Inicio / Política / Elecciones 2020: TSE blindará el software con acceso restringido, auditoría y alertas

Elecciones 2020: TSE blindará el software con acceso restringido, auditoría y alertas

Las observaciones hechas al software por la OEA son subsanadas con ayuda de la cooperación internacional. Se alista una serie de protocolos de seguridad para garantizar la confiabilidad en el sistema.

TSE proyecta los comicios para el 3 de mayo. Foto:Víctor Gutiérrez / Página Siete

Madeleyne Aguilar A. / La Paz

Acceso restringido, alertas de manipulación y una auditoría al TREP son las acciones con las que el Tribunal Supremo Electoral  (TSE) blindará el software  para las  elecciones  nacionales 2020.  Además, prevé contratar una empresa para monitorear la transmisión del conteo rápido que -prometen-  no será interrumpida.

“Vamos a llegar (al día de las elecciones) con un sistema debidamente sólido, que haya pasado las pruebas que se requieren para garantizar confiabilidad en el proceso electoral 2020”, aseguró el presidente del TSE, Salvador Romero a Página Siete.

 Tras las elecciones del 20 de octubre de 2019 y la paralización del conteo rápido, surgieron las sospechas de  fraude. Ante el pedido del  gobierno de Evo Morales,   la Organización de Estados Americanos (OEA) realizó una auditoría que detectó varias irregularidades. El informe indica que la cadena de custodia del material electoral fue “deficiente y muy frágil”. Se hallaron irregularidades en el último 4,4% de actas electorales ingresadas al sistema.

“El corte del sistema de transmisión de resultados rápidos  (TREP) fue intencional. No se produjo como consecuencia de alguna falla. Cualquier empresa contratada para  difundir  los datos preliminares deberá proporcionar las medidas necesarias para evitar la suspensión de la transmisión”, aseveró  el presidente del TSE, Salvador Romero.

Adelantó que se prevé la contratación de una empresa auditora que efectuará un monitoreo permanentemente del tráfico de la red para prevenir situaciones no previstas. “El TSE se compromete a divulgar la información de los resultados electorales preliminares sin corte ni interrupciones, a medida que se reciban”, prometió Romero.  

Un sistema blindado

El área de tecnología del Órgano Electoral anunció a Página Siete que en el software  de este año sólo “se permitirá  el acceso a los administradores del TSE y no así a empresas externas”.

Contra la manipulación de la base de datos, el TSE aseguró que “los ambientes estarán controlados y monitoreados permanentemente”. Garantizó  que no se podrá  operar la plataforma desde la línea de comando o directamente desde la base de datos, sino de una aplicación de acceso creada y liberada previo a las elecciones. 

Mediante mecanismos de seguridad se identificará a los usuarios del sistema. Si alguno realizara alguna acción extraña se  generarán alertas inmediatas.   

El ingeniero Édgar Villegas también hizo llegar sus recomendaciones al TSE. Señaló que el campo que indica la cantidad de votantes ausentes debe estar en el acta. Esto no se cumplió en los comicios del 20 octubre. “Se tienen que publicar   todos los campos posibles”, destacó.

El encargado de la tecnología

 En el informe final de la OEA sobre las elecciones del año pasado, se observó la introducción de servidores no previstos por los cuales  se podía manipular datos y suplantar  actas. 

 “Existieron imágenes de actas del exterior incorporadas a través de una funcionalidad denominada Actas Rezagadas. La persona a cargo de dicha opción ingresaba tanto la imagen del acta, como los datos de la misma”, se indica en el informe. 

Se supo que esta persona era el director nacional del Servicio de Registro Cívico (Serecí), José A.P., quien en diciembre pasado  fue procesado. Se le otorgó detención domiciliaria  y una fianza de 40.000 bolivianos.

Consultado sobre la designación para ese cargo, el presidente del TSE señaló que  todavía no se ha tomado ninguna determinación. “Sí, tenemos un nuevo director de tecnología que es el ingeniero Osman Flores, una persona con mucha experiencia”, informó el presidente del TSE.

Ingeniero Villegas: “Se regalaban votos”

“En las anteriores elecciones, en miles de actas  había el problema que la suma no cuadraba. Se regalaron votos a algún  partido quitándole  a otro”, recordó  el ingeniero Édgar Villegas a Página Siete.

Indicó  que  si existiesen  errores en la validación de los totales deben existir alertas, para que no vuelvan a suceder las mismas irregularidades. Dijo que debe mejorarse el control de calidad del sistema informático de las elecciones.

 “Tiene que haber un buen proceso de control de calidad y auditoría con una debida antelación. Al menos dos meses antes o el tiempo que se pueda, ya debería entrar la empresa auditora a revisar el software. En 2019, Ethical Hacking fue contratada con un mes antes de la elección”, manifestó. A su parecer,   no se debería usar el software de Neotec, “por susceptibilidad de la gente”.

  “Por falta de tiempo, Neotec no pudo enmendar todas las fallas”
En 2019   no se resolvió el 40% de fallas del  software electoral

Del 100% de las vulnerabilidades de seguridad encontradas en el software, sólo “un 60% se subsanó para el día de las elecciones”, reveló Álvaro Andrade, el director ejecutivo de Ethical Hacking, la empresa contratada por el Tribunal Supremo Electoral (TSE) como auditora del sistema informático. Sin embargo, Neotec -la proveedora del software- manifestó  que esas observaciones fueron resueltas.

“Un 40% no se subsanó. El encargado de enmendarlas  era Neotec. Cada día les dábamos más vulnerabilidades a corregir”, contó Andrade. 

Agregó que una de las primeras observaciones que hicieron fue porque que Neotec “era una empresa de una sola persona”. Según Andrade, el gerente Marcel Guzmán de Rojas era además el programador. No tenían un equipo.

“Marcel se quedaba todas las noches a corregirlas. Él ya estaba cansado, el software tenía muchas vulnerabilidades. Cuando ya entramos al proceso electoral, se pudo parchar un 60% de lo más crítico. Ya no le daba el tiempo para subsanar, le hubiese tomado tres a cuatro semanas programar”, aseguró Andrade.

Entre las fallas señaló la falta de cifrado para el software. Al no tenerlo “cualquier persona desde un celular o una computadora podía capturar la información”.

Álvaro Andrade,  en entrevista con Página Siete.
Foto:Víctor Gutiérrez / Página Siete 

Otra vulnerabilidad crítica fue la posibilidad de inyección de actas. “Se podía inyectar actas a voluntad, con los datos que quieras de votos. Esto lo podía hacer cualquier persona que tenga conocimientos de seguridad informática”, advirtió.

También observó el mal manejo de sesiones, porque “en el software un usuario debería solo poder ver su mesa, pero uno podía acceder  otras  diferentes”. Además, se podía  hacer la “modificación de datos remotamente” y los algoritmos de cifrado no eran seguros.

“El protocolo era MD5, era tan simple que los rompimos todos. Las claves eran 12345, cosas así. No eran seguras”, comentó Andrade.

Después que Ethical Hacking reveló a medios bolivianos que el proceso electoral estaba “viciado de nulidad”, el gerente de Neotec, Marcel Guzmán de Rojas, emitió un comunicado al TSE, en el que acusa a Andrade de intentar exponer las vulnerabilidades como un tema crítico.

“En primer lugar, las vulnerabilidades fueron resueltas antes de la elección, a excepción del anti-rootkit. En segundo lugar, ninguna de las reportadas fue explotada en elecciones anteriores. Adicionalmente, Andrade expone  vulnerabilidades que nunca demostró ni reportó”, indica el documento.

Guzmán de Rojas remarcó que “el propósito de una auditoría de seguridad es encontrar vulnerabilidades con el objeto de impedirlas”. Aseguró que, vía correo electrónico y verbal, se le iba informando sobre la eliminación de las restantes vulnerabilidades y “que ellos confirmaron la resolución”.

Página Siete consultó al director de la empresa auditora por qué permitió que se realicen los comicios con un software inseguro. “Nosotros les dijimos que el software no está al 100%. Ese era un riesgo. Fue una decisión del Tribunal Supremo Electoral”, justificó Andrade. 

Recomendaciones

EthicalHacking ofreció sus servicios como auditora nuevamente ante el TSE. Además, emitió recomendaciones para mejorar las políticas de seguridad del sistema informático para los futuros comicios. 

 “El software tiene que cumplir con las mínimas condiciones de seguridad. Debe manejar la comunicación cifrada. No puede tener comunicación en texto plano. Debe tener mejor manejo de sesiones y autenticación”, apuntó Andrade.

Sugiere que la empresa creadora del software transfiera conocimiento al TSE y a la población boliviana, ya que el año pasado el Órgano Electoral “no conocía siquiera el código fuente de la herramienta informática”.

 Por contrato, Ethical Hacking debía resolver fallas

El director ejecutivo de Ethical Hacking, Álvaro Andrade, reveló que su contrato con el Tribunal Supremo Electoral  (TSE) tenía una adenda (adjunto) que incluía las funciones de reparar fallas. Ese agregado se hizo porque el Órgano Electoral no “tenía el conocimiento para subsanar todas las vulnerabilidades” que reportaba la auditora. 

“A raíz de eso, se hizo una segunda adenda. Entonces, nosotros nos encargábamos de reportar, alertar y subsanar. Excepto el TREP, porque no teníamos acceso al código. Pero sí le decíamos a Neotec”, reveló.

La nueva función para la que les contrataron se denomina “hardening” y significa fortificación. Les correspondía brindar las soluciones: saneaban, testeaban  y parchaban. Emitieron un reporte específicamente sobre eso.

Consultado sobre  por qué no se subsanó todas las vulnerabilidades del software, el director de Ethical Hacking  aclaró que ellos sólo estaban a cargo de enmendar la  red de imágenes. “El TREP y el sistema de cómputo, no. El único que  podía hacer eso era Neotec”, afirmó.

Comentó que solicitó que el equipo de Neotec trabaje con Ethical Hacking, pero Guzmán no aceptó. Andrade reiteró que esa empresa “no tenía equipo”.

Señaló que la empresa que dirige  tenía un partner (empresa socia) con el que se alió para adjudicarse el contrato como auditor de las elecciones.

Andrade reconoció  que “sería ideal tener dos empresas auditoras”, como le sugirió el TSE. Advierte que  si bien sería más seguro, se elevarían los costos.

Fuente: Pagina Siete.

Vea También

Salud sexual: Mitos sobre la masturbación, ¿tiene perjuicios o beneficios esta práctica?

En el pasado se crearon varios mitos sobre la masturbación, por ejemplo, que el que la …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *