A fondo: ¿Pueden ser hackeadas nuestras elecciones?

Todo está preparado para las elecciones generales de este domingo. Si queremos ejercer nuestro derecho al voto, no nos quedará más más remedio que desplazarnos hasta los colegios electorales, ya que el sufragio por internet todavía parece lejano en nuestro país. Sin embargo, hay otros procesos que sí están digitalizados.

Por ejemplo, Indra es la empresa adjudicataria de las diferentes tareas de recogida y difusión de los datos relacionados con el escrutinio provisional de estos comicios, tras adjudicarse el concurso con una oferta de 7,4 millones de euros, tal y como informaba Europa Press. La compañía precisa que “es la encargada de dar soporte a la captura, transmisión, totalización y difusión de resultados provisionales y de carácter informativo”.

La empresa se ha impuesto a Scytl, que le ha arrebatado el contrato para las elecciones municipales y europeas del próximo 26 de mayo, con una oferta -conjunta con Vector ITC- de 8,7 millones, según recogía lainformación.com.

Desde el Ministerio del Interior se aclara que “tanto el proceso de votación como el recuento de los votos en todas las elecciones en nuestro país se realizan de forma manual en cada mesa electoral, lo que protege este proceso de cualquier intento de injerencia o manipulación telemática por medios digitales”.

Estas fuentes precisan que “lo único que se digitaliza es el avance de los resultados electorales para poder ofrecer en la misma noche de la votación una imagen lo más fiel posible de los mismos”. Así, advierten que “el único resultado válido es el que se realiza manualmente en cada mesa electoral y que posteriormente se envía a las juntas electorales para la proclamación oficial de resultados”.

De este modo, insisten en que los resultados no pueden verse adulterados por injerencias externas. Aun así, recalcan que “las empresas que se presentan como candidatas para ofrecer el servicio de avance de resultados tienen que implementar un estricto sistema de ciberseguridad, que es auditado por el Ministerio del Interior antes de decidir la concesión del contrato”. Igualmente, desde Indra se indica que “el escrutinio oficial y definitivo de los resultados no se puede hackear, ni retrasar respecto a sus plazos habituales, ya que éste es un proceso manual y físico”.

Recuento manual y escrutinio electrónico

La compañía remarca que no se ocupa del recuento de votos, labor realizada por los miembros de la mesa electoral, bajo la supervisión de los interventores de los partidos políticos, coaliciones o agrupaciones que concurren a la elección.

Los resultados oficiales son procesados por las Juntas Electorales Provinciales, a partir de las actas presentadas físicamente en los juzgados por los presidentes de las mesas electorales en la noche electoral. Y el escrutinio general definitivo se realiza por las Juntas Electorales Provinciales entre el tercer y sexto día posterior a las elecciones, a partir de la documentación original de las mesas.

Lo que sí está digitalizado es la difusión de los resultados provisionales. “Los resultados de las mesas electorales son entregados por el presidente de la mesa físicamente -una copia del acta de escrutinio- al representante de la administración, que transmite los datos telefónicamente o por medio de una tablet al Centro de Recogida de Información del Ministerio del Interior, desplegado por Indra en el marco de su contrato. Esta información se procesa en el Centro de Procesamiento de Datos (CPD) del Ministerio del Interior y se va volcando en la página web de resultados provisionales creada para el proceso electoral, así como en el resto de soportes de difusión de resultados”, explica la compañía.

La empresa especifica que estos resultados provisionales “no son vinculantes de cara a la proclamación de electos, tarea que es realizada por las Juntas Electorales, con base a las copias originales de las actas de escrutinio”. Es decir, que

Además, Gwendoline Savoy, directora de marketing de Scytl, asegura que “toda la infraestructura desplegada para el sistema de consolidación de resultados está completamente aislada de cualquier red exterior, desde el centro de datos, que se despliega expresamente para el acontecimiento, hasta los dispositivos que usarán los representantes de la administración para reportar los datos”.

De este modo, afirma que “es un circuito cerrado a injerencias externas”. Además, recalca que “en cada paso de la recogida de datos hay validaciones de firmas digitales para asegurar la integridad y autenticidad del dato, lo que hace imposible que alguien lo altere sin ser detectado”. En este mismo sentido, Manuel Zaforas, responsable inteligencia artificial de Paradigma Digital, resalta que “para las elecciones generales se monta un CPD exclusivo, con los mecanismos de seguridad más avanzados”.

¿Riesgo de hackeo?

El recuento físico y manual no se puede modificar. Y el sistema de escrutinio electrónico parece robusto y difícil de manipular. Sin embargo, Eusebio Nieva, director técnico de Check Point en España y Portugal, recuerda que “como cualquier tecnología, puede ser objetivo de ciberataques”.

No obstante, destaca que este sistema incorpora medidas de seguridad de protección frente a ataques cibernéticos. “La aplicación instalada en los terminales que se emplearán para transferir los datos realiza controles de validación y coherencia, al mismo tiempo que elimina tareas intermedias. De esta forma, reduce los errores derivados de la cadena de transmisión de datos y permite validar en origen la información recogida en las mesas electorales”, detalla.

Nieva remarca que “el software puede ser hackeado, pero en ningún caso se puede acceder a la identidad de los votantes”. Así, la privacidad de los ciudadanos no quedaría comprometida. “Los votantes pueden estar tranquilos en cuanto a la privacidad de su voto porque en España sólo se ha digitalizado el escrutinio, por lo que no se transfieren datos personales de votantes, sino que sólo se comunican los votos recogidos por las mesas y los que corresponden a cada partido”, reseña Marta Zapata, communication manager de Panda Security.

Crece el peligro

El proceso electoral en nuestro país resulta muy seguro, pero el responsable de Check Point reconoce que “el hecho de que procesos tan relevantes como el escrutinio de votos se digitalicen hace que el riesgo de convertirse en objetivo de ciberataques aumente”.

Asimismo, Zapata indica que “es una realidad que los ciberataques se dan y el objetivo es cambiar los resultados electorales, ya sea eliminando votos o cambiándolos”. Además, apunta que “las experiencias en otros países, como Suiza, han generado un ambiente de desconfianza en los votantes”.

Se refiere a un informe que desvelaba una ‘puerta trasera criptográfica’ en el sistema de voto online que Scytl prevé implantar en Suiza. Dicha vulnerabilidad permitiría una manipulación indetectable de los votos emitidos electrónicamente, aunque la compañía ya ha aclarado que “tales ataques son altamente improbables, por no decir imposibles, de realizarse”, pues exigen la combinación de dos ataques: hackear el dispositivo de votación durante el propio proceso de emisión del voto; y tomar control total de uno de los servidores de mezcla durante el proceso de conteo.

Además del posible impacto de un ciberataque en el proceso de votación, hay que tener en cuenta el impacto de posibles intromisiones durante la campaña electoral, con la sombra las fake news y de la supuesta injerencia de Rusia en las últimas elecciones presidenciales de Estados Unidos o en torno al conato de referéndum independentista en Cataluña, con el fin de desestabilizar las democracias occidentales. Tampoco hay que desestimar el peligro del spam electoral, legalizado en la última revisión de la Ley Orgánica del Régimen Electoral General (LOREG).

“Creo que el riesgo está más bien en todo el proceso anterior al voto. El ciudadano cada vez está más dirigido en cuanto al acceso a la información, de forma que, en base a sus intereses, opiniones en redes sociales, etc., es relativamente fácil condicionar o inclinar su voto. Una máxima en teoría electoral es que las elecciones no se ganan, sino que se pierden cuando no consigues que tus votantes acudan a votar. Y el sentimiento es más fácil de manipular que una base de datos”, declara el responsable de Paradigma Digital. Igualmente, la responsable de Scytl afirma que el mayor riesgo a nivel electoral se aprecia en “las campañas de desinformación y manipulación en redes sociales”.

¿Pero quiénes están detrás de esta ofensiva? “En términos generales, este tipo de ataques cibernéticos suelen mostrar un marcado carácter político. Sin embargo, la dificultad para rastrear su origen hace que sea prácticamente imposible elaborar un perfil del hacker o grupo de ciberdelincuentes que tienen un mayor grado de interés en hackear las elecciones”, comenta el responsable de Check Point.

¿Cómo podrían ser los ataques?

Nieva puntualiza que la intromisión en el proceso electoral podría tener dos objetivos. “Por una parte, hackear el software de escrutinio de votos para tener acceso al conteo en el proceso y dar un vuelco a los resultados, para lo cual pueden eliminar o incluso cambiar el signo de algunos de ellos. Este hecho generaría un aumento del caos y desconfianza sobre la veracidad de los resultados obtenidos”, señala. La otra meta podría ser acceder a los datos personales de los votantes, algo que no es posible con los sistemas actuales, como se explicaba anteriormente.

La responsable de Panda Security, indica que un proceso electoral podría tener que enfrentarse a un ataque coordinado “para tumbar por exceso de solicitudes la web oficial con los resultados provisionales”. El ataque también podría concretarse en ”aplicaciones falsas o informaciones en redes sociales con resultados alterados para crear incertidumbre”. “Las fake news están a la orden del día y, aunque no pusieran en peligro el proceso electoral en sí, causarían gran incertidumbre sobre los resultados reales”, añade. Además, los ciberdelincuentes podrían duplicar la web oficial para modificar los datos ofrecidos, aunque cree que “no tardarían en ser bloqueadas”.

Las amenazas al sector público también se pueden extender más allá de las elecciones. “Pensar en atacar una Administración Pública, por ejemplo, lleva a los ciberdelincuentes a buscar el robo de información personal y accesos no autorizados a los sistemas no clasificados de ordenadores, sacar a la luz documentos confidenciales y secretos -como ocurrió con Wikileaks- o realizar ataques con fines políticos -en plena carrera armamentística del ciberespacio, el ciberterrorismo y el ciberespionaje están a la orden del día-, al igual que el hacktivismo y las acciones promovidas con el fin de un objetivo común”, desgrana la responsable de Panda Security.

Tecnología para aumentar la seguridad

Algunas de las tecnologías que se están desarrollando actualmente podrían contribuir a incrementar la seguridad. “Si nos centramos en los procesos electorales, soluciones como el blockchain, la biometría o la inteligencia artificial serán fundamentales en el futuro tecnológico de este tipo de actividades, ya que aportan niveles de seguridad y confidencialidad de datos cada vez más altos, al mismo tiempo que son más eficientes en la lucha contra las ciberamenazas”, reconoce el director técnico de Check Point.

Sin embargo, Zapata recuerda que ninguna tecnología es completamente infalible. “Incluso aunque la tecnología de bloques permite una mayor seguridad y transparencia, no podríamos afirmar que no es posible ninguna vulnerabilidad del algoritmo, por ejemplo, ante ataques de un dueño mayoritario de la red de minería”, precisa. Además, aunque se lograse un método totalmente seguro para el voto electrónico, opina que “la desconfianza de los ciudadanos dificultaría su implantación”, ya que se fían más del método manual de recuento de votos.