En países donde se permiten las elecciones abiertas, con frecuencia se desarrollan reglamentos y procesos clasificados para seleccionar, recolectar y tabular los votos; en parte porque el conteo y manejo de éstos consume mucho tiempo, además de que diferentes grupos, especialmente aquellos con poder, tienen fuertes intereses establecidos no sólo en el resultado, sino en el proceso mismo.
En las recientes elecciones de Estados Unidos los ciudadanos no votaron realmente por los candidatos presidenciales, excepto por las listas de “electores” que prometen apoyar a esos candidatos. De hecho, el Presidente de los Estados Unidos en realidad es elegido por un Colegio Electoral conformado por 538 individuos y se necesita una mayoría de 270 votos para ganar.
Muchos estadounidenses no tienen idea de este proceso, al menos no hasta que las listas de electores son elegidas; sin embargo, las personas pertenecientes a estas listas, no tienen que votar, necesariamente, por el candidato para el que fueron seleccionados en un inicio.
Y de aquellos que sí entienden el proceso del Colegio Electoral, un creciente número siente que es hora del cambio a una sola persona –el cual es un modelo de elección popular de votación individual. Ellos argumentan que se cuenta con la tecnología para colocar sistemas electrónicos de votación para llevar a cabo el voto popular y los resultados pueden ser tabulados de forma inmediata, sin embargo, no hay que ir tan rápido.
Las elecciones se realizan en varias etapas y cada una conlleva riesgos.
Son pocas las elecciones que excluyen a los partidos con intereses establecidos en el resultado, ya sea en una elección local o una a nivel nacional con profundas implicaciones internacionales, así como la motivación para esquivar la ley con tal de alcanzar sus objetivos.
El hackeo de campañas electorales
Durante la época de campañas, los candidatos desarrollan enormes bases de datos de los votantes, realizan encuestas internas, aprueban y procesan políticas, mensajes y posiciones, analizan la retroalimentación de votantes potenciales y llevan a cabo la recolección y administración de contribuciones a sus campañas.
Las campañas electorales son una mina de oro de información para los candidatos de oposición, para los estados con intereses establecidos en los resultados, para los hacktivistas y para los cibercriminales quienes buscan acceder a la información de las personas que contribuyen financieramente a las campañas.
Los hackers no necesitan entrar a través de la puerta principal cuando existen muchas otras puertas potenciales con poca protección de donde escoger, como ya lo demostraron los hackeos sufridos este año por el Comité Nacional Demócrata. Los intentos de “phising” también han alcanzado su máximo en estas campañas, especialmente en las altamente polarizadas, debido a que son un punto de entrada muy común para penetrar las redes, enviar e-mails con “anzuelos” sobre los candidatos es una buena forma para engañar a los usuarios para que abran los enlaces.
Hackeando las máquinas de votación
Incluso en los países democráticamente avanzados, muchos sistemas electrónicos de votación no están actualizados y carecen de los controles básicos de seguridad. Claro que esto no es un problema nuevo. Estamos hablando que esto sucedió en los Estados Unidos durante la elección pasada, por lo que urge un ajuste tecnológico. Aunque los investigadores demostraron que la alteración con software usada en algunas máquinas de votación es realmente bastante trivial, cuatro años después, no se ha hecho nada. Un problema (afortunado) es que no nos percatamos de las múltiples intrusiones durante las elecciones pasadas, por lo que, como muchas empresas, hasta que no haya una intrusión mayor o que impacte el servicio, se continuará haciendo lo mínimo indispensable.
Por supuesto, el 75 % de los votantes en Estados Unidos son elegidos usando boletas. Además, muchas máquinas electrónicas imprimen boletas por lo que existe un rastro de papel para tener con qué comparar los resultados. Pero en una tendencia alarmante, cinco estados (Georgia, Delaware, Lousianna, Carolina del Sur y Nueva Jersey) utilizaron máquinas de votación que ofrecen la opción para auditar los resultados después de que se ha realizado el voto.
Claro que parte del problema es la misma infraestructura. La alteración directa de las máquinas es sólo uno de los desafíos.
Los hackers también pueden, potencialmente, interceptar el tráfico entre las máquinas de votación electrónicas conectadas al Internet y el servidor de la base de datos, con sólo agregar votos o mientras esa información es reenviada a las transmisiones en vivo.
Así como el software de votación se vuelve más sofisticado y realiza tareas como conectarse directamente a la base de datos del registro de votantes para validarlos automáticamente (tarea hecha a mano en la mayoría de los lugares), se requirió una conexión a Wi-Fi de tiempo completo, debido a lo cual, los retos de seguridad sobrepasaron, casi de manera inmediata, las capacidades y medidas de seguridad locales.
Hackeando el Voto en Línea
Los desafíos que se subrayan aquí son graves si se consideran aspectos como el voto nacional en línea. Adicional a las diferentes clases de desafíos ya discutidos, puede agregar elementos como los votos y los votantes de broma, ataques de denegación de servicio, ataques a los centros de datos e incluso errores básicos del usuario.
Durante el registro en línea del Affordable Care Act (ObamaCare) en los Estados Unidos, se concibió desde cero un sistema integral de seguridad, y la creación de un registro nacional en línea que sea seguro y de un sistema de votación que proteja, apropiadamente, a los votantes y que al mismo tiempo garantice un proceso electoral a prueba de alteraciones, todavía está muy lejos. Para una democracia, los riesgos deben sopesar problemas como la eficiencia y los intereses propios.
Desafortunadamente, las mejoras en la seguridad son, con frecuencia, conducidas por las intrusiones. Pero este es un escenario donde esa clase de proceso de status quo solamente eleva los costos. Es tiempo que las agencias gubernamentales y los profesionales en seguridad se unan para establecer, de manera proactiva, políticas y estándares de seguridad que puedan seguirse y sean obligatorios –porque hasta que eso pase, continuaremos teniendo serios problemas de seguridad.
¿Qué piensa? ¿Algo como esto ha sido implementado donde usted vive? ¿Cómo han sido enfrentados los problemas de seguridad?
____________________
El autor de este artículo, Pedro Paixao, es Vicepresidente y Gerente General para América Latina en Fortinet.
