Adrián Escandar 162
Adrián Escandar 162

La División de Delitos Informáticos de la Policía Metropolitana allanó anoche el domicilio del programador Joaquín Sorianello, quien había advertido la filtración de información sensible del sistema de carga de datos de la boleta única electrónica que se utilizará en las elecciones porteñas de mañana y que permite alterar el escrutinio. Es la segunda falla detectada, luego de que un grupo de informáticos denunciara ayer que el software tiene un agujero de seguridad que posibilita sumar varios votos a un candidato con una sola boleta. Esta última información fue confirmada por las autoridades.

"Después de encontrar una vulnerabilidad grave en el sistema de voto electrónico a MSA (la empresa Magic Software Argentina, que se encarga de los aspectos técnicos de la flamante modalidad electoral) están allanando mi casa los (agentes) de delitos informáticos", contó el joven a través de su cuenta de Twitter. "Parece que tocar al voto electrónico es tocar intereses muy grandes. Configuran mal un server, avisas, te allanan la casa", ironizó.

La semana pasada, tras enterarse de la falla a través de la cuenta @fraudevotar, el técnico informático había advertido a los medios y a la firma que implementará la boleta única electrónica sobre la filtración de los certificados SSL de seguridad de los terminales que envían los datos del escrutinio provisoria desde las escuelas al centro de cómputos.

"Cualquier persona malintencionada podría con estos certificados SSL enviar resultados falsos del escrutinio. También podría realizar un ataque de denegación de servicio. Es decir, transmitir tantos resultados que hagan que el sistema no pueda procesar los recuentos genuinos", explicó.

Sorianello, quien se encontraba en Bariloche -la ciudad rionegrina de la que es oriundo-, recibió el llamado de un familiar que le avisaba que los efectivos de la Policía Metropolitana estaban en la puerta de su departamento en el barrio porteño de Caballito.

El procedimiento, que fue ordenado por la jueza María Luisa Escrich, comenzó sobre las 22 y se prolongó durante más de dos horas. Según relató Sorianello en una serie de tuits, "se llevaron computadoras, kindles y toda clase de memoria".

La denuncia de Sorianello se suma a la de un grupo de informáticos que ayer presentó un documento y subió un video a YouTube (ver al final de este artículo) en los que explicó que "el sistema de voto electrónico escogido para las elecciones locales de la ciudad de Buenos Aires permite alterar los resultados del escrutinio en cada mesa" para que una boleta sume más de un voto para un candidato.

En declaraciones a La Nación, un vocero de MSA no desmintió la denuncia, pero opinó que sería casi imposible de implementar.

Ante las distintas críticas, la Defensoría del Pueblo de la Ciudad de Buenos Aires manifestó que están "analizando lo sucedido y esperando la resolución inmediata de la situación por parte de la Justicia", en relación a la seguridad de los comicios de este domingo.

En cambio, el presidente del Tribunal de Justicia, Luis Lozano, rechazó las críticas contra el mecanismo de votación que se estrenará mañana en la Ciudad. "Cumple con todas las exigencias de la ley. Es igual, mejor, muchísimo mejor o infinitamente mejor que el sistema de boletas (de papel) en todo sentido", subrayó.

La primera falla de seguridad

La semana pasada Sorianello hizo circular un mail en el que explica la supuesta falla de seguridad y que Infobae reproduce a continuación:

Los certificados SSL de los terminales que envían los datos desde las escuelas al centro de cómputos estuvieron publicados en el sitio http://caba.operaciones.com.ar por una deficiente configuración en sus servidores. Cualquier persona malintencionada podría con estos certificados SSL enviar resultados falsos del escrutinio. También podría realizar un ataque de denegación de servicio. Es decir, transmitir tantos resultados que hagan que el sistema no pueda procesar los recuentos genuinos.

¿Cómo podría un atacante cambiar el escrutinio? Mediante un certificado SSL validado por la empresa Magic Software Argentina (MSA) una persona con una computadora conectada a Internet puede hacerse pasar por el terminal que transmite los datos del escrutinio. Un certificado SSL es un archivo de datos que contiene una clave de encriptación asimétrica. Permite transmitir datos codificados y garantizar la autenticidad de una máquina conectada a Internet. El control de acceso a estos certificados es crucial para la seguridad del protocolo SSL.

Todos estos certificados están almacenados en el sitio http://caba.operaciones.com.ar propiedad de MSA. Los técnicos contratados por la empresa especialmente para las elecciones porteñas pueden acceder a los certificados SSL utilizando su nombre de usuario y una contraseña generada a partir de una dirección de mail. Este procedimiento es un punto débil del sistema y no tiene un proceso de validación doble.

En la web se encontró un listado de todas las URL de los certificados SSL: http://justpaste.it/lzap. Varios analistas de seguridad pudieron obtener de esta forma esos certificados sin ningún impedimento. Actualmente el sitio http://caba.operaciones.com.ar no se encuentra online porque MSA, al ser notificados de este agujero de seguridad, comenzaron un proceso de auditoría.

El Sistema de Boleta Única Electrónica (BUE) que se implementará en las elecciones generales del 5 de julio utiliza dos máquinas: Una es el terminal de votación con el que interactúan los votantes y se realiza el recuento. La otra máquina es la que se usa para transmitir los datos del escrutinio desde cada escuela al centro de cómputos. Esta segunda máquina está conectada a Internet y es la que mediante los certificados SSL obtenidos puede ser clonada.

La segunda falla de seguridad

voto electronico 2