CIVICUS conversa con Stéphane Duguin sobre la militarización de la tecnología y los avances hacia un Tratado de las Naciones Unidas contra la Ciberdelincuencia.
Stéphane es experto en el uso de tecnologías disruptivas tales como ciberataques, campañas de desinformación y ciberterrorismo, y director ejecutivo del CyberPeace Institute, una organización de la sociedad civil (OSC) fundada en 2019 para apoyar a OSC humanitarias y a comunidades vulnerables a limitar los daños de los ciberataques y promover un comportamiento responsable en el ciberespacio. Lleva a cabo actividades de investigación e incidencia y aporta conocimientos jurídicos y políticos a las negociaciones diplomáticas, incluidas las del Comité Ad Hoc de las Naciones Unidas que actualmente está elaborando la Convención contra la Ciberdelincuencia.
¿Por qué se necesita un tratado de la ONU contra la ciberdelincuencia?
Ya existen varios instrumentos jurídicos que abordan la ciberdelincuencia, como el Convenio de Budapest sobre la Ciberdelincuencia del Consejo de Europa, adoptado en 2001, el primer tratado internacional que trata sobre los ciberdelitos y busca armonizar las legislaciones para mejorar la cooperación en el ámbito de la ciberseguridad, que hasta abril de 2023 ha sido ratificado por 68 Estados de todo el mundo. A este instrumento le siguieron herramientas regionales tales como la Convención de la Unión Africana sobre Ciberseguridad y Protección de Datos Personales de 2014, entre otras.
Pero el problema de estos instrumentos es que no se implementan adecuadamente. El Convenio de Budapest ni siquiera ha sido ratificado por la mayoría de los Estados, aunque está abierto a todos. E incluso cuando han sido firmados y ratificados, estos instrumentos no se ponen en práctica. Esto significa que los datos no son accesibles más allá de las fronteras, es difícil conseguir cooperación internacional y no se da curso a las solicitudes de extradición.
Es urgente repensar la cooperación transfronteriza para prevenir y combatir los delitos, especialmente desde un punto de vista práctico. Los Estados con más experiencia en la lucha contra la ciberdelincuencia podrían ayudar a los menos dotados de recursos prestándoles asistencia técnica y contribuyendo a la construcción de capacidades.
Por eso es tan importante el hecho de que la ONU esté negociando una convención mundial sobre ciberdelincuencia. En 2019, para coordinar los esfuerzos de los Estados miembros, las OSC –entre ellas el CyberPeace Institute–, las instituciones académicas y otras partes interesadas, la Asamblea General de la ONU estableció el Comité Ad Hoc para elaborar una Convención Internacional Integral para contrarrestar el uso de las tecnologías de la información y las comunicaciones con fines delictivos –en pocas palabras, un Convenio contra la Ciberdelincuencia. Será el primer instrumento internacional jurídicamente vinculante para el ciberespacio.
Los objetivos del nuevo tratado son reducir la probabilidad de que se produzcan atentados y, cuando éstos ocurran, limitar los daños y garantizar que las víctimas tengan acceso a justicia y reparación. De lo que se trata es de proteger no a los Estados, sino a las personas.
¿Cuáles fueron los pasos iniciales en la negociación del tratado?
El primer paso consistió en hacer balance de lo que ya existía y, sobre todo, de lo que faltaba en los instrumentos existentes para comprender lo que había que hacer. También fue importante medir la eficacia de las herramientas existentes y determinar si no funcionaban a causa de defectos de diseño o porque no se aplicaban correctamente. Medir el costo humano de la ciberdelincuencia también fue clave para definir una línea de base para el problema que se intenta abordar con el nuevo tratado.
Otro paso importante, que curiosamente no ha formado parte del debate, habría sido llegar a un acuerdo entre todos los Estados parte para dejar ellos mismos de cometer ciberdelitos. Resulta cuanto menos extraño sentarse a la mesa a debatir definiciones de los delitos cibernéticos y dependientes de la tecnología con Estados que llevan a cabo o facilitan ciberataques. Los programas espía y la vigilancia selectiva, por ejemplo, están siendo financiados y desplegados en su mayoría por Estados, que además financian al sector privado comprando estas tecnologías con el dinero de sus contribuyentes.
¿Cuáles son los principales desafíos?
El principal desafío ha sido definir el ámbito de aplicación del nuevo tratado, es decir, la lista de delitos que se penalizarán. Los delitos cometidos con el uso de tecnologías de la información y la comunicación (TIC) suelen pertenecer a dos categorías distintas: delitos dependientes de la tecnología y delitos habilitados por ella. En general, los Estados están de acuerdo en que el tratado debe incluir los delitos ciberdependientes: delitos que sólo pueden cometerse utilizando ordenadores y TIC, tales como el acceso ilegal a ordenadores, la realización de ataques de denegación de servicio y la creación y difusión de programas maliciosos. Si estos delitos no formaran parte del tratado, no habría ningún tratado.
Sin embargo, la inclusión de los delitos habilitados por la tecnología es más controvertida. Se trata de delitos que se llevan a cabo en línea pero que podrían cometerse sin TIC, como el fraude bancario y el robo de datos. No existe una definición internacionalmente aceptada para estos delitos cibernéticos. Algunos Estados consideran delitos cibernéticos a delitos relacionados con los contenidos que circulan en internet, tales como la desinformación, la incitación al extremismo o el apoyo al terrorismo. Se trata de delitos basados en el discurso, cuya penalización puede conducir a la criminalización del discurso o la expresión en línea, con repercusiones negativas sobre los derechos humanos y las libertades fundamentales.
Muchos Estados que probablemente serán futuros signatarios del tratado utilizan este tipo de lenguaje para atacar el disenso. Sin embargo, existe un consenso generalizado en torno de la inclusión de excepciones limitadas sobre delitos habilitados por la tecnología, como la explotación y el abuso sexual de menores en línea y el fraude informático.
No hay forma de llegar a una definición amplia de los delitos habilitados por la tecnología a menos que vaya acompañada de salvaguardias muy estrictas en materia de derechos humanos. A falta de tales salvaguardias, el tratado debería abarcar un espectro limitado de delitos. Pero no hay acuerdo sobre la definición de las salvaguardias ni sobre cómo ponerlas en práctica, sobre todo en lo que respecta a la protección de datos personales.
Tanto para las víctimas como para los perpetradores, no hay ninguna diferencia entre los delitos ciberdependientes y los habilitados por la tecnología. Si eres víctima, eres víctima de ambos. Muchos grupos criminales –y también agentes estatales– utilizan las mismas herramientas, infraestructuras y procesos para realizar ambos tipos de ataques.
Aunque es necesario incluir más delitos cibernéticos, la forma en que esto se está haciendo es incorrecta, ya que no se están introduciendo salvaguardias ni definiciones claras. La mayoría de los Estados que lo están impulsando han demostrado sobradamente que no respetan ni protegen los derechos humanos, y algunos de ellos –como China, Egipto, India, Irán, Rusia y Siria– han propuesto incluso eliminar toda referencia a las obligaciones internacionales en materia de derechos humanos.
Otro desafío es la falta de acuerdo sobre el seguimiento que deberían hacer los mecanismos de cooperación internacional para garantizar la implementación efectiva del tratado. Siguen sin estar claras las formas en que los Estados van a cooperar y los tipos de actividades que realizarán conjuntamente para combatir estos delitos.
Para evitar que regímenes represivos hagan un mal uso del tratado, deberíamos centrarnos tanto en el alcance de la penalización como en las condiciones de la cooperación internacional. Por ejemplo, las disposiciones sobre extradición deberían incluir el principio de doble incriminación, lo que significa que un acto no debería ser extraditable a menos que constituya un delito tanto en el país que presenta la solicitud como en el que la recibe. Esto es crucial para evitar que Estados autoritarios utilicen este mecanismo para perseguir el disenso y cometer ulteriores violaciones de los derechos humanos.
¿Qué está aportando la sociedad civil a las negociaciones?
La redacción del tratado debe ser un esfuerzo colectivo dirigido a prevenir y disminuir la cantidad de ciberataques. En tanto que entidades independientes, las OSC contribuyen mediante el aporte de conocimientos sobre repercusiones de derechos humanos y posibles amenazas y abogando por que se garanticen los derechos fundamentales.
Por ejemplo, el CyberPeace Institute lleva dos años analizando ciberataques contra instituciones sanitarias en el marco de la pandemia de COVID-19. Hemos encontrado al menos 500 ciberataques que resultaron en el robo de datos de 20 millones de pacientes. Y esto es apenas la punta del iceberg.
El CyberPeace Institute también presenta recomendaciones al Comité basadas en un enfoque centrado en las víctimas, que incluye medidas preventivas, rendición de cuentas de los perpetradores sobre la base de evidencia, acceso a la justicia y reparación para las víctimas y prevención de la revictimización.
También abogamos por un enfoque basado en los derechos humanos, que garantice el pleno respeto de los derechos humanos y las libertades fundamentales mediante protecciones y salvaguardias sólidas. El lenguaje de la Convención debería hacer referencia a marcos específicos de derechos humanos como la Declaración Universal de Derechos Humanos y el Pacto Internacional de Derechos Civiles y Políticos. Es importante que la lucha contra la ciberdelincuencia no oponga la seguridad nacional a los derechos humanos.
Este encuadre es especialmente significativo porque los gobiernos llevan mucho tiempo explotando las medidas contra la ciberdelincuencia para expandir el control estatal, ampliar sus poderes de vigilancia, restringir o criminalizar las libertades de expresión y reunión y atacar a personas defensoras de derechos humanos, periodistas y opositores políticos en nombre de la seguridad nacional o la lucha contra el terrorismo.
En resumen, el objetivo de la sociedad civil es poner en evidencia el impacto humano de los ciberdelitos y asegurarse de que los Estados lo tengan en cuenta a la hora de negociar el marco y la normativa, que deben crearse para proteger a la ciudadanía. Aportamos las voces de las víctimas, las partes más vulnerables, cuya ciberseguridad cotidiana no está debidamente protegida por el actual marco internacional. El CyberPeace Institute, en particular, aboga por la inclusión de un espectro limitado de ciberdelitos con definiciones claras y restringidas para evitar la criminalización de comportamientos que constituyen el ejercicio de libertades fundamentales y, por lo tanto, derechos humanos.
¿En qué punto del proceso del tratado nos encontramos ahora?
Existe actualmente un documento de negociación consolidado que fue la base de la segunda lectura realizada en las sesiones cuarta y quinta, celebradas en enero y abril de 2023. El siguiente paso es la publicación del borrador cero, que se espera para finales de junio, y que será la base de la negociación en la sexta sesión, que tendrá lugar en Nueva York entre agosto y septiembre de 2023.
El proceso culmina normalmente con una consolidación por parte de los Estados, lo cual va a ser difícil ya que hay muchas divergencias y un plazo ajustado: el tratado debe ser sometido a votación en la 78ª sesión de la Asamblea General de la ONU, en septiembre de 2024.
Hay un bloque de Estados que busca un tratado con el mayor alcance posible, y otro que se inclina por un convenio con un ámbito de aplicación limitado y fuertes salvaguardias. Pero incluso dentro de este segundo bloque sigue habiendo desacuerdos en materia de protección de datos, así como en relación con el enfoque de la seguridad y la ética de tecnologías específicas como la inteligencia artificial.
¿Qué posibilidades hay de que la versión final del tratado se ajuste a las normas internacionales de derechos humanos y, al mismo tiempo, sea apto para cumplir su propósito?
Teniendo en cuenta cómo ha ido el proceso hasta ahora, no soy muy optimista, especialmente en lo que se refiere a la cuestión del respeto de las normas de derechos humanos, debido a la crucial falta de definición de las salvaguardias de derechos humanos. No debemos olvidar que las negociaciones se están produciendo en un contexto de tensa confrontación geopolítica. El CyberPeace Institute ha estado rastreando los ataques desplegados desde el inicio de la invasión masiva de Ucrania por parte de Rusia. Hemos sido testigos de más de 1.500 campañas de ataques con cerca de 100 actores implicados, muchos de ellos Estados, e impactos en más de 45 países. Esta realidad geopolítica complica aún más las negociaciones.
El texto que está ahora sobre mesa se queda corto en lo que se refiere a su potencial para mejorar la vida de las víctimas de delitos en el ciberespacio. Por eso el CyberPeace Institute sigue comprometido con el proceso de redacción: para informar los debates y generar conciencia de modo de obtener un resultado más positivo.
Póngase en contacto con el CyberPeace Institute a través de su sitio web o su página de Facebook, y siga a @CyberpeaceInst y a @DuguinStephane en Twitter.