WannaCry

Este elemento es una profundización de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs] Nota: la entrada sobre Hacker puede ser también de interés.

WannaCry en el Derecho Internacional

Inmediatamente después de los ataques cibernéticos de “WannaCry” del mes de mayo de 2017, el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) especuló que el grupo de hackers “Lazarus”, que se cree que tiene vínculos con el gobierno de Corea del Norte, inició la operación. (Tal vez sea de interés más investigación sobre el concepto).Entre las Líneas En una declaración emitida el martes, el gobierno británico hizo pública su evaluación de que “es muy probable que los actores norcoreanos conocidos como el Grupo Lazarus estén detrás de la campaña de ransomware WannaCry”. La declaración siguió a los talones de un editorial del Wall Street Journal. por Thomas Bossert, asistente del presidente para la seguridad nacional y el contraterrorismo, en el cual reconoció que Estados Unidos atribuye la operación a Corea del Norte.Entre las Líneas En una sesión informativa posterior en la Casa Blanca el martes, Bossert, aunque no pudo nombrar al Grupo Lazarus, confirmó que después de una cuidadosa investigación, Estados Unidos está atribuyendo públicamente el ataque cibernético de WannaCry a Corea del Norte. No hacemos esta alegación a la ligera. Lo hacemos con evidencia, y lo hacemos con socios. Otros gobiernos y empresas privadas están de acuerdo.

Bossert citó al Reino Unido, Australia, Canadá, Nueva Zelanda y Japón, y Microsoft fue seleccionada como una de las compañías que aparentemente han llegado a la misma conclusión. (Tal vez sea de interés más investigación sobre el concepto). Con el culpable oficialmente nombrado, es hora de explorar los problemas legales planteados por la campaña WannaCry y la subsiguiente afirmación de que Corea del Norte estaba detrás de esto.

El carácter legal de la operación

“WannaCry” afectó a entre 230,000 y 300,000 computadoras en más de 150 países al encriptar archivos de computadoras y exigir a los usuarios $ 300 en moneda criptográfica para restaurar el acceso. La operación aprovechó una vulnerabilidad de software en sistemas que ejecutaban versiones anteriores de Microsoft Windows que no habían instalado parches de seguridad actualizados.

Una variedad de empresas, incluidas FEDEX, Renault, Telefónica y Deutsche Bahn, se vieron afectadas. El golpe más duro, sin embargo, fue el Servicio Nacional de Salud de Inglaterra (NHS England). Según un informe de la Oficina de Auditoría Nacional, los ataques afectaron al menos a 81 de los 236 ” fideicomisos ” del NHS: componentes del NHS que atienden áreas geográficas o realizan funciones especializadas. Unas 603 instalaciones de atención primaria adicionales se vieron afectadas. Muchos empleados del NHS no pudieron acceder a sus archivos y, por lo tanto, no pudieron recuperar o actualizar los registros de los pacientes, mientras que miles de equipos médicos estaban bloqueados. Se tuvieron que cancelar innumerables citas médicas, e incluso procedimientos quirúrgicos. Muchos pacientes que necesitaban atención inmediata fueron desviados a proveedores que no se vieron afectados por los ataques de ransomware.

Según el informe, NHS Inglaterra “no era el objetivo específico” de la operación. (Tal vez sea de interés más investigación sobre el concepto). Más bien, parece haber sido indiscriminado. Por ejemplo, más de 1.000 computadoras del Ministerio del Interior ruso se vieron comprometidas, al igual que el 25 por ciento de la red del departamento de policía de Andhra Pradesh en India.

Suponiendo que los ataques de ransomware fueran atribuibles a Corea del Norte, un tema que se discute más adelante, la pregunta es si la operación incumplió alguna obligación de derecho internacional que Corea del Norte le debía a otro Estado, de manera que constituyera un “hecho internacionalmente ilícito”. las normas de derecho internacional que más probablemente se violen son la prohibición del uso de la fuerza, la prohibición de intervenir en los asuntos internos o externos de otros Estados, la obligación de respetar la soberanía de otros Estados y la obligación de ejercer la diligencia debida.

Existe un acuerdo general de que las operaciones destructivas o aquellas que son perjudiciales cruzan el umbral de uso de la fuerza y, por lo tanto, constituyen una violación del Artículo 2 (4) de la Carta de las Naciones Unidas (firmada en San Francisco, 26 de junio de 1945) y el derecho internacional consuetudinario; La operación WannaCry no pareció alcanzar este nivel.

Ya sea que las operaciones cibernéticas no destructivas y no perjudiciales puedan calificar como usos de la fuerza no resueltos.Entre las Líneas En ausencia de la práctica estatal y de la opinio juris, es difícil determinar si los Estados los tratarán como tales y cuándo. Los expertos que prepararon el Tallin Manual 2.0., un estudio exhaustivo sobre cómo se aplica el derecho internacional al ciberespacio, sugirió factores que es probable que los Estados consideren al realizar estas evaluaciones, pero no pudieron articular ninguna prueba de línea brillante.

Puntualización

Sin embargo, en nuestra opinión, las operaciones cibernéticas hostiles de un alcance y escala significativos que interrumpen la prestación de asistencia sanitaria podrían considerarse razonablemente como un uso de la fuerza.

Pormenores

Por el contrario, creemos que es poco probable que los Estados traten las operaciones cibernéticas no destructivas dirigidas contra las empresas privadas o que afectan a ellas como usos de la fuerza, al menos una interrupción importante de la economía nacional.

Los ataques de WannaCry plantean una interesante cuestión de ley que no se resuelve completamente en el contexto cibernético. No está claro hasta qué punto los ataques se dirigieron a entidades particulares. Pero, suponiendo por el bien de la discusión que los ataques fueron indiscriminados, ¿podrían, sin embargo, calificar como uso de la fuerza frente a los Estados que podrían haber sufrido consecuencias calificadas? En nuestra opinión, podrían hacerlo, siempre y cuando la naturaleza de las consecuencias fuera previsible, incluso si el atacante no supiera exactamente dónde se manifestarían. Nos apresuramos a agregar que este problema sigue sin resolverse.

Si bien algunos de los ataques de WannaCry podrían tratarse como usos de la fuerza, lo mismo no es cierto con respecto a la prohibición de intervenir en los asuntos internos o externos de otros Estados. La intervención tiene dos elementos.Entre las Líneas En primer lugar, el acto debe estar relacionado con el servicio nacional de destino (campo de actividad que no está comprometido con la regulación del derecho internacional). Ciertos ataques de WannaCry lo hicieron, particularmente aquellos que afectan a la aplicación de la norma (generalmente por los organismos y autoridades públicas, incluido las fuerzas y cuerpos de seguridad y orden público).

Puntualización

Sin embargo, la operación podría decirse que no cumplía con el segundo criterio, que el acto fuera coercitivo. Una operación cibernética coercitiva es aquella que hace que un Estado se involucre en una conducta en la que de lo contrario no se involucraría, o se abstendrá de una conducta en la que de otra manera se involucraría. WannaCry fue disruptivo, pero no coercitivo en este sentido.

Sin embargo, los ataques WannaCry podrían considerarse una violación de la soberanía de ciertos Estados afectados. Existe un debate en curso sobre si el respeto a la soberanía de otro Estado es una regla primaria que impone una obligación legal o es simplemente un principio legal del cual se derivan las reglas primarias, como las prohibiciones de intervención y el uso de la fuerza. Aunque apoyamos la posición anterior, este no es el lugar para resolver el asunto.

Cualquiera que sea la respuesta correcta, los expertos del Tallinn Manual 2.0 coincidieron en que se produce una violación cada vez que una operación cibernética causa daños a la infraestructura cibernética en otro estado o interfiere con un acto inherentemente gubernamental, el ejemplo paradigmático es la realización de elecciones. La mayoría de ellos también estuvieron de acuerdo en que el “daño” incluye una pérdida permanente de funcionalidad o una que requiera la reparación física de la infraestructura dañada, como el reemplazo del disco duro.

Eso no parece haber ocurrido esta vez.

Indicaciones

En cambio, los efectos de WannaCry caen en una zona gris en la que el umbral de violación permanece sin resolver. Opinamos que la operación violaba en algunos aspectos la soberanía de varios Estados, en particular a la luz de la importante interrupción de las funciones, que consideraríamos como “daños”, necesarios para la prestación de atención médica.

Otros Elementos

Además, la operación interfirió con una función inherentemente gubernamental: la aplicación de la norma (generalmente por los organismos y autoridades públicas, incluido las fuerzas y cuerpos de seguridad y orden público).

Un posible último acto internacionalmente ilícito es el incumplimiento por parte de Corea del Norte de su obligación de diligencia debida, que obliga a los Estados a poner fin a las operaciones cibernéticas en curso desde su territorio que tienen “graves consecuencias adversas” para los derechos de otros Estados.

Una Conclusión

Por lo tanto, si Corea del Norte no es legalmente responsable como se describe a continuación para las operaciones cibernéticas hostiles del Grupo Lazarus, podría haber incumplido su obligación de diligencia debida si supiera de la operación y no actuó para ponerle fin. Se debe advertir que varios Estados están evaluando los contornos de esta obligación en el contexto cibernético y, por lo tanto, sigue siendo algo controvertido.

El problema de la atribución

De conformidad con la ley de responsabilidad del Estado, un hecho internacionalmente ilícito no solo exige el incumplimiento de una obligación que un Estado le debe a otro, sino también la atribución del acto subyacente al primero. Esto plantea la cuestión de si la operación WannaCry puede atribuirse a Corea del Norte como cuestión de derecho. Corea del Norte, por su parte, niega cualquier vínculo con la operación.

Se han publicado pocas pruebas definitivas que respaldan la conclusión de que Corea del Norte, a través del Grupo Lazarus, estuvo detrás del ataque WannaCry, aunque una evaluación interna de la Agencia de Seguridad Nacional concluyó que los “ciberactores”, sospechosos de estar “patrocinados por” el Reconocimiento de Corea del Norte La Oficina General, fue responsable de desarrollar el ransomware WannaCry.

Según lo confirmado por el Artículo 8 de los Artículos de la Comisión de Derecho Internacional sobre la Responsabilidad del Estado, “[l] a conducta de un… grupo de personas se considerará un acto de un Estado de conformidad con el derecho internacional si el… grupo… está actuando según las instrucciones de, o bajo la dirección o el control de ese Estado al llevar a cabo la conducta “. Los términos” instrucciones “,” dirección “y” control “son legalmente abstrusos (consulte aquí).

Puntualización

Sin embargo, en una simplificación excesiva, el Estado debería haberle encargado al grupo la realización de la operación cibernética en cuestión o debe ejercer un “control efectivo” sobre el grupo de manera que actúe en nombre del Estado.

Por lo tanto, la atribución es un proceso de dos pasos. Primero, se debe demostrar que el Grupo Lazarus realizó la operación. (Tal vez sea de interés más investigación sobre el concepto). Segundo, la relación entre el grupo y Corea del Norte debe establecerse a nivel de instrucciones, dirección o control. Desafortunadamente, es difícil desentrañar estas dos líneas analíticas del limitado material disponible, ya que las cuentas públicas tienden a confundirlas.

En este sentido, varios ataques cibernéticos de alto perfil se han atribuido al Grupo Lazarus, incluido el ataque de 2014 a Sony Pictures y el ataque de 2016 contra el Banco de Bangladesh.Entre las Líneas En el primer caso, el FBI determinóQue el gobierno norcoreano era el responsable. Su conclusión se basó, en parte, en “similitudes en líneas específicas de código, algoritmos de cifrado, métodos de eliminación de datos y redes comprometidas” que los “actores norcoreanos desarrollaron previamente”, “se superponen de manera significativa entre la infraestructura utilizada en el ataque [de Sony] y otra actividad cibernética que el gobierno de los EE. UU. previamente ha vinculado directamente con Corea del Norte “y” similitudes “en” las herramientas utilizadas “para un ataque cibernético anterior contra bancos y medios de comunicación de Corea del Sur.Entre las Líneas En cuanto a lo último, el análisis forense de Kaspersky “vinculó fuertemente [ed]” el malware utilizado para el arsenal de malware de Lazarus, mientras que Symantec encontró un “fragmento de código raro” que también se encontró en el ataque de Sony.

De manera similar, Bossert observó en la sesión informativa de la Casa Blanca del 19 de diciembre que la evaluación de los Estados Unidos que atribuye el ataque WannaCry a Corea del Norte se basaba en “enlaces técnicos a herramientas cibernéticas, comercio tradicional, [y] infraestructura operativa de Corea del Norte previamente identificadas”. Symantec también realizó un análisis forense de la operación WannaCry y encontró “fuertes vínculos” con el Grupo Lazarus basándose en las similitudes con el malware utilizado en ataques anteriores..

Puntualización

Sin embargo, al actuar con cautela, Symantec afirmó que “los ataques de WannaCry no llevan el sello distintivo de una campaña de estado-nación, sino que son más típicos de una campaña de ciberdelito”.

Parecería que se ha desarrollado un fuerte consenso de que el Grupo Lazarus realizó los ataques de WannaCry y que el grupo tiene vínculos con el gobierno de Corea del Norte.Si, Pero: Pero si esos lazos son suficientes para cumplir con el umbral del Artículo 8 no se puede establecer a partir de fuentes abiertas. Tampoco se pueden establecer otras bases más exigentes para la atribución de operaciones cibernéticas de actores no estatales, que el grupo es un órgano estatal de facto (artículo 4) o ejerza elementos de control gubernamental (o, en ocasiones, de la Administración Pública, si tiene competencia) (artículo 5).

Como se ha observado (ver más abajo), el informe de 2015 del Grupo de Expertos Gubernamentales de las Naciones Unidas, un cuerpo compuesto por representantes de 20 países, incluido el P5, sugirió que “las acusaciones de organización e implementación de actos ilícitos (véase respecto a su supresión; se trata de actos que tratan de ser desviados, dolosa o culposamente, de su finalidad; ver también actos ilícitos unilaterales y actos ilícitos de comercio) contra los Estados deben ser justificadas”. hay que destacar, sin embargo, que la afirmación fue esclarecedora; como concluyeron los expertos del Tallin Manual 2.0, “aunque hacerlo puede ser prudente para evitar tensiones políticas o de otra índole, existen prácticas estatales y opinio juris insuficientes (en gran parte porque las capacidades cibernéticas están altamente clasificadas) para concluir que existe una en virtud del derecho internacional para tal obligación “.

Opciones de respuesta

Editorial de Bossert afirmó que los EE.UU. “continuaremos para hacer rendir cuentas” hackers “que dañan o amenazan” nosotros “si actúan solos o en nombre de las organizaciones criminales o naciones hostiles.” Esto hace eco de la recién publicada Estrategia de Seguridad Nacional, lo que hace la imposición de “consecuencias rápidas y costosas para gobiernos extranjeros, delincuentes y otros actores que realizarían actividades cibernéticas importantes y maliciosas”, una prioridad nacional.

En términos de defensa activa (principalmente “piratas”), hay tres opciones centrales más allá de la simple retorsión (acciones que son hostiles, pero legales, como una operación de contra-cibernética que no viola ninguna obligación legal con el Estado objetivo).Entre las Líneas En primer lugar, un Estado “lesionado” puede tomar “contramedidas”, acciones que serían ilegales, pero por el hecho de que responden a la operación cibernética ilegal de otro Estado y están diseñadas para rescindirla o obligar al “Estado responsable” a hacer reparaciones. Como los ataques de WannaCry han finalizado, ahora las contramedidas solo están disponibles para obligar a Corea del Norte a hacer reparaciones, como una “garantía” en la forma de romper el Grupo Lazarus o proporcionar una compensación a los Estados lesionados.

En segundo lugar, un Estado puede actuar basándose en el motivo de necesidad (Artículo 25 de los Artículos sobre Responsabilidad del Estado) para poner fin a una operación cibernética dañina que representa un “peligro grave e inminente” para un “interés esencial” del Estado, incluso si el de lo contrario, la respuesta podría violar una obligación de derecho internacional para con un Estado que no es responsable de la operación. (Tal vez sea de interés más investigación sobre el concepto). El significado preciso de “interés esencial” es ambiguo, pero sin duda incluiría la salud de la población, al igual que con los efectos de WannaCry en Inglaterra. Un beneficio particular del motivo es que la atribución a un Estado no es una condición previa para actuar.

Puntualización

Sin embargo, al igual que las contramedidas, el motivo solo está disponible para poner fin a las operaciones cibernéticas dañinas y, en consecuencia, ya no estaría disponible en este caso.

Finalmente, un Estado puede actuar en respuesta a una operación cibernética que califica como un “ataque armado” de conformidad con el derecho internacional consuetudinario derecho de legítima defensa, que también está codificado en el Artículo 51 de la Carta de la ONU. Al igual que con el uso de la fuerza, el umbral de ataque armado no está resuelto en el contexto cibernético, aunque prevalece la opinión de que, de acuerdo con la sentencia de la Corte Internacional de Justicia de Nicaragua un ataque armado es un uso particularmente grave de la fuerza (en contraste, los Estados Unidos sostienen que el uso de la fuerza y ​​los umbrales de ataque armado son idénticos). Creemos que es poco probable que los Estados caractericen las consecuencias del ataque WannaCry como el aumento del nivel de ataque armado, lo que justifica una respuesta al uso del nivel de fuerza. Y, al igual que con las respuestas mencionadas, el hecho de que los ataques hayan finalizado definitivamente significaría que una respuesta basada en la legítima defensa se opondría a su criterio de “inmediatez”.

Autor: Black

Acusación a Corea del Norte

La Administración Trump en diciembre de 2017 acusó formalmente al gobierno de Corea del Norte de la responsabilidad de los ataques de ransomware de WannaCry que dificultaron cientos de miles de computadoras “en más de 150 países” en mayo de 2017. La acusación fue la primera en un Wall Street Journal publicado por EE.UU. El asesor de seguridad nacional, Tom Bossert, el lunes por la noche.Entre las Líneas En una rueda de prensael martes, Bossert explicó que el comportamiento malicioso de Corea del Norte se está volviendo cada vez más atroz y… [l] a atribución es un paso hacia hacerlos responsables…. ”Señaló,“ No hacemos esta alegación a la ligera. Lo hacemos con evidencia, y lo hacemos con socios. Otros gobiernos y empresas privadas están de acuerdo. “El Reino Unido, Australia, Canadá, Nueva Zelanda y Japón han visto nuestro análisis y se unieron a nosotros para denunciar a Corea del Norte por WannaCry”.

La atribución es, en muchos sentidos, sorprendente. Las compañías privadas alegaron la participación de Corea del Norte a los pocos días de la propagación del ransomware, y el Washington Post informó en junio que la Agencia de Seguridad Nacional había concluido que Corea del Norte estaba detrás del gusano WannaCry.

No obstante, la atribución plantea varias cuestiones importantes.

¿Dónde está la evidencia?

La atribución por el artículo de opinión no se presta a detalles técnicos.

Pormenores

Las atribuciones previas de los EE. UU., Particularmente la atribución del truco de Sony a Corea del Norte hace tres años, han recibido críticas por proporcionar detalles insuficientes para respaldar las acusaciones, y esta atribución es la menos respaldada hasta la fecha. Cuando se le preguntó en la rueda de prensa sobre la base de la acusación de Estados Unidos, Bossert dijo: “Lo que hicimos fue confiar en, y parte de eso no puedo compartir, lamentablemente, enlaces técnicos a herramientas cibernéticas de Corea del Norte identificadas previamente, infraestructura operativa “.

Esto puede ser suficiente dadas las acusaciones contra Corea del Norte por parte del sector privado e incluso del gobierno del Reino Unido en los últimos meses.Si, Pero: Pero hace poco para dar ejemplo o establecer una mejor práctica probatoria que los estados deben seguir al atribuir futuros ciberataques a estados o actores patrocinados por el estado. Es especialmente improbable que satisfaga a los estados que solicitaron una declaración en el Grupo de Expertos Gubernamentales de las Naciones Unidas de 2015 que informa que “las acusaciones de organización e implementación de actos ilícitos (véase respecto a su supresión; se trata de actos que tratan de ser desviados, dolosa o culposamente, de su finalidad; ver también actos ilícitos unilaterales y actos ilícitos de comercio) contra los Estados deben ser verificadas”.

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

¿Cuáles deberían ser las funciones respectivas del gobierno y las empresas privadas?

Aunque Bossert no anunció ninguna acción gubernamental (o, en ocasiones, de la Administración Pública, si tiene competencia) además de la atribución en sí, elogió las acciones de las empresas privadas. Dijo: “Aplaudimos a nuestros socios corporativos, especialmente a Microsoft y Facebook, por actuar por su propia iniciativa la semana pasada sin ninguna instrucción del gobierno de los EE. UU. O la coordinación para interrumpir las actividades de los piratas informáticos de Corea del Norte. Microsoft actuó antes del ataque de una manera que evitó muchos objetivos de Estados Unidos “.

Este elogio es consistente con declaraciones anteriores del gobierno de los Estados Unidos que enfatizan el importante papel que juegan los partidos privados en la ciberseguridad, pero aquí es más interesante debido a las circunstancias de WannaCry.

Como informó el New York Times en mayo, el ransomware explotó una vulnerabilidad en Microsoft Windows que se reveló cuando los Shadow Brokers divulgaron herramientas de pirateo robadas de la Agencia de Seguridad Nacional. Microsoft parchó la vulnerabilidad antes del lanzamiento de WannaCry, pero el ransomware se extendió ampliamente en sistemas sin parches.Entre las Líneas En una publicación en un blog en mayo, el presidente de Microsoft, Brad Smith, argumentó que el ransomware “proporciona otro ejemplo de por qué el almacenamiento de vulnerabilidades por parte de los gobiernos es un problema” y que “un escenario equivalente con armas convencionales sería el ejército estadounidense tener algunos de sus misiles Tomahawk robados “.

Smith dijo el martes que Microsoft “ayudó a interrumpir el malware [el grupo de piratas informáticos conocidos como Lazarus] confía en, limpió las computadoras infectadas de los clientes, usó cuentas inhabilitadas para perseguir ataques cibernéticos y fortaleció las defensas de Windows para prevenir la reinfección”. Facebook también dijo que eliminó Cuentas vinculadas a los piratas informáticos y notificaron a otros que estaban en contacto con esas cuentas.

La importancia de las acciones privadas para la mitigación de las amenazas de Corea del Norte ilustra lo que he llamado el “sistema de ciberseguridad público-privado” en los Estados Unidos. Este sistema otorga a los partidos privados un papel cuasi gubernamental, que los clasifica como luchadores contra el crimen y defensores de la seguridad nacional, y desdibuja la línea entre el gobierno y el sector privado en formas que plantean cuestiones importantes sobre la responsabilidad, la transparencia y otros valores públicos. Como muestra el incidente de WannaCry, las amenazas a los valores públicos pueden provenir de actores gubernamentales o privados, al igual que las medidas de protección.

Pero descubrir cómo gestionar la ciberseguridad público-privada para proteger mejor a los individuos, las instituciones y la sociedad en general se está volviendo cada vez más crucial, ya que la confusión de los roles públicos y privados puede estar cerca de la política explícita del gobierno de los Estados Unidos.Entre las Líneas En la conferencia de prensa de la Casa Blanca, Jeanette Manfra, subsecretaria de Seguridad Cibernética y Comunicaciones del Departamento de Seguridad Nacional, dijo: “Nuestros adversarios no distinguen entre lo público y lo privado, por lo que nosotros tampoco deberíamos”.

¿Corea del Norte violó el derecho internacional?

Una vez más, los gobiernos han perdido la oportunidad de aclarar los límites del derecho internacional en el ciberespacio. El artículo de opinión de Bossert y los comentarios en la conferencia de prensa condenan enérgicamente las acciones de Corea del Norte, pero no aclaran si los Estados Unidos los consideran una violación del derecho internacional.Entre las Líneas En un comunicado de prensa, el Ministro de Asuntos Exteriores del Reino Unido para Cyber, Lord Ahmad de Wimbledon, emitió una condena similar y dijo que “la ley internacional se aplica en línea como lo hace fuera de línea”.Si, Pero: Pero no llegó a decir que WannaCry violó la ley internacional.

Los estados acordaron en el Grupo de Expertos Gubernamentales de la ONU que “[un] Estado no debe realizar o apoyar a sabiendas actividades [de tecnología de la información y las comunicaciones] contrarias a sus obligaciones según el derecho internacional que dañan intencionalmente la infraestructura crítica o que de otro modo perjudican el uso y funcionamiento de la infraestructura crítica prestar servicios al público ”(párr. 13 (f)). WannaCry claramente afectó el uso de infraestructura crítica: interrumpió gravemente el funcionamiento de los hospitales del Reino Unido, entre muchas otras entidades afectadas. Entonces, ¿fueron las acciones de Corea del Norte “contrarias a sus obligaciones según el derecho internacional” o no?

El silencio sobre las cuestiones de derecho internacional podría significar que los gobiernos no creen que haya una violación del derecho internacional. O podría significar que hay desacuerdo entre los diferentes gobiernos o entre los diferentes gobiernos acerca de si hubo una violación del derecho internacional y, de ser así, qué principio del derecho internacional fue violado. Otra posibilidad más es que los estados estén de acuerdo en que WannaCry violó el derecho internacional, pero están tomando la decisión política de no llamar a las acciones de Corea del Norte una violación legal para evitar crear expectativas públicas sobre la necesidad de que los gobiernos respondan. Esto puede ser particularmente atractivo para los Estados Unidos, que escapó a gran parte del impacto de WannaCry.

No obstante, si el derecho internacional se desarrolla, en algún momento los estados deben determinar y explicar públicamente cómo se aplica el derecho internacional a ataques como WannaCry, el pirateo de Sony Pictures y la interferencia electoral en Rusia. Al abstenerse de caracterizar legalmente las acciones de los gobiernos en el ciberespacio, los estados pierden la oportunidad de desarrollar el derecho internacional, lo que en última instancia podría justificar respuestas adicionales a las malas acciones de los estados, más allá de solo nombrar y avergonzar.

Autor: Black

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.