Información | ||
Derechos | Equipo Nizkor
|
13ene20
Elecciones 2020: TSE blindará el software con acceso restringido, auditoría y alertas
Acceso restringido, alertas de manipulación y una auditoría al TREP son las acciones con las que el Tribunal Supremo Electoral (TSE) blindará el software para las elecciones nacionales 2020. Además, prevé contratar una empresa para monitorear la transmisión del conteo rápido que -prometen- no será interrumpida.
"Vamos a llegar (al día de las elecciones) con un sistema debidamente sólido, que haya pasado las pruebas que se requieren para garantizar confiabilidad en el proceso electoral 2020", aseguró el presidente del TSE, Salvador Romero a Página Siete.
Tras las elecciones del 20 de octubre de 2019 y la paralización del conteo rápido, surgieron las sospechas de fraude. Ante el pedido del gobierno de Evo Morales, la Organización de Estados Americanos (OEA) realizó una auditoría que detectó varias irregularidades. El informe indica que la cadena de custodia del material electoral fue "deficiente y muy frágil". Se hallaron irregularidades en el último 4,4% de actas electorales ingresadas al sistema.
"El corte del sistema de transmisión de resultados rápidos (TREP) fue intencional. No se produjo como consecuencia de alguna falla. Cualquier empresa contratada para difundir los datos preliminares deberá proporcionar las medidas necesarias para evitar la suspensión de la transmisión", aseveró el presidente del TSE, Salvador Romero.
Adelantó que se prevé la contratación de una empresa auditora que efectuará un monitoreo permanentemente del tráfico de la red para prevenir situaciones no previstas. "El TSE se compromete a divulgar la información de los resultados electorales preliminares sin corte ni interrupciones, a medida que se reciban", prometió Romero.
Un sistema blindado
El área de tecnología del Órgano Electoral anunció a Página Siete que en el software de este año sólo "se permitirá el acceso a los administradores del TSE y no así a empresas externas".
Contra la manipulación de la base de datos, el TSE aseguró que "los ambientes estarán controlados y monitoreados permanentemente". Garantizó que no se podrá operar la plataforma desde la línea de comando o directamente desde la base de datos, sino de una aplicación de acceso creada y liberada previo a las elecciones.
Mediante mecanismos de seguridad se identificará a los usuarios del sistema. Si alguno realizara alguna acción extraña se generarán alertas inmediatas.
El ingeniero Édgar Villegas también hizo llegar sus recomendaciones al TSE. Señaló que el campo que indica la cantidad de votantes ausentes debe estar en el acta. Esto no se cumplió en los comicios del 20 octubre. "Se tienen que publicar todos los campos posibles", destacó.
El encargado de la tecnología
En el informe final de la OEA sobre las elecciones del año pasado, se observó la introducción de servidores no previstos por los cuales se podía manipular datos y suplantar actas.
"Existieron imágenes de actas del exterior incorporadas a través de una funcionalidad denominada Actas Rezagadas. La persona a cargo de dicha opción ingresaba tanto la imagen del acta, como los datos de la misma", se indica en el informe.
Se supo que esta persona era el director nacional del Servicio de Registro Cívico (Serecí), José A.P., quien en diciembre pasado fue procesado. Se le otorgó detención domiciliaria y una fianza de 40.000 bolivianos.
Consultado sobre la designación para ese cargo, el presidente del TSE señaló que todavía no se ha tomado ninguna determinación. "Sí, tenemos un nuevo director de tecnología que es el ingeniero Osman Flores, una persona con mucha experiencia", informó el presidente del TSE.
Ingeniero Villegas: "Se regalaban votos"
"En las anteriores elecciones, en miles de actas había el problema que la suma no cuadraba. Se regalaron votos a algún partido quitándole a otro", recordó el ingeniero Édgar Villegas a Página Siete.
Indicó que si existiesen errores en la validación de los totales deben existir alertas, para que no vuelvan a suceder las mismas irregularidades. Dijo que debe mejorarse el control de calidad del sistema informático de las elecciones.
"Tiene que haber un buen proceso de control de calidad y auditoría con una debida antelación. Al menos dos meses antes o el tiempo que se pueda, ya debería entrar la empresa auditora a revisar el software. En 2019, Ethical Hacking fue contratada con un mes antes de la elección", manifestó. A su parecer, no se debería usar el software de Neotec, "por susceptibilidad de la gente".
"Por falta de tiempo, Neotec no pudo enmendar todas las fallas"
En 2019 no se resolvió el 40% de fallas del software electoral
Del 100% de las vulnerabilidades de seguridad encontradas en el software, sólo "un 60% se subsanó para el día de las elecciones", reveló Álvaro Andrade, el director ejecutivo de Ethical Hacking, la empresa contratada por el Tribunal Supremo Electoral (TSE) como auditora del sistema informático. Sin embargo, Neotec -la proveedora del software- manifestó que esas observaciones fueron resueltas.
"Un 40% no se subsanó. El encargado de enmendarlas era Neotec. Cada día les dábamos más vulnerabilidades a corregir", contó Andrade.
Agregó que una de las primeras observaciones que hicieron fue porque que Neotec "era una empresa de una sola persona". Según Andrade, el gerente Marcel Guzmán de Rojas era además el programador. No tenían un equipo.
"Marcel se quedaba todas las noches a corregirlas. Él ya estaba cansado, el software tenía muchas vulnerabilidades. Cuando ya entramos al proceso electoral, se pudo parchar un 60% de lo más crítico. Ya no le daba el tiempo para subsanar, le hubiese tomado tres a cuatro semanas programar", aseguró Andrade.
Entre las fallas señaló la falta de cifrado para el software. Al no tenerlo "cualquier persona desde un celular o una computadora podía capturar la información".
Otra vulnerabilidad crítica fue la posibilidad de inyección de actas. "Se podía inyectar actas a voluntad, con los datos que quieras de votos. Esto lo podía hacer cualquier persona que tenga conocimientos de seguridad informática", advirtió.
También observó el mal manejo de sesiones, porque "en el software un usuario debería solo poder ver su mesa, pero uno podía acceder otras diferentes". Además, se podía hacer la "modificación de datos remotamente" y los algoritmos de cifrado no eran seguros.
"El protocolo era MD5, era tan simple que los rompimos todos. Las claves eran 12345, cosas así. No eran seguras", comentó Andrade.
Después que Ethical Hacking reveló a medios bolivianos que el proceso electoral estaba "viciado de nulidad", el gerente de Neotec, Marcel Guzmán de Rojas, emitió un comunicado al TSE, en el que acusa a Andrade de intentar exponer las vulnerabilidades como un tema crítico.
"En primer lugar, las vulnerabilidades fueron resueltas antes de la elección, a excepción del anti-rootkit. En segundo lugar, ninguna de las reportadas fue explotada en elecciones anteriores. Adicionalmente, Andrade expone vulnerabilidades que nunca demostró ni reportó", indica el documento.
Guzmán de Rojas remarcó que "el propósito de una auditoría de seguridad es encontrar vulnerabilidades con el objeto de impedirlas". Aseguró que, vía correo electrónico y verbal, se le iba informando sobre la eliminación de las restantes vulnerabilidades y "que ellos confirmaron la resolución".
Página Siete consultó al director de la empresa auditora por qué permitió que se realicen los comicios con un software inseguro. "Nosotros les dijimos que el software no está al 100%. Ese era un riesgo. Fue una decisión del Tribunal Supremo Electoral", justificó Andrade.
Recomendaciones
EthicalHacking ofreció sus servicios como auditora nuevamente ante el TSE. Además, emitió recomendaciones para mejorar las políticas de seguridad del sistema informático para los futuros comicios.
"El software tiene que cumplir con las mínimas condiciones de seguridad. Debe manejar la comunicación cifrada. No puede tener comunicación en texto plano. Debe tener mejor manejo de sesiones y autenticación", apuntó Andrade.
Sugiere que la empresa creadora del software transfiera conocimiento al TSE y a la población boliviana, ya que el año pasado el Órgano Electoral "no conocía siquiera el código fuente de la herramienta informática".
Por contrato, Ethical Hacking debía resolver fallas
El director ejecutivo de Ethical Hacking, Álvaro Andrade, reveló que su contrato con el Tribunal Supremo Electoral (TSE) tenía una adenda (adjunto) que incluía las funciones de reparar fallas. Ese agregado se hizo porque el Órgano Electoral no "tenía el conocimiento para subsanar todas las vulnerabilidades" que reportaba la auditora.
"A raíz de eso, se hizo una segunda adenda. Entonces, nosotros nos encargábamos de reportar, alertar y subsanar. Excepto el TREP, porque no teníamos acceso al código. Pero sí le decíamos a Neotec", reveló.
La nueva función para la que les contrataron se denomina "hardening" y significa fortificación. Les correspondía brindar las soluciones: saneaban, testeaban y parchaban. Emitieron un reporte específicamente sobre eso.
Consultado sobre por qué no se subsanó todas las vulnerabilidades del software, el director de Ethical Hacking aclaró que ellos sólo estaban a cargo de enmendar la red de imágenes. "El TREP y el sistema de cómputo, no. El único que podía hacer eso era Neotec", afirmó.
Comentó que solicitó que el equipo de Neotec trabaje con Ethical Hacking, pero Guzmán no aceptó. Andrade reiteró que esa empresa "no tenía equipo".
Señaló que la empresa que dirige tenía un partner (empresa socia) con el que se alió para adjudicarse el contrato como auditor de las elecciones.
Andrade reconoció que "sería ideal tener dos empresas auditoras", como le sugirió el TSE. Advierte que si bien sería más seguro, se elevarían los costos.
[Fuente: Por Madeleyne Aguilar A., Página Siete, La Paz, 13ene20]
This document has been published on 22Jan20 by the Equipo Nizkor and Derechos Human Rights. In accordance with Title 17 U.S.C. Section 107, this material is distributed without profit to those who have expressed a prior interest in receiving the included information for research and educational purposes. |