A fondo: ¿Es seguro el e-voting? (I)

Sobre las últimas elecciones estadounidenses se cierne la duda por un posible ciberataque. Y Holanda ha anunciado que retorna a procesos manuales. ¿Está amenazada la seguridad en los procesos electorales?

La digitalización está penetrando con fuerza en todos los ámbitos de nuestras vidas. Uno de los pilares de nuestra sociedad es la democracia, que también se está viendo afectada por este proceso evolutivo.

Es indudable que la tecnología aplicada a las elecciones trae muchas ventajas. Sin embargo, también se ciernen sombras en cuanto a la amenaza de posibles ciberataques. Un ejemplo de ello es el polémico proceso electoral de los últimos comicios estadounidenses.

Ciberataque en Estados Unidos

“El único ciberataque demostrado y con éxito fue el acceso a las cuentas de correo electrónico del partido demócrata. Este acceso se utilizó para conseguir información confidencial del partido que luego fue utilizada en campaña para desacreditar a la candidatura demócrata. El FBI también reportó intentos de acceso a censos de votantes online de algunos estados, pero sin impacto real a la integridad de éstos”, afirma Jordi Puiggalí, chief security officer (CSO) y vicepresidente senior de Investigación y Desarrollo de Scytl.

Julio José Espiña, director de desarrollo de negocio del sector público de Tecnocom, precisa que “los ataques informáticos fueron previos a la jornada electoral, desde el verano de 2015 hasta la primavera de 2016. Su objetivo fundamental fue influir en la decisión de los electores, a través del robo de información desde servidores de diversos organismos públicos y privados, la cual después era publicada en internet a través de canales como WikiLeaks u otras páginas web”.

Sin embargo, parece que no afectó al proceso de votación y recuento. “Actualmente, no existe prueba alguna de que haya existido un hackeo del sistema informático de emisión y contabilización del voto durante la jornada electoral, aunque existen diversas líneas de investigación abiertas”, apunta Espiña. Asimismo, el CSO de Scytl reseña que  “no se ha encontrado ninguna evidencia de ataques al voto electrónico”.

Puiggalí precisa que “los recuentos manuales paralelos que se han realizado no han detectado ninguna discrepancia relevante. De hecho, ha sacado a la luz la dificultad de poder auditar elecciones mediante recuentos manuales de los votos en papel y se están estudiando propuestas de cómo mejorar estos recuentos utilizando tecnología”. No en vano, recuerda que “la introducción del voto electrónico en Estados Unidos empezó justamente por los problemas de poder tener un resultado fiable durante las elecciones presidenciales del 2000”.

Vuelta a procesos manuales en Holanda

Con las dudas acerca de la seguridad de los procesos online en el horizonte, el gobierno holandés ha anunciado que realizará recuento manual en sus próximas elecciones. “Hay que tener en cuenta que en Holanda, desde 2008, se lleva haciendo el recuento manual. Hay cierta desinformación en el mensaje que se está dando. El problema real está relacionado con cómo se transmiten los resultados de los recuentos manuales de los centros de recuento a las entidades electorales”, advierte Puiggalí.

“En una auditoría de seguridad, las autoridades vieron que tanto el software como los ordenadores que se están utilizando para enviar esa información utilizan un sistema operativo -Windows XP- y un software que no se han actualizado desde hace casi 10 años. Tampoco implementaba medidas criptográficas para proteger los datos que se transmitían, como firmas electrónicas o cifrado. Por lo tanto, sin mantenimiento de seguridad desde hace años y sin medidas de protección de los datos transmitidos, existe un riesgo evidente de seguridad. Teniendo en cuenta el debate que han suscitado las acusaciones en EE.UU. de que Rusia está intentando manipular los resultados de las elecciones en países occidentales, es lógico que el gobierno holandés no quiera correr el riesgo de utilizar un sistema totalmente desactualizado. El problema de base en Holanda no es utilizar tecnología en entornos electorales, sino la falta de mantenimiento y actualización de los sistemas que utiliza para las elecciones”, matiza.

De este modo, el responsable de Tecnocom puntualiza que “debido a los ciberataques, las autoridades holandesas han decidido prescindir del sistema de escrutinio digital y volver al método tradicional de contabilización de votos y envío de datos vía telefónica a un centro integral de recepción de la información”. En su opinión, “es una decisión cuestionable y que puede ralentizar de una manera importante la publicación de los resultados provisionales”. Además, insiste en que “aunque el sistema informático de escrutinio digital es vulnerable a ciberataques, como cualquier otro sistema, se está hablando siempre del escrutinio provisional, que en cualquier caso deber ser contrastado con el escrutinio definitivo oficial que realizan las autoridades judiciales holandesas a través de las actas recogidas en las mesas electorales”.

¿Aumenta el riesgo?

Espiña cree que “es probable que se incrementen los ciberataques a este tipo de sistemas”. Aunque no es nada nuevo. “Desde el punto de vista sociopolítico, las amenazas de manipulación de resultados electorales existen desde que se introdujo el voto secreto. Lo que sí que veremos es que la tecnología jugará un factor importante como otro medio por el que se pueden realizar ataques, pero al mismo tiempo también para evitarlos. Ya se han dado casos en los que la tecnología se ha utilizado para atacar procesos electorales tradicionales. En 2011, en Canadá se configuró una centralita para llamar a los votantes de un partido político específico y direccionarlos a un colegio electoral incorrecto, impidiendo que algunos pudieran votar a tiempo cuando descubrieron el ataque. Por lo tanto, los avances de seguridad que se están implementando en entornos electrónicos serán también útiles para evitar ataques en el voto tradicional”, aclara Puiggalí.

En cuanto a las motivaciones de este tipo de ataques, el responsable de Tecnocom señala que “los hackers pueden buscar relevancia personal, por el tipo de sistema e información que manejan; o contraprestaciones económicas por parte de agentes externos – estados, corporaciones, etc.-, que buscan influencia política o desestabilización en ese ámbito”. En cuanto a los responsables de estas actuaciones, indica que “habría que buscar la respuesta en la estrategia y acción política de los estados, equilibrio geopolítico mundial, intereses de las grandes corporaciones, influencia de los lobbies, etc.”.

En cualquier caso, interferir en unas elecciones no es tan fácil. En una segunda entrega de este reportaje, revisaremos cuáles son las medidas de seguridad que se están poniendo en marcha con el fin de garantizas unos comicios limpios y fiables.