Imagínese el siguiente escenario: una plataforma de vigilancia habilitada por inteligencia artificial (IA) desplegada en el frente detecta un convoy moviéndose a lo largo de una autopista disputada al anochecer. Su sistema de clasificación identifica al convoy como médico; los vehículos emiten códigos de transponder humanitarios reconocidos, su perfil de movimiento coincide con los patrones de evacuación y sus firmas digitales coinciden con entradas en un registro protegido. El sistema recomienda no involucrarse. Una plataforma de fuego integrada, aguas abajo en la cadena de ataque, acepta la clasificación y retiene la autoridad de ataque.
Minutos después, el convoy despliega municiones en espera, causando devastación a los defensores desprevenidos y causando bajas humanas. El convoy estaba compuesto por transportistas terrestres no tripulados, desplegados con un objetivo simple: penetrar lo más posible en un espacio disputado antes de soltar los drones en espera.
Ningún humano ha malinterpretado una bandera blanca. Ningún soldado ha simulado rendición. En cambio, una máquina ha inducido a otra a cumplir con la ley y luego ha explotado esa conformidad. La decepción no estaba dirigida a una mente humana, sino a un algoritmo enemigo entrenado para reconocer estatus legalmente protegidos. La pregunta que sigue es tan contundente como poco común: ¿es esto perfidia?
Un Nuevo Tipo de Perfidia
A primera vista, el marco legal parece establecido. El artículo 37 del Protocolo Adicional I de 1977 (AP I) prohíbe matar, herir o capturar a un adversario mediante la perfidia. Mientras que los Estados que no son parte, como Israel y los Estados Unidos, disputan el alcance del umbral de daño de la prohibición en el artículo 37, la disposición define la perfidia como actos que invitan la confianza de un adversario para hacerles creer que tienen derecho a protección bajo el derecho internacional, con la intención de traicionar esa confianza. Los ejemplos paradigmáticos son bien conocidos: fingir rendición o incapacidad; o simular estatus protegido mediante el uso indebido de signos, emblemas o uniformes (como la cruz roja o símbolos de la ONU, Estados neutrales o Estados no parte del conflicto armado). Como muestran estudios más amplios, la prohibición de la perfidia es una norma de conflicto que ha evolucionado de forma concurrente en múltiples sistemas legales. La prohibición de la perfidia se encuentra entre las normas fundamentales sobre las que se desarrolla el derecho moderno del conflicto armado. Sin confianza, no puede haber restricción.
(Nota: Corn 2023, p. 443)
La prohibición no es periférica. Es vital para preservar la confianza de los combatientes en las señales de protección sin volverlos vulnerables. Sin embargo, cada elemento de la perfidia, constante en la guerra centrada en el ser humano, se vuelve inestable cuando se traduce a interacciones mediadas por máquinas.
El escenario de apertura no es ciencia ficción. Refleja una trayectoria plausible, recientemente discutida en el taller de IA y DIH del Centro de Derecho Internacional de la Universidad Nacional de Singapur (abril de 2026), en el que los sistemas militares dependen cada vez más de la clasificación automatizada para tomar o informar decisiones de ataque. En ese entorno, los elementos tradicionales de la perfidia deben ser reconsiderados; no abandonados, pero examinados por su capacidad de operar en un dominio donde la cognición ya no es exclusivamente humana.
Marco Legal y Definiciones
Un punto de partida útil es la claridad definicional. Definimos la “perfidia de IA a IA” como la situación en la que un sistema deliberadamente simula un estatus protegido o señales de una manera diseñada para provocar una restricción legalmente compatible en un sistema adversario, con la intención de explotar esa restricción para el ataque. Este enfoque preserva la estructura del Artículo 37 del AP I al traducir sus componentes en un entorno tecnológicamente mediado. Requiere, primero, la simulación de una señal protegida, ya sea a través de identificadores digitales, firmas electromagnéticas u otros indicadores legibles por máquina. En segundo lugar, el engaño debe estar dirigido al sistema; es decir, diseñado para explotar la arquitectura de reconocimiento del sistema de IA del adversario, en lugar de (o además de) la percepción humana. En tercer lugar, debe inducir al comportamiento de cumplimiento, como retener fuego o redirigir activos. Por último, ese cumplimiento debe ser traicionado y explotado para causar daño humano.
(Nota: Kwik & Wiese 2025)
Esta definición es deliberadamente estrecha. Se enfoca en una conducta de mala fe atribuible a los diseñadores u operadores humanos del sistema de IA, en lugar de al comportamiento emergente descubierto de forma autónoma por sistemas de aprendizaje sin previsión. Esa limitación no se debe a que lo último no sea importante, sino porque lo primero sigue de cerca la categoría legal establecida de perfidia, que siempre se ha fundamentado en la intención. La pregunta no es si un sistema de IA puede formar una “intención” en un sentido significativo, sino si aquellos que lo diseñan, despliegan o dirigen lo hacen con el propósito de explotar protecciones legales.
Incluso dentro de este marco más estrecho, sin embargo, emerge una dificultad central. El Artículo 37(1) AP I habla de “invitar la confianza de un adversario para hacerle creer que tiene derecho, u está obligado a otorgar, protección” bajo el DIH, con la intención de traicionar esa confianza. La confianza, y la dependencia que conlleva, son conceptos inherentemente cognitivos. Suponen creencia, confianza y la capacidad de ser engañado de una manera que lleva peso normativo.
(Nota: Boothby 2025, p. 272)¿Se puede decir que un sistema de IA engañado “confía” en una señal en el sentido legal, o simplemente evalúa esa señal de forma probabilística dentro de un modelo de clasificación? ¿Puede un sistema ser llevado a “creer” que está obligado a otorgar protección, o simplemente está ejecutando un proceso predefinido? ¿Es necesario que haya un humano en el ciclo del sistema de IA “engañado” para que se lleve a cabo la perfidia, o debería interpretarse de una manera más amplia y protectora?
(Nota final: Boothby 2025, páginas 272)
