lunes, 29 de junio de 2009

Seguridad en las Votaciones Electrónicas.

Compremos nuestro kit de votaciones electrónicas donde como parte del paquete tendremos hardware y software que sustituirán a los votos en papel y a las urnas tal cual las conocemos. ¡Ah! Y claro, vienen incluidas en el kit "algunas" vulnerabilidades que harán de las elecciones un hervidero de posibles "anomalías" y bandos reclamando la veracidad de la elección. De por sí con papeles tenemos quejosos, imaginemos si un porcentaje definitorio de los votos fueran electrónicos.

Desde hace tiempo ya algunos expertos de seguridad han alertado sobre que "las máquinas de votaciones electrónicas representan una grave amenaza para tener elecciones justas y veraces/certeras".

Y no es para menos. Desde el momento mismo que las votaciones recaen en un sistema de cómputo con software, podemos esperar que existan diversas debilidades sobre todo en el software que permitan a atacantes alterar algún resultado de las elecciones con el poder de un click.

En Internet, uno puede encontrar varios sitios como "Accurate Voting" y estudios tipo paper mucho muy completos y serios como "Software Review and Security Analysis of Scytl Remote Voting Software" que precisamente tocan este delicado punto de la seguridad electrónica en las votaciones basadas en software o en votaciones remotas.

No es descabellado pensar que si el software como Adobe Reader, PowerPoint o los propios sistemas operativos (Windows, Linux) tienen debilidades que pueden y son constantemente aprovechadas, también será igual con el software involucrado con sistemas electrónicos de votación.

Y para muestra basta un botón. Recientemente la empresa Sequoia en EUA tuvo que permitir el escrutinio de su equipo de votación electrónica luego de que unos votos fantasma fueron computados para una elección; se percataron de la anomalía porque había más votos que votantes.

Basta una búsqueda en Google de "security electronic voting" para encontrar referencias del tema.

Las elecciones son algo serio, son el medio por el cual las personas expresan su voluntad y desde mi punto de vista no se puede dejar algo tan serio en manos de un sistema de software escasamente probado desde el punto de vista de seguridad o tal vez probado para que sea funcional mas no seguro.

Pienso que no es suficiente comprar la tecnología, instalarla, usarla y decir que es funcional y segura…todo lo anterior sin haber hecho pruebas exhaustivas, públicas, independientes y académicas que confirmen que el sistema es confiable. De otro modo se tendrá que confiar ciegamente en que el sistema de votación hace lo que dicen sus fabricantes y que es imposible atacarlo; en EUA (y otros países) no confiaron y ya han encontrado varios "detalles".

Así es que, aunque las votaciones electrónicas tienen ventajas, también presentan desventajas (y de éstas últimas a casi nadie le gusta hablar). La introducción de software en la arena electoral hace que pensemos dos veces antes de seguir adelante y tener en cuenta que las debilidades del código podrían tambalear una elección si no se tienen la precauciones necesarias.

 

3 comentarios:

Marcos Sebastian Contreras dijo...

muy buena la entra me parece que esta bien redactada
estoy haciendo un proyecto sobre la inseguridad en las elecciones
pero atacando a servidores con sistemas de sql
aplicando tecnicas como sql inyection que cualquiera las podria lograr

bueno saludos y muy interesante tu aporte

MC Fausto Cepeda, CISSP, CISA. dijo...

Gracias por el comentario. Si decides publicar tu proyecto de inseguridad en las elecciones, te agradecería me mandaras la liga si fuera posible, siempre es bueno alimentarse de buenas ideas. Sl2.

Marcos Sebastian Contreras dijo...

mas bien es un recompilado de ideas y es un proyecto a bajo nivel para una de las materias de la facultad y justo encontre tu blog me ayudo un poquito igual te enviare el proyecto en cuanto pueda saludos cordiales desde argentina chaco