En el ámbito electoral, el papel de la seguridad de la información se centra en el hecho de brindar transparencia y confianza a los ciudadanos que ejercen su derecho al voto, para la elección de sus representantes. En una publicación anterior abordamos cuestiones sobre la importancia de la protección de los datos en los comicios, sobre todo al momento de contabilizar los sufragios, pero ¿cuál es el papel de la seguridad en todas aquellas actividades previas y posteriores al escrutinio?

Esta pregunta surge a raíz de dos sucesos recientes. Por un lado, la entrevista publicada en Bloomberg donde Andrés Sepúlveda afirmó haber participado durante los últimos ocho años en distintos procesos electorales de países latinoamericanos, para alterar el curso de las campañas a través de distintas vías, como el uso de malware, bots o ciberespionaje. Y por el otro, la reciente nota sobre la filtración masiva de datos alojados en un servidor de Amazon, con relación a más de 93 millones de votantes mexicanos.

Sin duda, la seguridad de la información adquiere cada vez más relevancia en ambientes donde quizá había sido poco considerada, como en el ámbito electoral. Sobre todo si consideramos que la ausencia de medidas de protección, o el inadecuado manejo de los datos, pueden tener repercusiones que nos afectan directamente a todos.

Bots, malware y ciberespionaje: ¿estrategias de campaña alternativas?

En distintos procesos electorales suelen observarse un sinnúmero de recursos (en ocasiones con actos cuestionables) a los cuales se recurre con un único propósito: ganar una elección. En un ambiente donde la tecnología está cada vez más integrada a las actividades cotidianas, no existe una razón por la cual no pueda ser utilizada en los procesos electorales, cada vez con mayor impacto.

Pero como siempre sucede, la adopción de nuevas herramientas conlleva una línea delgada para determinar los propósitos para los cuales son utilizadas. Como se menciona en el reportaje de Bloomberg, podrían llegar a incluirse actividades maliciosas en una operación política moderna; entre ellas, ataques publicitarios, espionaje a la oposición o minimización de la participación de un adversario político, por ejemplo, comprometiendo sus cuentas.

Si bien las declaraciones de Andrés Sepúlveda deben tomarse con reservas, es una realidad que en la actualidad pueden realizarse con la tecnología y personal adecuados. Pero más allá de su posibilidad de ocurrir o no, lo interesante es que nos permite realizar algunas reflexiones interesantes.

Se afirma la realización de diversos ataques informáticos para conseguir el acceso a teléfonos inteligentes, falsificar y clonar sitios web, o bien, enviar correos electrónicos y mensajes de texto de forma masiva. También destaca el uso de códigos maliciosos para espiar y robar información de los contrincantes políticos.

A partir de una infección en los equipos utilizados en las sedes de campaña de la oposición, de acuerdo con las declaraciones, fue posible sustraer información valiosa y sensible como discursos políticos, reuniones, programas y estrategias de campaña. Aunque también se afirmó la destrucción de la evidencia relacionada con estos actos, no hay duda de que podrían realizarse prácticamente sin ninguna restricción; no descartemos que “estrategias alternativas de campaña” de este tipo sean un común denominador en procesos electorales venideros.

Malas (o nulas) prácticas de seguridad en el manejo de información electoral

Adicional al punto anterior, destaca el manejo seguro de la información relacionada con instituciones electorales y partidos políticos. Como lo manifestamos con anterioridad en WeLiveSecurity, existe una cantidad importante de riesgos de seguridad asociados a la información que se encuentra en posesión de las instituciones de gobierno, por lo que controles y prácticas de seguridad deben ser más estrictos.

Es importante mencionar que todo depende del valor de la información, y como sucede con la información corporativa, resulta fundamental la adopción de más y mejores formas de protección de información en el sector público. Sobre todo debido a la criticidad de la información y datos personales que se manejan desde estas instituciones: la publicación del padrón electoral de mexicanos mencionado anteriormente incluyó diversa información sensible de una base de datos de más de 130 GB.

Posterior a la noticia, un partido político se adjudicó la filtración de los datos, haciendo alusión a un ataque informático, aunque Amazon ha desmentido esta versión. Independientemente de las razones, este suceso representa un caso donde destaca la falla en los protocolos de seguridad para el manejo de la información sensible.

La ciberseguridad, cada vez con mayor relevancia en distintos ámbitos

Sin duda, la seguridad de la información adquiere más relevancia para distintos aspectos, sobre todo aquellos que determinan el presente y futuro de una nación, y en consecuencia de las personas. La protección de la información en el ámbito electoral se convierte en un factor crítico antes, durante y después de los procesos - no solamente para las instituciones encargadas de las elecciones, sino también para partidos políticos y todos los involucrados en el manejo de información sensible, propia o de terceros.

Desde la perspectiva de las campañas políticas, se recurre cada vez más al ambiente digital con consecuencias que repercuten de manera directa en todos los ámbitos. Por ello, seguramente los candidatos a ocupar un puesto de elección, además de contar con equipos de imagen, marketing político o estrategas de campaña, deberán comenzar conformar su equipo de trabajo con profesionales en seguridad, en busca de proteger su información, sus cuentas sociales y otros activos.

A la par, se deberá seguir potenciando el uso de herramientas tecnológicas de manera segura en diferentes sectores, y aunque no es una novedad, la ciberseguridad también deberá formar parte de las estrategias de campaña de los candidatos que busquen obtener un resultado favorable en los procesos electorales. La importancia crece si pensamos que estas acciones inciden de manera directa en la dirección política de un país o una región.

De manera paralela, el manejo seguro de la información propia y de terceros resulta fundamental por parte de las instituciones electorales y partidos políticos, por lo que resulta necesario comenzar a virar hacia la aplicación de más y mejores controles de seguridad para mitigar los riesgos de seguridad, y en caso de que esto no sea posible, que las consecuencias sean las mínimas aceptables no solo de dichas instituciones, sino de los ciudadanos mismos.