Ciberdiligencia debida¿una actualización necesaria para el Derecho Internacional del ciberespacio?

  1. Andrea Cocchini 1
  1. 1 Universidad de Navarra
    info

    Universidad de Navarra

    Pamplona, España

    ROR https://ror.org/02rxc7m23

Revista:
Análisis del Real Instituto Elcano ( ARI )

ISSN: 1696-3466

Año de publicación: 2021

Número: 27

Tipo: Documento de Trabajo

Otras publicaciones en: Análisis del Real Instituto Elcano ( ARI )

Resumen

Si ya es difícil atribuir técnicamente un ciberataque a un grupo de ciberatacantes que opere en el territorio de otro Estado, no es más fácil atribuírselo jurídicamente debido a la regulación internacional aplicable al ciberespacio. Por ello, este ARI estudia las dificultades que existen para atribuir un ciberataque según los instrumentos del Derecho Internacional disponibles en la actualidad. Sugiere, entonces, recurrir al estándar de la “ciberdiligencia debida”, que conllevaría para todo Estado la obligación de prevenir, mediante actividades de monitoreo, posibles ciberamenazas provenientes de grupos privados radicados en el territorio de un Estado.

Referencias bibliográficas

  • Este ARI se basa en el artículo publicado por el autor en la revista UNISCI, n.º 55, enero de 2021, pp. 69-98.
  • El Ministerio del Interior de Australia calcula que los ciberincidentes contra las pequeñas, medianas y grandes empresas privadas podrían costar a la economía australiana hasta 29.000 millones de dólares anuales, equivalentes al 1,9% de su PIB. “Australia’s Cyber Security Strategy 2020”, pp. 7 y 10.
  • El CCN-CERT identifica los ámbitos principales en los que han operado durante 2020 en España en su “Informe de Ciberamenazas y Tendencias 2020”, pp. 10-14.
  • Para más ejemplos, ver Russell Buchan (2012), “Cyber Attacks: Unlawful Uses of Force or Prohibited Interventions”, Journal of Conflict & Security Law, vol. 17, pp. 211-227; Samantha Bradshaw y Philip N. Howard (2019), “The Global Disinformation Disorder: 2019 Global Inventory of Organised Social Media Manipulation”, Working Paper, Project on Computational Propaganda, Universidad de Oxford.
  • Nicholas Tsagourias (2012), “Cyber-attacks, Self-defence and the Problem of Attribution”, Journal of Conflict & Security Law, vol. 17, pp. 229-244.
  • Nicholas Tsagourias (2015), “The legal status of cyberspace”, en Nicholas Tsagourias y Rusell Buchan (eds.), Research Handbook on International Law and Cyberspace, Edward Elgar Pub., pp. 13-29; cit. en p. 13.
  • Para otros Estados que han manifestado su deseo de extender el principio precautorio también al ciberespacio véase, por ejemplo, Jutta Brunnée y Tamar Meshel (2015), “Teaching an Old Law New Tricks: International Environmental Law Lessons for Cyberspace Governance”, German Yearbook of International Law, vol. 58, pp. 136-137.
  • La ECSN “[a]bogará por la creación de un marco internacional para la prevención de los conflictos, la cooperación y la estabilidad en el ciberespacio, en el que se apliquen los principios de la Carta de Naciones Unidas en su totalidad, el Derecho Internacional, los Derechos Humanos y el Derecho Humanitario Bélico, así como las normas no vinculantes sobre el comportamiento no responsable de los Estados” (p. 39, con alusiones similares en pp. 20, 26, 30, 54 y 55).
  • CCN-CERT (2019), “Informe de Ciberamenazas y Tendencias 2019”, p. 125.
  • Zhxiong Huang (2014), “The Attribution Rules in ILC’s Articles on State Responsibility: A Preliminary Assessment on Their Application to Cyber Operations”, Baltic Yearbook of International Law, vol. 14, pp. 41-54; cit. en pp. 42-43.
  • Sin entrar en un análisis detallado, baste con mencionar, por lo que a la atribución se refiere, las siguientes sentencias internacionales: Sentencia CIJ Actividades militares y paramilitares en Nicaragua y contra Nicaragua,27 de junio de 1986, párr. 115; Sentencia del Tribunal Penal Internacional para la Antigua Yugoslavia (ICTY Judgment) Prosecutor v. Dusko Tadic, 15 de julio de 1999, párrs. 131-137; Sentencia CIJ República Democrática del Congo v. República de Uganda, 19 de diciembre de 2005, párr. 146; Sentencia CIJ Aplicación de la Convención para la prevención y la represión del crimen de genocidio (Bosnia y Herzegovina v. Serbia y Montenegro), 26 de febrero de 2007, párrs. 385-395 y 398-412.
  • Timo Koivurova (2010), “Due Diligence”, en Anne Peters (ed.), Max Planck Encyclopedia of Public International Law, Oxford UP, Oxford.
  • International Law Association (2016), Study Group on Due Diligence in International Law (2.ª ed.), relator: Tim Stephens, pp. 5-6.
  • Paulina Starski (2015), “Right to Self-Defense, Attribution and the Non-State Actor – Birth of the ‘Unable or Unwilling’ Standard?”, Heidelberg Journal of International Law, vol. 75, n.º 3, p. 475.
  • Sentencia de la Corte Internacional de Justicia (CIJ) Plantas de celulosa en el río Uruguay, 20 de abril de 2010, párr. 101.
  • Sentencia CIJ Actividades militares y paramilitares en Nicaragua y contra Nicaragua,27 de junio de 1986, párr. 115.
  • Rusell Buchan (2016), “Cyberspace, Non-State Actors and the Obligation to Prevent Transboundary Harm”, Journal of Conflict & Security Law, vol. 21, n.º 3, pp. 431-432.
  • Michael N. Schmitt (2017), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, Cambridge UP, Cambridge, regla 6, comentario 5, pp. 30-32.
  • Scott J. Shackelford et al. (2016), “Unpacking the International Law on Cybersecurity Due Diligence: Lessons from the Public and Private Sectors”, Chicago Journal of International Law, vol. 17, n.º 1, p. 11.
  • Michael N. Schmitt (2017), Tallinn Manual 2.0, op. cit., regla 6, comentario 42, pp. 41-42.
  • Sentencia CIJ Canal de Corfú, 9 de abril de 1949, p. 18.
  • Matthew J. Sklerov (2009), “Solving the Dilemma of State Responses to Cyberattacks: A Justification for the Use of Active Defenses against States Who Neglect Their Duty to Prevent”, Military Law Review, vol. 201, n.º 1, pp. 12-13.
  • Véase, por ejemplo, SentenciaCIJ Plantas de celulosa en el río Uruguay, 20 de abril de 2010, párr. 101.
  • Karine Bannelier-Christakis (2014), “Cyber Diligence: A Low-Intensity Due Diligence Principle for Low-Intensity Cyber Operations?”, Baltic Yearbook of International Law, vol. 14, p. 8.