El Ciudadano
Un equipo de profesionales de la seguridad informática manifestó preocupación por “la evidencia de errores técnicos en la implementación de tecnologías en el proceso de escrutinio provisorio con miras a las elecciones Primarias Abiertas, Simultáneas y Obligatorias (Paso)” y elaboró “una advertencia de vulnerabilidades detectadas y conocidas en uno de los componentes usados para la carga de telegramas desde las escuelas hacia los centros de cómputos”.
“Componentes de software usados en la conversión de formato de los telegramas transmitidos desde los centros de votación tienen al menos 46 vulnerabilidades conocidas por la comunidad técnica y ya reportadas, que pueden ser potencialmente explotadas para dañar la integridad del proceso de escrutinio provisorio”, dijeron los técnicos Iván Arce, Enrique Chaparro y Javier Smaldone.
El gobierno no entregó software que utilizará en las Paso porque “es alquilado”
Aunque aclararon que “es imposible saber el alcance de las vulnerabilidades del sistema sin una auditoría exhaustiva de seguridad”, los profesionales recomendaron “como medida urgente de mitigación, la actualización de las librerías utilizadas” para “la conversión del formato de los archivos”. Al mismo tiempo, agregaron que “podrían existir otras vulnerabilidades no reportadas o aún bajo investigación”. Pidieron “hacer público de forma inmediata este reporte para que las autoridades electorales arbitren las medidas de mitigación de estas vulnerabilidades conocidas”.
La biblioteca utilizada por la cuestionada empresa SmartMatic, encargada del recuento provisorio de los votos, “contiene un gran número de vulnerabilidades potencialmente explotables. Cuarenta y seis de ellas han sido documentadas a la fecha en el catálogo Common Vulnerabilities and Exposures (CVE) y son en su mayoría conocidas desde hace tres años”, dijeron y advirtieron: “Un agente malicioso con acceso al sistema de transmisión o con capacidad de insertar un archivo espurio en el repositorio de los archivos de imagen recibidos podría emplear un archivo Tiff especialmente formateado para explotar una o más de estas vulnerabilidades”.
Impacto
“Dependiendo de las vulnerabilidades explotadas, un potencial atacante podría impedir el correcto funcionamiento de los servidores que reciben la transmisión de telegramas, borrar o alterar los datos que se reciben de los centros de transmisión ubicados en los establecimientos donde se vota, retrasar el proceso de escrutinio provisorio por tiempo indeterminado”, explicaron.
Y agregaron: “Para lanzar el ataque, el agente malicioso no requiere privilegios en el servidor donde se almacenan los archivos TIFF a convertir; le bastará con tener acceso o posibilidad de ejecutar un programa en cualquiera de las 11.000 estaciones (netbooks) que se utilizarán para transmitir los telegramas, o ejecutar el software de transmisión en otra computadora conectada a una red de los establecimientos desde donde se emiten los telegramas, o transmitir el archivo TIFF «malformado» desde cualquier otro dispositivo que tenga conectividad con el servidor que recibe las transmisiones.
Los técnicos informáticos pusieron “como ejemplo el sistema desarrollado por el gobierno de Santa Fe”, utilizado en las últimas elecciones provinciales, que permite implementar medidas de conservación de integridad y resuelve la transmisión desde los establecimientos de votación a los centros de cómputo a una fracción del costo del implementado por Correo Argentino”.
Los técnicos agregaron que dieron a conocer las vulnerabilidades del sistema porque “no se halla actualmente en funcionamiento, por lo que no hay riesgo de que las potenciales vulnerabilidades sean explotadas inmediatamente al conocerse este aviso”.
Comentarios