Ataques Cibernéticos Podem Ser Considerados um Ato de Guerra?

Com o crescimento da internet e automatização dos sistemas operacionais, as nações se viram dependentes de uma base virtual para manter o funcionamento de sistemas críticos de controle industriais. Porém, nas últimas décadas e nos conflitos militares recentes entre nações e atores não estatais, registrou-se um novo meio de atacar o inimigo: a partir dos bloqueios em sua estrutura virtual via ataques cibernéticos.

Estes ataques cibernéticos buscam minar os sistemas operacionais dos países a partir de hackers ou inteligências artificiais. Contudo, este tipo de ataque não é fácil de rastrear da onde se originou, o que permite um anonimato dos atacantes e a falta de consequências concretas contra eles.

As implicações deste tipo de conflito, as Guerras Cibernéticas, ainda possuem grande debate sobre como tratá-la nas leis internacionais, não possuindo definições claras se são realmente considerados atos de guerra ou não, o que cria uma zona cinzenta dentro das relações internacionais.

O que é Guerra Cibernética

Com a difusão dos sistemas digitais e o uso operacional da internet em sistemas de controles industriais como centrais elétricas, barragens, linhas de trem, sistema bancário etc…,foi criado um novo campo de ação dentro da geopolítica. Com novas ferramentas digitais, existem novas vulnerabilidades dentro das relações internacionais e das próprias nações. 

A Guerra Cibernética se dá neste campo virtual-artificial de informações e operações. Com o uso de hackers e inteligências artificiais, os ataques cibernéticos estão dentro de uma zona cinzenta dos conflitos bélicos, pois as suas atribuições usualmente não são certeiras nem declaradas.

Esta posição ambígua de um ataque cibernético traz diversas complicações para as leis internacionais, pois podem sim chegar a afetar as funcionalidades essenciais de um país, causando danos físicos às populações (se o sistema de tráfego aéreo de um país é retirado do ar pode causar trágicos acidentes de aviões, por exemplo), mas podem ser feitos simplesmente para espionagem e aquisição de informações.

Por ser uma técnica relativamente nova, tendo seu primeiro caso na Estônia em 2007, ainda é necessário uma atualização das leis internacionais para que exista uma abordagem clara que os países precisam tomar em situações de fragilidade cibernética. 

Ciberataques não possuem uma definição consensual e universal se podem ser considerados atos de guerras ou não, o que é mais uma complicação para as relações internacionais. Essa dificuldade se torna um problema pois deixa à interpretação dos países se foram/se sentiram atacados ou não, e, dependendo dessas interpretações podem contra-atacar e resultar em conflitos armados sérios.

A zona cinzenta que se instaura nas Guerras Cibernéticas na dificuldade com a atribuição de quem atacou institui a existência do conflito, mas dificilmente de uma guerra assumida. As relações estão sob a base de uma paz fragilizada e vulnerável que é constantemente ameaçada.

Os ataques cibernéticos estão cada vez mais populares dentro das defesas dos países, pela própria necessidade de proteção mas de um avanço no poder bélico tecnológico. A Rússia é uma das principais nações acusadas de utilizar-se dos meios cibernéticos para fins militares e políticos.

A diferença entre Guerra Cibernética e Guerra Cinética

Os conflitos mais tradicionais da história se davam exclusivamente no campo de batalha físico de ataque, com bombas, mísseis, armas, tanques e etc. Esse tipo de ataque faz parte da “Guerra Cinética”, termo citado pela primeira vez em 2002 no livro Bush at War, de Bob Woodward. 

A ação militar cinética é a guerra ativa, com as forças letais agindo em nível material e físico no território e combate com o inimigo.

As Guerras Cibernéticas são recentes, popularizadas pela grande difusão da digitalização e da internet buscando alterar, interromper ou destruir as infraestruturas físicas controladas por sistemas ou adquirir informações exclusivas. Por se dar no âmbito virtual, causam danos às nações, mas de um modo mais reversível do que nas Guerras Cinéticas. 

Um meio de ataque não exclui o outro, inclusive a tendência é que cada vez mais os conflitos militares se concretizem de formas híbridas, com ataques físicos e digitais em sincronia, além de campanhas de informação e desinformação.

Atualmente, as guerras ocorrem em passos rápidos e incisivamente destrutivos. Conflitos como o de Nagorno-Karabakh, que contou com o uso de armas “inteligentes” (guiadas por I.A), são exemplos da precisão que as tecnologias militares estão ganhando. 

Ainda assim, por serem avanços recentes, são baseados nos meios das Guerras Cinéticas e nos impactos físicos para debilitar o inimigo de forma precisa, com a criação de bombas guiadas, drones armados e mísseis inteligentes, o que leva as guerras a durarem menos tempo pela sua alta eficiência.

As tecnologias militares estão sofrendo avanços em ritmo rápido como nunca visto antes e o uso dos meios digitais para debilitar os sistemas operacionais de inimigos tornam-se um comportamento natural.

Incapacitar as funcionalidades de uma nação, à distância e de forma furtiva-digital, é um modo de limitar os avanços na base do país, como atacar sistemas operacionais de usinas nucleares e afetar suas capacidades militares e energéticas ou sobrecarregar sistemas de tratamento de água para contaminá-la e afetar a população. 

Portanto, ciberataques no geral buscam sobrecarregar sistemas até seus colapsos. Isso pode resultar em desastres físicos ou se manter somente no campo virtual ao dificultar o funcionalismo nacional do inimigo.

Exemplos de ataques cibernéticos supostamente feitos por nações

O grande primeiro caso de um ataque cibernético se deu na Estônia em 2007, onde o governo sofreu condenações pela destruição da estátua histórica soviética do Soldado de Bronze por veículos de mídia de língua russa.

A partir disso, foram relatadas quedas dos sistemas bancários e governamentais e bombardeamento de spam nos meios digitais estonianos. Com a identificação de IPs russos como a origem destes ataques, tomou-se que a ação se deu pelo Kremlin e o governo russo, porém eles negaram.

Desde então diversas outras nações já relataram terem sofrido ataques virtuais, ou fizeram uso deles para lidar com as tensões das suas relações geopolíticas. Principalmente na última década, a popularização de ataques cibernéticos cresceu muito pela sua dificuldade em atribuição, permitindo que nações ataquem os sistemas sem serem descobertas.

Em 2021, o Irã denunciou um ataque à sua facilidade de enriquecimento nuclear Natanz por meio de sabotagem do sistema de controle industrial feito pelo malware Stuxnet, provavelmente criado por Israel e pelos EUA (os dois países negam sua autoria até hoje). O ataque cibernético danificou ⅕ das centrífugas nucleares do Irã, mas impulsionou o país a se tornar mais seguro digitalmente e fortalecer sua ciber-defesa com a criação de um grupo de hackers conhecido como APT33. 

Outro exemplo foi o ataque nos Estados Unidos no sistema SolarWinds pelos russos, em 2015, que obtiveram acesso aos sistemas de informação de empresas privadas, do funcionamento público e de think-tanks americanos. Foi registrada invasão aos sistemas do Departamento Comercial, Departamento do Tesouro e Departamento da Energia do governo estadunidense. Novamente, quando acusada, a Rússia negou ter incitado ou originado esses ataques.

Os russos são muito atuantes nessa área e possuem mais um evento de ataque cibernético de destaque na sua história: em 2017 com o ataque hacker de NotPenya, no qual incapacitou portos e paralisou o navio cargueiro A.P. Moller-Maersk e de outras corporações, iniciado na Ucrânia e difundido mundialmente. Este caso é importante, pois foi um dos primeiros em que o ataque digital causou impactos físicos nos países e suas economias (causou um prejuízo de US$10 bilhões mundialmente), abrindo o debate sobre ciberataques serem atos de guerra ou não.

Um ataque cibernético de um país contra outro é um ato de guerra?

O debate sobre as implicações das Guerras Cibernéticas não possui consenso, pela sua novidade e por se dar de formas ambíguas.

Um ato de guerra possui três esferas principais para se concretizar: universalidade, multilateralidade e/ou unilateralidade. A universalidade se dá no consenso entre todos os Estados nacionais, posição tomada normalmente pela ONU. A multilateralidade se dá quando um conjunto de estados define um ataque, ou um ciberataque; por exemplo, se no caso da Estônia em 2007 a OTAN tivesse afirmado que ocorreu sim um ato de guerra (o que não ocorreu).

Já a unilateralidade se dá no âmbito das soberanias independentes de cada nação, quando um país declara que sofreu individualmente um ato de guerra.

Porém, para muitos especialistas, um ciberataque só é considerado um ato de guerra somente quando afeta os sistemas militares e, assim, justificaria e permitiria a defesa pelas providências legais e militares, tratando os hackers como tratariam combatentes armados. 

As ações de guerra possuem fatores qualitativos e quantitativos, e, se compararmos uma bomba que foi enviada ao país inimigo ou a implosão de um sistema de controle de uma usina nuclear que leva a sua explosão, os efeitos materiais são os mesmos. Seguindo esta lógica seria possível dizer que um ciberataque só é um ato de guerra ao causar danos físicos.

Usualmente, em conflitos militares internacionais, a ONU é a encarregada de declarar se algo é ou não um ato de guerra. Contudo, como a definição do modo que deve ser abordado ataques cibernéticos não é clara, não é possível ter afirmar que eles são sim ou não atos de guerra.

Essa é uma dificuldade não só da ONU, mas de outras organizações internacionais também, como a OTAN. No caso de 2007 na Estônia, Estado-membro da OTAN, a organização se pronunciou dizendo que a situação não era grave o suficiente para convocação da defesa mútua principalmente pelas dificuldades com a atribuição da origem dos ataques. Mesmo assim, a OTAN também já afirmou que, dependendo da gravidade de um ataque cibernético, o artigo 5º de defesa mutual poderá ser sim convocado.

Este campo deixado à interpretação dos países dá brecha para diferentes abordagens à Guerra Cibernética. Por exemplo, nos EUA os artigos I e II da constituição nacional dão liberdade ao presidente definir o que é um ato de guerra ou não. O país americano possui uma posição chave no cenário internacional, principalmente na formação das leis e costumes, saindo somente das implicações das decisões do presidente em nível nacional para um âmbito global.

Ao individualizar a declaração dos atos de guerra somente às forças nacionais dos países “atacados”, como não há uma universalidade sobre a definição dos ciberataques enquanto um ferimento da soberania nacional ou não, existe uma descredibilização da esfera digital enquanto um espaço de guerra. Com a falta de um posicionamento de uma nação central como os Estados Unidos no cenário internacional, a sua própria centralidade na formação das leis começa a ser questionada, já que os países não veem-se amparados e assegurados por nenhum meio.

A Politico aponta que usar o conceito de Guerra Cibernética parará de fazer sentido no futuro próximo, já que cada vez mais será natural ataques digitais em guerras pelo mundo. 

Em Janeiro de 2022, a Ucrânia relatou novamente instabilidades virtuais que seguiam o comportamento registrado pela NotPenya. Este tipo de ataque faz parte das táticas híbridas adotadas pela Rússia, muitas vezes concretizadas de forma furtiva que lhe permite uma negação plausível. Neste último evento, as investigações disseram que os ataques poderiam ter vindo tanto da Rússia quanto da sua aliada Bielorrússia.

E qual a tendência do futuro das guerras cibernéticas…

As guerras híbridas são o futuro dos conflitos armados, e elas possuem a grande dificuldade de se dar em uma zona cinzenta na qual não há uma declaração de guerra abertamente. A junção dos ataques cibernéticos e dos meios das Guerras Cinéticas torna os conflitos mais eficientes, invasivos e menos possível de identificar os seus autores. 

Sem uma mediação internacional clara, o que poderá se concretizar é um uso massivo dos meios digitais para atacar inimigos sem responsabilizações. Cabe às nações e empresas privadas investirem pesadamente em seus sistemas operacionais digitais para se defenderem dessa ameaça que será cada vez mais presente em nosso futuro.