ALFREDO ORTEGA: “EL SISTEMA DE VOTO ELECTRÓNICO NO ES CONFIABLE, ES VULNERABLE”
El doctor en Ingeniería Informática Alfredo Ortega participó en Salta de la jornada “Vulnerabilidad del voto electrónico, seguridad informática y Ethical Hacking”, una actividad que reunió a un centenar de asistentes y en la que se analizaron “las debilidades y falencias del actual sistema de boleta electrónica, seguridad informática y hacking ético”.
En el encuentro se debatieron alternativas para cambiar sustancialmente el sistema de elección de autoridades a través del voto ciudadano.
En diálogo con El Tribuno, Ortega confirmó una premisa que desde varios sectores afirman desde la implementación en Salta del voto electrónico: es un sistema vulnerable. Además, compartió algunas recomendaciones para evitar violaciones a la seguridad en aparatos electrónicos o cuentas de mail o redes sociales.
¿Cuál fue el eje de su disertación?
Presenté un panorama acerca de la cantidad de ataques que se le pueden hacer al voto electrónico que, por ahí, una persona común que no se dedica específicamente a los ataques informáticos se le ocurren un par, pero al que trabaja de esto se le ocurren muchos más. Hay ataques que son muy sutiles y la gente no sabe que se pueden hacer y son fáciles de explicar. Entonces aproveché para contar algunas de las maneras con que se puede atacar un sistema informático.
Este es un tema que tiene mucha actualidad en Salta, no solo por las elecciones sino porque Salta elige sus autoridades provinciales con voto electrónico y, este año, hay muchos sectores impulsando volver al voto de papel…
No sabía que estaba esta polémica en Salta, pero aprovechamos para tocar el tema porque en nuestro rubro no hay muchas personas que hagan seguridad, y seguridad en voto electrónico, menos aún. Yo empecé a dedicarme a este tema específico por casualidad hace unos años, y aproveché para exponer sobre experiencias reales encontrando vulnerabilidades sobre máquinas de votos.
¿El voto electrónico es vulnerable en general o el sistema que se usa en Salta es particularmente vulnerable?
En general es vulnerable. Es vulnerable desde el principio de que una computadora tiene millones de componentes, todas las computadoras son muy complejas y todo sistema complejo tiene vulnerabilidades.
Pero además es un sistema que no es confiable porque, aún en el caso de que no tenga o tenga pocas vulnerabilidades, no puede ser auditado por el ciudadano común, entonces ya no podés exigir que se audite por un grupo de gente que, en teoría, lo podría auditar. Y digo en teoría porque los sistemas son tan complejos que aún un auditor especializado necesitaría meses o años para auditar un sistema de voto, para encontrar fallas que no son maliciosas. Es importante aclarar que si uno pone una falla maliciosa para que no se pueda descubrir, ni siquiera un auditor entrenado tiene posibilidades grandes de descubrir los “backdoors (puertas traseras en castellano, se refiere a fallas maliciosas para entrar a los software). O sea, uno puede poner una falla, maliciosamente, que sea muy difícil de encontrar. Esto de auditar los softwares se hace para encontrar fallas que los programadores ponen sin querer, porque si alguno pone una falla queriendo, para que nadie la pueda encontrar, crece exponencialmente la dificultad para hallarlas.
¿O sea que una persona preparada puede ingresar al sistema de voto electrónico?
Claro…
¿Y puede modificar el resultado de la votación o simplemente generar una falla y que no se pueda votar?
En un sistema informático se puede hacer lo que quiera. Una vez que tomó el control, puede hacer lo que quiera. O romperlo, para causar la denegación de servicio del voto electrónico y causar un daño real, que es lo más fácil; o podés manipularla.
Existen grupos especializados de gente que se dedica a dar vuelta elecciones y que trabaja para eso.
Si un hacker, que normalmente son personas jóvenes, sin recursos, que trabajan desde la computadora de su casa, lo puede hacer, imaginen lo que podría hacer un grupo de personas entrenadas, con recursos de un país, como por ejemplo Rusia, que es conocido que se mete en las elecciones de otros países.
¿O sea que si alguien introduce maliciosamente una falla en el sistema de voto electrónico y después el sistema es auditado es probable que no encuentren la falla y crean que no hubo vulneración?
Yo trabajo haciendo auditorías de seguridad, pero yo encuentro fallas que generalmente son involuntarias, o sea que el programador puso sin querer. Pero si un programador quiere meter una falla a propósito para que nadie la descubra, a mí se me complica muchísimo más, porque la esconde de manera tal que sea muy difícil de encontrar.
Obviamente, con suficientes recursos, se la puede encontrar. Pero una cosa es encontrar una falla involuntaria como son la mayoría, y otra cosa es encontrar un backdoor. Por lo tanto, un auditor podría pensar que no hubo falla y lo certifica, pero la falla está.
FUENTE: EL TRIBUNO