Los piratas informáticos están dispuestos a poner en peligro su voto

Los ataques cibernéticos en las elecciones estadounidenses de 2016 hicieron que los estados reforzaran las defensas de sus sistemas de votación. No ha sido suficiente, dice Alex Halderman de la Universidad de Michigan. 15 de agosto de 2018

lyndon francés





Los piratas informáticos rusos atacaron los sistemas electorales de EE. UU. durante las elecciones presidenciales de 2016. Mucho se ha hecho desde entonces para reforzar esos sistemas, pero J. Alex Halderman, director del Centro para la Seguridad Informática y la Sociedad de la Universidad de Michigan, dice que todavía son preocupantemente vulnerables (ver Cuatro grandes objetivos en la batalla cibernética por las urnas de EE. UU. ). Revisión de tecnología del MIT Martin Giles habló sobre la seguridad electoral con Halderman, quien testificó al respecto ante el Congreso y evaluó los sistemas de votación en los EE. UU., Estonia, India y otros lugares.

Muchas cosas, desde manipulación hasta disputas de identificación de votantes, podrían socavar la integridad del proceso electoral de EE. UU. ¿Qué tan grande es el problema de la piratería en comparación?

el tema de la politica

Esta historia fue parte de nuestra edición de septiembre de 2018



  • Ver el resto del número
  • Suscribir

Cosas como el gerrymandering son una cuestión de disputas políticas dentro de las reglas del juego de la democracia estadounidense. Cuando se trata de piratería electoral, estamos hablando de ataques a los Estados Unidos por parte de gobiernos extranjeros hostiles. Eso no es seguir las reglas de la política estadounidense; eso es un intento de subvertir los cimientos de nuestra democracia.

¿Cuánto ha mejorado la seguridad electoral desde las elecciones presidenciales de EE. UU. de 2016?

Una cosa que ha mejorado es la conciencia. Los estados están dando los primeros pasos necesarios para proteger sus sistemas, como asegurarse de ejecutar análisis de vulnerabilidades en el software y que el personal electoral tenga autorización de seguridad para recibir información sobre amenazas del gobierno federal. El progreso se aceleró en marzo cuando el Congreso asignó $380 millones en nuevos fondos que ayudarán a los estados a permitirse actualizar equipos inseguros y realizar otras mejoras, pero aún queda mucho trabajo por hacer.



¿Qué elemento del proceso de votación le preocupa más?

La parte que me quita el sueño son las máquinas de votación electrónica. Cada máquina debe programarse con el diseño de la boleta, y los funcionarios electorales copian esa programación en una memoria USB o tarjeta de memoria. Si alguien puede infectar esa programación, puede propagar un ataque a las máquinas y potencialmente alterar una fracción de los votos sin que nadie lo detecte.

Consulte la historia de la barra lateral relacionada para obtener más información sobre la votación y la piratería.

  • Así es como los piratas informáticos podrían causar caos en las elecciones intermedias de EE. UU.

Entonces, ¿qué se puede hacer para abordar este riesgo?
También debemos asegurarnos de que cada voto se registre en una hoja de papel. Sin papel, es posible que no haya evidencia que podamos revisar y que revele la manipulación de votos. También debemos hacer que los ataques sean lo más difíciles posible asegurándonos de que los sistemas utilizados para programar el diseño de las boletas estén bloqueados y nunca se pueda acceder a ellos desde Internet.



¿Qué otras áreas más allá de las máquinas de votación son vulnerables?
Los sistemas de registro de votantes conectados a Internet son una gran preocupación. En 2016, uno de los ataques cibernéticos más preocupantes fueron los intentos rusos de sondear y, en algunos casos, piratear las bases de datos de registro de votantes. También debemos preocuparnos por los libros de votación electrónicos que muchos estados usan para registrar a los votantes el día de las elecciones. Este equipo a menudo está conectado en red y, si falla, podría generar caos en las urnas.

¿Cómo podemos reforzar las defensas aquí?
Lo principal es aplicar las mismas buenas prácticas de seguridad desarrolladas para proteger otras bases de datos gubernamentales e industriales. También necesitamos tener procedimientos de respaldo en caso de que la tecnología falle.

Los resultados de la auditoría pueden detectar la manipulación de votos. ¿Las auditorías postelectorales en los EE. UU. son lo suficientemente sólidas?
No. Algunos estados no verifican las boletas en absoluto; otros los examinan en una fracción fija de distritos electorales, pero en una contienda reñida, eso podría no detectar la manipulación de votos concentrada en distritos electorales que no están controlados. Necesitamos auditorías que limiten el riesgo. Aquí usted acepta de antemano la probabilidad que está dispuesto a tolerar de que el resultado de una elección sea manipulado y no detectado. Luego mira suficientes boletas de papel para que las probabilidades de que alguien se salga con la suya con el fraude sean más bajas que el porcentaje objetivo.



¿Por qué no tenemos estas auditorías en todas partes?
Los estados han tardado en adoptar nuevas formas de contrarrestar las ciberamenazas. Afortunadamente, las auditorías de limitación de riesgos no tienen que ser particularmente costosas. Cuando una elección no está reñida, es posible que pueda confirmar el resultado con una alta confianza estadística al examinar unos cientos de boletas en un estado; en elecciones extremadamente reñidas, a menudo hay que hacer un recuento automático de todos modos.

¿Sería mejor si los EE. UU. tuvieran un sistema de votación nacional exigido por el gobierno federal en lugar de muchos estados y locales diferentes?
Puede ser más fácil asegurar un sistema de votación único y unificado, pero la administración electoral en los EE. UU. es responsabilidad de los gobiernos estatales y locales, y no veo que eso cambie pronto. Lo que podemos hacer es establecer estándares nacionales para la ciberseguridad electoral que los estados deben cumplir o superar.

¿Se podría vincular el dinero federal para asegurar las elecciones con la adopción de esos estándares a nivel estatal?
Eso podría ser bastante efectivo, y hay un proyecto de ley bipartidista en el Congreso llamado Ley de Elecciones Seguras que haría precisamente eso.

¿Qué tendría que pasar para que la votación en línea, al estilo de Estonia, sea ampliamente viable en los EE. UU.?
La votación en línea conlleva riesgos extremadamente grandes. Debe proteger los servidores conectados a Internet que ejecutan las elecciones de adversarios sofisticados y proteger los propios dispositivos de los votantes del malware. Es por eso que Estonia es el único país donde las elecciones nacionales se realizan en gran medida en línea, y es poco probable que su sistema resista un ataque concertado. Pueden pasar décadas antes de que podamos proteger los sistemas en línea al mismo nivel que esperamos de votar en los lugares de votación hoy.

Algunas personas han planteado la idea de sistemas de votación basados ​​en blockchain. ¿Eres un fanático?
Blockchain no soluciona las partes difíciles de asegurar las elecciones en línea. Es solo otra forma de registrar votos. Si los atacantes comprometen los dispositivos de los votantes o los servidores que registran los votos y los registran en la cadena de bloques, aún pueden manipular los resultados de las elecciones. No hay soluciones fáciles aquí.

esconder