Durante años, algunos defensores y defensores de la ciberseguridad han pedido una especie de Convención de Ginebra para la ciberguerra, nuevas leyes internacionales que crearían consecuencias claras para cualquiera que piratee infraestructura civil crítica, como redes eléctricas, bancos y hospitales. Ahora, el fiscal principal de la Corte Penal Internacional de La Haya ha dejado claro que tiene la intención de hacer cumplir esas consecuencias, sin necesidad de una nueva Convención de Ginebra. En cambio, ha declarado explícitamente por primera vez que La Haya investigará y procesará cualquier delito de piratería informática que viole el derecho internacional existente, tal como lo hace con los crímenes de guerra cometidos en el mundo físico.
En un artículo poco destacado publicado el mes pasado en la publicación trimestral Foreign Policy Analytics, el fiscal principal de la Corte Penal Internacional, Karim Khan, explicó detalladamente ese nuevo compromiso: Su oficina investigará los delitos cibernéticos que potencialmente violan el Estatuto de Roma, el tratado que define la autoridad del tribunal para procesar actos ilegales, incluidos crímenes de guerra, crímenes contra la humanidad y genocidio.
“La guerra cibernética no se desarrolla en abstracto. Más bien, puede tener un impacto profundo en la vida de las personas”, escribe Khan. “Los intentos de impactar infraestructuras críticas, como instalaciones médicas o sistemas de control para la generación de energía, pueden tener consecuencias inmediatas para muchos, particularmente los más vulnerables. En consecuencia, como parte de sus investigaciones, mi Oficina recolectará y revisará evidencia de dicha conducta”.
Cuando WIRED contactó a la Corte Penal Internacional, un portavoz de la oficina del fiscal confirmó que esta es ahora la postura oficial de la oficina. «La Oficina considera que, en circunstancias apropiadas, la conducta en el ciberespacio puede potencialmente equivaler a crímenes de guerra, crímenes contra la humanidad, genocidio y/o crimen de agresión», escribe el portavoz, «y que dicha conducta puede potencialmente ser procesada ante la justicia». Tribunal donde el caso es suficientemente grave”.
Ni el artículo de Khan ni la declaración de su oficina a WIRED mencionan a Rusia o Ucrania. Pero la nueva declaración sobre la intención del fiscal de la CPI de investigar y procesar los delitos de piratería informática se produce en medio de una creciente atención internacional sobre los ciberataques de Rusia contra Ucrania, tanto antes como después de su invasión total de su vecino a principios de 2022. En marzo del año pasado, El Centro de Derechos Humanos de la Facultad de Derecho de UC Berkeley envió una solicitud formal a la fiscalía de la CPI instándola a considerar procesamientos por crímenes de guerra de piratas informáticos rusos por sus ataques cibernéticos en Ucrania, incluso cuando los fiscales continuaron reuniendo pruebas de crímenes de guerra físicos más tradicionales. que Rusia ha llevado a cabo en su invasión.
En la solicitud del Centro de Derechos Humanos de Berkeley, conocida formalmente como documento del Artículo 15, el Centro de Derechos Humanos se centró en los ciberataques llevados a cabo por un grupo ruso conocido como Sandworm, una unidad dentro de la agencia de inteligencia militar rusa GRU. Desde 2014, el GRU y Sandworm, en particular, han llevado a cabo una serie de ataques de ciberguerra contra infraestructuras civiles críticas en Ucrania más allá de todo lo visto en la historia de Internet. Su descarado pirateo ha abarcado desde atacar empresas eléctricas ucranianas y provocar los dos únicos apagones causados por ataques cibernéticos hasta la liberación del malware NotPetya que destruye datos y que se propagó desde Ucrania al resto del mundo e infligió más de 10 mil millones de dólares en daños, incluyendo a las redes hospitalarias tanto en Ucrania como en Estados Unidos.
Aunque la presentación del grupo de Berkeley se centró inicialmente en los ataques de Sandworm en 2015 y 2016 a la red eléctrica de Ucrania como el ejemplo más claro de ciberataques con efectos físicos comparables a los de la guerra tradicional, luego amplió su argumento para incluir el ciberataque NotPetya de Sandworm, así como un tercer intento. por los piratas informáticos para sabotear la red eléctrica de Ucrania y otro ciberataque a la red de módem satelital Viasat utilizada por el ejército de Ucrania, que provocó cortes de los módems satelitales en toda Europa.