Democracia vulnerable

Download PDF

Advierten sobre vulnerabilidades en un componente importante en el sistema de escrutinio provisorio que se utilizará en las PASO.

Una empresa cuestionada, falta total de transparencia en el proceso, hallazgos de vulnerabilidades e indicios de que se podría haber fraguado el simulacro del 20 de julio último. Estos son algunos de los elementos que preocupan a expertos y referentes políticos en relación con el escrutinio provisorio de las elecciones primarias que se realizarán dentro de apenas 6 días.

Vulnerabilidades expuestas en el sistema de escrutinio provisorio

El sistema de transmisión y carga de los telegramas de escrutinio -a partir de los cuales se realiza el escrutinio vulnerable- fue objeto de numerosas críticas, sobre todo luego de que los simulacros realizados revelaran fallas, pese a no haberse ejecutado con la suficiente transparencia. El gobierno decidió usar un software de la empresa Smartmatic que no fue controlado por la oposición ni por analistas independientes; recientemente, un grupo de expertos detectó que el mismo usa un componente que presenta numerosas vulnerabilidades que podrían habilitar intrusiones en el proceso. La misma empresa fue contratada para llevar adelante el proceso de carga y totalización de los resultados provisorios, obviando los cuestionamientos que recaen sobre ella.

Este año, por primera vez, los telegramas elaborados en cada mesa serán escaneados en el lugar para ser trasmitidos electrónicamente a los centros de carga, donde se procederá a registrar los resultados de cada urna, de acuerdo a los datos asentados en los telegramas. Esa tarea estará a cargo de la empresa en cuestión, con un software provisto por la misma.

Recién el 20 de julio pasado, a menos de un mes de las PASO, se realizó un simulacro en el que pudieron participar representantes de partidos opositores y periodistas. En ese momento, uno de los aspectos que llamó la atención fue la conversión del formato de los archivos con las imágenes de los telegramas; lo importante allí es que las imágenes se transmiten almacenadas de determinada manera, para ser modificadas antes de que puedan visualizarlas las personas encargadas de cargar los datos. En el blog del experto Javier Smaldone pueden verse y escucharse las explicaciones dadas por personal de Smartmatic. Como señala el especialista mencionado, el cambio de formato implica una pérdida de información, lo que impide la trazabilidad y el control de integridad (es decir, la comprobación de que no haya sufrido alteraciones).

Iván Arce, Enrique Chaparro y el propio Smaldone suscribieron un informe que fue publicado por la Fundación Vía Libre en el que señalan que la conversión referida en el párrafo anterior se realiza mediante un componente de software al cual se le conocen al menos 46 vulnerabilidades, esto es, características que pueden; ese es la cantidad listada en Commons Vulnerabilities and Exposures (CVE). Algunas de esas debilidades del software podrían permitir que, a través de la manipulación de un archivo con la imagen de un telegrama, una persona despliegue un ataque que impida el funcionamiento del sistema o -eventualmente- ejecutara remotamente acciones en el servidor donde se realizara la conversión. En palabras de los expertos, «un potencial atacante podría impedir el correcto funcionamiento de los servidores que reciben la transmisión de telegramas, borrar o alterar los datos que se reciben de los centros de transmisión ubicados en los establecimientos donde se vota, retrasar el proceso de escrutinio provisorio por tiempo indeterminado,»

Los expertos detectaron el uso de esa porción de software en base al análisis de los archivos generados durante el simulacro referido anteriormente, ya que el código fuente (las instrucciones que forman el software de Smartmatic) no ha sido liberado para su análisis público.

El informe mencionado también señala que la conversión de archivos que se realiza en el proceso no sólo no es necesaria sino que introduce demoras, problemas y riesgos.

Ante la falta de una auditoría pública e independiente, y sólo a partir de la información extraída de una parte del proceso, «resulta imposible conocer la cantidad e impacto de otras vulnerabilidades en el sistema si no se llevan a cabo una o más auditorías de seguridad exhaustivas, de extremo a extremo, del sistema completo», según explicaron los especialistas.

¿Un falso simulacro?

Los archivos muestran otro dato llamativo. Los especialistas advirtieron que la fecha en la que fueron generados es de 7 días antes de que se realizara el simulacro.

Efectivamente, con una sencilla utilidad (pdfinfo) puede comprobarse la información incluida en los archivos en cuestión, como se ve en la imagen ilustrativa de esta nota. Allí se observa que tanto la fecha de creación y de última modificación registradas en los archivos corresponden al 13 de julio de 2019; el simulacro, en tanto, se realizó el 20 de julio. ¿Acaso los archivos estaban creados una semana antes? De mínima, esta inconsistencia requiere de explicaciones oficiales, las que no fueron dadas hasta el momento.

Smaldone muestra en su sitio que la totalidad de los archivos tienen registrada como fecha de creación y modificación el 13 de julio de 2019, en horarios que van desde las 11:35:51 hasta las 11:38:15. Esto podría indicar que los participantes del simulacro no tuvieron acceso a los archivos verdaderamente generados, sino a otros creados con anterioridad. De ser así, el simulacro habría sido preparado para ocultar las eventuales fallas en el sistema.

About ANCLA Agencia de Noticias y Comunicación

View all posts by ANCLA Agencia de Noticias y Comunicación →

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *