Gajus - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

La falta de estándares de ciberseguridad deja al proceso electoral vulnerable

Los hackers continúan explotando vulnerabilidades en la tecnología política estadounidense, destacando la necesidad de estándares y guías de ciberseguridad para ayudar a proteger la información de los votantes.

La campaña electoral de 2016 ha sido única por razones que van más allá de los candidatos presidenciales de Estados Unidos: Por primera vez, reportes generalizados de ciberataques sobre sistemas de votación y hackeos de correspondencia de organizaciones políticas están interrumpiendo –e influyendo– en el proceso electoral de EE.UU.

La tendencia comenzó en julio, cuando Wikileaks publicó una colección de correos electrónicos del Comité Nacional Demócrata. Wikileaks no reveló la fuente de la fuga, pero el Departamento de Seguridad Nacional y la Oficina del Director de Inteligencia Nacional han declarado recientemente que están "seguros" de que el gobierno de Rusia es directamente responsable de los recientes ciberataques a las organizaciones políticas involucradas en el proceso electoral, incluido el del Comité Nacional Demócrata.

Tanto el Secretario de Seguridad Nacional, Jeh Johnson, como el Director de Inteligencia Nacional, James Clapper, han sugerido que los ciberataques rusos tienen la intención de interferir e influir en el proceso electoral de EE.UU. Pero demostrar que Rusia está detrás de estos ciberataques no evitará que los funcionarios políticos empleen procesos débiles de ciberseguridad.

La ciberseguridad es fundamental para protegerse contra estos malos actores que desean explotar los sistemas informáticos vulnerables, y se debe enfatizar estándares más fuertes para la seguridad cibernética –y se debe aplicar severas sanciones– para asegurar el cumplimiento. Culpar a Rusia puede ser una forma de distracción, ya que podría ser cualquier entidad, y el problema será siempre el mismo: los funcionarios y organizaciones políticas estadounidenses seguirán siendo vulnerables si ignoran las amenazas cibernéticas y se niegan a implementar incluso los estándares de ciberseguridad más básicos.

Tecnología de elecciones obsoleta

El problema se ve agravado por otro hecho aleccionador: la actual infraestructura de votación de los Estados Unidos es una compilación de tecnología antigua y poco sofisticada, mezclada con electrónica digital nueva, que a menudo no funcionan bien juntas. Este sistema requiere parchado, como un sistema operativo que necesita constantemente la actualización para prevenir que sean explotadas vulnerabilidades recientemente descubiertas.

Como resultado, la ciberseguridad de nuestro proceso político no es solo proteger los correos electrónicos de nuestros representantes políticos, sino también proteger los métodos y máquinas que utilizamos para contar los votos. Cuanto más vieja sea la computadora y el sistema operativo, más vulnerable será, y lo mismo se aplica a las máquinas de votación. Por ejemplo, hay una máquina de votación en uso en Louisiana, Nueva Jersey, Virginia y Pennsylvania que ha estado en uso desde 1990, y ha sido hackeada por un profesor de la universidad –para llamar la atención sobre el nivel de vulnerabilidad del dispositivo– en siete minutos.

Además, la seguridad física de las propias máquinas es muy débil; la cerradura en la máquina de votación hackeada por el profesor de la universidad –la Sequoia AVC Advantage– fue abierta en cerca de siete segundos por uno de los estudiantes del profesor. La máquina Sequoia hackeada por el profesor también tenía chips ROM sin soldar en la tarjeta madre, que él fácilmente sacó, haciendo fácil reemplazarlos con los programados por un hacker. Por ejemplo, el firmware de estos chips podría programarse para desechar los resultados de la máquina, alterando el recuento de votos.

Las máquinas de votación electrónica son propiedad de corporaciones de propiedad privada, y el software que se ejecuta en ellas es propietario. Conforme los profesionales de ciberseguridad intentan estudiar las máquinas de votación, se enfrentan a la falta de cooperación de las empresas de máquinas de votación que ven el código de la máquina como propiedad intelectual. Como resultado, se ven obstaculizados en los esfuerzos por investigar la mejor manera de proteger los datos que las máquinas recogen, lo que dificulta aún más el desarrollo de estándares universales de ciberseguridad para las máquinas de votación.

Faltan estándares electorales de seguridad cibernética

También hay una amplia diversidad de jurisdicciones de votación, y actualmente no hay un estándar único o un órgano que regula la seguridad, el cumplimiento e incluso la ejecución de lo que sucede el día de las elecciones. El proceso de votación se administra a nivel estatal y, al igual que los estándares de educación, varía en todo el país. El Instituto Nacional de Estándares y Tecnología, y la Comisión de Asistencia Electoral, han reunido algunos estándares para votar, pero son pautas voluntarias cuya aplicación no se impone por un proceso de cumplimiento regulatorio.

Además de ser capaz de tomar completamente el control de una máquina de votación, un hacker podría borrar las inscripciones de los votantes o llevar a cabo un ataque de denegación de servicio en las bases de datos de registro. Los ciberataques sobre la información de identificación personal podrían disuadir a los futuros votantes por miedo al robo de identidad y erosionarían la confianza del público en las elecciones.

El director de la CIA, Michael Hayden, y el ex secretario de Seguridad Nacional, Michael Chertoff, han sugerido que las juntas electorales necesitan aumentar el nivel de ciberseguridad de lo que se utiliza para asegurar la infraestructura crítica, como la red eléctrica.

Está claro que el camino para implementar estándares de ciberseguridad a nivel nacional no será fácil. La tecnología obsoleta, las jurisdicciones de votación operadas de forma independiente, e incluso el discurso político constituirán enormes obstáculos para el desarrollo de estándares universales de ciberseguridad para las elecciones estadounidenses. Pero no hay duda de que estos estándares necesitan ser explorados, o la integridad del sistema electoral estadounidense corre el riesgo de ser cuestionada a medida que continúan las elecciones en la era digital.

Sobre el autor: Daniel Allen es investigador en el Centro para el Clima y la Seguridad, donde se enfoca en la intersección de las estrategias de ciberseguridad y los riesgos de seguridad del cambio climático. También es Presidente de N2 Cyber Security Consultants, LLC y es un veterano de la armada de los Estados Unidos/Tormenta del Desierto e instructor de ciencias y climatología de secundaria. Tiene una maestría en Seguridad Cibernética y Aseguramiento de la Información de la Universidad Nacional, designada por la Agencia de Seguridad Nacional y el Departamento de Seguridad Nacional como un "Centro Nacional de Excelencia Académica en la Educación de Aseguramiento de la Información".

Este artículo se actualizó por última vez en noviembre 2016

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close