| GENERAL

«Una persona puede cambiar todos los votos»: hackean a la empresa que escrutará las elecciones Municipales y Europeas

This post was originally published on this site

Un grupo de investigadores ha encontrado fallos que permiten el pucherazo en el sistema de votación por Internet de Suiza fabricado por la empresa barcelonesa Scytl

Una mesa electoral con papeletas. ANTONIO MORENO

La empresa encargada del escrutinio de las próximas elecciones Municipales y Europeas en España, la barcelonesa Scytl, se encuentra en el ojo del huracán después de que un grupo de expertos en seguridad informática hackeara su sistema. Una investigación que ha demostrado que una sola persona que podría acceder, cambiar todos los votos y marcharse sin dejar sin dejar rastro.

El sistema de Scytl ha sido el elegido en Suiza para establecer un sistema de votación a través de Internet, que está previsto que se ponga en marcha a nivel de todo el país (ya se han hecho ensayos a nivel cantonal) este mismo año. Sin embargo, las importantes vulnerabilidades demostradas por los investigadores ponen en duda algunas de las garantías más elementales del proceso electoral.

«La vulnerabilidad es impresionante. En unas elecciones normales no hay una única persona que, sin ser descubierta, pueda cometer fraude que cambie todos los votos pero con este sistema podrían hacerlo«, asegura en declaraciones a Motherboard el profesor de la John Hopkins University, Matthew Green.

Una vez que confirmaron su descubrimiento, los investigadores enviaron un informe al Servicio Postal Suizo, el organismo encargado de los procesos electorales en el país helvético, en el que se informaba, entre otras cosas, de la existencia de una puerta trasera en el sistema que permitía el acceso para que cualquiera pudiera cambiar los votos legítimos por otros fraudulentos sin ser detectado.

El Servicio Postal Suizo ha reconocido que los investigadores estaban en lo cierto y ha pedido a la empresa solucionar el problema. Paralelamente, ha intentado restar importancia al hecho explicando que el atacante también debería ser capaz de sortear la infraestructura técnica nacional que protege a sus procesos electorales.

Sin embargo, los investigadores no están de acuerdo con las explicaciones del organismo helvético.

«Su respuesta esconde que ellos son la primera amenaza en este escenario. El Servicio Postal Suizo tiene control sobre su propia infraestructura y ningún sistema electoral debería contar con puertas traseras que permitan que la gente encargada de las elecciones pueda, sin ser detectado, modificar sus resultados«, ha explicado en declaraciones a MotherBoard una de las investigadoras, la exagente del Centreo General de Telecomunicaciones del Reiuno Unido, Sarah Jamie Lewis.

Según la versión de esta investigadora que ha descubierto el fallo, un trabajador del servicio postal del país Helvético podría llevar a cabo todo el fraude desde dentro.

La empresa responde

El escándalo ha obligado a Scytl a emitir varios comunicados. En uno de ellos, informa «haber estudiado el reporte y actualizado el código» para solucionar las vulnerabilidades.

Asimismo, en un segundo comunicado, la empresa reconoce que «estos ataques son muy improbables, por no decir imposibles, de llevar a cabo».

En el caso de la modificación de votos individuales, la empresa argumenta que deberían darse dos factores de forma simultánea: «Que el atacante acceda al terminal del votante durante el proceso y que, al mismo tiempo, se haga con el control de uno de los servidores«.

En el segundo de los casos, el fraude masivo, «que manipularía los votos después de ser desencriptados y antes de ser contados«, Scytl dice que solo funcionaría en el caso «de una elección en la que el votante solo puede elegir a un único candidato para un puesto determinado».

La empresa sostiene que requeriría de hacerse con el control de los servidores y pone énfasis que el proceso virtual de mezcla de votos se hace en una máquina desconectada de la red. «La posibilidad de un ataque externo es prácticamente cero y el atacante necesitaría tener acceso físico al sistema y recibir apoyo de gente de dentro [trabajadores de Swiss Post o consultores que ayuden a la celebración del proceso electoral] que lo conozcan», aseguran.

Sin embargo, afirman que «aunque los ataques mencionados son altamente teóricos y extremadamente difíciles de llevar a cabo en un entorno real, Scytl considera que se trata de descubrimientos importantes que afecta a la propiedad de verificabilidad universal del sistema de votación y actualizó el código y la documentación relacionada de inmediato«.

El caso español

En el caso español, la situación es distinta al escenario descubierto por los investigadores en Suiza. En nuestro país no existen las elecciones a través de Internet, los votos se cuentan mesa por mesa y se rellenan actas en papel. Aunque el sistema informático fuese atacado para modificar los resultados anunciados la noche de los comicios, que son de carácter provisional y susceptibles de sufrir pequeños cambios en circunscripciones disputadas, existiría un registro documental físico que impediría la ejecución de dicho fraude.

Scytel ha ganado el concurso de para llevar a cabo el escrutinio provisional de los resultados de las elecciones europeas y municipales gracias a una Unión Temporal de Empresas con Vector. La primera ocasión, fue en el año 2015. En resto de comicios, la empresa Indra siempre se ha posicionado como la ganadora de estos concursos públicos.

Conforme a los criterios de

Saber más

http://www.elmundo.es/

"Una persona puede cambiar todos los votos": hackean a la empresa que escrutará las elecciones Municipales y Europeas

https://labnews.dkhub.io/una-persona-puede-cambiar-todos-los-votos-hackean-a-la-empresa-que-escrutar-las-elecciones-municipales-y-europeas/

http://www.elmundo.es/



https://www.elmundo.es/tecnologia/2019/03/15/5c8a582821efa060698b461d.html

DANIEL J. OLLERO

https://e00-elmundo.uecdn.es/assets/multimedia/imagenes/2019/03/15/15526061720288.jpg

Comments are closed.