Convención de Ginebra digital: Por qué el derecho internacional falla en el ciberespacio

Hospitales, redes eléctricas, suministro de agua – protegidos en la guerra física por las Convenciones de Ginebra. En el ciberespacio: presa fácil. Mientras los Estados expanden masivamente sus capacidades ofensivas en ciberseguridad, falta toda regla vinculante para el espacio de guerra digital. Por qué esto es más peligroso de lo que la mayoría de los políticos entiende.

En resumen

• No existe un derecho internacional vinculante para el ciberespacio – solo normas no vinculantes de la ONU y el controvertido Manual de Tallin
• Más de 40 Estados operan programas cibernéticos ofensivos – incluidos ataques a la infraestructura civil de otros países
• El problema de la atribución hace imposible la disuasión clásica: ¿quién ha atacado? La prueba a menudo llega después de meses
• La población civil no está protegida en la guerra cibernética – los hospitales y las centrales eléctricas se eligen conscientemente como objetivos

La brecha en el derecho internacional

En 1949, los Estados del mundo acordaron las Convenciones de Ginebra: los ataques contra civiles, hospitales y establecimientos humanitarios están prohibidos. Estas reglas se aplican en la guerra terrestre, en la guerra naval y en la guerra aérea. ¿En el ciberespacio? Teóricamente sí – en la práctica, no.

El problema no es que el derecho internacional excluya los ciberataques. La mayoría de los juristas sostiene que las normas existentes son perfectamente aplicables. El verdadero problema es que nadie las cumple, nadie es sancionado y dichas reglas fueron redactadas para un ámbito que en 1949 ni siquiera existía.

Cuando el grupo ruso Sandworm apagó la red eléctrica ucraniana en 2015 – en pleno invierno, dejando a 230.000 personas sin electricidad – eso fue, según cualquier criterio razonable, un ataque directo contra infraestructura civil. ¿La reacción internacional? Los diplomáticos expresaron «preocupación». Sin sanciones. Sin consecuencias.

Por qué falla la disuasión clásica

El problema de la atribución: En la guerra física es evidente quién ha enviado el tanque más allá de la frontera. En el ciberespacio, identificar al responsable lleva meses, e incluso años. Y aun entonces persiste la negación plausible: «Fueron hackers patrióticos, no agentes estatales». Rusia, China, Irán y Corea del Norte explotan sistemáticamente esta zona gris.

Asimetría: Un país pequeño pero técnicamente competente puede infligir daños desproporcionados a una superpotencia en el ciberespacio. Corea del Norte – un Estado económicamente insignificante – ha obtenido más de 3.000 millones de dólares mediante ciberataques. Los equilibrios de poder tradicionales no funcionan aquí.

Riesgo de escalada: ¿Cuándo se convierte un ciberataque en un acto de guerra? ¿Cuando falla una red eléctrica? ¿Cuando un hospital queda paralizado? ¿Cuando mueren personas? Este umbral no está definido – y su ambigüedad es peligrosa, porque abre la puerta a una escalada accidental.

El Manual de Tallin – teoría sin práctica

El Centro Cooperativo de Defensa Cibernética de la OTAN en Estonia emprendió con el Manual de Tallin el intento más ambicioso de aplicar el derecho internacional al ciberespacio. El resultado: una obra académica de 600 páginas con 154 reglas. Fundamental para el debate jurídico – pero irrelevante en la práctica operativa.

Ningún Estado ha ratificado el Manual de Tallin. Ningún tribunal lo aplica. Ningún atacante se siente obligado por él. Es un brillante experimento intelectual sin impacto práctico.

Lo que necesitaría una Convención de Ginebra digital

Líneas rojas: Los ataques contra infraestructura sanitaria, suministro de agua potable y redes eléctricas deben considerarse explícitamente crímenes de guerra – independientemente de que exista o no un estado de guerra formal – , con consecuencias claras: sanciones, persecución penal e incluso respuestas cinéticas, cuando corresponda.

Mecanismo de atribución: Una instancia internacional independiente – comparable a la OPAQ para armas químicas – que investigue y atribuya los ciberataques de forma neutral. Sin una atribución creíble, no hay disuasión posible.

Armas prohibidas: Determinadas herramientas cibernéticas – como el malware wiper contra infraestructura civil, los ataques a dispositivos médicos o la manipulación remota de sistemas de control de presas – deben prohibirse taxativamente, al igual que las armas químicas y biológicas.

Conclusión: El mundo necesita reglas antes de que sea demasiado tarde

Las Convenciones de Ginebra surgieron tras los horrores de dos guerras mundiales. La Convención de Ginebra digital debería anticiparse – antes de que un ciberataque provoque una catástrofe a gran escala. Las capacidades tecnológicas ya existen. Lo que falta es la voluntad política. Y con cada año sin reglas, aumenta el riesgo de que la primera catástrofe cibernética sorprenda al mundo desprevenido.

Datos clave

Programas cibernéticos ofensivos: Al menos 40 Estados operan capacidades cibernéticas ofensivas activas – solo 12 de ellos se han comprometido públicamente con normas para un comportamiento responsable.

Coste de la inacción: Los ciberataques contra infraestructuras críticas causaron daños estimados en 45.000 millones de dólares en todo el mundo en 2024 – sin una sola consecuencia de derecho internacional.

Preguntas frecuentes

¿No es ya aplicable el derecho internacional existente en el ciberespacio?

Teóricamente: sí. La mayoría de los Estados reconocen que el derecho internacional existente es aplicable. Prácticamente: las reglas son demasiado vagas, su aplicación es inexistente y la atribución es demasiado incierta para generar consecuencias jurídicas vinculantes.

¿Aceptarían Rusia o China una Convención de Ginebra digital?

A corto plazo: improbable. A largo plazo: la Convención sobre armas químicas también tardó décadas en consolidarse. El proceso comienza con Estados «de ideas afines» y evoluciona hacia un estándar global mediante la fijación de normas, la presión económica y la experiencia acumulada tras incidentes concretos.

¿Qué pueden hacer las empresas mientras no haya reglas?

Prepararse para ataques contra sistemas críticos como si fueran inevitables: segmentación de tecnologías operativas (OT), copias de seguridad fuera de línea, planes de respuesta a incidentes rigurosamente probados y redundancia en sistemas vitales. Quien espere a la regulación, esperará demasiado.

Artículos relacionados

• Guerra cibernética 2026: Cuando los Estados se equipan digitalmente
• Seguridad OT 2026: Por qué la industria debe actuar ahora
• Guerra híbrida y desinformación

Más del red de MBF Media

• Geopolítica y economía en mybusinessfuture.com
• Perspectivas estratégicas para directivos en digital-chiefs.de

Fuente de imagen: Pexels

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow