27.06.2015 / A diez días de los comicios porteños

Descubren filtraciones de seguridad en el sistema de voto electrónico

Especialistas en desarrollo informático advirtieron en las últimas horas que a días de las elecciones en la Ciudad Buenos Aires, cuando se va a implementar el sistema de boleta electrónica por primera vez para elegir jefe de Gobierno porteño, se filtraron las claves con las que se va transmitir en forma cifrada el escrutinio.




Según informó a Télam un especialista que prefirió mantener el anonimato, lo que se filtró en la web son "los certificados SSL de los terminales que envían los datos desde las escuelas al centro de cómputos", que estuvieron publicados "en el sitio http://caba.operaciones.com.ar por una deficiente configuración en sus servidores".

El desarrollador explicó que "se trata de un error grave y crítico sobre la seguridad", ya que "cualquier persona malintencionada podría con estos certificados SSL enviar resultados falsos del escrutinio y también podría realizar un ataque de denegación de servicio. Es decir, transmitir tantos resultados que hagan que el sistema no pueda procesar los recuentos genuinos".

Otros especialistas coincidieron en que a su vez, el escrutinio podría cambiarse mediante un certificado SSL validado por la empresa Magic Software Argentina (MSA) si una persona con una computadora conectada a Internet puede hacerse pasar por la terminal que transmite los datos del escrutinio.

Los técnicos contratados por la firma especialmente para las elecciones porteñas pueden acceder a los certificados SSL utilizando su nombre de usuario y una contraseña generada a partir de una dirección de correo electrónico. Este procedimiento es un punto débil del sistema y no tiene un proceso de validación doble.

Varios analistas de seguridad pudieron obtener de esta forma esos certificados sin ningún impedimento especial. Actualmente, el sitio http://caba.operaciones.com.ar no se encuentra online porque MSA, tras ser notificada de este agujero de seguridad, comenzó un proceso de auditoría.

El Sistema de Boleta Única Electrónica (BUE) que se implementará en las elecciones generales del 5 de julio, utiliza dos máquinas: una es el terminal de votación con el que interactúan los votantes y se realiza el recuento. La otra máquina es la que se usa para transmitir los datos del escrutinio desde cada escuela al centro de cómputos.
Esta segunda máquina está conectada a Internet y es la que mediante los certificados SSL obtenidos puede ser clonada.