Es evidente que la tecnología ha permitido grandes avances en distintos campos de estudio e investigación, así como en nuestra vida cotidiana, permitiendo la comunicación a cualquier parte del mundo con relativa facilidad y a bajo costo, o el acceso a la información casi de manera instantánea.
En el ámbito de los procesos electorales, el uso de la tecnología se vuelve fundamental. Como ya se ha explorado, una consideración relevante está relacionada con el voto electrónico y los riesgos de seguridad asociados a esta manera de elegir gobernantes. Junto con los beneficios que se obtienen, como la rapidez para contabilizar votos o la accesibilidad a la información, también se identifican desventajas como una mayor propensión a ataques informáticos, al utilizar más sistemas de información.
En el contexto de los comicios que se avecinan en México para el próximo fin de semana y mientras se continúan explorando otros métodos de elección, los procedimientos de cómputo continúan siendo aplicados a la actividad básica del voto a través de boletas impresas que son depositadas en urnas y posteriormente contabilizadas. En este conjunto de pasos, también es posible identificar riesgos, para los cuales la seguridad de la información juega un papel relevante.
La importancia de la seguridad de la información en las elecciones
Los países que tienen como propósito la instauración de una auténtica democracia deben alcanzar metas en diferentes ámbitos, como en temas políticos, sociales, económicos o electorales. En este último punto, resulta de vital importancia el desarrollo de procesos de elección que ofrezcan certeza y confianza al electorado sobre los resultados de las votaciones.
Aunque en muchas ocasiones esto se convierte en una tarea compleja, derivada principalmente de los posicionamientos políticos, un factor que puede contribuir a lograr la confianza consiste en desarrollar plataformas tecnológicas seguras, que permitan el cómputo de los votos, de tal forma que no se vean alteradas las preferencias ni la intención del voto de los electores que han ejercido su derecho.
En otras palabras, esto significa que los sistemas, las redes o equipos de cómputo utilizados en los procesos electorales cuenten con los mecanismos de seguridad apropiados y se apliquen prácticas de seguridad, para evitar que personas ajenas al proceso de contabilización de votos y emisión de resultados, puedan llevar a cabo actividades ofensivas, que atenten contra la confidencialidad, integridad o disponibilidad de esta información.
Por ejemplo, recientemente se ha retirado la acreditación de un sistema de voto electrónico por presentar debilidades, como el uso de contraseñas en cuentas de administrador del sistema operativo, que son fácilmente recuperables, o utilizar cifrado WEP en la red inalámbrica con sus debilidades ya conocidas. Sin ir más allá, es probable que condiciones de esta naturaleza puedan ser identificadas en los sistemas de información utilizados para el cómputo de los votos.
Diversidad de motivaciones y de amenazas informáticas
Si algún atacante se lo propone, existe la posibilidad de que pueda acceder a la información o los sistemas utilizados en los procesos electorales, ya que todas las plataformas son susceptibles de tener vulnerabilidades, mismas que pueden ser aprovechadas con fines maliciosos.
Por diferentes motivaciones, como la inconformidad con los resultados, pertenencia a grupos de hacktivismo, ideologías políticas de oposición o un afán por obtener un resultado favorable, algún interesado podría intentar tener acceso a esa información o bien contratar los servicios de personas con falta de ética y el conocimiento técnico necesario para hacerlo, lo que puede derivar en un delito informático, según el país donde se realice.
Por lo tanto, una cantidad importante de amenazas latentes deben estar consideradas durante las jornadas de elección y posterior a ellas, ya que podrían afectar los resultados o boicotear el proceso electoral.
Estas amenazas pueden ir desde denegaciones de servicio (DoS), la explotación de vulnerabilidades en el software utilizado, ataques específicos por código maliciosos, fuga de información, hasta la aplicación de ataques de Ingeniería Social utilizando distintos medios, como spear phishing, entre muchas otras.
La principal tarea: contribuir a la generación de confianza
Por todo lo anterior, la seguridad de la información juega un papel relevante en este tipo de jornadas, en donde su propósito primordial es contribuir a la generación de procesos electorales confiables, que independientemente de los resultados, puedan disipar cualquier duda sobre la manera en la que se contabilizan los votos y se obtienen los resultados.
En estos casos, seguramente existirán inconformidades por las partes no favorecidas con los resultados y se podrán poner en duda los métodos utilizados por los candidatos para ganar las elecciones, lo que se pretende evitar es que se pueda juzgar la manera en la que se conducen los procedimientos de cómputo.
También, diversos conflictos y consecuencias de gravedad pueden derivar de un incidente o incidentes de seguridad asociados a los procesos electorales. Por ejemplo, el votante que ha visto modificada su decisión, el candidato que ha perdido una elección, los partidos políticos que pueden adjudicarse una victoria de manera fraudulenta, un proyecto de gobierno que fracasa por la elección perdida o el daño a la credibilidad e imagen de las instituciones encargadas de organizar los comicios.
En este sentido, cobra mucha importancia la contribución de la seguridad de la información en actividades de esta naturaleza, donde distintas tareas que continuamente son recomendadas en esta materia deberían ser aplicadas para proteger los datos y la infraestructura tecnológica, considerando tres elementos básicos: tecnología, procesos y personas.
Por lo tanto, en la medida en la que la seguridad de la información sea involucrada en los procesos de elección (ya sean con métodos tradicionales o aquéllos que involucren al voto electrónico) esto debería redundar en una mayor transparencia, y por lo tanto en una mayor confianza por parte del electorado a la hora de adoptar nuevas prácticas.
En definitiva, se trata de un importante desafío que los profesionales de la seguridad de la información tienen en este campo: asegurar el proceso electoral con el objetivo de brindar transparencia y confianza para todos los actores de la elección.