¿Voto electrónico? Necesario pero ¿es seguro?

octubre 13, 2010 § Deja un comentario

El pasado domingo en Perú se organizó las elecciones distritales, municipales y regionales. Ante tanta afluencia de personas (sólo en Lima votaron más de 9 millones de personas, casi la 3era parte del Perú) es cada vez más arcaico pensar que podemos hacer uso de las votaciones de gran escala de la misma manera como se ha estado haciendo todos estos años.

También se suma la idea de que se está haciendo gran despedicio de papeles, por lo que hacer uso de un sistema de voto electrónico ayudaría mucho a la preservación del medio ambiente, como a la rapidez de conteo de votos, rapidez de los votantes y la eliminación de las largas colas.

De hecho que los mecanismos digitales de votación pueden aliviar a más de uno y a toda una población. Pero (siempre existen los ‘PEROS’), ¿es totalmente seguro? ¿Es seguro que un voto virtual pueda considerarse válido? ¿Es seguro que hayan personas honestas que nunca atenten contra la seguridad y la integridad de cada uno de los votos? Y ni hablar de la disponibilidad, porque si se cae el servicio de votación digital, estamos fritos y revueltos.

En Columbia, distrito de Estados Unidos, se está desarrollando un piloto en la cual se permitiría a los votantes ausentes hacer su respectivo voto, como también incitando a los ciudadanos a evaluar la seguridad del sistema piloto.

El sistema se basa en un código abierto desarrollado con colaboración de TrustTheVote. Funciona con el famoso framework de Ruby y está montado en un servidor Apache con una base de datos MySQL.
Los votantes ausentes recibirán una carta donde se les pedirá visitar una página http://www.dcboee.us/DVM/; se les otorgará un PIN de 16 dígitos. El sistema ofrece a los votantes dos opciones:

  • Pueden descargar una boleta PDF y enviarlo por correo,
  • Pueden descargar una votación PDF, rellenarlo de forma electrónica, y luego subir la boleta completa en formato PDF en el servidor.

El servidor encripta las papeletas subidas y los guarda en forma encriptada, para que después de las elecciones, los funcionarios deben transferirlos a una PC sin conexión a red, para así descifrarlos e imprimirlos. Las boletas impresas se cuentan con los mismos procedimientos utilizados para el correo en las boletas de papel… hasta ahi todo OK, no? Parece seguro. Ahora vayamos a lo bonito del asunto.

Una frase dice: “Una vulnerabilidad es tan limitada como tú quieres que sea” y esto se aplica en esta ocasión. Se ha encontrado una pequeña vulnerabilidad, que por más pequeña que sea, puede ocasionar problemas muy grandes.

La vulnerabilidad consiste en la forma en que el sistema procesa las papeletas subido está mal validada. Se confirmó el problema con una instalación de prueba de la aplicación web, y se encontró los siguientes problemas:

  • Se puede obtener los mismos privilegios de acceso como el programa de aplicación de servidor en sí, incluyendo accesos de lectura y escritura de los votos cifrados y base de datos.
  • La capacidad de recolectar datos secretos almacenados en el servidor, incluyendo los nombres de usuario y contraseña.
  • Las papeletas que ya habían sido enviadas podían ser modificadas
  • Los investigadores instalaron, durante el ataque inicial, un backdoor para poder ver las actualizaciones de papeletas.
  • Para demostrar que tenían el control del servidor, dejaron una ‘tarjeta de presentación’ en la página de confirmación que los usuarios ven después de votar. Después de 15 segundos la página reproduce el himno de la Universidad de Michigan.

Esto nos da una idea de qué se puede hacer si una pequeña falla sea descubierta por algún hacker con motivos inescrupulosos. Nuestros votos pueden ser fácilmente modificados por otros y a quién echamos la culpa? A la organización gubernamental o privada que se encargue de eso, generando suspicacias y muchos problemas.

Esto es sólo un mecanismo de voto digital, se pueden crear nuevos mecanismos, otros métodos, otras maneras de implementar votos digitales, pero siempre habrán nuevas brechas, nuevas vulnerabilidades, nuevas fallas, nuevas formas y nuevos métodos de HACKEAR EL SISTEMA.

No estoy diciendo que no debe implementarse este tipo de soluciones, es más, digo todo lo contrario, tanto el Perú como otras naciones ya deben implementar esta solución que es necesario para el bienestar de nosotros como también del planeta, pero hay que tratar  de reducir al mínimo el margen de horror en los sistemas informáticos que se implementen en este tipo de eventos.

Para mayor información entren a The Trust Vote. Organización que busca digitalizar este tipo de eventos de gran magnitud, como son las elecciones de un país.

Fuente: Cholohack

About these ads

Deja un comentario

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo ¿Voto electrónico? Necesario pero ¿es seguro? en Seguridad Informática.

meta

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 105 seguidores

%d personas les gusta esto: