Nada le gana en seguridad al viejo método del lápiz y papel

En la Vote Hacking Village de la DEF CON 26 mediante simulaciones de websites eleccionarios para los niños, y demostrando las fallas de seguridad en las máquinas para emitir los votos que se utilizan en las votaciones reales, se demostró que los sistemas de tecnología desplegada en E.E.U.U. para implementar la votación electrónica son bastante vulnerables.

Este es el segundo año en que se realiza la Vote Hacking Village en DEF CON y fue una de las áreas más visitadas. En ella, hackers de todas las edades pusieron a prueba las tecnologías utilizadas para las votaciones norteamericanas.

Durante el primer día, niños y niñas atacaron lo que simuló ser un sitio web de resultados eleccionarios. El comunicado oficial de R00tz Asylum, la comunidad dedicada a enseñarle a los niños alrededor del mundo a cómo encantarse con ser hackers de “sombrero blanco”,y que organizaron la simulación, informaron que:

  • 39 niños desde los 6 a los 17 años intentaron hackear réplicas de los websites de los Secretarios de Estado de 6 estados importantes en las elecciones; 35 niños pudieron completar un exploit en estas páginas.
  • El exploit más rápido fue completado por un chico de 11 años en diez minutos; a los niños se les enseñó introductoriamente cómo realizar inyecciones SQL. Desde ahí, partieron solos y fueron capaces de completar los hacks.
  • Los niños alteraron los resultados eleccionarios, los nombres de los partidos, de los candidatos, etc; El número total de votos se cambió a números como 12 billones y los nombres de los candidatos fue cambiado a cosas como “Bob Da Builder” (Bob el Constructor) o “La Cabeza de Richard Nixon”.

Por el lado más adulto de la Village, los hackers tuvieron la oportunidad de jugar con la misma tecnología que está implementada para las votaciones que se están efectuando en los EEUU actualmente. Encontraron que las máquinas de votación Premier/Diebold TSX utilizaban certificados SSL con 5 años de antigüedad y una persona logró, mediante acceso físico, cargarle una distro de Linux para poner música (a la máquina de votación).

Respecto de las Diebold Express Poll 500, éstas fueron mucho más fáciles de hackear, ya que si tenías acceso físico a la máquina, como cuando vas a votar, puedes cambiar la tarjeta de memoria mientras votas, y que contiene contraseñas sin cifrar… Atacantes también podrían, accediendo físicamente a ellas, obtener datos sensibles sobre los votantes.

Hackers pudieron insertar tarjetas programadas para, mientras ningún vocal de mesa estuviese observando, alterar los resultados del recuento de votos y la información de registro de los votantes. Adivinen cual era la contraseña del root: “Password”, almacenada en texto plano.

La máquina VoteActive, de WinVote contiene música pop, corre Windows XP y a ella se puede acceder inalámbricamente.

Y con más descubrimientos y actividades en torno a las elecciones, la Vote Hacking Village dejó en evidencia que las máquinas no son seguras: no hay seguridad suficiente para evitar que las personas alteren las máquinas antes, después o durante el momento de emitir el voto. No hay verificación, o hay muy poca, sobre la autenticidad del código de las máquinas, y los sellos no son efectivos.

Incluso, después de su discurso, Rob Joyce, de la NSA, pasó por la Vote Hacking Village y felicitó el trabajo de los organizadores, quienes habían sido criticados por los fabricantes de las máquinas: “créanme, hay personas que van a intentar encontrar fallas en esas máquinas (eleccionarias), lo estemos haciendo públicamente acá, o no”, afirmó Joyce.

Resulta, después de todo, que los antiguos métodos del lápiz y papel y el conteo a viva voz sobre un pizarrón que utilizamos en nuestro país resultan ser más seguros, participativos y democráticos que la votación electrónica, después de todo…