Elecciones de Buenos Aires, teñidas por el cibercrimen

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

La Ciudad Autónoma de Buenos Aires, ensaya su primer experiencia de voto electrónico, y la seguridad informática se ha vuelto protagonista por un fallo infantil producto de una configuración errónea de los servidores http://caba.operaciones.com.ar, se han filtrado los certificados SSL de los terminales que envían los datos desde las escuelas a los centros de cómputos.

Las elecciones a Jefe de Gobierno de la Ciudad son un realmente importantes en un contexto político por el caudal de votos que manejan para la elección a presidente de la nación y fundamentalmente por que quien gobierna la Ciudad de Buenos Aires maneja un caja de presupuesto muy importante, el error cometido por la gente de sistemas a cargo de la elección es lacerante para la credibilidad democrática que el sistema requiere para imponer nuevas autoridades en uno de los distritos más importantes de Argentina.

 Cualquier cibercriminal podría utilizar estos certificados SSL para mandar resultados falsos del escrutinio y hasta podría realizar un ataque de denegación de servicio, que desbordara la capacidad de proceso de los servidores y crear caos social en un día de alto valor cívico para el pueblo argentino.

Un cibercriminal con una computadora conectada a Internet podría hacerse pasar por cualquier terminal que transmite los datos del escrutinio, inclusive podría hacer que en las meses que votan los candidatos no figure un solo voto del candidato para generar confusión en el electorado.

El problema es básicamente de seguridad, el sistema de validación es muy fácil de vulnerar, solo tiene un nombre de usuario y una contraseña generada a partir de una dirección de correo electrónico, parece mentira pero no cuentan con un sistema que les permita realizar una doble validación que garantice el proceso.

Obviamente el sitio http://caba.operaciones.com.ar no se encuentra online porque han iniciado un proceso de auditoría, algo tarde para la transparencia que el proceso requiere.

El Sistema de Boleta Única Electrónica (BUE) que se usará en las elecciones generales del 5 de julio, cuenta de 2 máquinas: una es la terminal de votación, con la que interactúan los votantes y que permite realizar el recuento a las autoridades de mesa.

La segunda terminal es la que se va a utilizar para enviar los datos del escrutinio desde cada centro de votación al centro de cómputos.

Esta terminal que va a estar conectada a Internet, es la que mediante los certificados SSL vulnerados puede ser clonada para el mejor postor.

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS