Los crecientes ciberataques de Pekín subrayan la importancia de la cooperación mundial

Este artículo fue publicado en la revista Forum del Comando Indo-Pacífico de los EE. UU., el 31 de diciembre de 2024.

Los ciberataques de la República Popular China (RPC) han atraído cada vez más la atención de gobiernos, expertos en seguridad y empresas de todo el mundo. Entre estas intrusiones, destaca por su escala y sofisticación el denominado hack Salt Typhoon, dirigido contra infraestructuras críticas y sistemas gubernamentales de todo el mundo.

El ataque, revelado a finales de 2024, demuestra la naturaleza descarada de las operaciones de espionaje digital de la RPC y subraya el complejo panorama legal que rodea a la ciberseguridad, las relaciones internacionales y los enjuiciamientos por ciberdelincuencia.

Salt Typhoon es un grupo de hackers que trabaja para el Ministerio de Seguridad del Estado del Partido Comunista Chino (PCCh). Su ataque se dirigió principalmente a sistemas de infraestructuras clave en Asia, Europa y Estados Unidos.

Los piratas informáticos utilizaron malware y otras medidas malignas para acceder y robar datos confidenciales de altos funcionarios del gobierno, empresas de telecomunicaciones y entidades privadas. Sus herramientas cibernéticas se infiltraron en infraestructuras en la nube y eludieron las defensas tradicionales en línea.

El pirateo forma parte de la estrategia de espionaje y robo de información de la República Popular China. Las pruebas sugieren que la motivación principal era acceder a datos confidenciales de voz y texto de Estados Unidos, obtener secretos de Estado y crear una presencia persistente en las redes de telecomunicaciones. La magnitud de la brecha ha suscitado preocupación por sus efectos a largo plazo sobre la seguridad internacional.

Este tipo de ciberataques patrocinados por Estados preocupa a los expertos jurídicos. Según el Derecho internacional, el espionaje en Internet contra gobiernos o infraestructuras críticas puede considerarse una violación de la soberanía y un acto de agresión. Sin embargo, los marcos jurídicos de los ciberataques siguen siendo teóricos, sin un consenso claro sobre lo que constituye un «ciberacto de guerra».

Esta ambigüedad complica las respuestas de los Estados afectados. Aunque los países europeos y Estados Unidos han condenado la implicación de la RPC en el ataque Salt Typhoon, las represalias directas están plagadas de problemas legales. Es difícil aplicar los conceptos tradicionales de guerra o sanciones a los ciberataques, especialmente cuando los atacantes se ocultan tras un Estado que niega su implicación.

Las infiltraciones digitales suelen abarcar varios países, lo que dificulta determinar dónde se ha producido el delito o qué leyes se aplican.

Los miembros de la Unión Europea y Estados Unidos pueden intentar procesar a los autores en virtud de leyes extraterritoriales, que permiten emprender acciones legales contra individuos que cometen delitos en Internet que perjudican a ciudadanos o empresas. Pero aplicar esas leyes a través de las fronteras es una tarea de enormes proporciones. La cooperación internacional en este tipo de investigaciones puede estancarse debido a diferencias en las políticas de seguridad nacional, la asignación de recursos y la clasificación jurídica de las pruebas.

El hackeo de Salt Typhoon pone de manifiesto la necesidad de una normativa universal sólida en materia de ciberseguridad. Muchos países han promulgado leyes como el Reglamento General de Protección de Datos en Europa y la Ley de Intercambio de Información sobre Ciberseguridad de Estados Unidos. Sin embargo, estas leyes se centran principalmente en la protección de las empresas privadas y los particulares, en lugar de abordar las amenazas patrocinadas por el Estado.

A medida que el pirateo patrocinado por el Estado se hace más frecuente, la cuestión de cómo responsabilizar a los gobiernos se vuelve crucial. ¿Deben intervenir organismos internacionales como las Naciones Unidas? ¿O deberían las naciones imponer sanciones a los países sospechosos de orquestar tales ataques? Ambas opciones tienen limitaciones de aplicación.

La falta de un tratado internacional que regule los ciberdelitos patrocinados por el Estado dificulta la imposición de sanciones a la RPC o a otras naciones implicadas en tales actividades. Incluso si se toman medidas punitivas, puede que no disuadan de futuros ataques, especialmente cuando países como la RPC siguen haciendo del ciberespionaje una parte integral de su estrategia de seguridad nacional.

El hackeo de Salt Typhoon marca un momento significativo en la evolución de la ciberguerra y el espionaje. A medida que los ataques patrocinados por el Estado se hacen más comunes, el mundo se enfrenta a difíciles cuestiones sobre cómo adaptar los marcos jurídicos para hacer frente a esta nueva forma de conflicto.

El aumento de los ciberataques subraya la necesidad de una cooperación mundial en materia de ciberdefensa y el establecimiento de normas claras que rijan la conducta de los Estados en el ciberespacio.