Consultora Ethical Hacking no valida elecciones generales de Bolivia
– Proceso viciado de nulidad
– Ciber seguridad
maquina-de-combate.com – La empresa consultora Ethical Hacking ha presentado su informe final sobre las elecciones generales celebradas en Bolivia el pasado 20 de octubre y señala que no puede validar los resultados porque todo el proceso está viciado de nulidad.
El Tribunal Supremo Electoral de Bolivia contactó a Ethical Hacking el 19 de septiembre de 2019 para que audite el proceso de elecciones generales en el país sudamericano. La empresa aceptó el encargo el 26 de ese mismo mes. A la empresa Neotec se le contrata para que se haga cargo del cómputo final.
En un reporte preliminar sobre vulnerabilidades, Ethical Hacking encuentra deficiencias en las comunicaciones inseguras, facilidad para obtener credenciales del sistema TREP (Transmisión Preliminar de Resultados Electorales), exposición de información sensible, mal manejo de sesiones y la exposición del sistema TREP a ataques DoS (Denegación de Servicio).
En las conclusiones de su informe final, Ethical Hacking señala que informó las vulnerabilidades críticas encontradas en el TREP y que pese al esfuerzo de Neotec por solucionarlas antes de las elecciones, cumplió con advertir que el software era inseguro. La empresa auditora resalta que parte de las vulnerabilidades críticas fueron subsanadas y que las autoridades bolivianas debían valorar si aceptaban o no el riesgo de sostener elecciones en esas condiciones.
Las recomendaciones hechas a Neotec para aplicación en el TREP y el sistema de cómputo, solamente se aplicaron al TREP por la escasez de tiempo para remediar algunas cosas. Sobre el código fuente, Ethical Hacking realizó una auditoría exhaustiva de código estático, en especial en las rutinas y funciones donde se ingresan los datos y el tratamiento que se les da para certificar que el software no realiza operaciones fraudulentas y que los datos que ingresan se manejan de forma segura y adecuada, hasta la primera vez que se generó un hash de integridad (garantía de autenticidad) ante la sala plena de la autoridad boliviana y ante los observadores de la OEA.
El reporte señala sin embargo que después de esa fecha el código fuente sufrió varias alteraciones en diferentes fechas pero que no participaron en dichos cambios, motivo por el cual ya no pueden certificar la integridad del software.
Sobre la interrupción del TREP, El reporte de Ethical Hacking señala que se ha confirmado que fue un error de omisión del protocolo, que no debería haberse realizado sin autorización, pero que el servidor donde se implementó no estaba dentro del rango de monitoreo y que al haberse redirigido todo la información para la verificación de actas a través de ese servidor no pueden dar fe de la información ingresada.
Por tal motivo, Ethical Hacking señala que el proceso electoral pierde toda credibilidad al violarse el protocolo de seguridad.
Agrega la empresa que al no tener registros de la información enviada desde un servidor fuera de su red de monitoreo, no pueden dar fe de la integridad de los datos registrados durante el pico que les generó una alerta, siendo casi imposible que se procesen más de 30 000 peticiones cada 30 segundos con un grupo de 350 operadores, que tendrían que registrar todos dos actas por minuto.
En cuanto al error en el algoritmo denominado ‘Flat de Cómputo’ del TREP, sobre el cual Neotec indicó que se viene dando en todas las elecciones (más de cuatro años), para Ethical Hacking les demuestra que el TREP no es un sistema fiable y tiene errores de programación que deberían haberse solucionado hace tiempo. Estos errores obligan a acceder la base de datos en producción durante el proceso mismo de las elecciones y realizar cambios manuales, que posteriormente violan la integridad del proceso.
Sobre la alteración manual de las bases de datos del TREP y el sistema de cómputo durante el proceso de votación, cualquiera fuese el motivo, desde el punto de vista técnico y forense, la empresa resalta que vicia de nulidad todo el proceso electoral, perdiendo toda credibilidad al violar la integridad de las bases de datos.
Ethical Hacking tampoco puede certificar la integridad de la información que reposa en los backups por la cantidad de cambios directos hechos a las bases de datos.
La conclusión final del reporte señala que no se pueden validar los resultados electorales debido a que todo el proceso está viciado de nulidad por la cantidad de alteraciones al código fuente del TREP, la cantidad de accesos y modificaciones manuales con el máximo de privilegios y por las inconsistencias del software.
Copyright © maquina-de-combate.com