Por estos días, muchos temen que se puedan llegar a manipular los resultados de las elecciones federales del Bundestag 2017, que tendrán lugar el 24 de septiembre en Alemania. Esta semana, un grupo de investigadores comprobó que ese temor podría convertirse en realidad.
Uno puede preguntarse hasta qué punto una elección análoga puede ser manipulada; después de todo, el 3 de marzo el Tribunal Constitucional Federal declaró inconstitucional el uso de computadoras electorales en Alemania. Y si bien los votos son emitidos en papel, se usan computadoras para tabular y transmitir los resultados.
La "adquisición, cálculo, presentación gráfica, presentación de informes y seguimiento estadístico de los resultados electorales" tiene lugar inmediatamente después de la elección por medios electrónicos, con la ayuda de computadoras. Y para el investigador Martin Tschirsich fue fácil imaginar que ese sistema podía ser vulnerable, algo que llegó a comprobar.
la transmisión de los resultados puede ser manipulada
Buscó el software en Internet y lo encontró; se llama simplemente PC-Wahl (algo así como "PC-Elección"). Según el fabricante, es "el sistema electoral más utilizado en las administraciones alemanas". Al parecer, se usa en elecciones alemanas municipales, estatales y nacionales desde hace décadas.
Hasta ahora, el recuento de votos en Alemania no se consideraba un riesgo para la seguridad. Sin embargo, incidentes como los que ocurrieron en Francia y Estados Unidos demuestran que los ciberataques externos son posibles.
No hay cifrado ni otros controles de seguridad básicos
Nadie podía ver el código fuente de PC-Wahl para evaluar su seguridad; hasta los tribunales lo impidieron, según informó el portal alemán Zeit.
Tschirsich no se contentó con esto y siguió indagando. Para su sorpresa, encontró en el sitio web de un proveedor de servicios de TI municipal un manual con datos de acceso al área de servicio interno del fabricante de PC-Wahl. Las credenciales eran: "nombre de usuario: service", "contraseña: pcwkunde". Este es un regalo para cualquier hacker, y Tschirsich lo aprovechó. Así, fue capaz de descargar y analizar partes del software.
Por su parte, el colectivo de hackers de sombrero blanco Chaos Computer Club también examinó de cerca el software PC-Wahl y publicó un análisis de su código fuente, en el que llegó a las mismas conclusiones que Martin Tschirsich. Los resultados son preocupantes, si no escandalosos.
"El análisis mostró una serie de problemas de seguridad y múltiples escenarios de ataque practicables. Algunos de estos escenarios permiten el cambio de los totales de votos a través de los límites de distritos electorales y estados", dijo un comunicado del CCC.
Además, hallaron que el mecanismo de actualización de PC-Wahl tiene una falla que permite comprometerlo con apenas un clic, y que el servidor de actualización es aparentemente inseguro.
El problema de la falsificación
El software calcula un resultado y lo guarda en un archivo no seguro, el cual es enviado por los municipios al funcionario electoral. Pero esta comunicación prescinde completamente de cifrado, autenticación y otros controles de seguridad, por lo que la transmisión de los resultados puede ser manipulada.
Estos problemas de seguridad son tan básicos que incluso un atacante moderadamente experimentado podría explotarlos.
Tras hacer estos hallazgos, el equipo del CCC informó al proveedor del software PC-Wahl, Vote-IT, así como a las autoridades. Pero luego de que se aplicaran los parches que debían corregir las fallas, lograron comprometerlo nuevamente.
La declaración del Bundeswahlleiter
Zu den Problemen mit der Software #PCWahl erklärt der Bundeswahlleiter: https://t.co/WXkdpZk495 #btw17 pic.twitter.com/rCbgLwHvsq
— Der Bundeswahlleiter (@Wahlleiter_Bund) 7. September 2017
El Bundeswahlleiter, oficial alemán encargado de supervisar las elecciones a nivel nacional, ya ha sido informado de las fallas de seguridad del software de votación. Para él, dijo, la prevención de la manipulación de los resultados electorales tiene máxima prioridad.
Según un comunicado de prensa, "el resultado de la elección final se basa en los registros electorales de los órganos electorales individuales". El Bundeswahlleiter, Dieter Sarreither, señala que la seguridad de todos los pasos del proceso es más importante que la velocidad de la comunicación de los resultados, y asegura que por esta razón una manipulación de los resultados electorales puede ser descartada.
Entre tanto, la Oficina Federal de Seguridad de la Información alemana (BSI), dijo que el fabricante de PC-Wahl está trabajando con las autoridades para mejorar la seguridad del sistema en base a las recomendaciones recibidas. Además, tranquilizó al público diciendo que los resultados electorales arrojados por el sistema siempre pueden ser verificados con los votos en papel.
Pero los expertos del Chaos Computer Club señalaron que el programa "nunca debería haber sido utilizado". Y afirman: "PC-Wahl ignora los principios básicos de seguridad y cifrado".
Sigue leyendo: Preguntas frecuentes sobre ataques a las elecciones