SAN FRANCISCO — Con los votantes dirigiéndose a las urnas a finales de este año, asegurar las elecciones estadounidenses fue un tema frecuente en la Conferencia RSA, pero las máquinas de votación han pasado a segundo plano ante preocupaciones como las listas de votaciones y el software utilizado para informar los resultados.
Aaron Wilson, director senior de seguridad electoral del Center for Internet Security (CIS), dice que su organización tiene la solución.
Derribar una elección en 3 sencillos pasos
La tecnología electoral es más que máquinas de votación, explicó Wilson.
Los libros de votación electrónicos, por ejemplo, contienen listas de votantes elegibles, sistemas de informes de noche de elecciones, sistemas de registro de votantes y la entrega de boletas electrónicas que utilizan los ciudadanos que viven en el extranjero.
Y esos libros tienen "una mayor superficie de ataque que nuestros sistemas de votación porque [they're] conectado a Internet de una forma u otra ", dijo.
Tome la aplicación utilizada para informar los resultados del caucus de Iowa, donde un diseño deficiente llevó a una gran demora en la publicación de los resultados.
Ataque de denegación de servicio
Wilson tiene tres preocupaciones relacionadas con las elecciones que cree que es probable que ocurran.
El primero es un ataque de denegación de servicio (DoS).
En este escenario, los atacantes pueden inundar sitios web o servicios críticos con solicitudes falsas que los inutilizan.
Es "particularmente preocupante para mí porque sabes exactamente cuándo emprender el ataque", dijo Wilson.
Ataque de ransomware
De manera similar, Wilson teme un ataque de ransomware, que podría retener la infraestructura crítica o los datos como rehenes y llevar una elección al caos.
El año pasado fue un año excepcional para el ransomware, con hospitales y municipios entre las víctimas.
Al igual que con un ataque DoS, los malos sabrían que si lanzan el ataque el día de las elecciones, será mucho más difícil para los funcionarios recuperarse e informar los resultados.
Estos dos ataques ofrecen "el mejor retorno de la inversión para un atacante racional ...
y estamos de acuerdo en que son actores racionales", dijo Wilson.
Modificación de datos no autorizada
El último ataque probable que Wilson imagina es la modificación de datos no autorizada.
Esto incluiría "cualquier cosa, desde la alteración del sitio web hasta la manipulación de los resultados transmitidos a un portal en línea".
Un sitio web desfigurado podría usarse para difundir desinformación, tal vez fechas incorrectas o lugares de votación.
La manipulación de los totales de votos es una verdadera pesadilla y demuestra cómo se pueden influir los resultados o la confianza en las elecciones sin tocar las máquinas de votación o las boletas.
Realice copias de seguridad temprano y con frecuencia
La tecnología electoral siempre ha sido una industria de nicho, y eso es aún más cierto para las tecnologías de apoyo, dijo Wilson.
De las empresas que atienden este espacio, la más grande tiene entre 40 y 50 empleados.
Wilson y el CIS han recopilado 160 mejores prácticas, que se dividen en grupos que van desde tácticas fáciles hasta tácticas avanzadas, para que las empresas puedan aumentar rápidamente la seguridad básica.
“Si bien lo diseñamos para los proveedores de tecnología, también queríamos darles a los funcionarios electorales algo para leer y comprender”, dijo Wilson.
El objetivo es "enseñarles las preguntas correctas que deben hacerles a sus proveedores de tecnología y a su personal".
Las empresas y las organizaciones electorales deberían, por ejemplo, configurar comunicaciones de respaldo en caso de que las líneas establecidas estén desactivadas.
Durante las asambleas de Iowa, el número de teléfono de respaldo para informar los resultados fue atado por los trolls de 4chan.
Recomendado por nuestros editores
Wilson también enfatizó la planificación avanzada.
Las personas deben conocer sus roles en una situación de emergencia, por ejemplo.
También hizo hincapié en que las empresas y las agencias electorales deberían tener copias de seguridad completas del sistema de sus equipos y capacitarse sobre cómo acceder y distribuir rápidamente esas copias de seguridad.
Eliminación de complejas y costosas actualizaciones de equipos
CIS también diseñó un sistema para probar y validar sistemas y actualizaciones de esos sistemas, llamado RABET-V.
“El proceso actual del sistema de votación no apoya muy bien el cambio”, dijo Wilson.
"Los cambios, incluidos los parches de seguridad, son costosos de implementar".
Otros oradores en la Conferencia RSA tocaron el tema de la certificación del equipo de votantes, donde actualmente hay "desincentivos para actualizar ese equipo", dijo Jeffrey Rothblum, miembro del personal profesional senior del Comité de Asuntos Gubernamentales y Seguridad Nacional del Senado.
El problema es que para aplicar una actualización es necesario volver a certificar el equipo, lo que crea una "falsa elección entre una cosa certificada y otra más segura", dijo Rothblum.
Con RABET-V, un sistema puede tardar entre 2 y 3 meses en aprobar una revisión inicial, pero las revisiones posteriores serían mucho más rápidas.
Este mes se lanzó un programa piloto RABET-V con dos sistemas de libros de votación, dos sistemas de informes de resultados y una plataforma de auditoría, y el objetivo es refinar aún más RABET-V y convertirlo en un proceso viable.
“Estamos presentando que podemos reducir el costo de volver a verificar un sistema”, dijo Wilson.
"Pero tenemos que poder demostrarlo".
