5 Marzo 2022

Elecciones 2022: los puntos débiles de un ciberataque para este 13 de marzo

Dos son los software que almacenarán los datos más importantes de las elecciones y que permitirán realizar el escrutinio el próximo domingo.

Crédito: Wil Huertas

Si bien son muchos, aquí nos concentramos en dónde y cómo los 'hackers' e intrusos podrían cambiar los resultados. En 2014 ya ocurrió en menor escala.

Por: Edinson Arley Bolaños

El próximo domingo 13 de marzo, a las cuatro de la tarde, una vez se cierren las urnas de votación, más de 2.000 comisiones escrutadoras en todo el país se reunirán para contar y registrar en diferentes formularios los resultados por cada candidato al Congreso y a las consultas presidenciales. Una tarea fácil a simple vista, pero que detrás tiene todo un andamiaje bastante complejo para evitar que los intrusos metan sus manos.

Colombia ya fue blanco en las elecciones de 2014. No hay que olvidar la sentencia del Consejo de Estado que le devolvió tres curules al Movimiento Mira, porque el sistema electoral sufrió un sabotaje en la madrugada de ese 9 de marzo después de las votaciones, restando y sumando votos.

Esa es la principal justificación para que el próximo domingo ya no sea un software, sino dos, los que tengan la custodia de los votos. El primero es el llamado Kronos Votingel, diseñado por Disproel, una sociedad entre varias empresas privadas y cuyo contrato costó 1,3 billones de pesos. Tendrá a su cargo toda la logística del próximo domingo y el escrutinio (conteo y transmisión de datos) territorial, que es la información con la que cada comisión escrutadora departamental declarará los representantes a la Cámara elegidos para el nuevo periodo 2022-2026. Igualmente, cada una de esas comisiones (32 en total) enviará un CD o USB vía aérea a los comisionados del Consejo Nacional Electoral (CNE), que tienen sus oficinas en la calle 26 en Bogotá. 

Estos nueve comisionados tendrán a su cargo declarar la elección de los senadores, curules especiales, cámara internacional y consultas presidenciales. Igualmente, en caso de haber reclamaciones del orden departamental, esos casos los resolvería el CNE. Pero solo en casos excepcionales. 

Por eso es importante el otro software que es el que diseñó la empresa Indra, mayoritariamente española, y que será el que tendrán exclusivamente los nueve computadores de los comisionados del CNE en Bogotá. Este es el que, en apariencia, tiene menos responsabilidad, pero a él llegarán los datos de los CD o USB y la información que halen los comisionados del software de Disproel para tener la misma información por dos vías. Además, es en esta instancia donde se pueden hacer los ajustes necesarios ante los reclamos que se validen y hará las sumas finales para entregar el veredicto de ganadores y perdedores. En una serie de pruebas que le hicieron a este sistema, advirtieron que es imposible afirmar que hace bien lo que debe hacer, después de ver durante dos horas partes del código distribuido en más de 1200 archivos. Es decir: fue como ver partes de una receta, pero no probar la comida.

La organización Karisma, una ONG especializada en temas de tecnología y derechos humanos, expresó su preocupación que “a una semana de las elecciones el proceso de desarrollo no haya terminado y los dos software aún no sean los definitivos”.

Como decimos, ambos software podrían sufrir ataques y cambiar información si no se toman las medidas de seguridad necesarias para evitarlo. Por ahora esas garantías no son suficientes (ver gráficos). El registrador nacional Alexander Vega ha estado en el centro de las críticas porque la contratación de los software apenas se hizo a finales de 2021. Sin embargo, Vega ha dicho tajantemente: “Yo doy fe de que en este momento nuestro certamen electoral está blindado desde cualquier punto de vista de ciberataques y puede auditarse en cualquier etapa del proceso electoral”. 

Es difícil, pero no imposible

Grafica 11
En la primera etapa del proceso la comisión escrutadora local recibe los votos en las oficinas de la Registraduría Municipal, los guarda en una bóveda, solo extrae los formularios que tienen la información que resultó del conteo de votos en cada mesa y con esa información llenan otros formularios y son los que escanean y envían a las capitales donde está la comisión escrutadora departamental. Ellos también tienen un computador con el software de Disproel y proceden a declarar ganadores a los representantes a la Cámara y enviar por dos vías la información para Bogotá: vía magnética (CD o USB) y por medio del software de Disproel que tendría su servidor principal en Barranquilla. 

Lo que suele suceder con las páginas de las instituciones del Estado es que los ataques las tumban, pero eso no quiere decir que sea necesariamente un sabotaje. Por tanto, no hay que caer en la desinformación. Dicho esto, en este nivel fue donde se presentó el hackeo al software de Disproel en marzo de 2014. Según la sentencia del Consejo de Estado, todos las irregularidades en el ingreso al software ocurrieron a las dos de la mañana y la huella que dejaron los intrusos fue la siguiente: en 181 registros se evidenció la desactivación de la huella de computadores, 193 archivos no registraron archivos para el siguiente nivel y se afectaron 1412 mesas de votación.

Un parte de tranquilidad sobre el tema lo podría aportar la Registraduría si diera a conocer el resultado de la auditoría externa que contrató para Disproel, con el fin de revisar el funcionamiento del software durante el proceso electoral, cosa que nunca ha ocurrido. Para este caso, la empresa que tiene el papel de auditar se llama McGregor y el contrato le costó a la Registraduría 11.000 millones de pesos.

Deberían revisar el proceso en las capitales

Grafica 2 ciberataques
Disproel tendría su servidor principal en Barranquilla, donde llegarán los datos de los 32 departamentos, Distrito Capital y de los 104 consulados. Paralelamente vía aérea esa misma información llega por medio magnético al CNE en Bogotá. 

Hay un documento muy importante de transparencia en todo el proceso electoral: el acta general de escrutinio. Esta es la que registra todos los ingresos, cambios, modificaciones, etc, que pudieron ocurrir en la comisión escrutadora durante el cargue de información de los diferentes puestos de votación del nivel territorial. Esto, para comprobar si las personas encargadas de contraseñas y huellas en los computadores y el software no han sido suplantadas durante el proceso. O si modificaron información ellos mismos posterior a la reunión de la comisión escrutadora.

Las comisiones departamentales están encargadas de consolidar la información que llega de los municipios y a su vez de cada puesto de votación. Aquí, cada departamento genera un medio magnético con toda esa información y un delegado la transporta hacia Bogotá, donde está la oficina central de escrutinio del CNE en la calle 26. Paralelamente, las comisiones departamentales remiten la información al centro de datos de Disproel, que estaría en Barranquilla, para que sea publicada en la página de la Registraduría.

El software de Indra no tiene auditoría externa

Grafica 3
La información que llega a los nueve comisionados del CNE es la que contiene todos los formularios con los resultados de las elecciones. A su vez, los comisionados la podrán halar del software de Disproel para contrastarla con los CD o USB que les llegan físicamente. Aquí es donde empiezan a enlazarse los dos software. Indra es el software del CNE, que deberá estar en ceros cuando se cargue toda esa información para finalmente hacer las sumas.  

Este es uno de los grises más marcados que tiene actualmente este software, el encargado de realizar el escrutinio nacional. Si bien el registrador Vega ha dicho que existen auditorías, se le olvida mencionar que ambas empresas no tienen la obligación de publicar esos análisis. El llamado, para mayor transparencia es para que lo hagan. A diferencia de la auditoría externa de McGregor contratada para Disproel, Indra tiene auditoría interna, o sea ellos mismos se auditan, y tienen un acompañamiento de una institución de educación superior que es la Universidad Nacional Abierta y a Distancia (Unad). No obstante, esta última figura no es claro su papel y tampoco están obligados a publicar lo que observen o encuentren.

Indra es importante porque es el software que manejará el CNE para dar el veredicto final. A ellos les llega la información de los 32 departamentos en medio magnético (CD o USB) para incorporarla en el software de Indra y a su vez pueden halar a su computador la información recopilada por las comisiones escrutadoras territoriales usando el software de Disproel. Con toda esa información pueden reconstruir el sistema electoral y llegar hasta la mesa más pequeña.

No obstante, tendría que haber alguna reclamación para que eso suceda y no se queden con la información que está en los formularios y que viene del nivel departamental. En la transmisión de la información de los computadores de los comisionados al servidor de Indra también, es difícil, pero no imposible, que los intrusos logren penetrar el sistema aunque tendrían que meterse a la zona franca donde se encuentra el servidor o suplantar la identidad de uno o varios comisionados para ingresar a sus computadores.

Lo que saben los observadores, y que también ha repetido el registrador, es que estos computadores y los servidores de Disproel e Indra no estarán conectados a internet para que los ataques no se puedan ejecutar fácilmente.

Aprender del hacker de 2014

Gráfica 4
Una vez los comisionados realicen las sumas, resuelvan reclamos, contrasten información, finalmente declararán a los ganadores al Senado de la República, de las consultas presidenciales, curules especiales y Cámara internacional.  

Finalmente, si bien los intrusos lograron penetrar el sistema electoral en 2014 y cambiar los resultados de 1412 mesas de votación, insistimos en que no es algo fácil. Sin embargo, en el mundo cibernético nunca hay dígitos al 100 por ciento, pues los software son vulnerables y por eso hay que estar atentos. 

Dicho esto, también hay que advertir que un ataque que tumbe la página web de la Registraduría no es suficiente evidencia para decir que se está fraguando un fraude. Se necesita que ingresen al software, que afecten el acceso a los sistemas y a los datos como sucedería a través de modalidades como el ransomware, que significa penetrar la transmisión de datos interna del sistema o suplantar a los que tienen acceso a los computadores. Por tanto, no hay que correr al son de la desinformación de quienes se pliegan a los términos ciberataques para generar zozobra y confusión y decir que se está ejecutando un fraude. Hay maneras de probarlo y estas que hemos comentado son las más importantes para evitar que los hackers silenciosos pasen sin ser detectados.