Las flaquezas de los sistemas informáticos del Tribunal Electoral (TE) siguen siendo tan peligrosos como escandalosos.
Así lo revelan nuevas pruebas llevadas a cabo por la empresa española Mnemo Evolution & Integration Services, S.A., por solicitud del presidente de TE, Alfredo Juncá.
Esta es la segunda prueba de este año en la que las debilidades quedan expuestas, sin que haya soluciones integrales a sus problemas. La primera se llevó a cabo el 28 de enero de 2024 y la segunda, el 10 de marzo.
Lea aquí la nota 'Tribunal Electora, indefenso ante potenciales ataques informáticos'
En aquella primera prueba, en enero pasado, los hackers lograron vulnerar y tener acceso a la red de funcionamiento del TE. Mediante un listado de buzones y usuarios, se logró tomar control de los buzones de correo electrónico de más de 250 colaboradores del TE, identificar cuentas con privilegio de administrador y tomar el control de equipos tecnológicos, por ejemplo.
Violación completa
El 10 de marzo de 2024 se realizó la segunda prueba en los sistemas informáticos del TE, en coordinación con los titulares de la Dirección de Tecnología de la Información y las Comunicaciones (DTIC) del Tribunal y de la empresa contratada para hacer la prueba.
Ese día, hackers de la empresa contratada penetraron los sistemas informáticos del TE: tanto la plataforma operativa como la electoral. Los resultados fueron alarmantes.
“El acceso a la red electoral fue total y sin restricciones. El equipo de Mnemo descargó 4GB de información pertinente a las elecciones, como aplicaciones y sus códigos fuente, así como toda la información logística y de preparación para la simulación”, señala un informe confidencial del TE, que lleva las firmas de Víctor Rodríguez, responsable de la DTIC, y el subdirector, Javier Olivardía.
En letras rojas y en mayúsculas cerradas, el informe advierte que “el proceso electoral puede ser manipulado”.
Por ejemplo, los hackers de la empresa lograron hacer cambios en el archivo virtual del TE –denominado JSON– mediante el cual los partidos políticos y medios de comunicación pueden descargar archivos el día de las elecciones. Además, sirve para que los partidos políticos tengan a mano copia de la base de datos del sistema a fin de realizar sus propios análisis.
El informe también revela un hecho preocupante: “Se verifica que las cifras de votación presentadas en las pantallas de resultados pueden ser modificadas, así como las fotografías de los candidatos”.
De hecho, los técnicos de la empresa cambiaron el nombre de un candidato, acción que no fue detectada por los especialistas informáticos del TE. Solo cuando se hicieron algunos cambios deliberados en rutas de acceso fue que los técnicos del TE se percataron de que habían sido vulnerados.
La empresa advirtió al TE que tal cambio no lo habría hecho un hacker. Lo que habría hecho es quedarse “dentro [del sistema informático del TE] modificando los resultados”, sin que el personal técnico de la Dirección de Tecnología y las Comunicaciones y de la Oficina de Seguridad de la Información del TE se hubiesen dado cuenta.
La empresa también informó al TE que su equipo de hackers “estuvo dentro de la red informática del TE durante tres días” y que durante ese tiempo hicieron acciones a fin de activar alertas para medir el tiempo de reacción del equipo de seguridad informático del TE, pero no fueron detectadas y pudieron operar libremente mientras duró el simulacro de elecciones.
El peor escenario
Las conclusiones del informe dejan ver la preocupación existente, dado que las vulnerabilidades detectadas en la primera prueba de penetración a los sistemas informáticos del TE persisten en su mayor parte. Y, aunque se hicieron correcciones tras detectarse las debilidades en el ejercicio del 28 de enero de este año, ni la Oficina de Seguridad de la Información del TE ni la empresa de seguridad informática del TE –Centauri– emitieron opinión alguna sobre si habían sido efectivamente corregidas estas debilidades. Tampoco se sabe si se hicieron pruebas para determinar su eficacia.
“Mantenemos considerables brechas de vulnerabilidad que podrían significar que se permita la manipulación de la información el día de las elecciones, afectando así la transmisión electrónica de los resultados, modificando los resultados reales y presentando una realidad manipulada que sería objeto de demandas y consecuencias legales para el Tribunal Electoral, los magistrados y el personal encargado de llevar a cabo las elecciones de 2024″, concluye el informe.
“El TE –añade el documento– no es capaz de detectar si tenemos accesos no deseados, tanto a la red operativa como a la electoral, sin mencionar que no podemos detectar ni contrarrestar si se está descargando información o se están manipulando datos de manera no autorizada”.
Más adelante, los técnicos del TE se quejan de que, incluso, se ocultó información sobre los hallazgos.
“Esto es extremadamente preocupante, porque parece que jugar al juego del avestruz es mejor que activar las alertas y revisar la plataforma de seguridad”, se quejaron.
Igualmente, mencionaron que tras el ejercicio del 28 de enero pasado, “todavía no hemos hecho los cambios necesarios en las políticas de usuarios, hardware y sistemas para tener un hardening efectivo [proceso para reducir las vulnerabilidades de los sistemas informáticos] que realmente mitigue estos ataques informáticos”.
Los técnicos advierten que el tiempo que tienen para hacer las correcciones es corto y que no pueden garantizar una seguridad perimetral eficaz. Con ese panorama a la vista, advierten que pueden ser víctimas “de ataques informáticos capaces de traspasar el perímetro de seguridad a medida que se acerca el día de las elecciones”.
Los técnicos recomendaron crear una fuerza de tarea para reforzar la plataforma de seguridad –altamente vulnerable– a fin de minimizar las brechas de seguridad. No obstante, admiten que el tiempo es un factor que está en su contra, “y probablemente no podremos corregir todas las deficiencias de la red interna a tiempo para las elecciones del 5 de mayo”.
El informe recomienda que la fuerza de tarea la lidere la DTIC, con personal elegido por esta dirección, así como asesores externos. Además, “se deberá contratar una empresa de prestigio y experiencia plenamente contrastada en la atención de las necesidades de seguridad requeridas por el TE”.
