ATLANTA (AP) — Las máquinas de votación electrónica de un proveedor líder que se utilizan en al menos 16 estados tienen vulnerabilidades de software que las hacen susceptibles de ser pirateadas si no se abordan, dice la principal agencia de seguridad cibernética del país en un aviso enviado a los funcionarios electorales estatales.
La Agencia de Infraestructura y Seguridad Cibernética de EE. UU., o CISA, dijo que no hay evidencia de que las fallas en el equipo de Dominion Voting Systems hayan sido explotadas para alterar los resultados de las elecciones. El aviso se basa en las pruebas realizadas por un destacado informático y testigo experto en una demanda de larga duración que no está relacionada con acusaciones falsas de elecciones robadas impulsadas por el expresidente Donald Trump después de su derrota en las elecciones de 2020.
El aviso, obtenido por The Associated Press antes de su publicación prevista para el viernes, detalla nueve vulnerabilidades y sugiere medidas de protección para prevenir o detectar su explotación. En medio de un torbellino de información errónea y desinformación sobre las elecciones, CISA parece estar tratando de caminar por una línea entre no alarmar al público y enfatizar la necesidad de que los funcionarios electorales tomen medidas.
El director ejecutivo de CISA, Brandon Wales, dijo en un comunicado que "los procedimientos de seguridad electoral estándar de los estados detectarían la explotación de estas vulnerabilidades y, en muchos casos, evitarían los intentos por completo". Sin embargo, el aviso parece sugerir que los estados no están haciendo lo suficiente. Insta a tomar medidas de mitigación inmediatas, incluidas "medidas defensivas continuas y mejoradas para reducir el riesgo de explotación de estas vulnerabilidades". Esas medidas deben aplicarse antes de cada elección, dice el aviso, y está claro que eso no está sucediendo en todos los estados que usan las máquinas.
El científico informático de la Universidad de Michigan, J. Alex Halderman, quien escribió el informe en el que se basa el aviso, ha argumentado durante mucho tiempo que el uso de la tecnología digital para registrar los votos es peligroso porque las computadoras son inherentemente vulnerables a la piratería y, por lo tanto, requieren múltiples medidas de seguridad que no son uniformemente seguido. Él y muchos otros expertos en seguridad electoral han insistido en que el uso de boletas de papel marcadas a mano es el método de votación más seguro y la única opción que permite auditorías postelectorales significativas.
“Estas vulnerabilidades, en su mayor parte, no son las que podrían ser fácilmente aprovechadas por alguien que entra por la calle, pero son cosas de las que deberíamos preocuparnos que puedan ser explotadas por atacantes sofisticados, como estados nacionales hostiles, o por elección. iniciados, y tendrían consecuencias muy graves”, dijo Halderman a la AP.
Las preocupaciones sobre la posible intromisión de expertos electorales se destacaron recientemente con la acusación de la secretaria del condado de Mesa, Tina Peters, en Colorado, quien se ha convertido en una heroína para los teóricos de la conspiración electoral y se postula para convertirse en la principal funcionaria electoral de su estado. Los datos de las máquinas de votación del condado aparecieron en sitios web de conspiración electoral el verano pasado, poco después de que Peters apareciera en un simposio sobre las elecciones organizado por el director ejecutivo de MyPillow, Mike Lindell. También se le prohibió recientemente supervisar las elecciones de este año en su condado.
Una de las vulnerabilidades más serias podría permitir que el código malicioso se propague desde el sistema de gestión electoral a las máquinas en toda una jurisdicción, dijo Halderman. La vulnerabilidad podría ser aprovechada por alguien con acceso físico o por alguien que pueda infectar de forma remota otros sistemas que están conectados a Internet si los trabajadores electorales luego usan memorias USB para llevar datos de un sistema infectado al sistema de gestión electoral.
Varias otras vulnerabilidades particularmente preocupantes podrían permitir que un atacante falsifique las tarjetas utilizadas en las máquinas por los técnicos, dándole acceso al atacante a una máquina que permitiría cambiar el software, dijo Halderman.
“Los atacantes podrían entonces marcar las boletas de manera inconsistente con la intención de los votantes, alterar los votos registrados o incluso identificar las boletas secretas de los votantes”, dijo Halderman.
Halderman es un testigo experto de los demandantes en una demanda presentada originalmente en 2017 que tenía como objetivo las máquinas de votación obsoletas que usaba Georgia en ese momento. El estado compró el sistema Dominion en 2019, pero los demandantes sostienen que el nuevo sistema también es inseguro. Un informe de 25.000 palabras que detalla los hallazgos de Halderman se presentó bajo sello en un tribunal federal en Atlanta en julio pasado.
La jueza de distrito de EE. UU. Amy Totenberg, que supervisa el caso, expresó su preocupación por la publicación del informe, preocupada por la posibilidad de piratería y el uso indebido de información confidencial del sistema electoral. Ella acordó en febrero que el informe podría compartirse con CISA, que prometió trabajar con Halderman y Dominion para analizar posibles vulnerabilidades y luego ayudar a las jurisdicciones que usan las máquinas para probar y aplicar cualquier protección.
Halderman está de acuerdo en que no hay evidencia de que se explotaran las vulnerabilidades en las elecciones de 2020. Pero esa no era su misión, dijo. Estaba buscando formas de comprometer el sistema de votación ImageCast X de Dominion's Democracy Suite. Las máquinas de votación con pantalla táctil se pueden configurar como dispositivos de marcado de boletas que producen una boleta de papel o registran los votos electrónicamente.
En un comunicado, Dominion defendió las máquinas como “precisas y seguras”.
Los sistemas de Dominion han sido calumniados injustificadamente por personas que promueven la narrativa falsa de que las elecciones de 2020 le fueron robadas a Trump. Las afirmaciones incorrectas y, a veces, escandalosas de los aliados de Trump de alto perfil llevaron a la empresa a presentar demandas por difamación. Los funcionarios estatales y federales han dicho repetidamente que no hay evidencia de fraude generalizado en las elecciones de 2020, y no hay evidencia de que el equipo de Dominion haya sido manipulado para alterar los resultados.
Halderman dijo que es una "coincidencia desafortunada" que las primeras vulnerabilidades en los equipos de los lugares de votación reportadas a CISA afecten a las máquinas de Dominion.
“Hay problemas sistémicos con la forma en que se desarrolla, prueba y certifica el equipo electoral, y creo que es más probable que se encuentren problemas serios en el equipo de otros proveedores si se sometieran al mismo tipo de prueba”, dijo Halderman. .
En Georgia, las máquinas imprimen una boleta de papel que incluye un código de barras, conocido como código QR, y una lista resumida legible por humanos que refleja las selecciones del votante, y los votos se cuentan mediante un escáner que lee el código de barras.
“Cuando los códigos de barras se utilizan para tabular los votos, pueden estar sujetos a ataques que explotan las vulnerabilidades enumeradas, de modo que el código de barras es inconsistente con la parte legible por humanos de la boleta de papel”, dice el aviso. Para reducir este riesgo, recomienda el aviso, las máquinas deben configurarse, cuando sea posible, para producir "boletas tradicionales de cara completa, en lugar de boletas resumidas con códigos QR".
Las máquinas afectadas son utilizadas por al menos algunos votantes en al menos 16 estados, y en la mayoría de esos lugares son utilizadas solo por personas que físicamente no pueden llenar una boleta de papel a mano, según un rastreador de equipos de votación mantenido por el organismo de control. Votación verificada. Pero en algunos lugares, incluido todo Georgia, casi todas las votaciones en persona se realizan en las máquinas afectadas.
El subsecretario de Estado de Georgia, Gabriel Sterling, dijo que el aviso de CISA y un informe separado encargado por Dominion reconocen que "las garantías procesales existentes hacen que sea extremadamente improbable" que un mal actor pueda explotar las vulnerabilidades identificadas por Halderman. Llamó a las afirmaciones de Halderman "exageradas".
Dominion le ha dicho a CISA que las vulnerabilidades se han abordado en versiones de software posteriores, y el aviso dice que los funcionarios electorales deben comunicarse con la empresa para determinar qué actualizaciones se necesitan. Halderman probó máquinas utilizadas en Georgia y dijo que no está claro si las máquinas que ejecutan otras versiones del software comparten las mismas vulnerabilidades.
Halderman dijo que, hasta donde él sabe, "nadie más que Dominion ha tenido la oportunidad de probar sus soluciones afirmadas".
Para prevenir o detectar la explotación de estas vulnerabilidades, las recomendaciones del aviso incluyen garantizar que las máquinas de votación estén seguras y protegidas en todo momento; realizar pruebas rigurosas antes y después de las elecciones en las máquinas, así como auditorías posteriores a las elecciones; y alentar a los votantes a verificar la parte legible por humanos en las boletas impresas.
___
Esta historia se ha corregido para reflejar que a Tina Peters se le ha prohibido supervisar las elecciones de este año en su condado, no postularse para secretaria de Estado.
No hay comentarios:
Publicar un comentario
No se admiten comentarios con datos personales como teléfonos, direcciones o publicidad encubierta