Los sitios web de las elecciones de los condados de EE. UU. (Aún) no cumplen con las medidas de seguridad básicas


En enero de 2020, McAfee publicó los resultados de una encuesta que establecía el alcance del uso de la validación .GOV y el cifrado HTTPS entre los sitios web del gobierno de los condados en 13 estados que se prevé que serán críticos en las elecciones presidenciales de EE. UU. De 2020. La investigación fue el resultado de mi preocupación de que la falta de .GOV y HTTPS entre los sitios web del gobierno del condado y los sitios web específicos de las elecciones podría permitir a los actores maliciosos nacionales o extranjeros crear sitios web falsos y utilizarlos para difundir desinformación en las últimas semanas y días antes hasta el día de las elecciones de 2020.

Después, informes surgidos en agosto que el Oficina Federal de Investigaciones de EE. UU., entre marzo y junio, había identificado docenas de sitios web sospechosos creados para parecer dominios electorales estatales y federales oficiales de EE. UU., algunos de ellos haciendo referencia a votaciones en estados como Pensilvania, Georgia, Tennessee, Florida y otros.

Estas revelaciones nos obligaron a realizar una encuesta de seguimiento de los sitios web de elecciones del condado en los 50 estados de EE. UU.

Por qué son importantes .GOV y HTTPS

El uso de un dominio web .GOV refuerza la legitimidad del sitio. Las entidades gubernamentales que compran dominios web .GOV han presentado pruebas al gobierno de los EE. UU. De que realmente son los gobiernos locales, del condado o estatales legítimos que decían ser. Los sitios web que utilizan nombres de dominio .COM, .NET, .ORG y .US se pueden comprar sin dicha validación, lo que significa que no existe una autoridad de gobierno que impida que las partes malintencionadas utilicen estos nombres para configurar y promover cualquier número de dominios web fraudulentos que imiten a los legítimos. dominios del gobierno del condado.

Un adversario podría usar sitios web de elecciones falsos para desinformar y suprimir votantes al dirigirse a ciudadanos específicos en estados indecisos con información engañosa sobre los candidatos o información inexacta sobre el proceso de votación, como el lugar y la hora de la votación. De esta manera, un actor malintencionado podría afectar los resultados de las elecciones sin interactuar física o digitalmente con las máquinas o sistemas de votación.

La medida de encriptación HTTPS asegura a los ciudadanos que cualquier información de registro de votantes compartida con el sitio está encriptada, brindando mayor confianza en la entidad con la que están compartiendo esa información. Los sitios web que carecen de la combinación de .GOV y HTTPS no pueden proporcionar una garantía del 100% de que los votantes que buscan información electoral estén visitando sitios web legítimos de elecciones del condado y del condado. Esto deja una oportunidad para que los actores malintencionados roben información o establezcan esquemas de desinformación.

Recientemente demostré cómo se crearía un sitio web falso imitando un sitio web electoral genuino del condado y luego insertando información engañosa que podría influir en el comportamiento de los votantes. Esto se hizo en un entorno de laboratorio aislado que no era accesible a Internet para no crear confusión para los votantes legítimos.

(incrustar) https://www.youtube.com/watch?v=_H_M9N4tntw (/ incrustar)

En muchos casos, los sitios web electorales se han creado para proporcionar una experiencia de usuario sólida en lugar de centrarse en mitigar las preocupaciones de que podrían falsificarse para explotar las comunidades a las que sirven. Los actores malintencionados pueden hacer pasar sitios web de elecciones falsos y engañar a un gran número de votantes antes de que las organizaciones gubernamentales los detecten. Una campaña cerca del día de las elecciones podría confundir a los votantes y evitar que se emitan votos, lo que provocaría la pérdida de votos o una pérdida general de confianza en el sistema democrático.

Resultados de la encuesta de septiembre de 2020

La encuesta realizada por McAfee en septiembre sobre los sitios web de la administración electoral del condado en los 50 estados de EE. UU. (3089 condados) encontró que El 80,2% de los sitios web o páginas web de administración electoral carecen de la validación .GOV que confirma que son los sitios web que dicen ser.

Casi el 45% de los sitios web o páginas web de administración electoral carecen del cifrado HTTPS necesario para evitar que terceros redirijan a los votantes a sitios web falsos o roben la información personal de los votantes.

Solo el 16,4% de los sitios web electorales de los condados de EE. UU. Implementan la validación .GOV y el cifrado HTTPS del gobierno de EE. UU.

Estados # Condados # .GOV % .GOV # HTTPS % HTTPS # AMBOS %AMBOS
Alabama 67 8 11,9% 26 38,8% 6 9,0%
Alaska 18 1 5,6% 12 66,7% 1 5,6%
Arizona 15 11 73,3% 14 93,3% 11 73,3%
Arkansas 75 18 24,0% 30 40,0% 17 22,7%
California 58 8 13,8% 45 77,6% 6 10,3%
Colorado 64 21 32,8% 49 76,6% 20 31,3%
Connecticut 8 1 12,5% 2 25,0% 1 12,5%
Delaware 3 0 0,0% 0 0,0% 0 0,0%
Florida 67 4 6,0% 64 95,5% 4 6,0%
Georgia 159 40 25,2% 107 67,3% 35 22,0%
Hawai 5 4 80,0% 4 80,0% 4 80,0%
Idaho 44 6 13,6% 28 63,6% 5 11,4%
Illinois 102 14 13,7% 60 58,8% 12 11,8%
Indiana 92 28 30,4% 41 44,6% dieciséis 17,4%
Iowa 99 27 27,3% 80 80,8% 25 25,3%
Kansas 105 8 7,6% 46 43,8% 2 1,9%
Kentucky 120 19 15,8% 28 23,3% 15 12,5%
Luisiana 64 5 7,8% 12 18,8% 2 3,1%
Maine dieciséis 0 0,0% 0 0,0% 0 0,0%
Maryland 23 9 39,1% 22 95,7% 8 34,8%
Massachusetts 14 3 21,4% 5 35,7% 2 14,3%
Michigan 83 9 10,8% 63 75,9% 9 10,8%
Minnesota 87 5 5,7% 59 67,8% 5 5,7%
Misisipí 82 8 9,8% 30 36,6% 5 6,1%
Misuri 114 8 7,0% 49 43,0% 7 6,1%
Montana 56 15 26,8% 21 37,5% 8 14,3%
Nebraska 93 35 37,6% 73 78,5% 32 34,4%
Nevada dieciséis 3 18,8% 13 81,3% 2 12,5%
New Hampshire 10 0 0,0% 0 0,0% 0 0,0%
New Jersey 21 3 14,3% 11 52,4% 2 9,5%
Nuevo Mexico 33 7 21,2% 20 60,6% 6 18,2%
Nueva York 62 15 24,2% 48 77,4% 14 22,6%
Carolina del Norte 100 37 37,0% 69 69,0% 29 29,0%
Dakota del Norte 53 3 5,7% 19 35,8% 2 3,8%
Ohio 88 77 87,5% 88 100,0% 77 87,5%
Oklahoma 77 1 1,3% 24 31,2% 1 1,3%
Oregón 36 1 2,8% 22 61,1% 0 0,0%
Pensilvania 67 11 16,4% 40 59,7% 7 10,4%
Rhode Island 5 2 40,0% 3 60,0% 0 0,0%
Carolina del Sur 46 15 32,6% 33 71,7% 13 28,3%
Dakota del Sur 66 2 3,0% 14 21,2% 1 1,5%
Tennesse 95 23 24,2% 38 40,0% 12 12,6%
Texas 254 10 3,9% 86 33,9% 6 2,4%
Utah 29 8 27,6% dieciséis 55,2% 7 24,1%
Vermont 14 0 0,0% 0 0,0% 0 0,0%
Virginia 95 33 34,7% 61 64,2% 35 36,8%
Washington 39 7 17,9% 26 66,7% 6 15,4%
Virginia del Oeste 55 18 32,7% 33 60,0% dieciséis 29,1%
Wisconsin 72 dieciséis 22,2% 61 84,7% 11 15,3%
Wyoming 23 4 17,4% 15 65,2% 2 8,7%
Total 3089 611 19,8% 1710 55,4% 507 16,4%

Descubrimos que los estados del campo de batalla estaban en gran parte en una mala posición cuando se trataba de .GOV y HTTPS.

Solo el 29% de los sitios web electorales usaban .GOV y HTTPS en Carolina del Norte, 22% en Georgia, 15,3% en Wisconsin, 10,8% en Michigan, 10,4% en Pensilvaniay 2,4% en Texas.

Mientras que el 95,5% de Florida'Como los sitios web y las páginas web de las elecciones del condado utilizan cifrado HTTPS, solo el 6% por ciento valida su autenticidad con .GOV.

Durante la encuesta de enero de 2020, solo 11 Iowa Los condados protegieron sus páginas y dominios de administración electoral con validación .GOV y cifrado HTTPS. Para septiembre de 2020, ese número aumentó a 25 cuando 14 condados agregaron la validación de .GOV. Pero el 72,7% de los sitios y páginas electorales de los condados del estado todavía carecen de la validación oficial de su autenticidad por parte del gobierno de EE. UU.

Alternativamente, Ohio lideró el grupo de encuestas con el 87.5% de las páginas web y dominios electorales validados por .GOV y protegidos por cifrado HTTPS. Cuatro de cinco (80%) Hawai los condados protegen sus principales páginas web de condado y elecciones con validación y cifrado .GOV y el 73,3% de Arizona Los sitios web de elecciones del condado hacen lo mismo.

Que no esta funcionando

Lugares de elección separados. Hasta 166 condados establecieron sitios web que estaban completamente separados del dominio web principal de su condado. Los sitios electorales separados pueden tener nombres de dominio fáciles de recordar y fáciles de usar para hacerlos más accesibles para la audiencia más amplia posible de ciudadanos. Los ejemplos incluyen el de mi propio condado www.votedenton.com tanto como www.votestanlycounty.com, www.carrollcountyohioelections.gov, www.voteseminole.orgy www.worthelections.com.

El problema con estos dominios específicos de elecciones es que, si bien el 89,1% de estos sitios tienen HTTPS, el 92,2% carece de validación .GOV para garantizar que pertenecen a los gobiernos del condado que afirman. Además, solo el 7,2% de estos dominios tienen implementados tanto .GOV como HTTPS. Esto sugiere que las partes malintencionadas podrían configurar fácilmente numerosos sitios web con dominios con nombres similares para falsificar estos sitios legítimos.

No en NUESTRO sitio web. Algunos condados más pequeños con pocos recursos a menudo razonan que pueden informar y proteger a los votantes simplemente vinculando los sitios web de sus condados a los sitios oficiales de elecciones de sus estados. Otros condados más pequeños han sugerido que las plataformas de redes sociales como Facebook son preferibles a los sitios web de elecciones para llegar a los votantes conocedores de Internet.

Desafortunadamente, ninguno de estos enfoques evita que los actores malintencionados falsifiquen las propiedades web del gobierno de su condado. Dichos actores aún podrían crear sitios web falsos independientemente de si los sitios web genuinos se vinculan a un sitio web electoral estatal validado por .GOV o si los condados configuraron páginas electorales de Facebook increíbles.

De hecho, Facebook no es una entidad gubernamental enfocada en validar que las páginas organizacionales o grupales sean propiedad de las entidades que dicen ser. La plataforma podría ser utilizada fácilmente por partes malintencionadas para crear páginas falsas que difundan desinformación sobre dónde y cómo votar durante las elecciones.

No es NUESTRO trabajo. McAfee descubrió que los votantes de algunos estados podrían ser susceptibles a sitios web de elecciones de condado falsos a pesar de que sus condados tienen poco o ningún papel en la administración de las elecciones. Estados como Connecticut, Delaware, Maine, Massachusetts, Nueva Hampshire, Rhode Island y Vermont administrar sus elecciones a través de sus gobiernos locales, lo que significa que cualquier información electoral solo está disponible en los sitios web de los estados y los sitios web que pertenecen a las principales ciudades y pueblos. Si bien este arreglo dificulta las comparaciones de sitios web a nivel de condado con otros estados para el propósito de nuestra encuesta, no hace que los votantes de estos estados sean menos susceptibles a las versiones falsas del sitio web de su condado.

Debe haber una receta para la seguridad e integridad de los sitios web gubernamentales, como los sitios web electorales, y esa receta debe ser .GOV y HTTPS.

Qué está funcionando: la zanahoria y el palo

La posición de liderazgo de Ohio en nuestra encuesta parece ser el resultado de una iniciativa estatal para la transición del contenido relacionado con las elecciones del condado a propiedades web validadas por .GOV. El Secretario de Estado de Ohio utilizó el enfoque "del palo" al exigir por orden oficial que los condados implementen .GOV y HTTPS en sus propiedades web electorales. Si los condados no podían mover sus sitios web existentes a .GOV, él ofreció "la zanahoria" de permitirles aprovechar el dominio del estado.

Posteriormente, la mayoría de los condados ha realizado la transición de los sitios web principales del condado a dominios .GOV, sus sitios web específicos de elecciones a dominios .GOV o sus páginas web específicas de elecciones a .GOV validado por Ohio. https://ohio.gov/ dominio.

Ejemplos:

Si bien los principales sitios web de los condados de Ohio todavía carecen en gran medida de la validación .GOV, Ohio proporciona un mecanismo para que los votantes evalúen rápidamente si el sitio web principal de las elecciones es real o potencialmente falso. Otros estados deberían considerar tales estrategias provisionales hasta que todos los sitios web locales y del condado con funciones electorales puedan pasar por completo a .GOV.

En última instancia, el objetivo final del éxito debería ser que podamos decirles a los votantes que si no ven .GOV y HTTPS, no deberían creer que un sitio web es legítimo o seguro. Lo que les decimos a los votantes debe ser así de simple, porque el público en general carece de conocimientos técnicos para determinar los sitios reales de los sitios falsos.

Para obtener más información sobre nuestra investigación del sitio web del condado .GOV-HTTPS, posibles campañas de desinformación, otras amenazas a nuestras elecciones y consejos de seguridad para los votantes, visite nuestra página Elecciones 2020: https://www.mcafee.com/enterprise/en-us/2020-elections.html





Enlace a la noticia original