¿Está listo el Tribunal Electoral (TE) para llevar a cabo unas elecciones en las que esté garantizada la seguridad contra ataques cibernéticos a sus servidores y redes?
La Prensa ha tenido acceso a los audios de una reunión que sostuvieron técnicos del TE y de una empresa local que presta sus servicios en esta materia a la entidad, ramo del que está a cargo el magistrado Eduardo Valdés Escoffery.
El técnico de la empresa contratada por el TE –que este medio no pudo identificar plenamente– preguntó a sus colegas del TE si en la prueba de penetración que hizo la empresa española Mnemo Evolution & Integration Services (aparentemente refiriéndose a la que realizó entre el 29 y el 30 de abril pasado, es decir, tres días atrás), su personal logró ingresar a la plataforma de seguridad que protege al TE de ataques.
La respuesta de los técnicos del TE fue que, en esa prueba, la empresa se enfocó en una lista de temas críticos a los que le dieron prioridad por la cercanía de las elecciones, que cinco de esos temas estaban remediados y se podían mejorar, y que el resto de las vulnerabilidades seguía latente.
En base a ello –dijo el técnico del TE–, Mnemo no certificaría que la red de elecciones estuviera segura. No se atrevería a hacerlo.
Mnemo ha realizado, al menos, tres pruebas de penetración por petición del TE: una en enero, otra en marzo y la última esta semana, cuando la cuenta regresiva para las elecciones marcaba menos de cinco días. Esta última prueba fue enfocada únicamente a la red de las elecciones, a fin de probar “las remediaciones” de seguridad recomendadas tras la prueba de penetración del 10 de marzo de 2024.
Peligros ‘latentes’
En su informe de esta semana, Mnemo indicó que no logró penetrar la red de elecciones del TE. No obstante, remarcó que el resultado de su penetración habría sido distinto si hubiese contado con más de 24 horas.
También advirtió que, en esta ocasión, no atacó la red operativa del TE, solo la de elecciones, pero recalcó que hay “vulnerabilidades latentes” en la red operativa del TE que pudieran ser usadas para acceder a la red de elecciones, vulnerándola para potenciales ataques.
Entregado este informe al TE, la reunión con los técnicos de la institución y la empresa local de seguridad informática se llevó a cabo el pasado miércoles, bajo una propuesta de premisa: que el TE podría decirle a los partidos políticos que se habían aplicado las “remediaciones” sugeridas en marzo pasado por Mnemo y que ya no se podía acceder a la red de elecciones. Ello, a pesar de que Mnemo dejó muy claro que esa red no era segura dadas las vulnerabilidades latentes en la red operativa del TE.
También se proponía comunicarle a los partidos políticos que el TE era más seguro de cara a las elecciones, aunque reconociendo que faltaba mucho camino para la modernización y mejoras a la seguridad informática del TE.
Para entonces, los partidos políticos solicitaron primero y luego exigieron al TE reunirse urgentemente con ellos.
La última petición de cita al TE, de hecho, fue poco amable por la falta de atención a sus peticiones: “queremos, merecemos y exigimos la reunión”.
La comunicación a los partidos políticos deliberadamente dejaba fuera un tema crucial. Ninguna de las empresas contratadas por el TE certificaría la invulnerabilidad de la plataforma de elecciones: ni Mnemo ni Oydia ni Centauri ni ninguna otra.
Esas certificaciones eran una exigencia del magistrado Valdés Escoffery, quien en dos ocasiones pidió a su personal de informática obtenerlas de las empresas que realizaron las pruebas de vulnerabilidad. La certificación debía plasmar que la red de elecciones estaba asegurada contra ataques.
Valdés Escoffery específicamente, se refirió a las empresas Centauri y Cobalt, las cuales debían generar cada una su certificación de seguridad de la plataforma, documento que sería luego remitido a los partidos políticos, así como también Mnemo.
Fue entonces que los partidos políticos recibieron del TE una comunicación, según la cual, en una reunión con Valdés Escoffery –coordinador del Plan General de Elecciones (Plagel)– se indicó que el pleno del TE esperaba los resultados de las últimas pruebas de penetración, a fin de emitir un comunicado sobre la fortaleza de la plataforma de elecciones.
Además, se les comunicó que recibirían las notas que certificarían la seguridad de la plataforma de elecciones, emitidas por cada empresa, para lo cual Valdés Escoffery pidió a su personal trabajar con firmeza para obtenerlas.
No todo salió según sus planes.
‘No todo está bien’
En la reunión del pasado miércoles, el técnico de la empresa externa que asesoraba al TE en seguridad informática insistía en preguntar al personal informático de la entidad si Mnemo había logrado penetrar la plataforma de seguridad del TE.
Uno de los funcionarios perdía la paciencia.
“Esto es tan repetitivo, estamos como que buscando una excusa para decir que todo esta bien. Pero no está bien”, dijo. Pidió al interrogador ser más específico, porque hay dos segmentos en la red electoral: uno en tierra y otro en la nube. ¿Se refería al primero, es decir, a la red de transmisión? ¿Fue penetrada, si o no?, preguntó a sus colegas del TE.
Tras instantes de silencio, uno de ellos dijo que no. Pero, de inmediato, otro ripostó: si Mnemo “hubiese tenido más tiempo, habría entrado, eso está en el informe”, advirtió.
Pero “esa parte es especulativa”, insistía el técnico externo.
El funcionario del TE le recordó que en una prueba anterior –probablemente refiriéndose a la de penetración del 10 de marzo pasado– los hackers de Mnemo no solo habían penetrado la plataforma, sino que “se pasearon por todos lados”, y que lo hicieron sin que el TE le haya facilitado una cuenta o credencial alguna a la empresa.
Simplemente entraron.
En efecto, en su informe de marzo pasado, Mnemo reveló que “el acceso a la red electoral fue total y sin restricciones. El equipo de Mnemo descargó 4GB de información pertinente a las elecciones, como aplicaciones y sus códigos fuente, así como toda la información logística y de preparación para la simulación”.
Lea aquí la nota 'El proceso electoral puede ser manipulado, advierte informe'
Además de lo alarmante del hallazgo, –publicado por este medio– el remate fue más preocupante: en letras rojas y en mayúsculas cerradas, el informe de Mnemo advertía que “el proceso electoral puede ser manipulado”, incluso servicios en línea del TE usados por los partidos políticos y medios de comunicación para descargar archivos el día de las elecciones que sirven, además, para que los partidos tengan copia de la base de datos del sistema y puedan realizar sus propios análisis.
Las flaquezas de los sistemas informáticos del Tribunal Electoral (TE) siguen siendo tan peligrosos como escandalosos.
— La Prensa Panamá (@prensacom) April 28, 2024
Así lo revelan nuevas pruebas llevadas a cabo por la empresa española Mnemo Evolution & Integration Services, S.A., por solicitud del presidente de TE, Alfredo… pic.twitter.com/MF1qqvPZob
Ante aquella publicación de La Prensa, la empresa Centauri Technologies Corporation advirtió que al menos desde inicios del 2023 y hasta la fecha, ha informado periódicamente y a tiempo hallazgos y recomendaciones de seguridad informática para los sistemas del TE.
“Nuestro acuerdo de confidencialidad no nos permite dar detalles, pero con la autorización del Tribunal Electoral nuestros informes aclararían el tema por sí mismos y con fechas verificables. También debemos mencionar que nuestros servicios no incluyen monitorear los sistemas, por ejemplo para detectar pruebas en curso, ni ejecutar remediaciones; sino asesorar, probar, recomendar remediaciones y verificar si se ejecutaron”, señala la nota que Hubert Demercado, gerente de servicios de seguridad de información de Centauri Technologies Corporation, dirigió a este diario el pasado lunes.
‘Parecemos coladera’
En esa reunión del pasado miércoles con los técnicos de la empresa externa de seguridad cibernética, uno de los técnicos del TE, visiblemente molesto con el propósito de la reunión, manifestó su hartazgo.
“No entiendo cuál es el objeto de esta reunión. Sacarnos con tirabuzón que ni Mnemo ni Centauri ni otra empresa pudo acceder a la red de elecciones en esta prueba específica y, a raíz de esto, sacar un comunicado y decirle a los partidos políticos que, tanto los directores de DTIC [Dirección de Tecnología de la Información y Comunicaciones del TE] como el jefe y subjefe de OSI [Oficina de Seguridad de la Información del TE], certifican eso [la invulnerabilidad de la plataforma de seguridad], no. Eso no me parece”.
“No estoy de acuerdo y todos están de testigos aquí. No voy a aceptar eso ni voy a firmar nada, porque mañana más tarde pasa algo y yo vengo, desde hace más de un año, diciendo que tenemos que hacer pruebas, que tenemos que mejorar la seguridad, pero cada vez que abría la boca, ¿que decían, Víctor? Que yo solo aparecía para vender miedo. Bueno, ahí está el miedo, ahí está la realidad… Parecemos una coladera”, se quejó el funcionario.
“Si hubiésemos hecho las cosas hace un año –añadió–, cuando empecé con la cantaleta, las vainas ahora mismo estarían en mejor posición, pero me parece de muy mal gusto que se haga esta reunión ahora para sacarnos con tirabuzón que certifiquemos que las tres [empresas] no pudieron [penetrar la plataforma] para después sacar un comunicado. No estoy de acuerdo y no lo voy a firmar”, agregó.
Otros técnicos del TE en esa reunión se unieron a su colega. No firmarían algo semejante.
‘Riesgo crítico’
En consecuencia, los técnicos del TE no certificarán que la plataforma de seguridad del TE es confiable. Tampoco lo harían las otras empresas, ni siquiera las locales.
La Prensa tuvo acceso a un correo en el que una de las empresas se niega rotundamente a extender la certificación que exigía Valdés Escoffery.
Siguiendo las instrucciones del magistrado Valdés, un funcionario del TE solicitó a Mnemo la certificación de seguridad de la red de elecciones, ya que no pudieron penetrarla en su prueba de esta semana. Tras revisar los resultados pasados y las vulnerabilidades del presente, Mnemo rechazó emitir dicha certificación. Las falencias actuales –decía– podrían ser usadas para comprometer la infraestructura y los procesos.
En el correo, la empresa reiteró al TE lo que ya había advertido en su informe de esta semana: “Con mayor ventana de tiempo operativo, podrían proporcionar un vector de ataque válido para compromiso parcial con potencial de elevarlo a integral”. Es decir, con más tiempo habría penetrado la plataforma y comprometer la red de forma parcial, incluso total.
“Ante este escenario, y en pos de la integridad y veracidad de la información que desde auditoría emitimos –advirtió Roberto Peña Cardeña, director corporativo de Ciberseguridad e Inteligencia de Mnemo–, me es imposible declarar estados que identifiquen algún tipo seguridad parcial o total sobre la infraestructura, sus aplicativos y procesos, ya que el riesgo potencial se puede considerar, aún, como crítico”.
Y todo esto, cuando faltan virtualmente horas para que abran los centros de votación.
