimensión práctica del dominio. Es importante, ahora, tomar en cuenta cuándo pueden ser consideradas como un ciberataque y los retos en la aplicación del derecho internacional, particularmente vinculado a un contexto de derecho de guerra.

III ] Ius ad bellum en el ciberespacio

El reto más importante en un escenario de conflicto en el ciberespacio es la ausencia de certidumbre jurídica. En diversas ocasiones se ha hecho alusión a la inaplicabilidad del derecho internacional para el nuevo dominio; sin embargo, a pesar que las normas internacionales padecen cierto anacronismo,⁵⁹ no es una epifanía afirmar que los principios del derecho internacional sí aplican a este nuevo dominio.⁶⁰ De hecho, la normatividad internacional se ha visto históricamente confrontada con el desarrollo tecnológico y si los medios de conflicto y los dominios cambian, el derecho debe adaptarse.⁶¹

El derecho de guerra tiene dos vertientes: por un lado, el jus ad bellum o derecho para ir a la guerra que determina cuándo un Estado puede recurrir legalmente al uso de la fuerza y, por otro lado, eljus in bello o derecho durante la guerra, que regula la forma que deben conducirse los actores durante un conflicto armado.⁶² Para efectos del presente análisis me enfocaré en la primer vertiente del derecho de guerra.

El primer reto del jus ad bellum que debemos situar en su debido contexto es el concepto del uso de la fuerza y cuándo un ciberataque puede ser considerado de tal forma. La prohibición al uso de la fuerza es uno de los pilares del orden internacional y fue codificada en la Carta de las Naciones Unidas, señalando que [l]os Miembros de la Organización, en sus relaciones internacionales, se abstendrán de recurrir a la amenaza o al uso de la fuerza contra la integridad territorial o la independencia política de cualquier Estado, o en cualquier otra forma incompatible con los Propósitos de las Naciones Unidas.⁶³ Uno de los principales problemas con la prohibición del uso de la fuerza en el escenario internacional es que no existe un consenso sobre su significado y su evolución desde la adopción de la Carta en 1945.⁶⁴ La misma redacción del máximo instrumento internacional es ambigua y permite identificar en tres apartados el uso de la palabra fuerza, de las cuales en dos de ellas tiene una connotación armada y una vinculada a la integridad territorial e independencia política de un Estado.⁶⁵

Para explorar el contenido del uso de la fuerza es importante señalar dos corrientes. En una primera corriente que podemos denominar restrictiva, se afirma que el uso de la fuerza debe ser interpretado en su sentido ordinario y limitarlo a un contexto de fuerza armada. Estados Unidos y otros países Occidentales favorecen históricamente esta perspectiva.⁶⁶ La segunda corriente que podemos denominar evolutiva, considera el concepto del uso de la fuerza como expansivo y objeto de interpretación que no debe restringirse al uso de fuerza limitar.

Desde la corriente evolutiva es posible identificar tres fases que nos permiten un mayor entendimiento del concepto de uso de la fuerza. Primera, el uso de fuerza limitado a un contenido de fuerza armada. Como podemos constatar en el travaux préparatoires de la Carta, era la voluntad de algunas delegaciones–principalmente la estadounidense–mantener una interpretación restrictiva del concepto y limitar la discusión a la prohibición el uso de fuerza militar o armada.⁶⁷ Segunda, la fuerza como coerción. En 1970, la Asamblea General de las Naciones Unidas (AGONU) adoptó la Declaración sobre los principios de derecho internacional referentes a las relaciones de amistad y a la cooperación entre los Estados de conformidad con la Carta y el mantenimiento de paz al recordar el deber de los Estados de abstenerse, en sus relaciones internacionales, de ejercer coerción militar, política, económica o de cualquier otra índole contra la independencia política o la integridad territorial de cualquier Estado.⁶⁸ Además, evitar recurrir a cualquier medida de fuerza que prive de su derecho a la libre determinación y a la libertad y a la independencia a los pueblos aludidos en la formulación del principio de la igualdad de derechos y de la libre determinación.⁶⁹ (Énfasis añadido.) La relativa ampliación interpretativa se da esencialmente por un impulso de Estados afines a los soviéticos que enfrentaban sanciones económicas de Occidente y, desde su perspectiva, violaba su independencia política. Por ello, el concepto evolucionó para incluir coerción como una violación a la obligación internacional de mantener relaciones de amistad y cooperación.⁷⁰ Sin embargo, para algunos, el hacer énfasis en la coerción y no ser incluido de forma literal como uso de la fuerza no es otra cosa que soporte a una visión restrictiva. Sin embargo, al hacer una evaluación de los efectos, la coerción puede generar las mismas consecuencias que el uso de la fuerza militar al vulnerar la independencia política de un Estado. Cuatro años más tarde, la AGONU adoptó la resolución 3314 (XXIX) que insta a todos los Estados a que se abstengan de todo acto de agresión y de cualquier otro uso de la fuerza contrario a la Carta y afirma que la agresión constituye la formamás grave y peligrosa del uso ilegítimo de la fuerza. (énfasis añadido.) Tanto la United Nations General Assembly Resolution 2625 (UNGAR) (1970) y la UNGAR 3314 (1974) nos permiten hablar de una segunda fase en la evolución del concepto del uso de la fuerza que no descarta la existencia de formas graves de usos de la fuerza (i.e., actos de agresión con fuerza armada) y actos que no utilizan fuerza armada pero pueden tener consecuencias devastadoras para la independencia política, pudiendo incluir la coerción como una violación a la prohibición del uso de la fuerza. Tercera, el uso de la fuerza como interferencia. Esta fase tiene una correlación con el Artículo 2(7) de la Carta que prohíbe intervenir en los asuntos que son esencialmente de la jurisdicción interna de los Estados, y esencialmente con la decisión de la Corte Internacional de Justicia (CIJ) en el caso Actividades Militares y Paramilitares en y Contra Nicaragua (en adelante, Nicaragua v. EEUU), al afirmarse que sería necesario distinguir las formas más graves del uso de la fuerza que constituyen un ataque armado, de otras formas.⁷¹ Según la CIJ, existe un uso directo de la fuerza a través de fuerza armada y un uso indirecto de la fuerza a través del apoyo a los contras, como acciones subversivas.⁷²Este criterio sostiene que hay una interpretación progresiva del principio del no-uso de la fuerza en las relaciones internacionales y que la forma más severa es un ataque armado. Sin embargo, no puede descartar la existencia de otras formas vinculadas a los principios de igualdad soberana⁷³ y no interferencia.⁷⁴

El principio de la prohibición al uso de la fuerza es cardinal para el sistema internacional. Sin embargo, es un principio que ha sido constantemente violado desde que se codificó en la Carta. Se estima que entre 200 y 680 ocasiones se ha incumplido esta obligación internacional desde 1945 hasta 1989 y el número pudiera ser significantemente mayor si tomamos en cuenta las intervenciones humanitarias en la década de los 90’s y el ejercicio de la legítima defensa de Estados Unidos desde los ataques del 9/11.⁷⁵

Este principio toral tiene tres excepciones contempladas dentro de la arquitectura de la Carta. Primera, cuando el Consejo de Seguridad de las Naciones Unidas (CSONU) en ejercicio de las facultades conferidas en el Capítulo VII de la Carta, determina la existencia de una amenaza a la paz y seguridad internacionales.⁷⁶ En esta situación, el CSONU puede recomendar la adopción de dos tipos de medidas. La primer modalidad implica la adopción de medidas que no impliquen el uso de la fuerza armada […] para hacer efectivas sus decisiones, y […] podrán comprender la interrupción total o parcial de las relaciones económicas y de las comunicaciones ferroviarias, marítimas, aéreas, postales, telegráficas, radioeléctricas, y otros medios de comunicación, así como la ruptura de relaciones diplomáticas.⁷⁷ La segunda modalidad implica, a contrario sensu, que es necesario emplear el uso de la fuerza y se obliga a la comunidad internacional a tomar las acciones que sean necesarias para mantener o restablecer la paz y la seguridad internacionales.⁷⁸

Segunda, el ejercicio del uso de la fuerza mediante organizaciones regionales o de defensa para aplicar medidas coercitivas y prevenir agresiones posteriores. Esta ruta fue explorada en diversos casos emblemáticos como la Crisis de los Misiles entre Cuba y Estados Unidos, en que el gobierno del entonces presidente Kennedy solicitó a la Organización de los Estados Americanos adoptar medidas coercitivas para contener la amenaza que presentaba la instalación de misiles soviéticos en la isla.⁷⁹ La complejidad de esta modalidad es la necesidad de someterla a la aprobación del CSONU; de lo contrario, sería violatoria a la misma obligación de no uso de la fuerza. Para muestra de la complejidad de esta alternativa está el análisis de la operación que realizó la Organización del Tratado del Atlántico Norte (OTAN) en Kosovo para contener la crisis humanitaria, que introdujo a la discusión sobre la operación militar para ser considerada como ilegal, pero legítima.⁸⁰

Tercera, la última excepción es la legítima defensa. Dicha excepción es históricamente la más invocada por la comunidad internacional. Si hacemos un recuento, elimpasse en el CSONU durante la Guerra Fría–y en la actualidad–impedía aprobar resoluciones con fundamento en el Capítulo VII de la Carta que permitiera hacer el uso de la fuerza para contener una amenaza a la paz y seguridad internacionales. Por lo tanto, las acciones de los Estados durante esta etapa tenían un andamiaje legal principalmente orientado hacia la legítima defensa. Este derecho se codificó en la Carta como inmanente de los Estados cuando éstos se vean agraviados por un ataque armado. Al igual que el concepto del uso de la fuerza, para los ataques armados tampoco hay consenso sobre su significado. La situación aumenta su complejidad cuando se analiza la figura de la inminencia en la cual existen diversos casos de práctica estatal, entre los cuales encontramos notablemente el Caso Caroline en el que se estableció que un ataque es inminente cuando no permita deliberación.⁸¹ La única certeza es que la legítima defensa debe observar en todo momento los principios de necesidad y proporcionalidad.⁸²

El problema de una interpretación inflexible del uso de la fuerza es la incapacidad de dar certeza jurídica a un Estado en un escenario de autoayuda cuando se viola la prohibición del no uso de la fuerza pero no cumple el estándar del ataque armado para hacer uso de la legítima defensa. Para llenar este vacío legal, las contramedidas entran a la ecuación. Las contramedidas son comúnmente referidas como una represalia en tiempo de paz. Son actos permisibles cuando un Estado ha violado una obligación internacional, permitiéndole al Estado agraviado adoptar medidas en respuesta que sin existir el daño, serían ilegales.⁸³ Sin embargo, la discusión más relevante sobre las contramedidas como mecanismo de autoayuda contemplado en la práctica estatal radica en la posibilidad de utilizar la fuerza menos severa como respuesta. Por ejemplo, Bruno Simma en su voto particular en el caso Plataformas Petroleras cuestionó la lógica planteada por el Borrador de la Comisión de Derecho Internacional de las Naciones Unidas (ILC, por sus siglas en inglés) y sugiere la consideración de ocupar el vacío legal con la aplicación de contramedidas. La ventaja al flexibilizar la concepción de las contramedidas por el ILC radica en la consolidación de los usos de fuerza más severos y evitar que los Estados invoquen la legítima defensa sin sufrir un ataque armado o que éste sea inminente.

IV ] Ciberataque como término de arte en el jus ad bellum

Como se discutía con anterioridad, es necesario explorar qué es un ciberataque como término de arte en el derecho internacional para determinar sus implicaciones legales. El uso indiscriminado del concepto puede llevar a confusión e incertidumbre jurídica. A pesar que no hay un instrumento jurídico-político a nivel internacional que lo defina, en la práctica sí hay un creciente consenso sobre qué puede ser considerado un tal y sus implicaciones. Exploraremos algunas definiciones que se han publicado por académicos, think-tanks, y organismos públicos para encontrar elementos que nos ayuden a conceptualizarlos con mayor precisión.

El Departamento de Defensa de los Estados Unidos (DoD) publicó en el 2011 su Estrategia para Operar en el Ciberespacio en la cual estableció los parámetros de lo que consideran amenazas para el ciberespacio.⁸⁴ Para el DoD, los adversarios buscan explotar, dañar, negar y degradar las redes [con las cuales operan].⁸⁵ Afirma que hay tres tipos de amenazas al ciberespacio que son prioridad: (i) robo o explotación de información.⁸⁶ (ii) negación del servicio o DoS que afecte la disponibilidad de las redes, su información o los recursos conectados a dicha red.⁸⁷ y (iii) una acción destructiva que incluya la corrupción, manipulación o cualquier actividad que amenaza con destruir el sistema.⁸⁸ De este catálogo se desprende una diferencia entre las amenazas: la primera es considerada ciberexplotación y las últimas dos son considerados ejemplos de ciberataques. Sin embargo, se enfoca de forma primaria y limita en análisis de un ciberataque al objetivo de los mismos; es decir, la afectación de un sistema vinculado al DoD. Si bien es cierto que DoD fue de las primeras instancias en publicar un documento guiándonos sobre los parámetros de los ciberataques y la ciberexplotación, los ejemplos como los recientes ataques a Sony muestran la insuficiencia de esta estrategia y la necesidad de su revisión.⁸⁹

Otro ejemplo es Martin Libicki– uno de los principales académicos en la materia– que sugiere considerar un ciberataque como laafectación deliberada o corrupción del sistema de un Estado por el interés de otro.⁹⁰ Él, al igual que el DoD, invita a hacer una distinción entre ciberataque y ciberexplotación o ciberespionaje. El primero busca dañar un sistema de seguridad nacional en búsqueda de afectar la capacidad de respuesta de un Estado, mientras que el segundo únicamente observa.⁹¹ La propuesta de Libicki considera, además, que un ciberataque puede ser ejecutado por un Estado o por un actor no estatal, actuando en apego a los intereses de un Estado.⁹² A pesar de lo rígido de la premisa al considerar que un actor no estatal tiene que seguir los intereses de un Estado para poder considerar su OOC como un ciberataque, le permite al autor explorar un escenario de ciberguerra, ya que la acción es atribuible a un Estado y entonces entraría a una modalidad análoga a la guerra convencional.

Richard Clarke, asesor de seguridad con George W. Bush–casi bajo la misma línea de Libicki–, señaló que un ciberataque es una penetración a un sistema sin autorización, de parte de o, en apoyo de un gobierno en el sistema de otro.⁹³Tanto Libicki, como Clarke, utilizan un lenguaje amplio, pero constriñen un ciberataque a Estados o actores no estatales como proxies, permitiéndoles tener una respuesta teórica a la posibilidad de escalar un conflicto a proporciones de guerra convencional. Sin embargo, la deficiencia de estos conceptos es evidente al analizar las implicaciones de la Guerra contra el Terror, posterior a los ataques a las Torres Gemelas el 9 de Septiembre de 2001, al entablar con un grupo no estatal un conflicto (al-Qaeda). Si bien prima facie se atribuye la responsabilidad a Afganistán por incapacidad o falta de voluntad, las operaciones continúan en un esquema de ataques selectivos al confrontar y replegarse–entrando a una modalidad en la que difícilmente se puede distinguir entre paz o guerra.⁹⁴

En el reporte del NRC se definieron los ciberataques como el uso de acciones deliberadas [por parte de un adversario] para alterar, dañar, engañar, degradar, o destruir los sistemas computacionales, redes o información que reside o transita por los sistemas o redes [de un Estado].⁹⁵ Lo valioso del reporte del NRC es que profundiza el entendimiento de un ciberataque a los efectos que puede tener, sean directos o indirectos.⁹⁶ Además, considera que, aunque no es el objetivo primario del concepto, un ciberataque puede no limitarse al software, sino también debe incluir un daño al hardware.⁹⁷

Duncan Hollis, otro teórico en la materia, considera que un ciberataque utiliza flujos de datos para engañar, inhabilitar, degradar, o destruir los sistemas de los adversarios o la infraestructura que soporta.⁹⁸ Hollis, profundiza el trabajo técnico realizado por el Reporte del NRC para incluir un factor relevante en las estrategias vigentes sobre ciberseguridad: infraestructura.

Oona Hathaway, en un esfuerzo sobresaliente junto con su equipo de investigadores en Yale Law School, realizaron uno de los mayores avances: reunir los elementos de los conceptos publicados para crear uno más cercano a la normatividad internacional. Definieron que un ciberataque es cualquier acción tomada para someter las funciones de una red computacional por un propósito político o de seguridad nacional.⁹⁹ La importancia, como veremos más adelante, está en su vinculación con el Artículo 2(4) de la Carta, al hacer referencia a la prohibición del uso de la fuerza en las relaciones internacionales en torno a la independencia política.

Por último, Michael N. Schmitt, quizá el principal académico en la materia y editor del Manual de Tallinn, afirmó que los ciberataques son operaciones llevadas a cabo en o contra del ciberespacio que pueden tener como objetivo usuarios individuales, objetos fuera del ciberespacio e incluso sociedades enteras.¹⁰⁰ En el Manual de Tallin, realizado por el grupo de expertos que coordinó Schmitt, definió a un ciberataque como unaciberoperación, ofensiva o defensiva, que sería razonable esperar resulte en daño o muerte a personas o destrucción a objetos.¹⁰¹ Esta aportación– quizá la de mayor autoridad hasta el momento– es ambigua ya que se remite a problemas relativos al concepto del uso de la fuerza y su implicación para los ciberataques.

Las distintas definiciones nos muestran que la vinculación del derecho de guerra y el ciberespacio aún son un trabajo en progreso. No hay una definición que genere un consenso de la comunidad internacional. Sin embargo, sí nos permite sugerir la siguiente definición: un ciberataque es una acción deliberada destinada a vulnerar un sistema crítico para la seguridad nacional, independencia política o integridad territorial de un Estado. Esta definición es superior a las anteriores por tres motivos: (i) permite una mayor flexibilidad en cuanto a los actores y circunscribe los ciberataques a Estados y actores no estatales, pero para efectos de conflicto en el dominio o ciberguerra, únicamente como un intercambio entre Estados, colocando un espacio relevante a la atribución. (ii) se enfoca en un fin determinado, que es la seguridad nacional, independencia política o integridad territorial. y (iii) brinda la posibilidad de discutir claramente a un ciberataque como una violación al Artículo 2(4) de la Carta, utilizando una interpretación progresiva el mismo.

Para hacer un análisis a un caso particular, algunos autores como Oona Hathaway sugieren limitarse a un análisis de efectos que permita determinar la existencia de un ciberataque.¹⁰² Sin embargo, sugiero explorar un modelo analítico integradopor cuatro aspectos. Primero, los actores de un ciberataque. Es de suma importancia para efectos legales determinar y atribuir la responsabilidad a un Estado o a un actor no estatal.¹⁰³ Como vimos con anterioridad, dentro de las cualidades de una OOC que pueden desembocar en un ciberataque encontramos la facilidad para la negación plausible de un ataque, colocando un incentivo a los Estados para hacer uso de proxies para ocultar su responsabilidad. Por ello, es necesario enfocar mecanismos de cooperación para adoptar medidas defensivas que permitan una mayor atribución. En caso de actores de carácter no estatal, puede operar la doctrina de incapacidad o falta de voluntad para fincar responsabilidad a un Estado.¹⁰⁴

Segundo, el ciberespacio como medio. A pesar que académicos han argumentado a favor de considerar un daño al hardware como un ciberataque, al tomar en cuenta las características de un AI para realizar un OOC, nos damos cuenta que sería irrelevante considerar una ejecución externa, mas sí es necesario considerar que toda OOC puede tener efectos directos e indirectos, siendo los últimos generalmente los más graves.

Tercero, tener como fin vulnerar la integridad territorial o independencia política. Este es uno de los puntos que claramente nos permitirá hacer una distinción entre un ciberataque y un cibercrimen, siendo estos últimos mucho más genéricos y sin contar con un fin que busque debilitar, degradar, engañar o destruir un sistema en violación a la regulación del uso de la fuerza que discutiremos en el siguiente apartado.

Cuarto, los efectos que puede tener un ciberataque. Estos efectos pueden ser directos e indirectos. Si ocasiona, como hace referencia la definición del Manual de Tallinn, un daño o muerte a personas o destrucción de objetos. Este apartado, como veremos, puede ser lo que determine la existencia del ejercicio de la legítima defensa en el escenario internacional.

Los cuatro elementos del modelo analítico que sugiero permiten determinar la existencia de un ciberataque y es superior a otros modelos más limitantes por tres razones: (i) es consistente con un marco normativo internacional y brinda mayor certeza sobre las respuestas permisibles. (ii) los elementos permiten un análisis progresivo de un ciberataque, dependiendo su severidad. (iii) es mucho más intuitivo respecto de los fines sine qua non que persigue un ciberataque.

Casos Prácticos: (i) Estonia v. Rusia.- Los ataques realizados a Estonia son el ejemplo más emblemático hasta el momento para el estudio del nuevo dominio. Los ataques los realizó Rusia en dos fases. La primera de ellas comenzó el 26 de Abril de 2007 después de que el gobierno de Estonia removió una estatua construida en 1947.¹⁰⁵ Ese día, los atacantes– hasta ese momento desconocidos–utilizaron AI de tipo DDoS,¹⁰⁶ que primero atacaron los sitios web del Parlamento, el Presidente y el Primer Ministro con una cifra aproximada de 1,000 paquetes de datos.¹⁰⁷ Al día siguiente, un alto funcionario del gobierno acudió al sitio web del Partido de la Reforma– del cual emanó el Primer Ministro– y se percató que no estaba funcionado.¹⁰⁸ Días después, los ataques se expandieron a sitios web de periódicos y banca electrónica.¹⁰⁹ El 2 de mayo, el gobierno logró contener previsionalmente el impacto de los ataques y tres días después anunció que los mismos se originaron en Rusia.¹¹⁰ Los ataques continuaron en distintas olas y densidades. La segunda y peor fase de ataques se tomó lugar el 9 de mayo que se conmemora el Día de la Victoria. Gracias a la capacidad del equipo de emergencias de Estonia Computer Emergency Response Team (CERT) pudieron contener las olas de ataques. Los paquetes con los que saturaron los sitios en Estonia oscilaron entre 20 mil y cuatro trillones de paquetes por minuto.¹¹¹ Los ataques casi ocasionaron el colapso total del sistema bancario a través del cual se realizaban el 97% de las operaciones bancarias en Estonia.¹¹² Otras compañías como Skype sufrieron pérdidas incalculables.¹¹³ Jaak Aaviksoo, entonces ministro de defensa de Estonia declaró que los ataques fueron masivos, bien enfocados y organizados,¹¹⁴ y argumentó que los ataques fueron equivalentes a un bloqueo,¹¹⁵ considerado como un acto de agresión. La atribución fue compleja en un sentido técnico, ya que los ataques provenían de 178 países diferentes, incluyendo Estados Unidos, China, Vietnam, entre otros.¹¹⁶ En un sentido jurídico-político, la atribución fue aún más compleja: el gobierno de Rusia negó cualquier responsabilidad sobre los ataques y afirmó que cualquier hacker podía infiltrarse y hacer uso de su ubicación. Sin embargo, Estonia rastreó la dirección IP de los ataques y provenían del sitio donde se encuentran las oficinas de la administración presidencial de Rusia.¹¹⁷ A pesar del intercambio de acusaciones, los ataques se atribuyeron a un grupo denominado Nashi su (que se traduce como “Movimiento Joven, Nuestro”,) fundado en 2005 con más de 100 mil miembros afiliados.¹¹⁸ Autores como Shackleford han afirmado que los ciberataques sonequivalentes a un ejército terrestre, fuerza aérea y fuerzas especiales.¹¹⁹

En este contexto, Estonia tuvo tres alternativas. La primera de ellas era continuar con una retórica de info-bloqueo y justificar el ejercicio de la legítima defensa en contra de Rusia. Esto presentó un cambio paradigmático en torno a la forma más severa del uso de la fuerza al cuestionar si un ciberataque puede tener consecuencias equivalentes a un ataque armado. Desde el primer momento quedó claro que con el daño y destrucción de objetos tangibles, lesiones o muerte de individuos cruzaría el estándar establecido por un medio convencional y un criterio de minimis.¹²⁰ Sin embargo, esto requería de un ejercicio de persuasión para convencer a la comunidad internacional de un mayor consenso sobre una respuesta que acate los principios de proporcionalidad y necesidad. Esto planteaba, a su vez, dos aristas sobre la respuesta: (i) utilizar un ciberataque como respuesta, pero reconociendo su incertidumbre, compleja planeación, ejecución y, quizá limitada exploración y desarrollo de armas informáticas, y, (ii) escalar a mecanismos convencionales de guerra, que fue rápidamente descartada por asimetría de poder entre los dos países.¹²¹

La segunda opción era acudir a la OTAN y solicitar asistencia y medidas de defensa colectiva con fundamento en el Artículo 5 del Tratado del Atlántico Norte:

Las Partes acuerdan que un ataque armado contra una o más de ellas, que tenga lugar en Europa o en América del Norte, será considerado como un ataque dirigido contra todas ellas, y en consecuencia, acuerdan que si tal ataque se produce, cada una de ellas, en ejercicio del derecho de legítima defensa individual o colectiva reconocido por el artículo 51 de la Carta de las Naciones Unidas, ayudará a la Parte o Partes atacadas, adoptando seguidamente, de forma individual y de acuerdo con las otras Partes, las medidas que juzgue necesarias, incluso el empleo de la fuerza armada, para restablecer la seguridad en la zona del Atlántico Norte.¹²²

A pesar que Estonia es miembro de la OTAN, la organización determinó examinar el Artículo 4 el cual estipula que[l]as Partes se consultarán cuando, a juicio de cualquiera de ellas, la integridad territorial, la independencia política o la seguridad de cualquiera de las Partes fuese amenazada.¹²³ Con esto, el análisis determinó que no había una violación a la integridad territorial y, por lo tanto, no era necesario proveer de asistencia a Estonia.

La tercer alternativa sería un proceso penal que, por la limitada cooperación entre Rusia y Estonia, no fue posible la extradición y únicamente se logró multar a un joven de 20 años con una cantidad aproximada de $1,642.00 USD.¹²⁴ Otro escenario que requiere una más profunda cooperación para hacer frente a grupos de carácter no estatal o grupos criminales que utiliza la infraestructura de un Estado.

Eljus ad bellum está a prueba después del conflicto en Estonia. Una interpretación restrictiva del artículo 2(4) de la Carta provocó dejar a un Estado prácticamente en situación de indefensión y la asimetría en el poder militar de los Estados hacía ilógico un ejercicio de legítima defensa por mecanismos de guerra convencional. Cuatro años más tarde, un oficial del gobierno ruso aceptó haber conocido sobre la operación y que los ataques se realizaron desde su oficina.¹²⁵

Sin embargo, esto provocó un estudio profundo sobre el impacto de un ciberataque como violación a la prohibición del uso de la fuerza. (En respuesta a estos hechos, por ejemplo, la OTAN apoyó la creación del Centro de Excelencia que auspició los debates que concluyeron en el Manual de Tallinn). Particularmente el reto que encontraron es la necesidad de adoptar una definición consensuada de ciberataque y cuándo puede resultar en un uso de la fuerza menos grave y en un ataque armado. Asimismo, el debate sobre cómo responder a un ciberataque en apego al derecho de guerra. Por ejemplo, acorde a la visión de Estados Unidos, todo ciberataque permite recurrir al uso de la fuerza con base en el artículo 51 de la Carta. Sin embargo, en hechos como los ocurridos al ataque con Sony atribuidos a Corea del Norte, Estados Unidos mostró incertidumbre de cómo responder y adoptó dos medidas: (i) un apagón a la conectividad de Corea del Norte.-¹²⁶ y (ii) sanciones económicas.¹²⁷ El ejemplo de Estados Unidos muestra en su práctica una transición al concepto gradual del uso de la fuerza y a la flexibilización en el ejercicio de contramedidas ya que la operación fue considerada como un ciberataque, pero la respuesta norteamericana no recurrió a fuerza militar en respuesta, sino a usos de fuerza menos severos.

V ] Conclusión

No es la primera ocasión en que elderecho internacional se presenta como un supuesto normativo anacrónico ante la realidad del ciberespacio y su transición a operar como un dominio. No implica que sea una zona libre de derecho y no requiere reinventar el derecho internacional consuetudinario, pero sí potencializa la incertidumbre jurídica sobre el uso de la fuerza. Por ende, un posible conflicto en o a través del ciberespacio se posiciona como un área gris en el derecho internacional, ya que por su dinámica es difícil saber cuándo te encuentras en un contexto de paz o guerra.

Es necesario adoptar una interpretación progresiva del principio prohibitivo del uso de la fuerza que permita dar certeza legal a los Estados al determinar respuestas permisibles o usos de la fuerza combinados con operaciones en otros dominios. Además, se requiere de un modelo analítico más intuitivo que permita determinar la existencia de un ciberataque y que permita identificar espacios de oportunidad para mejorar las redes de cooperación en materia de ciberseguridad.

Bibliografía

ALLEN, Patrick et al.,The Information Sphere Domain Increasing Understanding and Cooperation,en Virtual Battlef. Perspective. Cyber Warf. 2 (C. Czosseck, IOS Press 2009).

ASSANTE, Michael, America’s Critical Infrastructure is Vulnerable to Cyber Attacks, Forbes, 11 de noviembre, 2014, disponible en: http://www.forbes.com/sites/realspin/2014/11/11/americas-critical-infrastructure-is-vulnerable-to-cyber-attacks/. Última consulta: 18 de agosto, 2015.

BILDT, Carl, A Victory for the Internet, The New York Times, 05 de julio, 2012, disponible en: http://www.nytimes.com/2012/07/06/opinion/carl-bildt-a-victory-for-the-internet.html. Última consulta: 18 de agosto, 2015.

Carta de las Naciones Unidas

CHAYES, Abram, The Cuban Missile Crisis, Oxford University Press, 1974.

CHAYES, Antonia, New Wars Draft Law Article, disponible en: http://www.fletchersecurity.org/#!chayes/c1lfw. Última consulta: 18 de agosto, 2015

CLARKE,Richard,Cyber War: The Next Threat to National Security and What To Do About It, Harper Collins, USA, 2010

CLOVER, Charles. Kremlin-backed group behind Estonia cyber blitz, Financial Times, 2009, disponible en; http://www.ft.com/intl/cms/s/0/57536d5a-0ddc-11de-8ea3-0000779fd2ac.html#axzz3jCUgNWer. Última consulta: 18 de agosto de 2015

DAVIS, Joshua, Hackers Take Down the Most Wired Country in Europe,WIRED, 21 de agosto de 2007, disponible en: http://www.wired.com/politics/security/magazine/1509/ff_estonia?currentPage=all Última consulta: 18 de agosto, 2015

DEEKS, S, Ashley,"Unwilling or Unable"; Toward a Normative Framework for Extraterritorial Self-Defense, Virginia Journal of International Law Association, 2012, V.52:483,N.3, disponible en: http://www.vjil.org/assets/pdfs/vol52/issue3/Deeks_Post_Production.pdf.Última consulta: 18 de agosto, 2015.

DEIBERT, Ronald, Militarizing Cyberspace, MIT Technology Review, 22 de junio, 2010, disponible en: http://www.technologyreview.com/notebook/419458/militarizing-cyberspace/. Última consulta: 18 de agosto, 2015

Denial-of-Service: The Estonian Cyberwar and Its Implications for U.S. National Security, International Affairs Review, disponible en: http://www.iar-gwu.org/node/65. Última consulta: 18 de agosto, 2015

Department of Defense, Strategy for Operating in Cyberspace (2011)

Estonian DDoS Attacks A summary to date, DDoS and Security Reports, Arbor Networks Security Blog, disponible en: https://asert.arbornetworks.com/estonian-ddos-attacks-a-summary-to-date/; Última consulta: 18 de agosto, 2015

Estonia has no evidence of Kremlin involvement in cyber attacks, Sputnik International, 06 de septiembre de 2007, disponible en: http://en.rian.ru/world/20070906/76959190.html. Última consulta: 18 de agosto de 2015;

FINN,Peter,Cyber Assaults On Estonia Typify A New Battle Tactic, The Washington Post, 19 de mayo, 2007, disponible en: http://www.washingtonpost.com/wpdyn/content/article/2007/05/18/AR2007051802122.html . Última consulta: 18 de agosto, 2015

FRAKES, J., Notes and Comments: The Common Heritage of Mankind Principle and the Deep Seabed, Outer Space, and Antarctica, Wisconsin International Law Journal, disponible en: https://litigation-essentials.lexisnexis.com/webcd/app?action=DocumentDisplay&crawlid=1&doctype=cite&docid=21+Wis.+Int%27l+L.J.+409&srctype=smi&srcid=3B15&key=2a9022b86639c896522d9a7fb442c3de. Última consulta: 18 de agosto, 2015

General Assembly Resolution 2625 (1970)

GHOSH, Sumit et al. Cybercrimes, Springer, Estados Unidos de América, 2010

GIBSON, William, Neuromancer, Ace Books, Estados Unidos de América,1984

GLENNON, J, Michael, Force and the Settlement of Political Disputes. Debate with Alain Pellet, The Hague Colloquium on Topicality of the 1907 Hague Conference, 07 de septiembre, 2007, disponible en: http://ssrn.com/abstract=1092212. Última consulta: 18 de agosto, 2015

HATHAWAY, A. Oona, The Law of Cyber-Attack, Yale Law School Faculty Scholarship, 2012, Faculty Scholarship Series, disponible en: http://digitalcommons.law.yale.edu/cgi/viewcontent.cgi?article=4844&context=fss_papers. Última consulta: 18 de agosto, 2015

HAYES, Carol et al., Mitigative Counterstriking: Self-Defense and Deterrence in Cyberspace, Harvard Journal of Law and Technology, 2012, V.25 disponible en: http://jolt.law.harvard.edu/articles/pdf/v25/25HarvJLTech415.pdf. Última consulta: 18 de agosto, 2015

HOLLIES, David. Cyberwar Case Study: Georgia 2008, Small Wars Journal, 2011.

HOLLIS, B.Duncan, Why States Need an International Law for Information Operations, Lewis Clark Review, 2007, disponible en: http://law.lclark.edu/live/files/9551-lcb114art7hollis.pdf. Última consulta: 18 de agosto, 2015.

HENKIN, Louis. Editorial Comments: NATO’s Kosovo Intervention: Kosovo and the Law of «Humanitarian Intervention», American Journal of International Law1999.

International Court of Justice, Case concerning the military and paramilitary activities in and against Nicaragua (Nicaragua v. United States of America (Merits)) 1986, disponible en: en: http://www.icj-cij.org/docket/?sum=367&p1=3&p2=3&case=70&p3=5. Última consulta: 18 de agosto, 2015.

International Court of Justice, Legality of the Threat or Use of Nuclear Weapons, Advisory Opinion, 1996, disponible en: http://www.icj-cij.org/docket/index.php?sum=498&code=unan&p1=3&p2=4&case=95&k=e1&p3=5. Última consulta: 18 de agosto, 2015

International Group of Experts at the Invitation of The NATO Cooperative Cyber Defence Centre of Excellence, Draft of the Tallinn Manual on the International Law Applicable to Cyber Warfare 92, 2013.

International Law Commission, Responsibility of States for Internationally Wrongful Acts, with commentaries. International Law Commission, 2001, disponible en: http://legal.un.org/ilc/texts/instruments/english/commentaries/9_6_2001.pdf. Última consulta: 18 de agosto, 2015

KIRK, Jeremy. Student fined for attack against Estonian Web site, Infoworld. Displonible en:http://www.infoworld.com/article/2649226/security/student-fined-for-attack-against-estonian-web-site.html.Última consulta: 18 de agosto, 2015.

KOH, Harold. International Law In Cyberspace (2012)

LANGS, Sarah, Adding to the online bandwagon, Daily News, 11 julio, 2012, disponible en: http://www.nydailynews.com/blogs/pageviews/2012/07/adding-to-the-online-bandwagon-un-declares-internet-access-a-human-right. Última consulta: 18 de agosto, 2015.

LIBICKI, C. Martin, Cyberdeterrence and Cyberwar, RAND Corporation, 2009, disponible en: http://www.rand.org/content/dam/rand/pubs/monographs/2009/RAND_MG877.pdf. Última consulta: 18 de agosto, 2015.

OWENS, A. William, et al.Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities, National Research Council, 2009, disponible en: http://www.steptoe.com/assets/attachments/3785.pdf. Última consulta: 18 de agosto, 2015.

PERLROTH, Nicole et al.North Korea Loses Its Link to the Internet, The New York Times, 22 de diciembre 2014, http://www.nytimes.com/2014/12/23/world/asia/attack-is-suspected-as-north-korean-internet-collapses.html.

RALPH, Talia, UN deems Internet access a basic human right, Global Post, 06 de julio de 2012, disponible en: http://www.globalpost.com/dispatch/news/politics/diplomacy/120706/un-deems-internet-access-basic-human-right-0. Última consulta: 18 de agosto, 2015

Reuters,Russia to triple military spending, Arlington Foreign Policy, Examiner.com, disponible en; http://www.examiner.com/article/russia-to-triple-military-spending. Última consulta: 18 de agosto, 2015

SANGER, E. David. Confront and Conceal: Obama's Secret Wars and Surprising Use of American Power, Broadway Books, Estados Unidos de América, 2014.

SANGER, E. David et al.US sanctions North Korea over Sony cyberattack, The Boston Globe,02 de enero, 2015 disponible en; https://www.bostonglobe.com/news/world/2015/01/02/sanctions-north-korea-over-sony-cyberattack/QzRbFUnIVnRDSHIMK1uSNM/story.html. Última consulta: 18 de agosto de 2015

SANGER, E. David, Obama Order Sped Up Wave of Cyberattacks Against Iran, The NewYork Times, 01 de junio, 2012, disponible en: http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html. Última consulta: 18 de agosto, 2015

SCHMITT, N. Michael, "Below the Threshold" Cyber Operations: The Countermeasures Response Option and International Law, Virginia Journal of International Law, 2014, V.54, p. 16, disponible en; http://www.vjil.org/assets/pdfs/vol54/Schmitt-v7-JRN_FINAL_TO_PUBLISH.pdf. Última consulta: 18 de agosto, 2015

SCHMITT, N. Michael, Computer Network Attack and the Use of Force in International Law: Thoughts on a Normative Framework, Columbia Journal of Transnational Law, vol. 37, 1999

SCHMITT, N. Michael. Cyberspace and International Law, Harvard Law Review Forum, 2013

SCHMITT, N. Michael, et al.Proxy Wars in Cyber Space, Fletcher Security Review,2014 V.I, 2014, disponible en: https://ccdcoe.org/sites/default/files/multimedia/pdf/c28a64_2fdf4e7945e9455cb8f8548c9d328ebe.pdf. Última consulta: 18 de agosto, 2015.

SCHMITT, N. Michael, The Law of Cyber Warfare: Quo Vadis?, Standford Law Policy Review, 2014, V.25:269, disponible en: https://journals.law.stanford.edu/sites/default/files/stanford-law-policy-review/print/2014/06/schmitt_25_stan._l._poly_rev._269_final.pdf. Última consulta: 18 de agosto, 2015

Shackelford,Scott.From Nuclear War to Net War, Berkeley Journal of International Law, 2009,V.27,disponible en,http://scholarship.law.berkeley.edu/cgi/viewcontent.cgi?article=1368&context=bjil Última consulta: 18 de agosto, 2015

SKLEROV, Matthew, Solving the Dilemma of State Responses to Cyberattacks: A Justification for the Use of Active Defenses Against States Who Neglect Their Duty to Prevent, Military Law Review, 2009, disponible en: http://www.loc.gov/rr/frd/Military_Law/Military_Law_Review/pdf-files/201-fall-2009.pdf. Última consulta: 18 de agosto, 2015

SWAINE, Jon. Georgia: Russia 'conducting cyber war', ago. 11, 2008, disponible en: http://www.telegraph.co.uk/news/worldnews/europe/georgia/2539157/Georgia-Russia-conducting-cyber-war.html Ultima consulta: 18 de agosto, 2015

The White House, International Strategy for Cyberspace; Prosperity, Security, and Openness in a Networked World, 2011, disponible en: https://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pd. Última consulta: 18 de agosto, 2015

TRACHTMAN, Joel, Cyberspace, Sovereignty, Jurisdiction, and Modernism, Indiana Journal of Global Legal Studies, 1998, Vol.5, Tomo 2, disponible en: http://www.repository.law.indiana.edu/cgi/viewcontent.cgi?article=1134&context=ijgls. Última consulta: 18 de agosto, 2015

Tratado del Atlántico Norte

U.S. Naval Insitute y CACI International, Cyber Threats to National Security, julio 2010, disponible en: http://asymmetricthreat.net/docs/asymmetric_threat_4_paper.pdf. Última consulta: 18 de agosto, 2015

United Nations Office on Drugs and Crime, Comprehensive Study on Cybercrime (Vienna: UNODC, febrero 2013)

WAXMAN, Matthew. Cyber-Attacks and the Use of Force, Yale Journal of International Law, 2010, disponible en: http://www.yjil.org/docs/pub/36-2-waxman-cyber-attacks-and-the-use-of-force.pdf.Última consulta: 18 de agosto, 2015

WEBSTER, Daniel, The diplomatic and official papers of Daniel Webster, while secretary of state, Harper & Brothers, Nueva York, 1782-1852, The Library of Congress, disponible en: http://archive.org/stream/diplomaticoffici01webst/diplomaticoffici01webst_djvu.txt. Última consulta: 18 de agosto, 2015

WRENN, Chris, Theory for Cyberdeterrence, The Fletcher School of Law and Diplomacy, 2010, disponible en: http://gradworks.umi.com/35/39/3539954.html. Última consulta: 18 de agosto, 2015

Fecha de recepción: 10 de enero de 2015

Fecha de entrega: 27 de agosto de 2015