“El sistema de voto electrónico no es confiable, es vulnerable”

El doctor en Ingeniería Informática Alfredo Ortega participó en Salta de la jornada “Vulnerabilidad del voto electrónico, seguridad informática y Ethical Hacking”, una actividad que reunió a un centenar de asistentes y en la que se analizaron “las debilidades y falencias del actual sistema de boleta electrónica, seguridad informática y hacking ético”. 

En el encuentro se debatieron alternativas para cambiar sustancialmente el sistema de elección de autoridades a través del voto ciudadano.

En diálogo con El Tribuno, Ortega confirmó una premisa que desde varios sectores afirman desde la implementación en Salta del voto electrónico: es un sistema vulnerable. Además, compartió algunas recomendaciones para evitar violaciones a la seguridad en aparatos electrónicos o cuentas de mail o redes sociales.

¿Cuál fue el eje de su disertación?

Presenté un panorama acerca de la cantidad de ataques que se le pueden hacer al voto electrónico que, por ahí, una persona común que no se dedica específicamente a los ataques informáticos se le ocurren un par, pero al que trabaja de esto se le ocurren muchos más. Hay ataques que son muy sutiles y la gente no sabe que se pueden hacer y son fáciles de explicar. Entonces aproveché para contar algunas de las maneras con que se puede atacar un sistema informático.

Este es un tema que tiene mucha actualidad en Salta, no solo por las elecciones sino porque Salta elige sus autoridades provinciales con voto electrónico y, este año, hay muchos sectores impulsando volver al voto de papel...

No sabía que estaba esta polémica en Salta, pero aprovechamos para tocar el tema porque en nuestro rubro no hay muchas personas que hagan seguridad, y seguridad en voto electrónico, menos aún. Yo empecé a dedicarme a este tema específico por casualidad hace unos años, y aproveché para exponer sobre experiencias reales encontrando vulnerabilidades sobre máquinas de votos.

¿El voto electrónico es vulnerable en general o el sistema que se usa en Salta es particularmente vulnerable? 

En general es vulnerable. Es vulnerable desde el principio de que una computadora tiene millones de componentes, todas las computadoras son muy complejas y todo sistema complejo tiene vulnerabilidades.

Pero además es un sistema que no es confiable porque, aún en el caso de que no tenga o tenga pocas vulnerabilidades, no puede ser auditado por el ciudadano común, entonces ya no podés exigir que se audite por un grupo de gente que, en teoría, lo podría auditar. Y digo en teoría porque los sistemas son tan complejos que aún un auditor especializado necesitaría meses o años para auditar un sistema de voto, para encontrar fallas que no son maliciosas. Es importante aclarar que si uno pone una falla maliciosa para que no se pueda descubrir, ni siquiera un auditor entrenado tiene posibilidades grandes de descubrir los “backdoors (puertas traseras en castellano, se refiere a fallas maliciosas para entrar a los software). O sea, uno puede poner una falla, maliciosamente, que sea muy difícil de encontrar. Esto de auditar los softwares se hace para encontrar fallas que los programadores ponen sin querer, porque si alguno pone una falla queriendo, para que nadie la pueda encontrar, crece exponencialmente la dificultad para hallarlas.

¿O sea que una persona preparada puede ingresar al sistema de voto electrónico?

Claro...

¿Y puede modificar el resultado de la votación o simplemente generar una falla y que no se pueda votar?

En un sistema informático se puede hacer lo que quiera. Una vez que tomó el control, puede hacer lo que quiera. O romperlo, para causar la denegación de servicio del voto electrónico y causar un daño real, que es lo más fácil; o podés manipularla.

Existen grupos especializados de gente que se dedica a dar vuelta elecciones y que trabaja para eso. 

Si un hacker, que normalmente son personas jóvenes, sin recursos, que trabajan desde la computadora de su casa, lo puede hacer, imaginen lo que podría hacer un grupo de personas entrenadas, con recursos de un país, como por ejemplo Rusia, que es conocido que se mete en las elecciones de otros países.

¿O sea que si alguien introduce maliciosamente una falla en el sistema de voto electrónico y después el sistema es auditado es probable que no encuentren la falla y crean que no hubo vulneración? 

Yo trabajo haciendo auditorías de seguridad, pero yo encuentro fallas que generalmente son involuntarias, o sea que el programador puso sin querer. Pero si un programador quiere meter una falla a propósito para que nadie la descubra, a mí se me complica muchísimo más, porque la esconde de manera tal que sea muy difícil de encontrar.

Obviamente, con suficientes recursos, se la puede encontrar. Pero una cosa es encontrar una falla involuntaria como son la mayoría, y otra cosa es encontrar un backdoor. Por lo tanto, un auditor podría pensar que no hubo falla y lo certifica, pero la falla está.

En la charla también abordó lo que es seguridad en general en sistemas informáticos. ¿Cuáles son las precauciones que tiene que tomar una persona para evitar ser víctima de un ataque informático?

Hay un para de cosas que se pueden hacer que eliminan el 80 por ciento de los hackeos. La principal es el manejo de los passwords (contraseñas). Mucha gente cree que la hackearon cuando en realidad le robaron el password, y hay muchas maneras de que esto pase: porque se loguearon en una computadora que no es la propia, porque entregaron la contraseña sin querer y muchas opciones más. 

Una de las maneras más fáciles es cuando usás siempre el mismo password para todos los sitios, algo que nunca hay que hacer. Se deben dividir los sitios entre importantes y no importantes. En los no importantes podés usar un password sencillo que sea el mismo para todos, porque si te lo roban no pasa nada. En cambio en los sitios importantes, como tu correo o tu cuenta del banco, ponés uno con mucha seguridad.

 Cómo mínimo hay que tener dos a tres passwords. Además, para sitios sensibles como los de los bancos, siempre hay que usar un segundo factor de autenticación, porque de esa manera si alguien averigua tu password igual no puede entrar porque necesita además tener tu teléfono y tu usuario.

Otra cosa importante es actualizar siempre el software de tu equipo, porque las cosas viejas siempre son inseguras.

Hablando de celulares, ¿las aplicaciones roban información?

Sí, todo el tiempo. Esa es la manera en que las aplicaciones ganan plata. 

¿Es cierto que sobre todo lo hacen las que son gratuitas?

Puede que roben más, pero todas las aplicaciones roban, las pagas también. El tema con las gratis es que para ganar plata venden tus datos. Por ejemplo, hay empresas que compran datos para hacer tu puntaje crediticio.

¿Se pueden espiar las aplicaciones de mensajería?

Todas se pueden espiar. La ley de telecomunicaciones en la Argentina dice que no se puede tener un sistema de telecomunicaciones que el Gobierno no pueda interceptar. En teoría Whatsapp, Telegram y esas aplicaciones encriptan, pero de todas maneras, aunque estén encriptadas se puede sacar el 80% de la información. Además, las aplicaciones de mensajería no encriptan todo el tiempo las conversaciones de los usuarios. 

¿Qué te pareció esta noticia?

Últimas Noticias

Últimas Noticias de Salta

Últimas Noticias de Edicion Impresa

Sección Editorial

Comentá esta noticia

Debe iniciar sesión para comentar

Importante ahora

cargando...