[Actualización anual] La intersección entre el derecho internacional y las operaciones cibernéticas: un kit interactivo de herramientas de ley cibernética

The Cyber Law Toolkit is a dynamic interactive web-based resource for legal professionals who work with matters at the intersection of international law and cyber operations. At its heart, the Toolkit currently consists of 19 hypothetical scenarios. Each scenario contains a description of cyber incidents inspired by real-world examples, accompanied by detailed legal analysis. The aim of the analysis is to examine the applicability of international law to the scenarios and the issues they raise. The Toolkit was formally launched on 28 May 2019 in Tallinn, Estonia. Its first general annual update was published on October 2, 2020.

en flag
nl flag
et flag
fi flag
fr flag
de flag
ru flag
es flag

Nota del Editor: El kit de herramientas de ley cibernética, dirigido principalmente a profesionales del derecho internacional, aborda una brecha entre la academia y la práctica en lo que respecta al derecho cibernético internacional se refiere. Aunque cada vez hay más investigaciones en esta esfera del derecho internacional, sus resultados no suelen ser fácilmente adaptables a las necesidades de los profesionales del derecho que se ocupan diariamente de incidentes cibernéticos. El Toolkit trata de salvar esta brecha proporcionando soluciones prácticas accesibles pero precisas para escenarios basados en ejemplos reales de operaciones cibernéticas relevantes para el derecho internacional. La última actualización general anual del Toolkit se publicó el 2 de octubre de 2020.

Extracto del Centro de Excelencia de Defensa Cibernética Cooperativa de la OTAN (CCDCOE de la OTAN)

El kit de herramientas de la ley cibernética

El kit de herramientas de ley cibernética es un recurso interactivo dinámico basado en la web para profesionales del derecho que trabajan con asuntos en la intersección del derecho internacional y las operaciones cibernéticas. El Toolkit puede ser explorado y utilizado de varias maneras diferentes. En su corazón, actualmente se compone de 19 escenarios hipotéticos. Cada escenario contiene una descripción de los incidentes cibernéticos inspirados en ejemplos del mundo real, acompañada de un análisis legal detallado. El objetivo del análisis es examinar la aplicabilidad del derecho internacional a los escenarios y las cuestiones que plantean.

Escenarios de ejemplo actuales

Interferencia electoral: En el período previo a una elección importante en el Estado A, el Estado B lleva a cabo una serie de incidentes cibernéticos destinados a influir en los resultados electorales. En diverso grado, estas acciones afectan a la campaña electoral, la administración de las elecciones, así como (eventualmente) los resultados electorales. El análisis en este escenario considera si alguna de las medidas concretas, individualmente o conjuntamente, puede constituir violaciones de varias normas del derecho internacional, concretamente la obligación de respetar la soberanía de otros Estados, la prohibición de la intervención en los asuntos internos de los Estados, y el derecho a la intimidad de las personas.

Ciberespionaje contra Departamentos del Gobierno: Una unidad militar del Estado B lleva a cabo una operación de ciberespionaje contra el Ministerio de Relaciones Exteriores del Estado A y sus organizaciones subordinadas. Los datos obtenidos en esta operación son publicados posteriormente en Internet por el Estado B. El análisis considera si la operación del Estado B violó la soberanía, la prohibición de intervención y el derecho diplomático y consular.

Operaciones cibernéticas contra la red eléctrica: Los servicios de inteligencia de un Estado comprometen la cadena de suministro de un sistema de control industrial en otro Estado, obteniendo así acceso a una parte de su red eléctrica. Las operaciones posteriores derribaran la red, lo que lleva a apagones prolongados. El escenario considera si esos incidentes pueden constituir, entre otras cosas, un uso prohibido de la fuerza, una intervención en los asuntos internos de otro Estado o una violación de la soberanía de otro Estado. Se estudia específicamente si existe la obligación independiente de abstenerse de realizar operaciones contra la infraestructura crítica de otros Estados por medios cibernéticos.

La falta de asistencia de un Estado a una organización internacional: una organización internacional es víctima de ataques cibernéticos, cuyo impacto podría y debería haber sido evitado por el Estado anfitrión. En el escenario se examina la obligación de diligencia debida por parte del Estado anfitrión y si la organización internacional puede recurrir a contramedidas y en qué circunstancias.

El Estado investiga y responde a las operaciones cibernéticas contra actores privados en su territorio: Este escenario considera una serie de operaciones cibernéticas maliciosas originadas en el territorio de un Estado y dirigidas a entidades privadas en el territorio de otro. En el curso de la investigación, y después de no haber recibido la cooperación del Estado presunto delincuente, el Estado víctima opta por penetrar en las redes del Estado presunto delincuente sin su consentimiento. Posteriormente, el Estado víctima descubre que el personal militar del Estado sospechoso había participado en algunas de las operaciones cibernéticas maliciosas. En esta hipótesis se analizan las normas de responsabilidad de los Estados, incluida la atribución y los grados de responsabilidad del Estado de origen, las obligaciones internacionales que pueden haberse violado y la capacidad del Estado víctima de justificar su respuesta con arreglo al derecho de las contramedidas.

Contramedidas cibernéticas contra y Estado habilitante: Un país que se cree que posee capacidades cibernéticas altamente desarrolladas no ayuda repetidamente a otros Estados en la lucha contra los ataques cibernéticos que emanan de su territorio. Después de otra operación cibernética maliciosa desde el territorio del antiguo Estado que da lugar a numerosas víctimas en el extranjero, dicho Estado se encuentra bajo un ataque DDoS a gran escala. En el escenario se examina la obligación internacional de diligencia debida en el contexto cibernético y la capacidad de los Estados de adoptar contramedidas en respuesta a las violaciones de esa obligación.

Fuga de herramientas de piratería desarrolladas por el Estado: Este escenario se refiere a la fuga de herramientas de piratería desarrolladas por el Estado, a la incapacidad de un Estado para informar a las empresas de software sobre las vulnerabilidades de sus productos y a la reutilización de las herramientas de piratería con fines delictivos. El análisis jurídico de este escenario examina la obligación de diligencia debida, la obligación de respetar la soberanía y la prohibición de intervención.

Certificate Authority Hack: El escenario analiza una operación cibernética contra una autoridad certificadora que presta servicios a entidades privadas y públicas, con indicaciones de que la operación fue comisionada o explotada por un Estado. ¿Cuáles son las obligaciones pertinentes en materia de derechos humanos en el ciberespacio? ¿Qué otras obligaciones internacionales pueden haberse violado?

Ciberespionaje económico: Las entidades privadas se convierten en blanco del ciberespionaje económico por o en nombre de un Estado. ¿En qué circunstancias puede atribuirse al Estado el espionaje cibernético y éste ser considerado responsable en virtud del derecho internacional? ¿Qué medidas, en su caso, puede adoptar legalmente el Estado víctima en respuesta?

Revisión de armas cibernéticas: Estado A desarrolla nuevos programas maliciosos capaces de destrucción física del equipo militar enemigo. Sin embargo, si se libera, también se espera que se traduzca en un deterioro temporal del uso de la infraestructura cibernética civil a través de la cual puede propagarse para alcanzar su objetivo. En esta hipótesis se consideran las obligaciones de los Estados de llevar a cabo un examen de las armas con respecto a las capacidades cibernéticas de este tipo potencialmente ya en tiempo de paz, mucho antes de que puedan desplegarse realmente en tiempo de conflicto armado. En particular, examina si ese tipo de malware constituye un arma intrínsecamente indiscriminada y, por lo tanto, prohibida por el derecho internacional humanitario.

Venta de instrumentos de vigilancia en desafío de las sanciones internacionales: A pesar de un embargo internacional, un Estado adquiere y utiliza explotaciones desarrolladas por una entidad privada para perseguir sus objetivos políticos. El análisis en este escenario considera si el uso de las hazañas viola las obligaciones en materia de derechos humanos del Estado que actúa o la soberanía de otros Estados. También examina qué Estados son responsables de violar el embargo y si la Convención sobre la Ciberdelincuencia tiene alguna relación con la cuestión.

Operaciones cibernéticas contra datos informáticos: En el contexto de un conflicto armado, un beligerante lleva a cabo una serie de operaciones cibernéticas contra los conjuntos de datos asociados con el otro beligerante. Estos incluyen datos utilizados con fines militares, conjuntos de datos civiles esenciales y datos que sirven a la propaganda enemiga. El análisis en este escenario considera la legalidad de las operaciones cibernéticas diseñadas para corromper o eliminar varios tipos de conjuntos de datos bajo el derecho de los conflictos armados. Se centra en particular en la cuestión de si los datos se califican de «objeto» a los efectos del derecho de los conflictos armados y si, como tales, entran en la definición de un objetivo militar.

Operaciones cibernéticas como desencadenante del derecho de los conflictos armados: dos Estados y un actor no estatal se involucran en un enfrentamiento armado con una combinación de operaciones cibernéticas y cinéticas. El Estado exterior proporciona diversas formas de apoyo financiero y militar al grupo no estatal en su lucha contra el Estado territorial. En el análisis de este escenario se examina si alguno de los incidentes pertinentes desencadena la aplicación del derecho de los conflictos armados y se examina si la situación resultante podría calificarse de conflicto armado internacional o no internacional.

Campaña de ransomware: Los gobiernos municipales y los proveedores de servicios de salud de un Estado son víctimas de una campaña de ransomware lanzada por un grupo no estatal en un segundo estado. La campaña de ransomware deshabilita los servicios municipales y de salud en el primer Estado. El escenario explora cómo la campaña de ransomware puede clasificarse bajo el derecho internacional. En primer lugar, examina si la campaña constituye una violación de una obligación internacional atribuible a un Estado. A continuación se examinan las posibles respuestas jurídicas de que dispone el Estado víctima.

Engaño cibernético durante un conflicto armado: Dos Estados están involucrados en un conflicto armado. A fin de facilitar el lanzamiento de una ofensiva militar importante, uno de los Estados participa en varias operaciones de ciberengaño contra el otro Estado. El análisis en este escenario considera si las operaciones cumplen las normas pertinentes del derecho internacional humanitario, incluida la prohibición de la perfidia y la prohibición del uso indebido de emblemas, signos y señales reconocidos internacionalmente.

Ciberataques contra buques en alta mar: Este escenario considera una serie de operaciones cibernéticas contra buques mercantes y buques de guerra en alta mar desde la perspectiva del derecho internacional público. Analiza en particular cuestiones relacionadas con la jurisdicción y la libertad de navegación en alta mar, así como si las ciberoperaciones equivalían a un uso prohibido de la fuerza.

Respuestas colectivas a las operaciones cibernéticas: Un Estado es víctima de una amplia gama de operaciones cibernéticas y pide ayuda a sus aliados. Concretamente, el Estado quiere que sus aliados atribuyan colectiva y públicamente las operaciones cibernéticas al Estado autor, apliquen las prohibiciones de viajar y la congelación de activos contra los autores individuales y adopten contramedidas colectivas contra el Estado responsable para inducirlo a poner fin al cibernético. operaciones. El escenario explora la legalidad de estas respuestas colectivas a las operaciones cibernéticas desde la perspectiva del derecho internacional.

Situación jurídica de los operadores cibernéticos durante un conflicto armado: Durante un conflicto armado convencional, un Estado despliega tres grupos de personas para sus operaciones cibernéticas contra un Estado enemigo. Un cuarto grupo civil, se une a la lucha y lanza operaciones cibernéticas contra el mismo enemigo. El escenario analiza la legalidad del objetivo letal de estos cuatro tipos diferentes de operadores cibernéticos. Se concentra en particular en el estatuto y las funciones del personal pertinente.

Discurso de odio: El Estado A utiliza una plataforma de medios sociales con sede en el Estado B para incitar al odio racial y religioso contra una minoría étnica y religiosa en su propio territorio. La violencia resultante se convierte en un conflicto armado no internacional que implica operaciones cibernéticas entre el Estado A y miembros de la minoría étnica y religiosa que se organizan en un grupo armado de oposición. En la hipótesis se analiza si los incidentes constituyeron violaciones del derecho internacional, incluidas las normas internacionales de derechos humanos, el derecho internacional humanitario y el derecho penal internacional.

Además, el Toolkit comparte más de veinte incidentes del mundo real que han inspirado el análisis (y los escenarios) presentado en el proyecto. Estos ejemplos incluyen:

Ataque de ransomware del Hospital Universitario de Brno (2020)

Ataque de ransomware del municipio de Texas (2019)

Hack de la sede de la Unión Africana (2018)

Incidentes de ransomware de SamSam (2018)

Fuga en las elecciones presidenciales francesas (2017)

WannaCry (2017)

NotPetya (2017)

Operación Cloudhopper (2017)

Discurso de odio en la India (2017)

Vigilancia etíope de periodistas en el extranjero (2017)

Acusación contra Wu Yingzhuo, Dong Hao y Xia Lei (2017)

Tritón (2017)

Pérdida de correo electrónico DNC (2016)

The Shadow Brokers publican las vulnerabilidades de la NSA (2016)

El Hack Equipo Hack (2015)

Ciberataque a la red eléctrica en Ucrania (2015)

Bundestag Hack (2015)

Violación de datos de la Oficina de Gestión del Personal (2015)

Interferencia en las elecciones parlamentarias ucranianas (2014)

Unidad china del EPL 61398 autos de acusación (2014)

Ataque Sony Pictures Entertainment (2014)

Fábrica de acero en Alemania (2014)

Shamoon (2012)

DiGinotar (2011)

Stuxnet (2010)

Conflicto entre Georgia y Rusia (2008)

Ciberataques contra Estonia (2007)

Acerca del Kit de herramientas y proyecto de ley cibernética

El Toolkit se lanzó oficialmente el 28 de mayo de 2019 en Tallin, Estonia, y el proyecto está dirigido por un consorcio de cinco instituciones asociadas: la Agencia Nacional de Seguridad Cibernética y de la Información Checa (NCISA), el Comité Internacional de la Cruz Roja (CICR), el Centro de Excelencia de la Defensa Cibernética Cooperativa de la OTAN (CCDCOE de la OTAN)), la Universidad de Exeter y la Universidad de Wuhan. El equipo del proyecto está integrado por el Dr. Kubo Mačák (Exeter), Editor General, el Sr. Tomáš Minárik (NCISA), Editor Gerente, y la Sra. Taťána Jančárková (CCDCOE de la OTAN), Editora de Escenarios. Los escenarios individuales y el Instrumental han sido examinados por un equipo de más de 30 expertos externos y evaluadores homólogos. El Toolkit es un recurso interactivo que se desarrolla y actualiza continuamente, con su primera actualización general anual publicada el 2 de octubre de 2020.

Obtenga más información sobre el kit de herramientas y el proyecto en Cyber Law Toolkit

Lectura adicional

De la detección proactiva a las revisiones de violaciones de datos: Detección y extracción de datos confidenciales con Ascema

Novedades de NIST: Integración de Ciberseguridad y Gestión de Riesgos Empresariales (ERM)

Fuente: ComplexDiscovery

Fusiones, adquisiciones e inversiones de eDiscovery en 2020

Since beginning to track the number of publicly highlighted merger, acquisition,...

La relatividad adquiere VerQu

According to Relativity CEO Mike Gamson, "It's imperative that the legal...

Fusiones, adquisiciones e inversiones de eDiscovery en el cuarto trimestre de 2020

From Nuix and DISCO to Exterro and AccessData, the following findings,...

DISCO cierra ronda de financiamiento de $100 millones

According to DISCO CEO Kiwi Camara, “Legaltech is booming now, and...

¿Una nueva era en eDiscovery? Enmarcar el crecimiento del mercado a través de la lente de las seis eras

There are many excellent resources for considering chronological and historiographical approaches...

Un Mashup de tamaño de mercado de eDiscovery: 2020-2025 Información general sobre software y servicios en todo el mundo

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

¿Restablecer la línea base? Ajustes de tamaño de mercado de eDiscovery para 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

¿A casa o a distancia? Consideraciones sobre el tamaño del mercado y los precios de la colección eDiscovery

One of the key home (onsite) or away (remote) decisions that...

Cinco excelentes lecturas sobre eDiscovery para enero de 2021

From eDiscovery business confidence and operational metrics to merger and acquisition...

Cinco excelentes lecturas sobre eDiscovery para diciembre de 2020

May the peace and joy of the holiday season be with...

Cinco excelentes lecturas sobre eDiscovery para noviembre de 2020

From market sizing and cyber law to industry investments and customer...

Cinco grandes lecturas sobre eDiscovery para octubre de 2020

From business confidence and captive ALSPs to digital republics and mass...

¿Sólo una cuestión de tiempo? HayStackID lanza un nuevo servicio para la detección y revisión de brechas de datos

According to HaystackID's Chief Innovation Officer and President of Global Investigations,...

¡Es un fósforo! Centrarse en el costo total de la revisión de eDiscovery con ReviewRight Match

As a leader in remote legal document review, HaystackID provides clients...

De la detección proactiva a las revisiones de violaciones de datos: Detección y extracción de datos confidenciales con Ascema

A steady rise in the number of sensitive data discovery requirements...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

¿No tan sobresaliente? Métricas operativas de eDiscovery en el invierno de 2021

In the winter of 2021, eDiscovery Business Confidence Survey more...

Resultados de la encuesta de confianza empresarial Winter 2021 eDiscovery

This is the twenty-first quarterly eDiscovery Business Confidence Survey conducted by...

¿High Cinco? Una visión general general de cinco encuestas semestrales de precios de eDiscovery

As we are in the midst of a pandemic that has...

¿Equilibrando relevancia y realidad? Resultados de la encuesta de precios de eDiscovery Winter 2021

Based on the complexity of data and legal discovery, it is...