Por primera vez, probaron legalmente lo fácil que es acceder a esos dispositivos. En el encuentro de la Defcon en Estados Unidos se expusieron las vulnerabilidades.
Una treintena de máquinas de votación utilizadas para emitir el voto electrónico fueron hackeadas el fin de semana pasado en Estados Unidos. Dicho así, el titular podría disparar imágenes mentales que remitan a oscuros cuarteles de hackers guiados con maldad por un villano de cómic, pero fue todo lo opuesto.
El hackeo masivo, el primero de estas características que se hace legalmente, tuvo lugar en la Defcon, un encuentro global para empresas de seguridad informática que desde 1993 se hace cada año en Las Vegas. Y las máquinas fueron provistas (vendidas) a los organizadores por los propios estados de la Unión, interesados en mejorar la transparencia de los procesos electorales.
A los hackers que participaron de este evento les llevó minutos (algunos reportes hablan de 10 minutos, otros de una hora, o una hora y media) encontrar la primera de todas las vulnerabilidades. Para mejor (o peor), todas las debilidades halladas fueron expuestas por primera vez, y en máquinas que, a excepción de un modelo, se vienen utilizando desde hace 10 años en los comicios de distintos estados. Y se siguen usando actualmente.
Concretamente, se pudo acceder a los datos de votación contenidos e incluso al nivel de firmware de aparatos como el WINVote y el WINScan, aunque no a modificar los resultados. De todas formas, hablamos aquí de un evento de un par de días de duración, con lo que no se descarta que con más tiempo se pueda también llegar a ese punto.
“Lo primero que llamó la atención fue que esas máquinas se las vendieron a la organización de la Defcon sin antes borrar los datos personales de los votantes que las habían usado”, comentó a La Voz desde Las Vegas Alfredo Ortega, el auditor de software argentino que trabaja como programador backend para la firma Avast.
El especialista señaló, además, que se trataba de computadoras antiguas, de más de 10 años, con Windows XP, de las que se pudieron obtener fácilmente las contraseñas con solamente conectar un teclado y un mouse . “En algunos casos, la vulnerabilidad que permitió la entrada había sido resuelta en 2003, con lo que es fácil deducir que eran máquinas que jamás habían sido actualizadas al menos desde 2002”, aseguró.
Las PC usadas en algunos distritos electorales de Argentina son más nuevas, reconoció Ortega, pero son tan vulnerables y opacas como aquellas. “No pueden ser actualizadas. No hay nada en los manuales de usuarios que indique cómo mantener al día el sistema operativo o el firmware . Eso es impensable, habida cuenta de la velocidad con la que se trabaja en la informática”, advirtió.
El desarmado de estos dispositivos, paso posterior al hackeo masivo en la Defcon, sugirió que incluso podría ser factible un ataque a distancia y sin contacto físico: los datos no están almacenados en memorias protegidas físicamente contra ondas electromagnéticas, sino que cuentan con una simple carcasa de plástico.
La pregunta es ¿negligencia o connivencia? Según Ortega, lo que pasó el fin de semana es la confirmación de que los gobiernos no tienen ni la más remota idea de qué tan frágiles son los sistemas que los depositan en la administración pública. Pero, además, de lo complejo que es hacer sistemas que aseguren democracias no hackeables .
“No es algo simple. De hecho Windows no es todavía hoy un sistema seguro, a pesar de los miles de millones de dólares que Microsoft invierte en investigación”, concluyó.
Lo que dejó la Defcon
Todas. La totalidad de las máquinas auditadas pudo ser vulnerada en su seguridad.
Datos personales. No solamente se pudo acceder a los datos de votación, sino también a los datos personales de los usuarios que emitieron su sufragio. No es complicado imaginar qué pasaría con el secreto del voto si esa información pudiese cruzarse.
¿Cambiar resultados? Si bien los hackers no accedieron a modificar los resultados, es posible imaginar que con más tiempo hubiesen conseguido también esto.
Vulnerables. Las computadoras usadas en Estados Unidos atrasan 10 años en seguridad respecto de las actuales. Las usadas en Argentina son más nuevas, pero igual de vulnerables.
Fuente: http://www.lavoz.com.ar/politica/demuestran-que-es-sencillo-hackear-el-voto-electronico
Visitas: 6