Investigadores del MIT revelan vulnerabilidades en la aplicación de elección de votación móvil de Voatz


voatz.jpg

Imagen: Voatz, Joseph Chan

Los académicos del laboratorio de informática del MIT han publicado hoy una auditoría de seguridad de Voatz, una aplicación móvil utilizada para votar en línea durante las elecciones intermedias de EE. UU. de 2018 y programada para ser utilizada nuevamente en las próximas elecciones presidenciales de 2020.

Los académicos del MIT afirman que identificaron errores que podrían permitir a los piratas informáticos «alterar, detener o exponer cómo ha votado un usuario unique».

«Además, encontramos que Voatz tiene una serie de problemas de privacidad derivados del uso de servicios de terceros para la funcionalidad essential de la aplicación», dijo el equipo de investigación en un documento técnico lanzado hoy.

«Nuestros hallazgos sirven como una ilustración concreta de la sabiduría común contra el voto por Web y de la importancia de la transparencia para la legitimidad de las elecciones», agregaron los investigadores.

Los académicos del MIT instan a los estados a continuar usando boletas de papel en lugar de aplicaciones móviles que transmiten votos por World-wide-web.

Dicen que el sistema actual de votación en papel está diseñado para ser transparente y permitir a los ciudadanos y partidos políticos observar el proceso de votación.

«La aplicación y la infraestructura de Voatz eran completamente de código cerrado», dijo James Koppel, uno de los académicos del MIT.

«Solo pudimos acceder a la aplicación en sí», agregó Koppel, explicando que la investigación solo auditó la aplicación que está instalada en los dispositivos de los votantes, pero no el backend de la aplicación, que podría contener otros problemas.

Voatz minimiza los resultados de la investigación

El equipo de investigadores dijo que notificó sus hallazgos a la Agencia de Infraestructura y Seguridad Cibernética del Departamento de Seguridad Nacional (DHS CISA).

El documento de auditoría de seguridad de Voatz dice que Voatz reconoció las vulnerabilidades, pero cuestionó su gravedad. En una entrada de site publicado hoy, el equipo de Voatz minimizó los resultados del equipo de investigación del MIT, pero también su metodología.

Dijeron que los investigadores utilizaron una versión anterior de su aplicación que tenía 27 versiones. Sin embargo, los investigadores dijeron que probaron la versión de la aplicación Voatz que estaba disponible en Google Play Store el 1 de enero de 2020.

El equipo de Voatz también dijo que el equipo del MIT probó su aplicación fuera de línea y nunca se conectó al servidor de back again-conclusion de Voatz y, por lo tanto, nunca pasó por las capas de verificación de identidad que los servidores de Voatz obligarían a los atacantes a pasar.

«En resumen, hacer reclamos sobre un servidor backend sin ninguna evidencia o conexión con el servidor niega cualquier grado de credibilidad en nombre de los investigadores», dijo el equipo de Voatz.

«Está claro que, por la naturaleza teórica del enfoque de los investigadores, la falta de evidencia práctica que respalde sus afirmaciones, su intento deliberado de permanecer en el anonimato antes de la publicación, y su prioridad es encontrar la atención de los medios, que el verdadero objetivo de los investigadores es interrumpir deliberadamente el proceso electoral, sembrar dudas en la seguridad de nuestra infraestructura electoral y difundir el miedo y la confusión «, agregó Voatz.

Sin embargo, Voatz tiene un pasado complicado cuando se trata de tratar con investigadores de seguridad, y es conocido por su postura agresiva y su respuesta. Una razón por la cual el equipo del MIT no realizó una prueba con el backend de Voatz en vivo es que en 2018, Voatz reportó un investigador de la Universidad de Michigan al FBI por realizar un análisis dinámico de la aplicación Voatz, un incidente que se enmarcó como un intento de piratería.

Sin embargo, como señaló hoy Matthew Green, profesor de la Universidad Johns Hopkins, en su publicación de weblog, Voatz no refutó ninguna de las afirmaciones del equipo del MIT, sino que simplemente se enfocó en disputar y atacar la metodología y el equipo de investigación.

La aplicación Voatz ya se ha utilizado en varios ciclos electorales.

Actualmente, la aplicación Voatz se ha utilizado en varios ciclos electorales para permitir que los votantes militares y extranjeros emitan sus votos a través de sus teléfonos inteligentes, a través de Online.

Ha sido utilizado en West Virginia durante las elecciones intermedias de 2018 y en los condados de Denver, Colorado) y Utah (Utah) durante las elecciones municipales de 2019.

Dos condados de Oregon: Jackson y Umatilla – también han anunciado planes para comenzar a usar la aplicación para permitir que los votantes militares y extranjeros voten durante las próximas elecciones.

En el condado de Utah, la aplicación Voatz también se utilizó internamente, en los EE. UU., Y no solo para los votantes extranjeros. Durante las elecciones municipales del año pasado, los funcionarios permitieron la aplicación para ser utilizado por votantes con discapacidades. Virginia del Oeste pronto seguirá suite.

Tanto West Virginia como los condados mencionados planean continuar usando la aplicación Voatz para las próximas elecciones presidenciales de 2020 en EE. UU.

Sin embargo, actualmente la elegibilidad de la aplicación se limita a solo un puñado de categorías de votantes: individual militar, votantes en el extranjero, votantes con discapacidades: hay un rechazo cada vez mayor contra su uso y el uso de cualquier sistema de votación por Online, en normal .

La reciente debacle de la aplicación del caucus de Iowa demostró un punto de que un sistema de votación diseñado en torno a soluciones de program no probadas es actualmente demasiado frágil para errores, interferencias y probablemente retrasará y arrojará dudas sobre los resultados de una elección si algo sale mal.

«Todos tenemos interés en aumentar el acceso a la boleta electoral, pero para mantener la confianza en nuestro sistema electoral, debemos asegurarnos de que los sistemas de votación cumplan con los altos estándares técnicos y de seguridad de operación antes de que se pongan en el campo», dice Daniel Weitzner , el líder de la auditoría de seguridad del MIT en la aplicación Voatz. «No podemos experimentar con nuestra democracia».

«El consenso de los expertos en seguridad es que hoy no es posible realizar elecciones seguras por Online», agregó Koppel. «El razonamiento es que las debilidades en cualquier parte de una gran cadena pueden dar a un adversario una influencia indebida sobre una elección, y el software actual es lo suficientemente inestable como para que la existencia de fallas explotables desconocidas sea un riesgo demasiado grande para correr».

Voatz tiene recientemente minimizó temores y preocupaciones sobre la seguridad de su aplicación tras una carta del senador de Oregón Ron Wyden.

«Queremos dejar en claro que nuestras nueve elecciones piloto gubernamentales realizadas hasta la fecha, que involucran a menos de 600 votantes, se han llevado a cabo de manera segura sin problemas reportados», dijo el equipo de Voatz hoy.

Artículo actualizado una hora después de la publicación con la respuesta de Voatz a la investigación del MIT y al incidente de la Universidad de Michigan 2018.





Enlace a la noticia primary