¿Es realmente posible hackear una elección presidencial?

Por en Seguridad

Conversamos con diferentes empresas especializadas en seguridad informática para revisar qué tan factible es intervenir los computadores, teléfonos o redes sociales de los candidatos, o derechamente manipular un votación electrónica.

¿Te imaginas que el presidente de tu país haya sido elegido por un hacker? Esta premisa, que parece sacada de una película de ciencia ficción, no está tan lejos como piensas. La posibilidad de que un especialista pueda intervenir los computadores de los candidatos, para robar información confidencial, hasta directamente hackear los sistemas de votación electrónica, no es remota.

Por lo menos así quedó claro con la bullada entrevista del hacker colombiano Andrés Sepúlveda (31 años) en la revista Bloomberg, donde asegura haber intervenido varias elecciones dentro de Latinoamérica. En el texto titulado “Confesiones de un hacker político”, Sepúlveda asegura ser culpable de robar estrategias de campaña y bases de datos de diversos candidatos, como también de haber manipulado redes sociales e intervenido teléfonos personales.

Estas acciones ilegales se habrían llevado a cabo, según Sepúlveda, en diferentes países de la región, entre ellos: Nicaragua, Panamá, Honduras, El Salvador, México, Costa Rica, Guatemala, Venezuela y Colombia.

Dentro de este último país, el hacker colombiano cumple actualmente una condena de 10 años por los delitos de uso de software malicioso, conspiración para delinquir, violación de datos y espionaje, todos conectados al hackeo de las elecciones presidenciales de 2014. 

*Portada de la revista Bloomberg

Sin embargo, muchos se preguntan si hackear una elección es realmente factible o en realidad sólo es posible en el mente de Sepúlveda. Si bien, varios involucrados han intentado negar las acusaciones de este joven, Bloomberg asegura haber revisado y comprobado todas las confesiones del colombiano, incluso con expertos.

“Por supuesto que es posible (robar datos entre comandos políticos), ya que ningún sistema por más seguro que fuese puede asegurar al 100% un ambiente; de hecho, ni siquiera el ataque puede tener un origen informático, ya que puede ser social por medio del engaño de la persona atacada”, señala David Nieto, System Sales Engineer de Intel Security Chile.

Incluso, el mismo mundo político podría ser proclive a este tipo de ataques según otros especialistas. “Este tiempo se caracteriza por los ataques dirigidos cuya naturaleza es atacar las víctimas seleccionadas cuidadosamente, bajo un interés específico, con el fin de espiar, extraer la información de la víctima y usarla para las ventajas del atacante. El ámbito político siempre ha sido un blanco de interés de esos ataques que han existido por lo menos desde hace unos 10 años”, concuerda Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina, agregando que este sistema de robo de datos, “desde el punto de vista técnico, no es solamente posible, sino que completamente real”.
 
La razón detrás de este robo de información obviamente radica en la posibilidad de definir la estrategia a seguir por cada uno de los candidatos. Además, puede significar acceso a información reservada para detractores u organizaciones ciudadanas que, independiente de los intereses políticos, pueden hacer uso de herramientas tecnológicas para filtrar documentos clasificados que podrían cambiar el curso de una elección.

En cuanto a las posibles técnicas para intervenir información entre comandos, Patricio Villacura H., Senior System Engineer en Symantec, asegura que éstas pueden ir desde los tradicionales bootnet, a un malware avanzado, diseñado específicamente para ser descargados de manera ‘silenciosa’. 

No se necesita ser una gran genio cibernético para realizar esto; sólo se necesitan horas de práctica, tiempo libre y saber manejar una par de herramientas freeware que se pueden descargar gratuitamente desde internet”, explica Villacura, y agrega que en paralelo clonar una comunicación telefónica también es simple. "Basta con poder hacer un sniffer de la comunicaciones de datos entre dispositivos móviles, para lo cual existen softwares de mercado que realizan esta labor y que lo puede hacer desde la interfaz de aire o en los mismos servidores que procesan estas llamadas”, detalla.

Pero ¿qué pasa en el caso de las redes sociales? ¿Es realmente factible superar las barreras de seguridad de Facebook o Twitter? “Esta plataformas son por definición aplicaciones web, por ende, pueden ser manipulables si no están bien configuradas (aunque muchas redes cuidan particularmente este aspecto). Basta con un pequeño descuido en la programación como para que se pueda inyectar por ahí algún trozo de código malicioso que busque modificar contenidos, adulterar tendencias o recopilar información”, revela el Senior System Engineer en Symantec.

De acuerdo a Bestuzhev, ejecutivo de Karspersky, estos ataques son pan de cada día. “Las posibilidades de que una plataforma sea vulnerable es inversamente proporcional al centro de reputación que posea, es decir, mientras más potencial de análisis de reputaciones global posea la plataforma, menos será la posibilidad de ser engañado por un origen fraudulento”, advierte.

Según Nieto, de Intel Security Chile, el escenario más complejo es cuando los bots, en realidad no son bots, sino cuentas que pertenecen a personas reales. Esto sucede cuando a través del código malicioso roban las contraseñas de acceso de los perfiles de usuarios. Al ser esos perfiles reales, las redes sociales no pueden clasificar el contenido publicado como malicioso y publicado por botnets. “Si lo hicieran, sería una especie de atentado a la libertad de la expresión. Entonces, un atacante con miles de cuentas sustraídas en la mano puede causar un impacto social bien grande. Si hay varios atacantes, el impacto será más grande aún”, asegura.

Por otro lado, el ejecutivo de Symantec apela a la relevancia del contenido en estas plataformas. “Desde el punto de vista de una elección política, la información que se maneja dentro de una red social es muy rica, ya que actúa como información no interpretada directamente desde el sentir del votante, por ende, es un target más rico aún para poder dirigir un ataque que busque hacer un fake de las tendencias del candidato”, resalta Villacura.

¿Y el voto electrónico?

Obviamente la posibilidad de intervenir campañas y comandos políticos es sumamente importante. No obstante, qué pasaría si los hackers fueran más allá de lo que logró Sepúlveda e intentaran intervenir los sistemas de votación electrónicos. En la actualidad, dentro de Latinoamérica hay solamente tres países que han implementado esta tecnología. Brasil y Venezuela son los únicos que utilizan este sistema a nivel de sufragio, y que actualmente se encuentran estudiando servicios de biometría para asegurar las votaciones.

El tercer país que cuenta parcialmente con esta tecnología es México. En este caso, al funcionar en un formato federal, el voto electrónico solamente ha sido aplicado en los estados de San Luis Potosí, Baja California, Coahuila, Distrito Federal, y Jalisco, aunque no a nivel nacional.

Un caso similar ocurre en Argentina, donde este sistema ha sido implementado solamente en algunas partes del país, aunque nunca en elecciones nacionales de gran envergadura.

A estos países se suman Bolivia, Chile, Ecuador, Paraguay, Panamá, Perú y Colombia, que cuentan con algunos casos experimentales en esta tecnología. En tanto, este último país es uno de los pocos que ya cuenta con una legislación para implementar esta plataforma electrónica.

Mucho más atrás nos encontramos con varias naciones de Centroamérica (Costa Rica, El Salvador, Guatemala, Honduras, Nicaragua, Puerto Rico) y con Uruguay, que no cuentan actualmente con ninguna prueba para esta tecnología.

Pero, ¿qué pasa a nivel de seguridad? En la actualidad, solamente se han visto limitados casos de error con este sistema, principalmente en Estados Unidos y a nivel de funcionamiento técnico de las máquinas de votación. Un caso emblemático dentro de nuestra región ocurrió en Brasil, cuando en 2009 el investigador Sergio Freitas da Silva, uno de los 32 especialistas convocados por el Tribunal Superior Electoral de ese país para probar la seguridad de las urnas electrónicas, logró romper el secreto del sufragio con técnicas de lectura de radiofrecuencia y equipamiento muy económico. No obstante, el experimento sólo vulneró el secreto del voto y no la manipulación del conteo

“Cualquier plataforma y ambiente hoy día es posible de ser hackeado... El nivel de seguridad que tiene el voto electrónico debe ser integral para tener éxito, es decir, que la protección por capas, además de ser efectiva, tiene que ser 'inteligente'. Hablamos de inteligencia en el sentido de poder detectar una amenaza y proteger el ambiente de la forma más rápida posible para llevar al mínimo la posibilidad de que el ataque tenga éxito”, comenta el System Sales Engineer de Intel Security Chile.

Esta preocupación se suma, según el ejecutivo de Karsperky, a un problema básico dentro de esta plataforma. “Por lo general los sistemas de voto electrónico son sistemas de código propietario y por esto no es posible auditar el código. Pues éste no está disponible para el público, por lo menos por entero. Al tener esta circunstancia, no se puede de forma pública garantizar completamente que el código es libre de backdoors (accesos remotos no documentados), de bugs (agujeros de seguridad) y otros problemas. Claro está que los diseñadores de los sistemas de votos electrónicos se ciñen a los más altos estándares, pero nuevamente al no tener sus sistemas completamente “open source” o de código abierto, se dejan posibilidades de varios tipos de ataques”, destaca Bestuzhev.

Esta característica del voto electrónico lo transformaría en una plataforma especialmente vulnerable. Por otro lado, hasta el momento tampoco existe un modelo formal (model checking) que garantice la seguridad de este sistema. Un paso básico para mostrar que no tiene fallas triviales.

“El voto electrónico finalmente está basado en infraestructura física y virtual con aplicaciones que se comunican entre sí en tiempo real, y toda esta información debe ser almacenada en algún tipo de contenedor de datos; si nos damos cuenta, esto no es distinto del común de la infraestructura informática de cualquier empresa, pero con la diferencia de la connotación mucho más fuerte dado que está en “vitrina” de toda la ciudadanía y la comunidad internacional”, reflexiona el experto de Symantec.

La vulnerabilidad sin duda seguirá siendo un desafío para los países que ya cuentan con esta tecnología, y para los que evalúan sistemas biométricos para entregar más seguridad y identificar a los votantes. Porque una vulnerabilidad dentro de estas máquinas no significa simplemente que accedan a fotos comprometedoras o a mensajes privados en nuestros teléfonos, como ya estamos acostumbrados, sino que implanta directamente la posibilidad de poder hackear las democracias de la región.

*En AETecno nos comunicamos con la empresa Scytl, para indagar en el funcionamiento del voto electrónico, pero no obtuvimos respuesta.

Comentarios