La agencia cibernética de EEUU emite una advertencia a los funcionarios electorales: los piratas informáticos podrían explotar las vulnerabilidades en los dispositivos de Dominion Voting Systems utilizados en 16 estados.
La Agencia de Infraestructura y Seguridad Cibernética de EEUU, o CISA, dijo que no hay evidencia de que las fallas en el equipo de Dominion Voting Systems hayan sido explotadas para alterar los resultados electorales. El aviso se basa en las pruebas realizadas por un destacado informático y testigo experto en una demanda de larga duración que no está relacionada con las acusaciones de elecciones robadas impulsadas por Donald Trump después de su derrota en las elecciones de 2020.
El aviso, obtenido por el medio The Associated Press, detalla nueve vulnerabilidades y sugiere medidas de protección para prevenir o detectar su explotación. CISA parece estar tratando de caminar por una línea entre no alarmar al público y enfatizar la necesidad de que los funcionarios electorales tomen medidas.
El director ejecutivo de CISA, Brandon Wales, dijo en un comunicado que «los procedimientos de seguridad electoral estándar de los estados detectarían la explotación de estas vulnerabilidades y, en muchos casos, evitarían los intentos por completo». Sin embargo, el aviso parece sugerir que los estados no están haciendo lo suficiente. Insta a tomar medidas de mitigación inmediatas, incluidas «medidas defensivas continuas y mejoradas para reducir el riesgo de explotación de estas vulnerabilidades». Esas medidas deben aplicarse antes de cada elección, dice el aviso, y está claro que eso no está sucediendo en todos los estados que usan las máquinas.
El científico informático de la Universidad de Michigan, J. Alex Halderman, quien escribió el informe en el que se basa el aviso, ha argumentado durante mucho tiempo que el uso de la tecnología digital para registrar los votos es peligroso porque las computadoras son inherentemente vulnerables a la piratería y, por lo tanto, requieren múltiples medidas de seguridad que no son uniformemente seguidas. Él y muchos otros expertos en seguridad electoral han insistido en que el uso de boletas de papel marcadas a mano es el método de votación más seguro y la única opción que permite auditorías postelectorales significativas.
“Estas vulnerabilidades, en su mayor parte, no son las que podrían ser fácilmente aprovechadas por cualquier persona, pero son cosas de las que deberíamos preocuparnos que puedan ser explotadas por atacantes sofisticados, como estados nacionales hostiles, o por iniciados elección, y tendrían consecuencias muy graves”, dijo Halderman.
Las preocupaciones sobre la posible intromisión de expertos electorales se destacaron recientemente con la acusación de la secretaria del condado de Mesa, Tina Peters, en Colorado, quien se postula para convertirse en la principal funcionaria electoral de su estado. Los datos de las máquinas de votación del condado aparecieron en sitios web de conspiración electoral el verano pasado, poco después de que Peters apareciera en un simposio sobre las elecciones organizado por el director ejecutivo de MyPillow, Mike Lindell. También se le prohibió recientemente supervisar las elecciones de este año en su condado.
Una de las vulnerabilidades más serias podría permitir que el código malicioso se propague desde el sistema de gestión electoral a las máquinas en toda una jurisdicción, dijo Halderman. La vulnerabilidad podría ser aprovechada por alguien con acceso físico o por alguien que pueda infectar de forma remota otros sistemas que están conectados a Internet si los trabajadores electorales luego usan memorias USB para llevar datos de un sistema infectado al sistema de gestión electoral.
Varias otras vulnerabilidades particularmente preocupantes podrían permitir que un atacante falsifique las tarjetas utilizadas en las máquinas por los técnicos, dándole acceso al atacante a una máquina que permitiría cambiar el software, dijo Halderman.
“Los atacantes podrían entonces marcar las papeletas de manera inconsistente con la intención de los votantes, alterar los votos registrados o incluso identificar las papeletas secretas de los votantes”, dijo Halderman.
Halderman es un testigo experto de los demandantes en una demanda presentada originalmente en 2017 que se centró en las máquinas de votación obsoletas que usaba Georgia en ese momento. El estado compró el sistema Dominion en 2019, pero los demandantes sostienen que el nuevo sistema también es inseguro. Un informe de 25.000 palabras que detalla los hallazgos de Halderman fue presentado bajo sello en un tribunal federal en Atlanta en julio pasado.
La jueza federal de distrito Amy Totenberg, que supervisa el caso, expresó su preocupación por la publicación del informe, preocupada por la posibilidad de piratería y el uso indebido de información confidencial del sistema electoral. Ella acordó en febrero que el informe podría compartirse con CISA, que prometió trabajar con Halderman y Dominion para analizar posibles vulnerabilidades y luego ayudar a las jurisdicciones que usan las máquinas para probar y aplicar cualquier protección.
Halderman está de acuerdo en que no hay evidencia de que se explotaran las vulnerabilidades en las elecciones de 2020. Pero esa no era su misión, dijo. Estaba buscando formas de comprometer el sistema de votación ImageCast X de Dominion’s Democracy Suite. Las máquinas de votación con pantalla táctil se pueden configurar como dispositivos de marcado de boletas que producen una boleta de papel o registran los votos electrónicamente.
En un comunicado, Dominion defendió las máquinas como “precisas y seguras”.
Halderman dijo que es una «coincidencia desafortunada» que las primeras vulnerabilidades en los equipos de los lugares de votación reportadas a CISA afecten a las máquinas de Dominion.
“Hay problemas sistémicos con la forma en que se desarrolla, prueba y certifica el equipo electoral, y creo que es más probable que se encuentren problemas serios en el equipo de otros proveedores si se sometieran al mismo tipo de prueba”, dijo Halderman.
El aviso de CISA desaconseja específicamente el uso de las máquinas tal como están configuradas en Georgia, donde una boleta de papel impresa incluye un código de barras y una lista legible por humanos que refleja las selecciones del votante, y los votos se cuentan mediante un escáner que lee el código de barras.
“Cuando los códigos de barras se utilizan para tabular los votos, pueden estar sujetos a ataques que explotan las vulnerabilidades enumeradas, de modo que el código de barras es inconsistente con la parte legible por humanos de la boleta de papel”, dice el aviso. Recomienda que las máquinas de votación se configuren, si es posible, para producir “boletas tradicionales de cara completa” en lugar de boletas resumidas que usan un código de barras.
Las máquinas afectadas son utilizadas por algunos votantes en al menos 16 estados, y en la mayoría de esos lugares son utilizadas solo por personas que físicamente no pueden llenar una boleta de papel a mano, según un rastreador de equipos de votación mantenido por el organismo de control. Votación verificada. Pero en algunos lugares, incluido todo Georgia, casi todas las votaciones en persona se realizan en las máquinas afectadas.
El subsecretario de Estado de Georgia, Gabriel Sterling, dijo que el aviso de CISA y un informe separado encargado por Dominion reconocen que «las garantías procesales existentes hacen que sea extremadamente improbable» que un mal actor pueda explotar las vulnerabilidades identificadas por Halderman. Llamó a las afirmaciones de Halderman «exageradas».
Dominion le ha dicho a CISA que las vulnerabilidades se han abordado en versiones de software posteriores, y el aviso dice que los funcionarios electorales deben comunicarse con la empresa para determinar qué actualizaciones se necesitan. Halderman probó las máquinas utilizadas en Georgia y dijo que no está claro si las máquinas que ejecutan otras versiones del software comparten las mismas vulnerabilidades.
Halderman dijo que, hasta donde él sabe, «nadie más que Dominion ha tenido la oportunidad de probar sus soluciones afirmadas».
Para prevenir o detectar la explotación de estas vulnerabilidades, las recomendaciones del aviso incluyen garantizar que las máquinas de votación estén seguras y protegidas en todo momento; realizar pruebas rigurosas antes y después de las elecciones en las máquinas, así como auditorías posteriores a las elecciones; y alentar a los votantes a verificar la parte legible por humanos en las boletas impresas.