Los expertos en seguridad dicen que la mayoría de las máquinas de votación son seguras, pero las campañas de desinformación en plataformas como Facebook y Twitter deben abordarse.
La seguridad electoral ha adquirido una nueva importancia en la conciencia social de Estados Unidos desde las elecciones presidenciales de 2016 y en el período previo a 2020.
El New York Times tuvo un informe innovador el sábado que detalla cómo una carrera judicial en el condado de Northampton, Pennsylvania, fue casi descarrilado porque las máquinas no funcionan bien de Election Systems & Software no logró contar casi ninguno de los votos del candidato demócrata.
La situación puso de relieve el conjunto diverso de problemas que enfrentan los funcionarios de seguridad electoral en todo el país, que cada vez piden que se protejan los resultados electorales mediante el uso de papeletas de respaldo.
VER: Elecciones de mitad de período 2018: cómo 7 estados están luchando contra las amenazas de ciberseguridad de Rusia y otros atacantes (PDF gratuito) (TechRepublic Premium)
TechRepublic habló con expertos en seguridad sobre lo que se necesitaría para proteger los sistemas electorales, salvaguardar las máquinas de votación y erradicar las campañas de desinformación en los Estados Unidos.
"Las amenazas abarcan un espacio bastante vasto y diverso, que abarca desde amenazas físicas hasta máquinas de votación hasta poner en peligro, acceder o comprometer las redes y las computadoras en los comités electorales a nivel nacional o estatal", dijo Shimon Oren, jefe de ciberinteligencia de la compañía de seguridad Deep Instinto.
"Luego hay amenazas más generales de influir en el proceso electoral y las campañas", dijo Oren.
Congreso acordó invertir casi $ 400 millones en la Ley de Voto de Help America, que se filtrará a los 50 estados. El dinero está diseñado para ayudar a abordar una letanía de brechas de seguridad que afectan a las comisiones electorales en todo el país.
Según un informe de marzo del Centro Brennan para la Justicia, la Comisión de Asistencia Electoral (EAC) los estados usarán $ 136 millones para reforzar la ciberseguridad electoral, $ 103 millones para nuevos equipos de votación y otros $ 21 millones para que puedan realizar auditorías postelectorales.
Cada estado obtiene su parte de los fondos en función de la población con derecho a voto, por lo que estados como Alaska, Delaware, Montana, Vermont, Rhode Island y Wyoming están programados para alrededor de $ 3 millones, mientras que los grandes estados como California obtendrán casi $ 35 millones.
Las sumas son pálidas en comparación con lo que los expertos en seguridad dicen que es necesario teniendo en cuenta la magnitud de lo que ocurrió en 2016.
Un estudio del Comité Selecto de Inteligencia del Senado de EE. UU. dijeron 18, y tal vez más, los atacantes de Rusia accedieron a las bases de datos de registro de votantes. Si bien no hay evidencia de que los piratas informáticos pudieron eliminar personas de los sistemas de registro de votantes, el informe dice que tenían la capacidad de hacerlo.
Máquinas de votación
Más de 120 funcionarios electorales en 31 estados le dijeron al Centro Brennan que su equipo de votación estaba desactualizado y necesitaba ser reemplazado antes de las elecciones en 2020. Agregaron que dos tercios de los encuestados dijeron que no tenían los fondos que necesitaban para hacer esto a tiempo, incluso con todo el dinero nuevo asignado por el Congreso.
Unos 45 estados siguen utilizando herramientas de votación antiguas que ya no se fabrican, lo que las hace extremadamente susceptibles a ataques e infracciones. Además de las preocupaciones de seguridad cibernética relacionadas con el software inherentes al uso de equipos que no se pueden actualizar o parchar, las comisiones electorales, según los informes, ni siquiera pueden encontrar piezas de repuesto para mantener físicamente las máquinas.
Mientras que el Departamento de Defensa ha confirmado que no se cambiaron los votos reales En 2016, los 50 estados informaron intentos de entrar en su sistema.
"Ha habido múltiples publicaciones e incluso eventos en conferencias de seguridad donde las personas pudieron hackear este tipo de máquinas de votación en minutos. El hecho de que todavía se estén usando es una cuestión de dinero. A veces es pura negación del hecho de que puede ser hackeado ", dijo Oren de Deep Instinct.
El Centro Brennan calculó que costaría hasta $ 400 millones reemplazar todas las máquinas sin papel y eso no incluye todos los costos auxiliares asociados con el mantenimiento de la tecnología.
Oren dijo que las preocupaciones de costos eran lo principal que impedía a los estados actualizar las máquinas de votación.
"Muchas de las máquinas están usando una combinación entre Linux y Windows, que es la mayoría. En ambos casos, existen muchas vulnerabilidades, incluso más porque las máquinas son versiones independientes y muy antiguas de las distribuciones de Linux, "Agregó Oren.
"Muchos sistemas todavía se basan en Windows XP y eso solo lo dice todo. Hay otros sistemas operativos que ya no son compatibles o que no reciben actualizaciones de seguridad. Tienen múltiples vulnerabilidades ya conocidas, con vulnerabilidades existentes. Atacarlas no es ciencia de cohetes "Es normal y se puede hacer con herramientas y códigos disponibles".
Hay una gran discusión sobre el regreso a las papeletas, algo que el presidente Donald Trump ha pedido personalmente en entrevistas. Las boletas de papel agregan una medida de tranquilidad que no puede garantizarse con máquinas digitales solamente, que han dominado a los estados de todo el país.
Uno de los mayores fabricantes de máquinas electorales, Election Systems & Software, dejó de vender máquinas de votación sin papel en 2018 y ha estado presionando silenciosamente al Congreso para obligar a todas las máquinas de votación a tener alternativas en papel que permitan conteos manuales y auditorías posteriores a las elecciones más estrictas.
El CEO de Election Systems & Software, Tom Burt, lanzó un artículo de opinión en junio solicitando que la ley exija registros en papel.
Mientras que algunos en el Congreso acogieron con beneplácito el compromiso, el senador Ron Wyden de Oregon criticó a la compañía en un comunicado a CNN, afirmando que "después de años de vender equipos de votación que sabía que eran inseguros, y luchar con uñas y dientes contra la seguridad electoral real, ES&S finalmente está admitiendo que las boletas de papel son el sistema más seguro actualmente disponible".
Desinformación en redes sociales
Desde las elecciones presidenciales de EE. UU. De 2016, se ha publicado más información sobre la amplitud de las acciones tomadas por la Agencia de Investigación de Internet estatal de Rusia
Según el abogado especial Robert Mueller informe sobre la interferencia rusa en las elecciones presidenciales de 2016, la agencia rusa pasó cinco años usando Facebook, Instagram, Twitter y otros sitios para impulsar problemas reales, pero polémicos, y provocar un debate feroz en las plataformas de redes sociales de EE. UU.
Los informes, compilados por la Agencia Central de Inteligencia, la Oficina Federal de Investigaciones y la Agencia de Seguridad Nacional, dijeron que a pesar de no entrar en ningún sistema electoral o máquinas de votación, la agencia logró difundir propaganda o noticias falsas a más de 126 millones de personas en Facebook, 20 millones de usuarios en Instagram, 1,4 millones de usuarios en Twitter y subieron más de 1,000 videos a YouTube.
Ameesh Divatia, CEO y cofundador de la compañía de seguridad Baffle, dijo que el problema clave con la forma en que las compañías de redes sociales actuaron en 2016 se refería a las políticas de datos de usuarios. Los datos, dijo, se recopilaron sin nuestro permiso y se utilizaron para fines que los usuarios no conocían.
"No teníamos idea de que cuando permitía que esta aplicación accediera a sus datos, los datos se utilizarían para un propósito completamente diferente. Creo que la solución real a esto es exactamente lo que los europeos han implementado, el GDPR, que básicamente dice que cuando almacena datos, debe decirle al cliente por qué los está almacenando ", dijo Divatia.
"Así que hay que encontrar un propósito para ello, pero también es algo que debería ser reversible. Estados Unidos se está poniendo al día con eso".
La agencia rusa gastó solo $ 25 millones al año en su proyecto de desinformación, que involucró publicaciones, anuncios y la creación de grupos. La agencia tuvo tanto éxito que incluso logró organizar reuniones de forma remota para los miembros de ambas partes.
El informe agrega que los esfuerzos de desinformación rusos fueron impulsados por el pirateo del DNC, que le dio a los militares rusos tesoros de correos electrónicos dañinos o embarazosos que filtraron lentamente al público y a los medios durante el verano de 2016.
"Evaluamos que Moscú aplicará las lecciones aprendidas de su campaña ordenada por Putin dirigida a las elecciones presidenciales de EE. UU. Para influir en los esfuerzos futuros en todo el mundo, incluso contra los aliados de EE. UU. Y sus procesos electorales". el informe del Director de Inteligencia Nacional dijo.
Las campañas de desinformación funcionan porque son baratas y más efectivas que cualquier otro método de interrupción electoral, según Andrew Peterson, CEO y fundador de la compañía de seguridad Signal Sciences.
"Se ha demostrado que tuvo un impacto. ¿Por qué tendrían que hackear el material electoral real, especialmente cuando cada estado y cada recinto tienen su propia tecnología o su propia forma de votar? Por lo tanto, es bastante complicado averiguar quién es ejecutar qué tecnología y tomará una tonelada de investigación o una buena cantidad de poder de hackers para hacer eso ", dijo Peterson.
"Facebook y otras plataformas de redes sociales le brindan herramientas para apuntar a ubicaciones muy específicas para que puedan ser realmente eficientes con su tiempo y recursos para obtener el resultado que desean".
Peterson dijo que era confuso que las compañías de redes sociales permitieran que estas campañas de desinformación se volvieran locas y que hayan hecho poco para abordar el problema desde 2016. Solo Twitter ha prohibido por completo los anuncios políticos, pero la línea entre lo que constituye un anuncio político es turbia y deja espacio para atacantes para replicar gran parte de lo que se hizo durante las elecciones de 2016.
"Como formulador de políticas, pediría más transparencia a esas organizaciones para ayudar no solo a comprender lo que están haciendo para tratar de detener de forma proactiva la desinformación que conduce a las elecciones, sino una de las otras cosas que serían beneficiosas para el el público debe preguntar a las compañías de redes sociales si tienen la visibilidad de qué áreas específicas están siendo más focalizadas con este tipo de campañas de desinformación ", dijo Peterson.
"Son los únicos que tienen esa información. Tienen las llaves de su propia plataforma. Cuán valioso sería si pudieran decir a los precintos específicos en estas partes específicas de estos condados en estos estados que están siendo atacados hoy. Recintos puede intentar activamente defenderse de eso. Con esa información, al menos advertir a los lugares que obviamente están siendo atacados que luego pueden salir e informar a sus propias comunidades. Pueden decir 'Deberíamos estar en alerta adicional porque tenemos alguna evidencia de que nuestra área está siendo atacada '".
Popularización de la ciberseguridad y soluciones futuras.
Múltiples expertos en seguridad dijeron que el fiasco en 2016 tuvo la consecuencia involuntaria de popularizar la conversación sobre la seguridad electoral. Solo la discusión de los problemas de seguridad ha hecho que más personas sean conscientes y estén atentas para protegerse contra una variedad de amenazas.
Esta popularización se ha reducido a campañas y comisiones electorales locales, cuyos funcionarios ahora saben que deben tener algún tipo de sistema de seguridad electoral. Los equipos de seguridad ahora están en mejores condiciones para gestionar las amenazas porque más personas conocen las campañas de phishing y otras tácticas que los atacantes pueden usar para infiltrarse en los sistemas.
Peterson dijo que era vital que el estadounidense promedio entienda por qué la ciberseguridad es importante en el contexto de las campañas. Con la automatización, los atacantes pueden ampliar su base de ataque y perseguir estados que pueden no pensar que son susceptibles a la desinformación o los intentos reales de entrar en los sistemas electorales.
Si bien el aumento de la financiación y la concienciación fue un paso positivo en la dirección correcta, no puede resolver todos los problemas.
Lo que exacerbó el problema en 2016 fue la relativa inexperiencia y la falta general de interés en la ciberseguridad tanto de las campañas como de las comisiones electorales. Peterson dijo que las comisiones electorales no pueden ver la adopción de nueva tecnología como una compra única. Cualquier software nuevo debe actualizarse constantemente porque las tácticas de los piratas informáticos evolucionan constantemente.
"La forma en que construimos sistemas o proyectos que son proyectos de tecnología relacionados con el gobierno no es cómo funciona el software moderno. En un sistema de gobierno donde paga a una entidad externa para construir software y luego se van una vez que finaliza el proyecto. Eso no es ser responsables de la actualización. Debemos mejorar la forma en que construimos, administramos e implementamos tecnología en nuestros sistemas de gobierno para realmente ser buenos en seguridad ", dijo Peterson.
"No podemos tratar estas cosas como proyectos únicos que existen para los próximos seis meses y luego, una vez que haya terminado. Una vez que haya hecho el activo, es su trabajo asegurar eso. No es solo un punto en el tiempo para marque una casilla. Debe ser monitoreado y defendido constantemente ".
La naturaleza de bajo costo de lo que hizo la agencia rusa hace que sea casi seguro que varios países harán más intentos para interrumpir la conversación en torno a las elecciones de 2020. El ataque de DNC provocó que cada campaña piense en la seguridad y tenga una mayor conciencia de qué tipo de ataques están presentes.
Según Oren y Peterson, a cada estado se le debe asignar un funcionario designado de seguridad cibernética bipartidista para administrar la seguridad de las campañas y los sistemas electorales locales.
Debe haber un mayor uso de la automatización en los sistemas de defensa y una mayor movilización del talento de ciberseguridad del país, que está ansioso por ayudar pero tiene sido desactivado por luchas internas políticas dentro de la Comisión de Asistencia Electoral.
"Es muy difícil para las organizaciones en asuntos como la atención médica o las elecciones, cuando la mayoría de los ataques son sistemas basados en software. Si esas organizaciones no son buenas para construir software, no están en una buena posición para detener ese problema". Es muy presuntuoso pensar que solo dar dinero a las personas para manejar su seguridad lo hará todo mejor ", agregó Peterson.
"Algunos de los bancos con los que trabajamos tienen miles de personas que emplean para trabajar únicamente en seguridad y, sin embargo, todavía están siendo pirateados. Es realmente ingenuo pensar que podemos arrojar algunos dólares a la seguridad electoral y pensar que de la noche a la mañana vamos para poder hacer que esos sistemas sean mucho más seguros de lo que han sido ".
Ver también
Cabinas de votación en el Ayuntamiento de Hermosa Beach durante la Primaria de California
hermosawave, Getty Images / iStockphoto
