Article (tiempo de lectura: 8 minuto)

Security in the spotlight as the US heads into elections

We can never guarantee to prevent all attacks. But at the very least, we need to be able to know when an attack has happened.

CSO

Nota del editor:

El debate de CSO Online sobre los problemas relacionados con la seguridad electoral hace menos hincapié en los sistemas de boletas y más en la seguridad de los gobiernos locales. Este es un problema generalizado que nadie ha abordado durante mucho tiempo. Muchos organismos gubernamentales locales y estatales, e, incluso, las agencias federales, siguen ejecutando Windows XP en hardware heredado y obsoleto, ya que no cuentan con presupuesto para reemplazarlo o actualizarlo. 

Dichos sistemas gubernamentales, como destaca CSO Online, suelen ser víctimas de ataques de ransomware, a menudo, porque no cuentan con parches de seguridad para vulnerabilidades conocidas y porque son utilizados por personas que, en realidad, no entienden los sistemas que manejan y no reconocen cuando algo no se comporta como debería o no es lo que pretende ser.

Sin embargo, esta es solo una parte del problema de la seguridad electoral. Si bien no podemos permitirnos ignorar las vulnerabilidades de la infraestructura que cuenta los votos, tampoco podemos darnos el lujo de ignorar aquellas de los sistemas que registran los votos en primer lugar.  En este sentido, los sistemas de votación del Registro Electrónico Directo (DRE) han demostrado ser extremadamente fáciles de vulnerar y en repetidas oportunidades.  Los fabricantes suelen negarse a aceptar auditorías externas de su código, y su respuesta a las vulnerabilidades que han encontrado los investigadores de seguridad electoral ha sido, muy a menudo, tratar de impedir que se divulguen dichas vulnerabilidades, en lugar de corregirlas.

En caso de que un sistema DRE se vea vulnerado, todos los votos registrados por ese sistema deben considerarse perdidos ya que, sin un registro electrónico de los votos, no hay una forma confiable de reconstruir los votos emitidos, pues no existe una prueba en papel a la cual remitirse.

Los investigadores electorales diseñaron y propusieron sistemas de votación electrónica que le permiten a cualquier votante verificar que su voto se registró y contabilizó tal y como lo emitió, sin perder la posibilidad de negarlo (lo que quiere decir que no se puede obligar a los votantes a revelar a quién votaron posteriormente).  Sin embargo, aún no se ha puesto en marcha ningún sistema de este tipo.  Cuando las elecciones se realizan con las máquinas de votación DRE existentes, no nos queda otra opción más que confiar en lo que sea que la máquina de votación haya registrado; no hay manera de cotejar los recuentos con boletas reales, porque estas no existen.

En definitiva, no tenemos forma de verificar que los votos contabilizados sean los mismos que los votos emitidos, ya sea que la vulnerabilidad se produzca en las máquinas que registran los votos o en los sistemas de gobierno que los cuentan.  Sin esa garantía, no tenemos forma de verificar que podemos confiar en nuestras propias elecciones.  En los tiempos que corren, es pésimo encontrarse en esta situación.

No podemos garantizar que se evitarán todos los ataques.  Pero, al menos, necesitamos poder saber cuándo se ha producido uno.

- Phil Stracchino, arquitecto jefe

Únase a la conversación: encuentre Solve en Twitter and LinkedIn, o síganos en RSS.

Acerca del autor

Principal ArchitectPhil Stracchino

Más


Serie Solve Strategy

Inscríbase en uno de estos eventos mundiales, o en todos, en los que participarán personas influyentes, expertos, técnicos y líderes de la industria

Inscribirse