Ciberseguridad y foros tradicionales de gobernanza de Internet
Imagen: proporcionada por usuario de Electronic Frontier Foundation, proporcionada bajo licencia CC BY 2.0
Además de las convenciones y decisiones que ya se mencionaron, dentro del espectro de espacios tradicionales de gobernanza de Internet multilaterales y multidisciplinarios, el tema de la ciberseguridad ha cobrado progresivamente relevancia. Como lo hemos mencionado en otros módulos, en el verano de 2013, la comunidad de gobernanza de Internet se vio conmovida por las revelaciones de Edward Snowden sobre la vigilancia masiva ejercida por EE. UU. y el Reino Unido, y se intensificaron sustancialmente las presiones por una mayor cooperación y exposición en materia de ciberseguridad. Esto provocó que, meses después de las revelaciones, Brasil y Alemania promovieran una resolución en la ONU sobre “El Derecho a la Privacidad en la Era Digital”, la cual finalmente fue adoptada en 2014. En abril de 2014, Brasil auspició Netmundial, el Encuentro Global de Multiplicidad de Partes Interesadas sobre Gobernanza de Internet. El documento final que no tiene carácter vinculante y se elaboró con el aporte de la sociedad civil, instó a que las decisiones internacionales sobre políticas de ciberseguridad se adopten en foros multidisciplinarios que congreguen a todas las partes interesadas, incluida la sociedad civil. Si bien no es vinculante, el documento final de Netmundial ha sido una herramienta útil para gobiernos y organizaciones de la sociedad civil que se han resistido a tratados y decisiones multilaterales internacionales sobre ciberseguridad.
Por otro lado, tras los eventos globales de la Cumbre Mundial sobre la Sociedad de la Información (CMSI), que tuvieron lugar en 2003 en Ginebra y en 2005 en Túnez, para permitir que personas y actores interesados en todo el mundo aportaran su opinión sobre temas relativos a acceso a Internet, seguridad y privacidad, se concedió a la UIT el rol de facilitador de la Línea de Acción c5 de la CMSI: “Creación de confianza y seguridad en la utilización de las TIC”. Distintos gobiernos, como los de Rusia y China, han utilizado esta línea de acción para promover una mayor consolidación de temas de ciberseguridad en el seno de la UIT.
Además, en 2007, la UIT adoptó una Agenda sobre Ciberseguridad Global que ofrece un marco general para la interacción internacional entre Estados Miembros en temas de ciberseguridad. Tres de las resoluciones de la UIT (las resoluciones 130, 174, y 179) tratan sobre ciberseguridad, y de cara a la conferencia de plenipotenciarios de la UIT de 2014 en Busán, Corea del Sur, las delegaciones de varios países —entre ellos Rusia y los Estados Árabes— propusieron modificaciones a las resoluciones destinadas a expandir el rol de la UIT en materia de ciberseguridad.
Durante el Foro de Gobernanza de Internet (FGI), que congrega anualmente a múltiples actores interesados con el auspicio de la ONU, una cantidad cada vez mayor de talleres y debates se han centrado en temas de ciberseguridad. Sin embargo, debido a que la naturaleza del foro es no vinculante y además no exige resultados en concreto, no se adoptaron posiciones ni declaraciones sobre ciberseguridad.
Además del FGI, en noviembre de 2011 se lanzó en Londres la primera serie de conferencias multisectoriales denominada “Conferencia de Londres sobre el Ciberespacio”, con apoyo del gobierno del Reino Unido. Fueron 5 temas los de la conferencia: crecimiento económico y desarrollo, beneficios sociales del ciberespacio, acceso seguro y confiable, seguridad internacional y crimen cibernético. Con respecto a seguridad internacional, todos los delegados estuvieron de acuerdo con el principio de que los gobiernos deben actuar proporcionalmente en el ciberespacio y que los estados deben cumplir con las normas existentes de derecho internacional y las normas de comportamiento que regulan las relaciones interestatales. Sobre el quinto y último tema, la conferencia identificó al crimen cibernético como una amenaza significativa al bienestar social y económico, que requiere un esfuerzo concertado y urgente internacional. Muchos países y organismos regionales ya están dando pasos hacia la implementación de una normativa sobre el crimen cibernético, pero también se reconoció que estos deben ser compatibles internacionalmente15. La conferencia es una oportunidad para que todos los actores interesados participen en debates y deliberaciones sobre temas de ciberseguridad, y se ha celebrado desde entonces en Hungría, Corea del Sur y los Países Bajos. La próxima conferencia se celebra en México en el 2017.
¿Un tratado internacional sobre ciberseguridad?
En el período previo a la conferencia plenipotenciaria de la UIT de 2014, se debatió acerca del desarrollo y la adopción de un tratado sobre ciberseguridad, pero esto finalmente no se materializó. Aun así, se han planteado en todo el mundo debates en torno a la posibilidad de una convención o tratado sobre ciberseguridad, enfocados sobre todo en la ampliación del Convenio sobre la Ciberdelincuencia de 2001 del Consejo de Europa también conocido como Convenio de Budapest), especialmente luego de la conferencia de plenipotenciarios de la UIT16. Si bien el Convenio de Budapest se centra específicamente en el ciberdelito y no en el espectro completo de temas de ciberseguridad, ha sido ratificado por 44 países (en su mayoría europeos, pero también Australia, la República Dominicana, Japón, Mauricio, Panamá y Estados Unidos). El principal objetivo del Convenio de Budapest es armonizar el derecho penal de los países en ciertas áreas relativas a los delitos cibernéticos, a fin de establecer una norma internacional para una cooperación más estrecha en la materia. El convenio considera que constituyen crímenes cibernéticos las siguientes conductas: el acceso ilícito a dispositivos tecnológicos, la interceptación ilícita de comunicaciones, los ataques a la integridad de datos y de sistemas, la falsificación y el fraude informáticos, la pornografía infantil y algunos supuestos vinculados con derechos de autor entre otros.
Uno de los argumentos a favor de la adopción de un tratado sobre ciberseguridad, con resabios del Convenio de Budapest, es que la definición de un tratado específico sobre Internet podría redundar en la formulación de normas sobre ciberguerra de contenido similar a los tratados convencionales sobre guerra, que restringirían los ataques contra ciudadanos o niños. Otros han sostenido que la creación de un tratado sobre ciberseguridad posiblemente se negocie sin participación del público ni la sociedad civil, y esté fuertemente politizado a través de una organización internacional como la ONU. También se ha manifestado considerable preocupación ante la posibilidad de que un tratado internacional sobre temas de seguridad no considere cabalmente las normas de derechos humanos internacionales y el derecho internacional humanitario, o incluso contemple excepciones a estas. No resulta sorprendente que el tema de las definiciones sea particularmente relevante, ya que numerosos países emplean de manera indistinta términos como ciberseguridad y seguridad de la información, o definen en forma diferente a agresores, hacktivistas y otras palabras clave. La armonización de estos términos podría tener como consecuencia la aceptación de términos imprecisos sobre ciberseguridad, que podrían utilizarse para vulnerar incluso más gravemente derechos humanos fundamentales en nombre de la seguridad.
Es por eso que diversas organizaciones de la sociedad civil como la coalición de derechos digitales Best Bits, impulsaron activamente petitorios para impedir un incremento del rol de la UIT en materia de ciberseguridad y el desarrollo de un tratado internacional sobre el tema. El rol de la UIT en ciberseguridad es a menudo cuestionado por gobiernos y miembros de la sociedad civil debido a diversos motivos, incluida la falta de experiencia técnica en el seno de la UIT, el lenguaje poco preciso de las propuestas de tratados sobre ciberseguridad, la cantidad de organismos alternativos de la ONU y foros (multisectoriales y multilaterales) que podrían abordar la ciberseguridad, y la falta de transparencia y oportunidades de participación, especialmente para la sociedad civil. Otros aseguran que el rol de la UIT en términos de ciberseguridad se limita a la dimensión multilateral, pues se reflejan los problemas y ataques relativos al ciberespacio que persisten entre países, incluidos los de Estados Unidos y Rusia.
15: http://www.gov.uk/government/news/london-conference-on-cyberspace-chairs-statement
16:http://f.cl.ly/items/0t073Y3i3P0v2o2x0q39/Baseline%20Review%202014%20ICT%20Processes%20colprint.pdf