El domingo 28 de abril de 2019 se celebrarán elecciones generales. Serán las decimocuartas desde la transición a la democracia. Para averiguar si estos comicios podrían ser el objetivo de un ciberataque, preguntamos a un experto de la empresa Check Point, que presta sus servicios a organizaciones públicas y privadas para que sus datos críticos y comunicaciones vía Internet estén seguras y disponibles en cualquier parte. En palabras de Eusebio Nieva, director técnico de Check Point en España y Portugal: “Nos interesa cualquier escenario que suponga un riesgo para la ciberseguridad y las consecuencias que puedan afectar tanto a las empresas como a los ciudadanos. En caso del recuento de votos electrónico, un asunto verdaderamente importante, requiere prestar la mayor atención desde un punto de vista de la ciberseguridad, puesto que hay muchas cosas en riesgo: la credibilidad del sistema de votos, la seguridad del proceso electoral y el futuro y la estabilidad de un país entero”. Nieva accede a contestar estas preguntas.

♦ diarioabierto.es: ¿Incluye la oferta de productos y/o servicios de Check Point alguna solución específica para aportar seguridad al proceso?
Eusebio Nieva: Contamos con soluciones como SandBlast Mobile, que podrían garantizar la seguridad de los dispositivos que forman parte de la solución tecnológica para el recuento de votos. Y contamos también CloudGuard, un paquete integral que ofrece medidas proactivas de protección para datos, cargas de trabajo, redes y aplicaciones en la nube.

♦ diarioabierto.es: ¿Se ocupa o se ha ocupado en el pasado de la ciberseguridad en el recuento electrónico de votos de algún Estado?
E.N.: Aunque Check Point no se ha encargado directamente de la ciberseguridad de estos aspectos en un plebiscito en España, sí que hemos aportado tecnología y productos de protección a múltiples sufragios que se han desarrollado en España a través de nuestros integradores certificados que han sido elegidos para proporcionar protección a diferentes entornos que forman parte de la infraestructura de unos comicios, como por ejemplo la sede central de publicación y recopilación de resultados.

♦ diarioabierto.es: ¿Cómo se desarrolla el recuento electrónico de votos?
E.N. El funcionamiento del recuento electrónico de votos varía en función de la tecnología que se emplee para ello, ya sea a través de máquinas táctiles y móviles, voto por Internet, sistemas biométricos, etc. En el caso de España, es fundamental destacar que el recuento en sí sigue siendo manual, es decir, los votos los cuentan los miembros de la mesa, a viva voz y con la presencia de los interventores y apoderados de todos los partidos. De cara a las elecciones generales del próximo mes de abril, se han implementado algunas soluciones de soporte tecnológico con el objetivo de optimizar la transmisión de datos de las mesas a un dispositivo central para su recopilación y posterior difusión.

♦ diarioabierto.es: ¿Qué medidas de seguridad se utilizan para ese recuento electrónico?
E.N.: Recientemente varios países europeos como Suiza han visto comprometida la seguridad de su sistema de votación electrónico. En cuanto a las medidas de seguridad, los móviles que trasmiten los datos tienen una aplicación instalada que realiza controles de validación y coherencia y elimina tareas intermedias. De esta forma, reduce los errores derivados de la cadena de transmisión de datos y permite validar en origen la información recogida en las mesas electorales.

♦ diarioabierto.es: ¿Pueden hackear el software de recuento y acceder a los datos de la ciudadanía?
E.N.: El software puede ser hackeado, pero en ningún caso se puede acceder a la identidad de los votantes. El sistema de transferencia de datos para las elecciones únicamente envía información relativa a los votos, es decir, cuántos han sido recogidos y cuantos corresponden a cada partido político. Por tanto, los votantes pueden estar tranquilos en lo relativo a su privacidad, ya que en ningún momento se incluyen datos personales en la información que se transfiere al sistema central desde la distintas mesas electorales.

♦ diarioabierto.es: ¿Es posible cambiar o eliminar votos a través de este software?
E.N. Sí. De hecho, manipular los datos en el proceso de escrutinio es precisamente el objetivo fundamental de este tipo de ataques. De esta forma, los ciberdelincuentes que se esconden detrás de estas ciberamenazas buscan dar un vuelco a los resultados, para lo cuál pueden eliminar o incluso cambiar el signo de algunos de ellos. Por otra parte, otro de los grandes peligros derivados de los ataques al sistema electrónico de escrutinio de votos es el caos y la desconfianza sobre la veracidad de los resultados obtenidos. Esto pone en jaque la credibilidad de las urnas, del sistema político y de la fiabilidad de las soluciones tecnológicas implantadas para este tipo de procesos.

♦ diarioabierto.es: Si alguna vez se pudiera votar en España vía Internet, ¿hasta qué punto se podría garantizar la seguridad del proceso?
E.N. En ciberseguridad es casi imposible adelantarse, ya que cada vez surgen nuevos tipos de ciberataques innovadores, más desarrollados y con nuevas características. En este sentido es muy difícil saber hasta qué punto se podría garantizar la seguridad del proceso puesto que cada sistema de votación cuenta con mecanismos de funcionamiento distintos y, por tanto, requiere de estrategias de seguridad diferentes. Un claro ejemplo sería el voto por Internet en el que cada ciudadano podría votar desde su propio domicilio, para lo cuál habría que garantizar la seguridad de infinidad de dispositivos, así como la red y la plataforma a través de la cuál se va a realizar el voto.

♦ diarioabierto.es: IDC Research España acaba de confirmar el inicio de una nueva era en la votación electrónica. De acuerdo con la consultora, el 15% de las regiones mundiales ejecutará pilotos de votación vía blockchain en 2020. ¿Cree usted que con la tecnología blockchain está garantizada la seguridad en la emisión de votos, por parte de los ciudadanos, y en su recuento?
E.N. Desde luego la cadena de bloques, o blockchain, podría ser una de las soluciones con más potencial. Esta tecnología, basada en la transparencia, permite que la transferencia de información entre cada una de las mesas electorales y el centro de datos general sea mucho más segura gracias al cifrado de datos. De esta forma, compartir información a través de la cadena de bloques permitiría dejar un registro de esta información, la red de nodos que ha participado en la transferencia, etc. de una forma casi incorruptible, evitando así que se pueda acceder a dicha información y manipularla.

Sin embargo, aunque potencialmente blockchain es una tecnología que puede ser susceptible de ser utilizada para este sistema, hay que garantizar algunas propiedades que exigen variaciones de la tecnología blockchain tradicional (en la forma utilizada para producir o minar bitcoins). Es decir, en un sistema de votación tradicional en el que el ejercicio del voto es voluntario (aunque debemos tener en cuenta que en algunos países es obligatorio) y secreto, debemos garantizar que la emisión del voto es única, individual, secreta y no repudiable y, a ser posible, que pueda ser inspeccionada o garantizada por agentes externos; a día de hoy habría que seleccionar con muchísimo cuidado la forma de implementación para garantizar el cumplimiento de todas estas propiedades o correríamos el riesgo de que los resultados fuesen manipulados por agentes externos. Tenemos que tener en cuenta, asimismo, las posibles vulnerabilidades del algoritmo utilizado, como por ejemplo ante ataques de un dueño mayoritario de la red de minería… en conclusión, existen aún muchos inconvenientes tecnológicos que han de ser resueltos antes de la implementación de un sistema como este y, sobre todo, garantizar la robustez del sistema frente a diferentes ataques, no solamente externos sino internos.

Más información
⇒ Seguir en Twitter a @CheckPointSpain ‏