Las máquinas de votación electrónica de un proveedor líder utilizado en al menos 16 estados tienen vulnerabilidades de software que las dejan susceptibles a la piratería si no se abordan, dice la principal agencia de ciberseguridad de la nación en un aviso enviado a los funcionarios electorales estatales.
EE. UU. La Agencia de Ciberseguridad e Infraestructura, o CISA, dijo que no hay evidencia de que los defectos en el equipo de los Sistemas de Votación del Dominio se hayan explotado para alterar los resultados electorales. El aviso se basa en las pruebas realizadas por un destacado informático y testigo experto en una demanda de larga duración que no está relacionada con las falsas acusaciones de una elección robada impulsada por el expresidente Donald Trump después de su derrota electoral de 2020.
El aviso, obtenido por The Associated Press antes de su esperada publicación del viernes, detalla nueve vulnerabilidades y sugiere medidas de protección para prevenir o detectar su explotación. En medio de un remolino de desinformación y desinformación sobre las elecciones, CISA parece estar tratando de caminar una línea entre no alarmar al público y enfatizar la necesidad de que los funcionarios electorales tomen medidas.
El director ejecutivo de CISA, Brandon Wales, dijo en un comunicado que «los procedimientos de seguridad electoral estándar de los estados detectarían la explotación de estas vulnerabilidades y, en muchos casos, evitarían los intentos por completo». Sin embargo, el aviso parece sugerir que los estados no están haciendo lo suficiente. Insta a medidas de mitigación rápidas, incluidas «medidas defensivas continuas y mejoradas para reducir el riesgo de explotación de estas vulnerabilidades». Esas medidas deben aplicarse antes de cada elección, dice el aviso, y está claro que eso no está sucediendo en todos los estados que utilizan las máquinas.
El informático de la Universidad de Michigan J. Alex Halderman, que escribió el informe en el que se basa el aviso, ha argumentado durante mucho tiempo que el uso de la tecnología digital para registrar votos es peligroso porque las computadoras son inherentemente vulnerables a la piratería y, por lo tanto, requieren múltiples salvaguardias que no se siguen de manera uniforme. Él y muchos otros expertos en seguridad electoral han insistido en que el uso de papeletas en papel marcadas a mano es el método más seguro de votación y la única opción que permite auditorías significativas posteriores a las elecciones.
«Estas vulnerabilidades, en su mayor parte, no son las que podrían ser fácilmente explotadas por alguien que sale de la calle, pero son cosas que deberíamos preocuparnos de que podrían ser explotadas por atacantes sofisticados, como los estados nacionales hostiles, o por expertos de las elecciones, y tendrían consecuencias muy graves», dijo Halderman a la AP.
Las preocupaciones sobre la posible intromisión de los conocedores de las elecciones se subrayaron recientemente con la acusación de la secretaria del condado de Mesa, Tina Peters, en Colorado, que se ha convertido en un héroe de los teóricos de la conspiración electoral y se está postulando para convertirse en el principal funcionario electoral de su estado. Los datos de las máquinas de votación del condado aparecieron en los sitios web de conspiración electoral el verano pasado poco después de que Peters apareciera en un simposio sobre las elecciones organizado por el CEO de MyPillow, Mike Lindell. También se le prohibió recientemente supervisar las elecciones de este año en su condado.
Una de las vulnerabilidades más graves podría permitir que el código malicioso se propague desde el sistema de gestión electoral a las máquinas de toda una jurisdicción, dijo Halderman. La vulnerabilidad podría ser explotada por alguien con acceso físico o por alguien que sea capaz de infectar de forma remota otros sistemas que están conectados a Internet si los trabajadores electorales utilizan memorias USB para llevar datos de un sistema infectado al sistema de gestión electoral.
Varias otras vulnerabilidades particularmente preocupantes podrían permitir a un atacante falsificar las tarjetas utilizadas en las máquinas por los técnicos, dando al atacante acceso a una máquina que permitiría cambiar el software, dijo Halderman.
«Los atacantes podrían entonces marcar las papeletas de manera inconsistente con la intención de los votantes, alterar los votos registrados o incluso identificar las papeletas secretas de los votantes», dijo Halderman.
Halderman es un testigo experto de los demandantes en una demanda presentada originalmente en 2017 que se centró en las máquinas de votación obsoletas que Georgia usaba en ese momento. El estado compró el sistema Dominion en 2019, pero los demandantes sostienen que el nuevo sistema también es inseguro. Un informe de 25 000 palabras que detallaba los hallazgos de Halderman se presentó bajo sello en un tribunal federal de Atlanta en julio pasado.
EE. UU. La jueza de distrito Amy Totenberg, que supervisa el caso, ha expresado su preocupación por publicar el informe, preocupándose por la posibilidad de piratería y el mal uso de información confidencial del sistema electoral. Acordó en febrero que el informe podría compartirse con CISA, que prometió trabajar con Halderman y Dominion para analizar posibles vulnerabilidades y luego ayudar a las jurisdicciones que utilizan las máquinas a probar y aplicar cualquier protección.
Halderman está de acuerdo en que no hay pruebas de que las vulnerabilidades se explotaron en las elecciones de 2020. Pero esa no era su misión, dijo. Estaba buscando formas de comprometer el sistema de votación ImageCast X de Dominion’s Democracy Suite. Las máquinas de votación con pantalla táctil se pueden configurar como dispositivos de marcado de papeletas que producen una boleta en papel o registran votos electrónicamente.
En un comunicado, Dominion defendió las máquinas como «exactas y seguras».
Los sistemas de Dominion han sido difamados injustificadamente por personas que impulsan la falsa narrativa de que las elecciones de 2020 le fueron robadas a Trump. Las afirmaciones incorrectas y a veces escandalosas de aliados de alto perfil de Trump llevaron a la empresa a presentar demandas por difamación. Los funcionarios estatales y federales han dicho repetidamente que no hay evidencia de fraude generalizado en las elecciones de 2020, y no hay evidencia de que el equipo de Dominion haya sido manipulado para alterar los resultados.
Halderman dijo que es una «desafortunada coincidencia» que las primeras vulnerabilidades en el equipo del centro de votación reportadas a CISA afecten a las máquinas Dominion.
«Hay problemas sistémicos con la forma en que se desarrolla, prueba y certifica el equipo electoral, y creo que es más probable que se encuentren problemas graves en el equipo de otros proveedores si se sometieran al mismo tipo de pruebas», dijo Halderman.
En Georgia, las máquinas imprimen una boleta en papel que incluye un código de barras, conocido como código QR, y una lista de resumen legible por humanos que refleja las selecciones del votante, y los votos son contados por un escáner que lee el código de barras.
«Cuando se utilizan códigos de barras para tabular votos, pueden estar sujetos a ataques que exploten las vulnerabilidades enumeradas de tal manera que el código de barras sea inconsistente con la parte legible por humanos de la boleta en papel», dice el asesor. Para reducir este riesgo, recomienda el aviso, las máquinas deben configurarse, siempre que sea posible, para producir «boletas tradicionales de cara completa, en lugar de papeletas sumarias con códigos QR».
Las máquinas afectadas son utilizadas por al menos algunos votantes en al menos 16 estados, y en la mayoría de esos lugares se utilizan solo para personas que no pueden llenar físicamente una boleta de papel a mano, según un rastreador de equipos de votación mantenido por el perro guardián Verified Voting. Pero en algunos lugares, incluida toda Georgia, casi toda la votación en persona se realiza en las máquinas afectadas.
El subsecretario de Estado de Georgia, Gabriel Sterling, dijo que el aviso de CISA y un informe separado encargado por Dominion reconocen que «las salvaguardias procesales existentes hacen que sea extremadamente improbable» que un mal actor pueda explotar las vulnerabilidades identificadas por Halderman. Calificó las afirmaciones de Halderman de «exageradas».
Dominion ha dicho a CISA que las vulnerabilidades se han abordado en versiones de software posteriores, y el aviso dice que los funcionarios electorales deben ponerse en contacto con la empresa para determinar qué actualizaciones son necesarias. Halderman probó las máquinas utilizadas en Georgia, y dijo que no está claro si las máquinas que ejecutan otras versiones del software comparten las mismas vulnerabilidades.
Halderman dijo que, por lo que sabe, «nadie más que Dominion ha tenido la oportunidad de probar sus soluciones afirmadas».
Para prevenir o detectar la explotación de estas vulnerabilidades, las recomendaciones del aviso incluyen garantizar que las máquinas de votación estén seguras y protegidas en todo momento; realizar rigurosas pruebas pre y posteriores a las elecciones en las máquinas, así como auditorías posteriores a las elecciones; y alentar a los votantes a verificar la parte legible por humanos en las papeletas impresas.
QAnons España 