En la actualidad, muchas actividades de la vida cotidiana como el pago de cuentas, las adquisiciones de servicios, trámites legales, entre otros, pueden ser realizados a través de Internet. La posibilidad de que los ciudadanos de un país puedan votar por Internet es otra posibilidad que ofrece este medio en línea. A raíz de lo sucedido con Miley Cyrus (foto de Terry Richardson) y la votación de la revista TIME, ¿Será el voto electrónico un sistema seguro?
Antes de entrar en detalles sobre este tema, es importante considerar que todos los sistemas informáticos (computadoras personales, teléfonos inteligentes, infraestructura industrial, etc.) están desarrollados por seres humanos. Esto significa que cualquiera de estas plataformas puede tener errores de programación o de otro tipo que las haga proclives a ser vulneradas por un atacante.
De igual modo, estos sistemas informáticos pueden ser protegidos para que la viabilidad de un posible ataque se dificulte considerablemente. En este contexto, los bancos implementan medidas de seguridad para mitigar el impacto de las amenazas informáticas, sin embargo, la posibilidad de que un sistema sea comprometido existe y no por eso las personas dejan de utilizar la banca en línea.
Más allá que algunos países como Estados Unidos y Australia implementan sistemas de votación popular online, existen otras empresas que utilizan esta misma mecánica con otros fines como la elección del personaje del año. En esta línea, la revista TIME llevó a cabo un sistema que le permitió a los usuarios poder votar en línea por la persona del año. Para que esto se concretara, era necesario identificarse utilizando la cuenta de Facebook o Twitter.
Hasta acá todo parecía normal, no obstante, dos investigadores (Gains y Marek) lograron desarrollar una aplicación en C# y Ruby que permitía votar arbitrariamente por un determinado personaje utilizando las cuentas de otros usuarios. Para esta prueba se eligió posicionar a Miley Cyrus como el personaje del año. Mediante el uso de la herramienta y los ID públicos de las cuentas de Facebook de algunos usuarios, los investigadores pudieron posicionar a la cantante como una de las favoritas del ranking. El problema es que en ningún momento esos usuarios notaron que sus cuentas fueron utilizadas con tales fines.
Aunque en este caso las repercusiones no fueron graves puesto que los editores de TIME tienen la última palabra y no se trató de una elección de autoridades, los investigadores demostraron cómo vulnerar un sistema de votación en línea. Obviamente esto no necesariamente significa que otros sistemas similares también sean vulnerables, sin embargo, la posibilidad real siempre está. En este punto es importante mencionar algunas de las amenazas informáticas que podrían afectar la seguridad de los datos, es decir, la integridad, confidencialidad y disponibilidad de la información:
Cualquiera de los ataques o amenazas mencionadas en la tabla podrían impactar significativamente en los sistemas de votación por Internet. Si bien el riesgo existe, adoptar las medidas de seguridad necesarias tanto a nivel estatal u organizacional como por parte de los usuarios, mitigaría la posibilidad que se concrete un ataque informático. Claro está que para que un sistema de voto en línea sea más seguro, se necesitará de la cooperación de quiénes lleven adelante la elección como también de aquellos que participen del sistema.
André Goujon
Especialista de Awareness & Research