Agencia cibernética: El software de votación es vulnerable en algunos estados
ATLANTA (AP) – Las máquinas de votación electrónicas de uno de los principales proveedores utilizadas en al menos 16 estados tienen vulnerabilidades de software que las hacen susceptibles de ser pirateadas si no se solucionan, dice la principal agencia de ciberseguridad del país en un aviso enviado a los funcionarios electorales estatales.
La Agencia de Ciberseguridad e Infraestructura de EE.UU., o CISA, dijo que no hay evidencia de que las fallas en el equipo de Dominion Voting Systems hayan sido explotadas para alterar los resultados de las elecciones. El aviso se basa en las pruebas realizadas por un prominente informático y testigo experto en una larga demanda que no está relacionada con las falsas acusaciones de una elección robada impulsadas por el ex presidente Donald Trump después de su pérdida electoral en 2020.
El aviso, obtenido por The Associated Press antes de su publicación prevista para el viernes, detalla nueve vulnerabilidades y sugiere medidas de protección para prevenir o detectar su explotación. En medio de un remolino de desinformación sobre las elecciones, CISA parece estar tratando de caminar una línea entre no alarmar al público y hacer hincapié en la necesidad de que los funcionarios electorales tomen medidas.
El director ejecutivo de CISA, Brandon Wales, dijo en un comunicado que “los procedimientos estándar de seguridad electoral de los estados detectarían la explotación de estas vulnerabilidades y, en muchos casos, evitarían los intentos por completo.” Sin embargo, el aviso parece sugerir que los estados no están haciendo lo suficiente. Insta a que se tomen medidas de mitigación inmediatas, incluyendo “medidas defensivas continuas y mejoradas para reducir el riesgo de explotación de estas vulnerabilidades”. Estas medidas deben aplicarse antes de cada elección, dice el aviso, y está claro que eso no está ocurriendo en todos los estados que utilizan las máquinas.
El informático de la Universidad de Michigan J. Alex Halderman, autor del informe en el que se basa el aviso, lleva mucho tiempo sosteniendo que el uso de la tecnología digital para registrar los votos es peligroso porque los ordenadores son intrínsecamente vulnerables a la piratería informática y, por tanto, requieren múltiples salvaguardias que no se siguen de manera uniforme. Él y muchos otros expertos en seguridad electoral han insistido en que el uso de papeletas marcadas a mano es el método más seguro de votación y la única opción que permite realizar auditorías postelectorales significativas.
“Estas vulnerabilidades, en su mayor parte, no son fáciles de explotar por alguien que entre en la calle, pero son cosas que nos deben preocupar que puedan ser explotadas por atacantes sofisticados, como estados nacionales hostiles, o por personas con información privilegiada sobre las elecciones, y tendrían consecuencias muy graves”, dijo Halderman a la AP.
La preocupación por la posible intromisión de personas con información privilegiada en las elecciones se puso de manifiesto recientemente con la acusación de la secretaria del condado de Mesa, Tina Peters, en Colorado, que se ha convertido en una heroína para los teóricos de la conspiración electoral y se presenta como candidata a convertirse en la principal funcionaria electoral de su estado. Los datos de las máquinas de votación del condado aparecieron en sitios web de conspiración electoral el verano pasado, poco después de que Peters apareciera en un simposio sobre las elecciones organizado por el director general de MyPillow, Mike Lindell. También se le prohibió recientemente supervisar las elecciones de este año en su condado.
Una de las vulnerabilidades más graves podría permitir la propagación de código malicioso desde el sistema de gestión electoral a las máquinas de toda una jurisdicción, dijo Halderman. La vulnerabilidad podría ser explotada por alguien con acceso físico o por alguien capaz de infectar remotamente otros sistemas que estén conectados a Internet si los trabajadores electorales utilizan entonces memorias USB para llevar los datos de un sistema infectado al sistema de gestión electoral.
Otras vulnerabilidades especialmente preocupantes podrían permitir a un atacante falsificar las tarjetas utilizadas en las máquinas por los técnicos, dando al atacante acceso a una máquina que permitiría cambiar el software, dijo Halderman.
“Los atacantes podrían entonces marcar las papeletas de manera inconsistente con la intención de los votantes, alterar los votos registrados o incluso identificar los votos secretos de los votantes”, dijo Halderman.
Halderman es un testigo experto de los demandantes en una demanda presentada originalmente en 2017 que apuntaba a las anticuadas máquinas de votación que Georgia utilizaba en ese momento. El estado compró el sistema Dominion en 2019, pero los demandantes sostienen que el nuevo sistema también es inseguro. Un informe de 25.000 palabras que detalla los hallazgos de Halderman fue presentado bajo sello en el tribunal federal de Atlanta el pasado julio.
La jueza de distrito Amy Totenberg, que supervisa el caso, ha expresado su preocupación por la publicación del informe, ya que le preocupa la posibilidad de que se produzcan hackeos y el uso indebido de información sensible del sistema electoral. En febrero aceptó que el informe se compartiera con la CISA, que prometió trabajar con Halderman y Dominion para analizar las posibles vulnerabilidades y luegoayudar a las jurisdicciones que utilizan las máquinas a probar y aplicar cualquier protección.
Halderman está de acuerdo en que no hay pruebas de que las vulnerabilidades fueran explotadas en las elecciones de 2020. Pero esa no era su misión, dijo. Buscaba formas de comprometer el sistema de votación Democracy Suite ImageCast X de Dominion. Las máquinas de votación con pantalla táctil pueden configurarse como dispositivos de marcado de boletas que producen una boleta de papel o registran los votos electrónicamente.
En un comunicado, Dominion defendió las máquinas como “precisas y seguras”.
Los sistemas de Dominion han sido injustificadamente difamados por personas que impulsan la falsa narrativa de que las elecciones de 2020 fueron robadas a Trump. Las afirmaciones incorrectas y a veces escandalosas de aliados de alto perfil de Trump llevaron a la compañía a presentar demandas por difamación. Funcionarios estatales y federales han dicho repetidamente que no hay evidencia de fraude generalizado en las elecciones de 2020 – y no hay evidencia de que el equipo de Dominion fue manipulado para alterar los resultados.
Halderman dijo que es una “desafortunada coincidencia” que las primeras vulnerabilidades en los equipos de los colegios electorales reportadas a CISA afecten a las máquinas de Dominion.
“Hay problemas sistémicos en la forma en que se desarrollan, prueban y certifican los equipos electorales, y creo que es más probable que se encuentren problemas graves en los equipos de otros proveedores si se someten al mismo tipo de pruebas”, dijo Halderman.
En Georgia, las máquinas imprimen una papeleta de papel que incluye un código de barras -conocido como código QR- y una lista resumida de lectura humana que refleja las selecciones del votante, y los votos son contados por un escáner que lee el código de barras.
“Cuando los códigos de barras se utilizan para tabular los votos, pueden ser objeto de ataques que exploten las vulnerabilidades enumeradas, de modo que el código de barras no sea coherente con la parte de la papeleta de papel legible por el ser humano”, dice el aviso. Para reducir este riesgo, el aviso recomienda que las máquinas se configuren, siempre que sea posible, para producir “papeletas tradicionales de cara completa, en lugar de papeletas resumidas con códigos QR”.
Las máquinas afectadas son utilizadas por al menos algunos votantes en al menos 16 estados, y en la mayoría de esos lugares se utilizan sólo para las personas que no pueden rellenar físicamente una boleta de papel a mano, según un rastreador de equipos de votación mantenido por el organismo de vigilancia Verified Voting. Pero en algunos lugares, incluyendo todo Georgia, casi toda la votación en persona se realiza en las máquinas afectadas.
El subsecretario de Estado de Georgia, Gabriel Sterling, dijo que el aviso de la CISA y un informe separado encargado por Dominion reconocen que “las salvaguardias de procedimiento existentes hacen extremadamente improbable” que un actor malo pueda explotar las vulnerabilidades identificadas por Halderman. Calificó de “exageradas” las afirmaciones de Halderman.
Dominion ha dicho a CISA que las vulnerabilidades se han abordado en las versiones posteriores del software, y el aviso dice que los funcionarios electorales deben ponerse en contacto con la empresa para determinar qué actualizaciones son necesarias. Halderman probó las máquinas utilizadas en Georgia, y dijo que no está claro si las máquinas que ejecutan otras versiones del software comparten las mismas vulnerabilidades.
Halderman dijo que, por lo que él sabe, “nadie más que Dominion ha tenido la oportunidad de probar sus correcciones afirmadas.”
Para prevenir o detectar la explotación de estas vulnerabilidades, las recomendaciones del aviso incluyen garantizar que las máquinas de votación sean seguras y estén protegidas en todo momento; realizar rigurosas pruebas pre y postelectorales en las máquinas, así como auditorías postelectorales; y animar a los votantes a verificar la parte legible por humanos en las papeletas impresas.
___
Este artículo ha sido corregido para reflejar que Tina Peters ha sido inhabilitada para supervisar las elecciones de este año en su condado, no para postularse como secretaria de Estado.