El problema delicado de la seguridad electoral: los atacantes que …



Si los defensores de las elecciones están protegiendo los votos y los adversarios están atacando algo completamente diferente, ambas partes podrían reclamar el éxito, muestra la simulación de la «Operación BlackOut».

Digamos que faltan cuatro semanas para el día de las elecciones de 2020 y los actores de amenazas están ocupados en el trabajo planeando interrumpir las elecciones. Los funcionarios electorales están trabajando para frustrar sus nefastos planes: ¿Quién saldrá victorioso? Esa es la pregunta más importante que la Operación BlackOut buscó responder en un evento electoral simulado que se llevó a cabo el 19 de agosto.

Más de 40 profesionales de la ciberseguridad se reunieron virtualmente para ver si los mecanismos esenciales de una elección estaban sujetos a un ataque exitoso y si podían defenderse de manera significativa. Los participantes provenían de organizaciones policiales, gubernamentales, consultoras de seguridad y académicas, divididas en equipos rojos y azules que disputaban una elección exitosa en la mítica ciudad de Adversaria.

Una de las reglas de la simulación fue que las máquinas de votación estaban prohibidas: el equipo rojo no podía asumir que el equipo para la votación actual fuera vulnerable.

Y eso llevó a una situación interesante y una pregunta filosófica: si lo que atacaba el adversario y lo que protegían los defensores eran dos cosas diferentes, ¿podrían ambas partes reclamar el éxito?

Cuatro semanas para las elecciones

Cada equipo presentó un desarrollo (una capacidad en desarrollo) y dos acciones en cada uno de los cuatro turnos: cada turno representó una semana de tiempo. Desde el principio, fue obvio que los dos equipos tenían prioridades diferentes.

El equipo azul se centró en proporcionar un entorno de votación seguro que estuviera disponible para tantos votantes como fuera posible. El equipo rojo buscó interrumpir la votación y reducir la confianza en los resultados de las elecciones.

Ambos equipos compartieron una comprensión temprana: la comunicación fue el principal campo de batalla. El equipo azul buscó adelantarse a la desinformación con instrucciones claras de fuentes autorizadas como el alcalde y el supervisor de elecciones, mientras que el equipo rojo recurrió a piratear cuentas de influencers en redes sociales, cuentas oficiales municipales y llamadas automáticas de desinformación para sembrar confusión.

Una de las lecciones aprendidas por ambas partes fue lo económico que fue para el equipo rojo tener un impacto en el proceso electoral. No había necesidad de «gastar» un día cero o invertir en exploits novedosos. La manipulación de las redes sociales es una táctica conocida hoy en día, mientras que las llamadas automáticas son baratas o gratuitas.

Contrarrestar las tácticas del equipo rojo se basó en la coordinación entre las diversas autoridades gubernamentales y garantizar la redundancia de la comunicación entre las agencias. Anticipar los planes de desinformación que podrían provocar disturbios también funcionó bien para el equipo azul, ya que los esfuerzos del equipo rojo para llevar la violencia a los lugares de votación fueron rechazados antes de que dieran sus frutos.

El equipo rojo también intentó interferir con la votación por correo piratearon un importante minorista en línea para enviar más paquetes a través del USPS de lo regular, y utilizaron impresoras de etiquetas para colocar códigos de barras con instrucciones para restablecer las máquinas clasificadoras en un pequeño porcentaje de esos paquetes. Si bien hubo cierta desaceleración, no hubo una interrupción significativa del correo en torno a las elecciones.

Lecciones aprendidas

El equipo azul tuvo éxito en proporcionar una votación segura para las elecciones y en asegurarse de que se contaran los votos emitidos, ya sea en persona o por correo. El equipo rojo logró generar dudas sobre la validez de las elecciones, especialmente entre los votantes de un partido. Esas dudas en el 30% de los votantes persistieron durante al menos un año después de la elección.

Entonces, ¿qué lecciones aprendieron los participantes del ejercicio?

Una lección es que el bajo costo de sembrar confusión significa que no se necesita un estado-nación: cualquier grupo con interés en interrumpir una elección o la fe en sus resultados tiene una oportunidad de hacerlo. Esa posibilidad forma parte de la próxima lección.

Nadie puede dar cuenta de todas las posibilidades el atacante todavía tiene ventaja. Para igualar un poco las probabilidades, los defensores deben considerar tantas posibilidades como puedan y asegurarse de que las líneas de comunicación y responsabilidad sean claras. Los ejercicios de mesa (como este) pueden ser cruciales para ampliar el pensamiento de los defensores sobre lo que es posible.

Esas líneas de comunicación deben ir entre las agencias gubernamentales y entre el gobierno y las organizaciones del sector privado para que se realice la posibilidad de aprender y comunicarse tanto como sea posible. Los defensores también deben desarrollar libros de jugadas para muchos escenarios y distribuirlos a las organizaciones e individuos responsables de implementar las tácticas de defensa que contienen.

Una lección remaining fue hasta qué punto «ganar» es un juego de percepción: la percepción pública debe ser que la elección es segura, precisa y confiable. En este caso, el equipo azul envió agentes de policía a los lugares de votación para tranquilizar visiblemente a los votantes de que votar es seguro. Otras ubicaciones y entornos pueden requerir otras acciones para producir los mismos resultados. Los defensores que conocen la población que están defendiendo pueden utilizar ese conocimiento para obtener los mejores resultados en una actividad crítica.

Curtis Franklin Jr. es editor senior de Dim Looking at. En esta función, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y video clip para Darkish Examining y contribuye a las actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique