La ciberguerra ya no es una amenaza futura, sino una realidad presente sin regulación global. A diferencia de otros ámbitos bélicos, el ciberespacio carece de tratados vinculantes que limiten la violencia digital. En un mundo cada vez más dependiente de la tecnología, la ausencia de normas internacionales pone en riesgo la seguridad global. Regular este nuevo campo de batalla es urgente y esencial para evitar una escalada sin control.
En los últimos 100 años, pocas instituciones han mantenido sus estructuras sin grandes modificaciones y, sin embargo, han perdurado en el tiempo. Una de ellas es el sistema de educación superior. Hoy, esa estabilidad es su mayor debilidad. Su escasa capacidad de adaptación frente a los cambios del entorno tecnológico, están poniendo en riesgo su propósito fundacional.
A lo largo del siglo XX, la humanidad aprendió a controlar y limitar los estragos de la guerra mediante tratados de desarme y acuerdos internacionales. Armas nucleares,biológicas y químicas fueron sujetas a regímenes de control, e incluso se prohibió la militarización de ciertos entornos como el espacio ultraterrestre. La resolución [A/RES/65/68] de 2011 de la Asamblea General es un ejemplo de cómo la ONU estableció medidas para evitar la carrera armamentista en el espacio exterior.
Estas iniciativas lograron prevenir catástrofes mayores y frenar el uso indiscriminado de armamento, obligando a las naciones a innovar en formas de hacer la guerra dentro de los límites impuestos. Sin embargo, en las últimas décadas, el vertiginoso avance de las nuevas tecnologías ha abierto un nuevo frente de conflicto: el ciberespacio. Este ámbito digital se ha convertido en terreno fértil para ataques y operaciones hostiles, dando lugar a la ciberguerra como una forma emergente –y cada vez más frecuente– de confrontación entre Estados y actores no estatales.
A diferencia de la tierra, el mar, el aire e incluso el espacio exterior, el ciberespacio carece por completo de un régimen internacional vinculante que regule el comportamiento de los Estados. En la introducción a esta problemática, resulta evidente la contradicción: mientras las armas tradicionales están sujetas a controles globales, las armas cibernéticas y las actividades bélicas en línea operan en un vacío normativo. Este ensayo explora la creciente amenaza y magnitud de la ciberguerra, la respuesta de los Estados a través de iniciativas de ciberdefensa, y los obstáculos legales y políticos que han impedido hasta ahora un tratado de desarme cibernético.
La creciente amenaza de la ciberguerra
El ciberespacio se define como la red mundial de sistemas interconectados (computadoras, infraestructuras digitales, telecomunicaciones) en la que hoy descansa buena parte de la sociedad moderna. Aunque es un entorno intangible, en él se libran conflictos muy tangibles. Si seguimos la clásica definición de Hedley Bull, la guerra es “violencia organizada llevada a cabo por unidades políticas”. Bajo ese criterio, la ciberguerra es simplemente guerra en un nuevo espacio, donde la violencia se manifiesta no con balas o bombas, sino a través de código malicioso, infiltraciones informáticas y sabotaje digital.
La dificultad radica en que en este dominio las agresiones no siempre son visibles. Un virus informático puede derribar redes eléctricas, paralizar hospitales o robar datos militares confidenciales, todo sin que exista humo o explosiones. A pesar de lo etéreo del medio, los efectos de un ataque cibernético pueden igualar –o incluso superar– a los de un ataque convencional. Por ejemplo, un ciberataque bien orquestado contra infraestructura crítica podría dejar sin energía a ciudades enteras, contaminar el suministro de agua o provocar accidentes industriales graves. De hecho, ya existen antecedentes: en Ucrania, en enero de 2016, piratas informáticos lograron insertar un virus apodado “Black Energy” de origen ruso en los sistemas de control de la red eléctrica, dejando sin luz a más de 80.000 personas durante horas.
En años más recientes, la gravedad de las agresiones cibernéticas se ha
incrementado. Hacia finales de 2020, una extensa campaña de ciberespionaje conocida como SolarWinds comprometió los sistemas de decenas de agencias gubernamentales estadounidenses y cientos de compañías a nivel mundial. Los atacantes –presuntamente un grupo respaldado por un Estado– infiltraron código malicioso en una actualización de software, logrando acceso furtivo a redes sensibles; entre las agencias afectadas estuvieron los Departamentos del Tesoro y Comercio de EE.UU., y el alcance del hackeo trascendió a múltiples gobiernos y empresas alrededor del globo. En 2021, un ataque de ransomware detuvo por completo el oleoducto Colonial Pipeline en Estados Unidos, provocando desabastecimiento de combustible en la costa este y declaratorias de emergencia.
Ese mismo año, grupos criminales llevaron a cabo intrusiones en sistemas de salud (como el hackeo al servicio de salud de Irlanda) que obligaron a posponer tratamientos médicos, demostrando que incluso la vida de pacientes puede pender de la ciberseguridad. América Latina no ha estado exenta: el grupo hacktivista Guacamaya emprendió en septiembre de 2022 una filtración masiva contra el Estado Mayor Conjunto de las Fuerzas Armadas de Chile, exponiendo al público más de 400.000 correos electrónicos con contenido clasificado. La revelación de esos documentos confidenciales generó un terremoto político y le costó el puesto al jefe del Estado Mayor chileno, general Guillermo Paiva. Pocos meses después, el mismo colectivo de hacktivistas filtró cerca de 4 millones de correos internos de la Secretaría de Defensa Nacional de México (caso conocido como “Guacamaya Leaks” de los SEDENA Papers), sacando a la luz información sensible sobre operativos militares y corrupción dentro de las Fuerzas Armadas mexicanas.
Por otro lado, en Europa del Este, la guerra híbrida entre Rusia y Ucrania ha ido acompañada de ofensivas digitales constantes: incluso antes de la invasión física de febrero de 2022, diversas entidades ucranianas sufrieron sabotajes cibernéticos (ataques wiper para inutilizar sistemas, defacement de sitios gubernamentales con mensajes de intimidación, etc.). Durante el conflicto, se estima que los ciberataques rusos contra Ucrania aumentaron un 70% en 2024, superando los 4.300 incidentes dirigidos contra redes gubernamentales, el sector energético y objetivos militares en tan solo un año. Esta campaña digital incluyó desde la desconexión de redes satelitales (como el hackeo al servicio de Internet satelital Viasat al inicio de la invasión) hasta intentos de entorpecer las comunicaciones y el suministro eléctrico ucraniano, conformando un verdadero frente cibernético paralelo al frente terrestre.
Los ejemplos mencionados, apenas una muestra de los ciberataques entre 2020 y 2024, ponen de relieve la magnitud que pueden alcanzar estas agresiones. Las consecuencias ya no se limitan a pérdidas financieras o robo de datos; pueden traducirse en apagones, fuga masiva de información sensible, disrupción de servicios esenciales e incluso pérdidas de vidas humanas (por ejemplo, si un hospital es atacado y sus sistemas críticos quedan fuera de línea). En algunos casos, el efecto de un ataque digital puede alcanzar la magnitud de un bombardeo convencional, dada la interdependencia de nuestras sociedades con la tecnología.
Sin embargo, a diferencia de un misil o una bomba, cuyo uso está condicionado por leyes de la guerra y tratados, las “armas” cibernéticas (malware, exploits, botnets) no están sujetas a ningún control internacional específico. Hoy por hoy, un Estado puede desarrollar arsenales enteros de herramientas cibernéticas ofensivas sin tener que rendir cuentas a organismo alguno, experimentando con virus informáticos destructivos o técnicas de intrusión de inteligencia artificial sin violar ningún acuerdo global de desarme, simplemente porque no existe tal acuerdo en el ámbito digital. Esta realidad ha provocado que la ciberguerra deje de ser un riesgo teórico para convertirse en una amenaza concreta y creciente a la paz y la seguridad internacionales, avanzando en las sombras de la legalidad.
La carrera armamentista digital y la ciberdefensa estatal
Ante el auge de los ataques informáticos y la creciente percepción de que el ciberespacio está convirtiéndose en un nuevo campo de batalla, los Estados parecen haber comenzado a embarcarse en una silenciosa carrera armamentista digital. Así como durante la Guerra Fría las potencias llegaron a competir por acumular misiles nucleares o tanques, hoy podrían estar compitiendo por desarrollar capacidades cibernéticas ofensivas y defensivas. Esta nueva carrera, aunque menos visible para el público, no sería por ello menos intensa.
En la práctica, ha dado lugar a la creación de comandos de ciberdefensa dentro de las fuerzas armadas de numerosas naciones y a sustanciales inversiones en tecnología y personal especializado. Por ejemplo, Estados Unidos fundó ya en 2009 el U.S. Cyber Command (Comando Cibernético) como una unidad dedicada exclusivamente a la guerra en línea, y en 2018 lo elevó al estatus de Comando Unificado de combate, colocándolo al mismo nivel que sus comandos tradicionales (Pacífico, Europa, etc.). Esto refleja el peso crítico que ha adquirido la dimensión cibernética en la planificación militar de la principal potencia global. De manera similar, otros países han seguido el camino: Rusia cuenta con fuerzas ciber ofensivas bajo control estatal (a menudo operando a través de grupos encubiertos o patrocinados que realizan espionaje y sabotaje en la red); potencias europeas como el Reino Unido, Francia y Alemania han establecido comandos conjuntos de ciberdefensa y han reconocido abiertamente la necesidad de poder “atacar” sistemas de adversarios si fuese preciso. Incluso naciones de menor tamaño han desarrollado unidades especializadas o equipos de respuesta rápida para el ciberespacio.
En América Latina, una región tradicionalmente alejada de la vanguardia militar tecnológica, también hay avances en este terreno. Argentina, por ejemplo, cuenta desde 2014 con un Comando Conjunto de Ciberdefensa dentro de su Estado Mayor Conjunto de las Fuerzas Armadas. Este organismo, integrado por personal militar y civil capacitado, tiene la misión de vigilar y proteger los sistemas informáticos nacionales, detectar intrusiones y responder a potenciales ataques en el ciberespacio. Del mismo modo, países como Brasil, Chile, Colombia y México han creado dependencias oficiales encargadas de la seguridad cibernética nacional, reconociendo que las redes gubernamentales y de infraestructura crítica deben ser defendidas igual que las fronteras físicas. Organizaciones multilaterales de defensa comienzan a coordinar esfuerzos: por ejemplo, la OTAN declaró en 2016 al ciberespacio como un “dominio operativo” equivalente a los tradicionales (tierra, mar, aire y espacio), comprometiéndose a integrar medios cibernéticos en su defensa colectiva. Esto significa que un ataque digital grave contra un país miembro podría, en teoría, activar el famoso Artículo 5 de defensa mutua de la OTAN, tratándolo como si fuese un ataque armado convencional. La declaración de la OTAN subraya que en el mundo actual un sabotaje informático podría causar “estragos comparables a una agresión armada”. En consecuencia, cada vez más Estados entrenan a “cibersoldados”, incorporan técnicas de hackeo ofensivo a sus doctrinas militares y desarrollan arsenales de exploits (vulnerabilidades aprovechables) y malware para usar en caso de conflicto.
Sin embargo, esta aceleración en la preparación para la ciberguerra ocurre en ausencia de cualquier límite legal internacional específico. A diferencia de lo que ocurre con las armas tradicionales –donde existen tratados que ponen coto a cuántas armas nucleares puede tener un país, o prohíben ciertas minas terrestres incluso para defensa–, en el ciberespacio cada Estado es libre de avanzar tanto como su capacidad técnica y recursos se lo permitan.
Volviendo al caso de Argentina, ilustrativo a nivel regional: el país no podría tener minas antipersonales ni otras armas prohibidas en sus arsenales convencionales, ni siquiera para la defensa del territorio, porque tratados internacionales lo vetan. Pero nada impide que al mismo tiempo el Estado argentino reclute a los mejores hackers, desarrolle virus informáticos militarizados, o adquiera equipos de intrusión de alta tecnología, ya que la Convención Mundial de Desarme de las Naciones Unidas –y los acuerdos vinculantes de armas en general– no contemplan el ámbito digital. Esto se repite en todo el globo: no existe ninguna sección en los tratados de desarme que mencione siquiera la palabra “ciberespacio”, y por tanto las fuerzas armadas pueden expandir sin control su dotación de personal experto, su arsenal de programas maliciosos y sus capacidades de guerra. El resultado es un escenario propicio para una carrera armamentista cibernética silenciosa: los Estados temen quedarse atrás en una tecnología que podría decidir guerras futuras, mientras que países más pequeños desarrollan capacidades mínimas para no ser completamente vulnerables frente a los gigantes cibernéticos. Cada cual legisla de puertas adentro y construye su estrategia de ciberdefensa nacional, pero en el plano internacional no hay reglas claras. Esta falta de claridad y control mutuo suscita preocupaciones: ¿estamos camino a una situación análoga a la de los inicios de la era nuclear, en la que un error de cálculo o una escalada inadvertida en el ciberespacio podría desatar consecuencias catastróficas? La proliferación de armas digitales plantea interrogantes serios sobre estabilidad estratégica: por ejemplo, si un Estado introduce un virus capaz de dañar sistemas críticos, ¿otros se verán obligados a desarrollar algo aún más potente para disuadirlo? Sin un mecanismo de verificación ni límites pactados, la confianza entre naciones en este terreno es mínima, y prevalece una lógica de suspicacia y preparación para lo peor.
Obstáculos legales y políticos para un tratado de desarme cibernético
Dada la peligrosidad de esta nueva carrera armamentista digital, cabría esperar que la comunidad internacional hubiera avanzado ya hacia algún tipo de tratado de desarme cibernético o al menos un marco normativo multilateral. Sin embargo, hasta la fecha no existe ningún convenio internacional que regule la guerra cibernética. ¿A qué se debe esta ausencia, especialmente cuando sí logramos acuerdos para armas nucleares o biológicas en el pasado? Las razones son múltiples y entrelazadas, tanto tecnológicas como políticas y jurídicas.
En primer lugar, la propia naturaleza de las “armas” cibernéticas dificulta su control. A diferencia de un misil o un tanque, que son objetos físicos identificables, un exploit o un virus informático es esencialmente código, información intangible que puede copiarse, ocultarse o destruirse en segundos. Los programas maliciosos pueden crearse en cualquier lugar del mundo con herramientas relativamente accesibles. Por si fuera poco, las mismas técnicas empleadas en ataques pueden tener usos legítimos: por ejemplo, una herramienta de penetración en redes (penetration test) puede servir para fortalecer la seguridad de un sistema, pero la misma técnica puede utilizarse para robar datos si cae en malas manos. Esta dualidad hace muy borrosa la línea entre capacidades ofensivas y defensivas, complicando cualquier esquema verificable de desarme. Además, el ciberespacio no está estrictamente dominado por ejércitos nacionales. Actores no estatales –desde grupos criminales hasta colectivos hacktivistas o terroristas– pueden desarrollar y emplear ciberarmas. Esto implica que incluso si los Estados firmaran un tratado, quedaría el problema de cómo frenar a actores ajenos a ese acuerdo.
Por otro lado, es extremadamente difícil atribuir responsabilidades en el mundo digital: cuando ocurre un ciberataque, identificar con certeza qué actor estatal (o no estatal) estuvo detrás puede llevar meses o ser imposible. Esta falta de atribución rápida socava la confianza necesaria para un pacto: un país podría violar un tratado de ciberguerra negando su implicación y posiblemente sin que haya forma concluyente de probar lo contrario. En síntesis, “las ‘armas’ de ataque son muy distintas de los sistemas de armamento físicos y su uso no se limita a las fuerzas armadas ni a los gobiernos, lo que hace que los ciberataques sean mucho más difíciles de verificar, identificar y controlar”. Adicionalmente, resulta complejo trazar distinciones claras entre actividades ilícitas en el ciberespacio: ciberdelito, ciberterrorismo, espionaje y ciberguerra a veces se sobreponen. Un mismo hecho (por ejemplo, robar información) podría ser considerado espionaje militar o delito común según el contexto, lo que enturbia el terreno regulatorio.
A los desafíos técnicos se suman profundos obstáculos políticos y legales. Las grandes potencias mundiales no concuerdan en la necesidad ni el alcance de un tratado sobre ciberarmas. Desde fines de los 1990, países como Rusia promovieron en la ONU la idea de un marco legal para la “seguridad de la información” que incluya restricciones al uso hostil de las TIC. Occidente, liderado por Estados Unidos y sus aliados, se mostró reticente a un tratado vinculante, prefiriendo abordar el tema mediante normas voluntarias y medidas de fomento de confianza. Una de las preocupaciones de las democracias liberales es que ciertos regímenes autoritarios buscan en realidad legitimar controles sobre la libre circulación de información bajo la bandera de la seguridad cibernética, lo que podría traducirse en censura o restricción de derechos digitales. Por el contrario, países como Rusia temen que sin un tratado, su propia seguridad esté en riesgo dado el dominio tecnológico de EE.UU. y sus capacidades encubiertas.
Así, visiones contrapuestas han bloqueado consistentemente la posibilidad de un consenso sobre desarme cibernético: ¿Debe enfocarse en prohibir ataques a ciertas infraestructuras? ¿En limitar el desarrollo de malware ofensivo? ¿O en controlar la difusión de “información perjudicial” (concepto que Occidente rechaza por atentar contra la libertad de expresión)? Cada propuesta choca con intereses geopolíticos distintos.
No obstante, sí ha habido intentos parciales de la comunidad internacional para sentar algunas reglas en el ciberespacio, aunque carezcan de fuerza obligatoria. En el seno de Naciones Unidas, la Asamblea General ha auspiciado grupos de expertos y procesos de diálogo sobre ciberseguridad desde hace más de dos décadas.
Un hito importante fue el Grupo de Expertos Gubernamentales (GGE) de la ONU, que en su informe de 2015 logró un consenso entre las potencias sobre ciertas normas de comportamiento responsable: por ejemplo, se reconoció que el Derecho Internacional Humanitario (DIH) y la Carta de la ONU sí aplican al ciberespacio (es decir, un ciberataque que cause destrucción sería regulado por las mismas leyes de la guerra que un ataque físico). También se recomendaron principios como evitar atacar infraestructura crítica civil en tiempos de paz, cooperar para combatir el ciberdelito y no usar a actores proxy para evadir responsabilidades. Estas recomendaciones fueron respaldadas por la Asamblea General en sucesivas resoluciones, pero no dejan de ser normas voluntarias y no vinculantes.
Paralelamente, a instancias de países preocupados por ampliar la participación, se estableció un Grupo de Trabajo de Composición Abierta (OEWG) en 2019, abierto a todos los Estados, para debatir amenazas y normas en el uso de las TIC para fines hostiles. Dicho OEWG produjo en 2021 un informe de consenso que reafirma los principios del GGE y llama a continuar el diálogo. Sin embargo, ni el GGE ni el OEWG han propuesto un tratado formal; sus logros son más bien normativos (crear entendimiento común) que jurídicos (crear ley). La falta de un resultado vinculante llevó a que en años recientes surgieran nuevas ideas: en diciembre de 2022, la Asamblea General aprobó la resolución 77/37 que impulsa la creación de un Programa de Acción permanente de la ONU en ciberseguridad Este programa busca institucionalizar las conversaciones sobre seguridad cibernética de forma continua, para examinar amenazas emergentes y apoyar a los Estados en la implementación de compromisos, todo ello sin abandonar el formato voluntario. Es decir, en lugar de un tratado tradicional (de difícil acuerdo), se optaría por un mecanismo más flexible y evolutivo para fortalecer la cooperación en ciberseguridad. Adicionalmente, en paralelo, pero enfocado en otro ángulo, existe un proceso de negociación para una convención internacional contra la ciberdelincuencia (impulsado por la resolución 74/247 de 2019), aunque este aborda crimen cibernético y no directamente la conducta estatal en ciberguerra.
En resumen, los obstáculos para un tratado de desarme cibernético abarcan desafíos de verificación técnica (¿cómo contabilizar o neutralizar “armas” que son básicamente software?), ambigüedad conceptual (¿qué constituye un arma cibernética frente a una mera herramienta de hacking, o un acto de guerra versus un delito informático?) y rivalidades geopolíticas (falta de confianza y visiones encontradas entre las principales potencias sobre la regulación de Internet y el ciberespacio). Pese a la ausencia de un marco vinculante, la mayoría de países reconoce al menos que no puede haber tierra de nadie absoluta en este terreno.
Existe un consenso general en torno a aplicar las normas y principios del derecho internacional existente a las operaciones cibernéticas, especialmente las reglas humanitarias en caso de conflicto. Documentos como el Manual de Tallin (elaborado por expertos fuera del ámbito de la ONU) han tratado de interpretar cómo se aplicarían, por ejemplo, los Convenios de Ginebra a la ciberguerra, ofreciendo cierta guía aunque sin peso legal oficial. Pero más allá de estas directrices, el vacío jurídico persiste: ningún país está jurídicamente impedido hoy de lanzar un ciberataque contra otro (salvo por las normas generales contra la agresión armada, cuya aplicación en casos de ciberataque severo sería debatida), ni enfrenta límites formales para construir su arsenal digital. La ciberguerra, en la práctica, continúa siendo “una guerra sin reglas” en el ámbito internacional. Y esa realidad preocupa a estrategas, diplomáticos y ciudadanos por igual, dado el peligroso precedente que sienta en la seguridad global.
La evolución de la guerra hacia el dominio cibernético representa uno de los desafíos más urgentes y complejos para la seguridad internacional en el siglo XXI. A lo largo de este ensayo hemos visto cómo la ciberguerra ha pasado de ser una noción futurista a una amenaza cotidiana: estados y actores diversos libran batallas invisibles en redes y sistemas de los que dependemos diariamente, con consecuencias potencialmente desastrosas. La magnitud de esta amenaza va en aumento, tal como lo demuestran los ciberataques reseñados entre 2020 y 2024 –desde el sabotaje de oleoductos y redes eléctricas, hasta masivas filtraciones de secretos militares y ofensivas digitales en medio de conflictos armados. Cada incidente subraya la capacidad destructiva del ciberespacio, equiparable a la de los campos de batalla tradicionales. Y sin embargo, contrasta fuertemente con la realidad de que no existe hoy un régimen vinculante de control de armamentos en el ciberespacio. Mientras las demás esferas (terrestre, marítima, aérea, espacial) cuentan con acuerdos que limitan o prohíben ciertas prácticas bélicas, el quinto dominio –el digital– sigue siendo una especie de “lejano oeste” donde impera la ley del más fuerte (o del más hábil técnicamente). Los Estados se han apresurado a armarse en este nuevo frente, creando comandos cibernéticos y acumulando arsenales de malware, precisamente porque no hay nada que se los prohíba.
Esta situación, como hemos argumentado, obedece tanto a la novedad y
complejidad técnica de las armas cibernéticas, como a la falta de consenso político para regularlas. No es sencillo llegar a un acuerdo global sobre ciberguerra cuando los intereses nacionales divergen y las fronteras entre delito, espionaje y guerra se desdibujan. A pesar de los esfuerzos diplomáticos en las Naciones Unidas por establecer normas de conducta y fomentar la cooperación –esfuerzos valiosos pero insuficientes–, la brecha normativa persiste. El ciberespacio permanece como el único teatro de operaciones donde la humanidad no ha impuesto aún límites formales a la violencia organizada.
La ausencia de un marco legal no significa, sin embargo, que debamos resignarnos a un futuro de guerras cibernéticas sin control. Muy al contrario, la creciente dependencia global de las tecnologías digitales hace imperativo encarar este vacío antes de que ocurra una tragedia mayor. Cada día que pasa sin reglas es un día en que la carrera armamentista digital avanza, reduciendo el espacio para la confianza y aumentando el riesgo de una escalada inadvertida. La historia del desarme internacional enseña que las normas muchas veces nacen después de un susto o crisis que alerta a todos del peligro. Sería lamentable que solo tras un “Pearl Harbor cibernético” o un “11 de septiembre digital” la comunidad internacional reaccionase para forjar acuerdos que hoy, a la luz de la razón, ya se vislumbran necesarios.
En conclusión, los hechos presentados evidencian que la regulación internacional del ciberespacio es necesaria e inevitable si se desea preservar la paz y la estabilidad en la era digital. Hallar la fórmula para lograrla –quizás mediante nuevos enfoques flexibles, confianza gradual y verificación innovadora– será un desafío mayúsculo, pero el costo de no intentarlo sería, con toda probabilidad, mucho más alto. La ciberguerra ha llegado para quedarse; corresponde a las naciones del mundo reconocer su peligrosidad y trabajar juntas para que este nuevo campo de batalla no se convierta en un escenario de anarquía y destrucción sin límites. Pasar de la confrontación desregulada a un mínimo de orden internacional en el ciberespacio es, en definitiva, un paso crucial para la seguridad colectiva en nuestro tiempo.
