Jueves 28 de marzo 2024 Contacto

Elecciones 2020: TSE blindará el software con acceso restringido, auditoría y alertas




13/01/2020 - 06:36:34
P�gina Siete.- Acceso restringido, alertas de manipulaci�n y una auditor�a al TREP son las acciones con las que el Tribunal Supremo Electoral (TSE) blindar� el software para las elecciones nacionales 2020. Adem�s, prev� contratar una empresa para monitorear la transmisi�n del conteo r�pido que -prometen- no ser� interrumpida.

�Vamos a llegar (al d�a de las elecciones) con un sistema debidamente s�lido, que haya pasado las pruebas que se requieren para garantizar confiabilidad en el proceso electoral 2020�, asegur� el presidente del TSE, Salvador Romero a P�gina Siete.

Tras las elecciones del 20 de octubre de 2019 y la paralizaci�n del conteo r�pido, surgieron las sospechas de fraude. Ante el pedido del gobierno de Evo Morales, la Organizaci�n de Estados Americanos (OEA) realiz� una auditor�a que detect� varias irregularidades. El informe indica que la cadena de custodia del material electoral fue �deficiente y muy fr�gil�. Se hallaron irregularidades en el �ltimo 4,4% de actas electorales ingresadas al sistema.

�El corte del sistema de transmisi�n de resultados r�pidos (TREP) fue intencional. No se produjo como consecuencia de alguna falla. Cualquier empresa contratada para difundir los datos preliminares deber� proporcionar las medidas necesarias para evitar la suspensi�n de la transmisi�n�, asever� el presidente del TSE, Salvador Romero.

Adelant� que se prev� la contrataci�n de una empresa auditora que efectuar� un monitoreo permanentemente del tr�fico de la red para prevenir situaciones no previstas. �El TSE se compromete a divulgar la informaci�n de los resultados electorales preliminares sin corte ni interrupciones, a medida que se reciban�, prometi� Romero.

Un sistema blindado

El �rea de tecnolog�a del �rgano Electoral anunci� a P�gina Siete que en el software de este a�o s�lo �se permitir� el acceso a los administradores del TSE y no as� a empresas externas�.

Contra la manipulaci�n de la base de datos, el TSE asegur� que �los ambientes estar�n controlados y monitoreados permanentemente�. Garantiz� que no se podr� operar la plataforma desde la l�nea de comando o directamente desde la base de datos, sino de una aplicaci�n de acceso creada y liberada previo a las elecciones.

Mediante mecanismos de seguridad se identificar� a los usuarios del sistema. Si alguno realizara alguna acci�n extra�a se generar�n alertas inmediatas.

El ingeniero �dgar Villegas tambi�n hizo llegar sus recomendaciones al TSE. Se�al� que el campo que indica la cantidad de votantes ausentes debe estar en el acta. Esto no se cumpli� en los comicios del 20 octubre. �Se tienen que publicar todos los campos posibles�, destac�.

El encargado de la tecnolog�a

En el informe final de la OEA sobre las elecciones del a�o pasado, se observ� la introducci�n de servidores no previstos por los cuales se pod�a manipular datos y suplantar actas.

�Existieron im�genes de actas del exterior incorporadas a trav�s de una funcionalidad denominada Actas Rezagadas. La persona a cargo de dicha opci�n ingresaba tanto la imagen del acta, como los datos de la misma�, se indica en el informe.

Se supo que esta persona era el director nacional del Servicio de Registro C�vico (Serec�), Jos� A.P., quien en diciembre pasado fue procesado. Se le otorg� detenci�n domiciliaria y una fianza de 40.000 bolivianos.

Consultado sobre la designaci�n para ese cargo, el presidente del TSE se�al� que todav�a no se ha tomado ninguna determinaci�n. �S�, tenemos un nuevo director de tecnolog�a que es el ingeniero Osman Flores, una persona con mucha experiencia�, inform� el presidente del TSE.

Ingeniero Villegas: �Se regalaban votos�

�En las anteriores elecciones, en miles de actas hab�a el problema que la suma no cuadraba. Se regalaron votos a alg�n partido quit�ndole a otro�, record� el ingeniero �dgar Villegas a P�gina Siete.

Indic� que si existiesen errores en la validaci�n de los totales deben existir alertas, para que no vuelvan a suceder las mismas irregularidades. Dijo que debe mejorarse el control de calidad del sistema inform�tico de las elecciones.

�Tiene que haber un buen proceso de control de calidad y auditor�a con una debida antelaci�n. Al menos dos meses antes o el tiempo que se pueda, ya deber�a entrar la empresa auditora a revisar el software. En 2019, Ethical Hacking fue contratada con un mes antes de la elecci�n�, manifest�. A su parecer, no se deber�a usar el software de Neotec, �por susceptibilidad de la gente�.

�Por falta de tiempo, Neotec no pudo enmendar todas las fallas�
En 2019 no se resolvi� el 40% de fallas del software electoral

Del 100% de las vulnerabilidades de seguridad encontradas en el software, s�lo �un 60% se subsan� para el d�a de las elecciones�, revel� �lvaro Andrade, el director ejecutivo de Ethical Hacking, la empresa contratada por el Tribunal Supremo Electoral (TSE) como auditora del sistema inform�tico. Sin embargo, Neotec -la proveedora del software- manifest� que esas observaciones fueron resueltas.

�Un 40% no se subsan�. El encargado de enmendarlas era Neotec. Cada d�a les d�bamos m�s vulnerabilidades a corregir�, cont� Andrade.

Agreg� que una de las primeras observaciones que hicieron fue porque que Neotec �era una empresa de una sola persona�. Seg�n Andrade, el gerente Marcel Guzm�n de Rojas era adem�s el programador. No ten�an un equipo.

�Marcel se quedaba todas las noches a corregirlas. �l ya estaba cansado, el software ten�a muchas vulnerabilidades. Cuando ya entramos al proceso electoral, se pudo parchar un 60% de lo m�s cr�tico. Ya no le daba el tiempo para subsanar, le hubiese tomado tres a cuatro semanas programar�, asegur� Andrade.

Entre las fallas se�al� la falta de cifrado para el software. Al no tenerlo �cualquier persona desde un celular o una computadora pod�a capturar la informaci�n�.

Otra vulnerabilidad cr�tica fue la posibilidad de inyecci�n de actas. �Se pod�a inyectar actas a voluntad, con los datos que quieras de votos. Esto lo pod�a hacer cualquier persona que tenga conocimientos de seguridad inform�tica�, advirti�.

Tambi�n observ� el mal manejo de sesiones, porque �en el software un usuario deber�a solo poder ver su mesa, pero uno pod�a acceder otras diferentes�. Adem�s, se pod�a hacer la �modificaci�n de datos remotamente� y los algoritmos de cifrado no eran seguros.

�El protocolo era MD5, era tan simple que los rompimos todos. Las claves eran 12345, cosas as�. No eran seguras�, coment� Andrade.

Despu�s que Ethical Hacking revel� a medios bolivianos que el proceso electoral estaba �viciado de nulidad�, el gerente de Neotec, Marcel Guzm�n de Rojas, emiti� un comunicado al TSE, en el que acusa a Andrade de intentar exponer las vulnerabilidades como un tema cr�tico.

�En primer lugar, las vulnerabilidades fueron resueltas antes de la elecci�n, a excepci�n del anti-rootkit. En segundo lugar, ninguna de las reportadas fue explotada en elecciones anteriores. Adicionalmente, Andrade expone vulnerabilidades que nunca demostr� ni report�, indica el documento.

Guzm�n de Rojas remarc� que �el prop�sito de una auditor�a de seguridad es encontrar vulnerabilidades con el objeto de impedirlas�. Asegur� que, v�a correo electr�nico y verbal, se le iba informando sobre la eliminaci�n de las restantes vulnerabilidades y �que ellos confirmaron la resoluci�n�.

P�gina Siete consult� al director de la empresa auditora por qu� permiti� que se realicen los comicios con un software inseguro. �Nosotros les dijimos que el software no est� al 100%. Ese era un riesgo. Fue una decisi�n del Tribunal Supremo Electoral�, justific� Andrade.

Recomendaciones

EthicalHacking ofreci� sus servicios como auditora nuevamente ante el TSE. Adem�s, emiti� recomendaciones para mejorar las pol�ticas de seguridad del sistema inform�tico para los futuros comicios.

�El software tiene que cumplir con las m�nimas condiciones de seguridad. Debe manejar la comunicaci�n cifrada. No puede tener comunicaci�n en texto plano. Debe tener mejor manejo de sesiones y autenticaci�n�, apunt� Andrade.

Sugiere que la empresa creadora del software transfiera conocimiento al TSE y a la poblaci�n boliviana, ya que el a�o pasado el �rgano Electoral �no conoc�a siquiera el c�digo fuente de la herramienta inform�tica�.

Por contrato, Ethical Hacking deb�a resolver fallas

El director ejecutivo de Ethical Hacking, �lvaro Andrade, revel� que su contrato con el Tribunal Supremo Electoral (TSE) ten�a una adenda (adjunto) que inclu�a las funciones de reparar fallas. Ese agregado se hizo porque el �rgano Electoral no �ten�a el conocimiento para subsanar todas las vulnerabilidades� que reportaba la auditora.

�A ra�z de eso, se hizo una segunda adenda. Entonces, nosotros nos encarg�bamos de reportar, alertar y subsanar. Excepto el TREP, porque no ten�amos acceso al c�digo. Pero s� le dec�amos a Neotec�, revel�.

La nueva funci�n para la que les contrataron se denomina �hardening� y significa fortificaci�n. Les correspond�a brindar las soluciones: saneaban, testeaban y parchaban. Emitieron un reporte espec�ficamente sobre eso.

Consultado sobre por qu� no se subsan� todas las vulnerabilidades del software, el director de Ethical Hacking aclar� que ellos s�lo estaban a cargo de enmendar la red de im�genes. �El TREP y el sistema de c�mputo, no. El �nico que pod�a hacer eso era Neotec�, afirm�.

Coment� que solicit� que el equipo de Neotec trabaje con Ethical Hacking, pero Guzm�n no acept�. Andrade reiter� que esa empresa �no ten�a equipo�.

Se�al� que la empresa que dirige ten�a un partner (empresa socia) con el que se ali� para adjudicarse el contrato como auditor de las elecciones.

Andrade reconoci� que �ser�a ideal tener dos empresas auditoras�, como le sugiri� el TSE. Advierte que si bien ser�a m�s seguro, se elevar�an los costos.

Estimados lectores: recuerden que estas noticias las pueden encontrar en nuestro Canal de Whastapp al momento de su publicación.

Sigue el canal de Hoybolivia.com en WhatsApp:
whatsapp.com/channel/0029Va8B7PQ3GJOyC41B2Q1a

Noticias Recientes de Portada

Copyright © Hoybolivia.com Reservados. 2000- 2024