El próximo domingo 11 de agosto se realizarán en Argentina las elecciones Primarias, Abiertas, Simultáneas y Obligatorias (PASO). Para eso, la Dirección Nacional Electoral y el Correo Argentino realizaron simulacros del escrutinio provisorio, dado que algo cambió y es preciso probarlo.

Este año, la empresa Smartmatic -encargada de las elecciones en Venezuela y protagonista de, cuanto menos, varias controversias vinculadas a procesos electorales- fue contratada para digitalizar la transmisión de telegramas, desde las escuelas hacia los centros de cómputos. Hasta el momento, esto se hacía mediante el uso de faxes y de la red privada del Correo Argentino.

Pero a partir de este año el proceso contará con un software específico para la digitalización de las actas y para su envío. ¿Cuál es el problema? Que este programa -a implementarse en 11 mil establecimientos- tiene vulnerabilidades. Y que estas no fueron conocidas el pasado sábado -con la publicación del informe– sino hace aproximadamente tres años.

Una advertencia a tiempo

La Fundación Vía Libre publicó el informe «Elecciones 2019: Advertencia de vulnerabilidades críticas en el sistema de escrutinio provisorio», donde tres especialistas en seguridad informática -Enrique Chaparro, Iván Arce y Javier Smaldone- precisaron cada uno de los 46 problemas detectados hasta el momento.

#AdvertenciaDeSeguridad #EscrutinioProvisorio Cursamos una seria advertencia de vulnerabilidades sobre los sistemas de escrutinio a las autoridades electorales competentes: Es información de interés público que requiere atención urgente https://t.co/wpHSCIaJfo

— Fundación Vía Libre (@FViaLibre) August 3, 2019

Según detallaron, el software que convierte la imagen escaneada (originalmente un archivo TIFF) a PDF presenta vulnerabilidades conocidas y reportadas hace alrededor de tres años. Esto significa que son públicos los riesgos de utilizarla y que, por lo tanto, «pueden ser potencialmente explotados para dañar la integridad del proceso de escrutinio provisorio».

Al realizar un cambio de formato, el documento en cuestión pierde trazabilidad: es decir, no es posible determinar con exactitud su originalidad. O, lo que es lo mismo, no puede asegurarse que el documento escaneado sea igual al recibido en el centro de cómputos.

Tal vez, a esta altura, te preguntes por qué convertir el archivo. La respuesta es desconocida, al menos hasta el momento. Los expertos señalan: «El proceso de conversión de formatos agrega costo de procesamiento (tiempo y recursos computacionales) y dificulta o torna imposible la trazabilidad del documento digitalizado de extremo a extremo. No parece haber ningún supuesto razonable para efectuar este proceso, puesto que los archivos podrían tratarse desde el origen en formato PDF, que es soportado en modo directo por las impresoras multifunción Hewlett Packard LaserJet Pro M426fdw que se utilizarán en el sistema». Y completan: » Aun en el caso en que la conversión fuese indispensable por razones no obvias, se debería utilizar una herramienta de conversión desarrollada utilizando prácticas recomendadas de seguridad del software, por ejemplo usando un lenguaje de programación fuertemente tipado y con uso seguro de memoria, y probado exhaustivamente de manera automatizada y por revisión de código fuente».

¿Y ahora qué?

«Un agente malicioso con acceso al sistema de transmisión o con capacidad de insertar un archivo espurio en el repositorio de los archivos de imagen recibidos podría emplear un archivo TIFF especialmente formateado para explotar una o más de estas vulnerabilidades. Esta acción le permitiría al atacante remoto producir denegación de servicio o ejecutar código arbitrariamente en el servidor donde se lleva a cabo la conversión», advierten los autores.

A sabiendas de que el sistema tiene estos agujeros, un potencial atacante podría, por ejemplo, «impedir el correcto funcionamiento de los servidores que reciben la transmisión de telegramas, borrar o alterar los datos que se reciben de los centros de transmisión ubicados en los establecimientos donde se vota, retrasar el proceso de escrutinio provisorio por tiempo indeterminado, hasta que se identifique, diagnostique y corrija el problema en tan solo uno de cientos o miles de archivos TIFF recibidos, o utilizar el servidor afectado como plataforma para lanzar ataques ‘laterales’ a otros componentes de la red». Es importante resaltar que para hacerlo no se necesita ningún privilegio: solo basta con tener acceso o poder ejecutar un programa en cualquiera de las 11 mil netbooks utilizadas para la transmisión, o incluso utilizar otra computadora que esté conectada a la red de los establecimientos de emisión o recepción de la información.

Frente a esta situación -y considerando que las elecciones se realizarán en una semana-, desde Vía Libre afirman que «la medida más inmediata para mitigar el problema es instalar la versión más actualizada de libtiff, 4.0.10 (20181110) [la biblioteca que permite la conversión]». Sin embargo, aclaran que «debe tenerse en cuenta que podrían existir otras vulnerabilidades no reportadas o aun bajo investigación, por lo que la conversión de archivos debería realizarse en un entorno de ejecución controlado y restringido utilizando, por ejemplo, microvirtualización y contenedores».

El informe fue enviado a la Dirección Nacional Electoral, a la Cámara Nacional Electoral y a la Secretaría de Gobierno de Modernización, Infraestructuras Críticas de Información y Ciberseguridad. Hasta el momento, ninguno de los organismos se pronunció al respecto.

¿Puede esto significar que las elecciones serán manipuladas? No, o al menos no necesariamente. El informe de Chaparro, Arce y Smaldone es una advertencia de que existe una posibilidad -o 46 hasta el momento, mejor dicho- de que la transmisión de telegramas se enturbie. No equivale a asegurar ni que se explotarán las vulnerabilidades ni que habrá fraude en las elecciones. De hecho, el escrutinio definitivo no se ve afectado por esto. Lo que está en tela de juicio aquí es el resultado del escrutinio provisorio. Con lo cual, tal vez debamos esperar unos días para saber quién resultó ganador de las PASO.

Ya que nos referimos a una elección nacional, ningún elemento debería quedar librado al azar. Es imprescindible la transparencia en cada punto de la cadena de votación para asegurar un proceso democrático, y eso incluye -por supuesto- el escrutinio provisorio. Además, cabe destacar que estas vulnerabilidades fueron descubiertas a partir de unas imágenes; con lo cual, si de apenas una pequeña porción del todo se detectaron 46 problemas, ¿qué pasaría si los expertos tuviesen acceso a todo el sistema? Recordemos que la práctica de «seguridad por oscuridad» (es decir, no develar el código para que no sea atacado) nunca es la mejor opción. ¿Por qué? Los especialistas lo explican claramente: «porque, como se ha visto en este caso, aun pequeños indicios pueden proporcionar pistas para potenciales vectores de ataque, y porque las características detalladas del sistema estarán siempre disponibles para un número significativo de potenciales adversarios internos».