¿Es el voto online un riesgo de seguridad?

El mundo entero está en Internet, y ahora también lo está la política. Pero mientras el voto online o voto electrónico se convierte cada vez más en una realidad, debemos preguntarnos si realmente estamos preparados para políticos fraudulentos y hambrientos de poder, o atacantes en busca de fama.

La votación ha sido históricamente manual; elegir una boleta o candidato, ingresar la elección en un sobre sellado y esperar a que los voluntarios realicen el conteo manual para conocer los resultados.

Por supuesto, esto no significa que los resultados no puedan ser forzados, sin querer o intencionalmente. Ha habido algunos ejemplos notorios de juego sucio –Slobodan Milošević fue acusado de fraude electoral en 1996 y en el 2000 en Yugoslavia– mientras que también pueden ocurrir errores, como se ha visto en las elecciones presidenciales de Estados Unidos del año 2000, cuando una falla en las boletas del estado de Florida llevó a los votantes a elegir al candidato equivocado.

En 2006, el Ministro del Interior Holandés le quitó la licencia al fabricante SDU NV, luego de que la agencia de inteligencia encontrara que era posible escuchar las votaciones de más de 1000 equipos destinados a las votaciones.

De hecho, los criminales han tenido más de una oportunidad para explotar el tan revisado método del papel, ya que de la misma forma que se puede insertar un código malicioso en el software de los equipos que se utilizan para votar, también se puede manipular el hardware para ajustar los totales a favor de quien el atacante quiera, y hasta abusar de los permisos administrativos en las máquinas de los oficiales de votación para que se pueda votar varias veces por usuario.

Puertas abiertas al ataque

Estos riesgos se intensifican cuando los sistemas de votación están online. Brasil, Bélgica y Estonia son solo unos pocos ejemplos de países que han incorporado el voto electrónico, y si bien han visto los beneficios en cuanto a la rapidez, accesibilidad y legibilidad (ya no se ven cruces o tildes difíciles de interpretar) se trata de sistemas discutiblemente más propensos a ser atacados.

Por ejemplo, los datos que se envían a través de Internet en cualquiera de estas máquinas podrían ser interceptados por un ataque Man-In-The-Middle en el navegador que se use, mientras que los atacantes también podrían infectar a los usuarios enviándoles falsos correos de confirmación de registro. Además, podrían realizar ataques de fuerza bruta para obtener las contraseñas, al tiempo que los “hacktivistas” podrían realizar un ataque DDoS para colapsar al servidor con tráfico web y dejar offline al servicio.

Estos no son rumores, y ha habido casos recientes; el sistema iVote usado en el estado australiano de Nueva Gales del Sur el mes pasado fue hallado vulnerable a varias fallas, incluyendo a FREAK Attack.

En tanto, en Virginia (Estados Unidos), las máquinas para votar con pantalla táctil AVS WinVote también se hallaron vulnerables y habían estado usando contraseñas débiles como “abcde” y “admin” entre 2002 y 2014 –lo cual hacía relativamente fácil para los atacantes crear y ejecutar código malicioso.

“El punto es que si ninguna elección en Virginia fue comprometida (y no tenemos forma de saber si pasó) es porque nadie con las mínimas habilidades trató de hacerlo”, escribió Jeremy Epstein de la organización sin fines de lucro SRI International. Epstein trabajó en la comisión legislativa estatal de Virginia investigando las máquinas de voto en 2008, y desde entonces ha estado tratando de decertificarlas.

¿Tienen futuro las apps móviles?

La proliferación de aplicaciones móviles podría ser aprovechada en un futuro, aunque hay una moraleja en esto también. Este año, un programa de talentos sueco afirmó que su app para que los espectadores voten por su participante favorito fue atacada por cibercriminales, y se perdieron votos.

La aplicación para smartphones del programa “Melodifestivalen” le permitía a los espectadores elegir su artista favorito durante la presentación de los participantes. Cada usuario podía usar este sistema para hacer hasta cinco votos por cada canción, pero desaparecieron de los conteos durante una de las presentaciones. Se cree que el servicio fue blanco de un ataque DDoS.

“Estamos investigando el ataque. Los servidores están configurados para soportar una carga muy pesada, pero esto fue anormal y extremo”, dijo Christel Tholse Willers, Event Manager, en ese entonces.

Esto no significa que todo está perdido cuando pensamos en voto electrónico, especialmente si consideramos que investigadores de la Universidad de Birmingham demostraron recientemente una nueva forma de hacer votos online que podría permitir un sufragio seguro aún cuando la máquina estuviera infectada con un virus.

Lo único que debemos considerar, como de costumbre, es que con nuevas oportunidades y avances tecnológicos, aparecen nuevos riesgos que hay que saber afrontar.

Autor , ESET

Síguenos