Investigadores de distintos países reportaron de manera independiente el hallazgo de una vulnerabilidad en el sistema de votación electrónico de Suiza que se utiliza en dicho país. Según publicó Swiss Post, se trata de una falla crítica en el código fuente relacionado con la verificabilidad universal.
Si bien la vulnerabilidad descubierta no permitía infiltrarse en el sistema de votación en sí, podría permitir a un atacante que tenga acceso local a una de las máquinas de votación a manipular los votos emitidos. El problema estaba en el sistema criptográfico que se encarga de verificar que los votos emitidos son los mismos que los reportados, ya que de acuerdo a los investigadores, el sistema criptográfico es débil y permitía cambiar los votos.
Luego de que reportaran el error, Swiss Post solicitó a Scytl, la compañía tecnológica responsable del desarrollo del sistema, que repare el fallo; el cual ya había sido identificado en 2017 pero cuyas correcciones no se habían realizado de manera completa. Actualmente, el error en el código ya fue corregido y la modificación será aplicada en el sistema con la próxima actualización programada.
La Universidad de Melbourne publicó una breve descripción del descubrimiento por parte de investigadores y académicos de la universidad y mencionan también que el mismo fallo fue descubierto de manera independiente por Rolf Haenni de la Universidad de Ciencias Aplicadas de Berna ─quien publicó un análisis más completo sobre la vulnerabilidad─, y también por Thomas Haines de la Universidad Noruega de Ciencia y Tecnología (NTNU).
El descubrimiento surge luego de la puesta en marcha el pasado25 de febrero del programa de bug bounty que lanzó el Gobierno suizo ─vigente hasta el 24 de marzo─ en el que invita a especialistas de seguridad de cualquier parte del mundo a realizar pruebas de penetración en el sistema de votación para descubrir fallos de seguridad.
Actualmente, el sistema de votación electrónico, que está siendo utilizado en cuatro cantones suizos, no se ve afectado por este error en el código fuente porque el fallo exclusivamente afecta al sistema de votación que utiliza la verificación universal, la cual sí fue incluida para las pruebas de penetración pero que jamás se utilizó para votaciones reales. Se espera que luego de las pruebas de penetración realizadas se pueda utilizar el sistema de votación para las elecciones federales programadas para octubre de 2019.
Los investigadores que reportaron el fallo no lo hicieron en el marco del programa de bug bounty, aunque sí utilizaron el código fuente que se publicó para que los especialistas que se postularan al programa de recompensas pudieran realizar pruebas.