Lance Bellers - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

La violación de datos de votantes conduce a preguntas sobre la manipulación y la seguridad de Estado

Las bases de datos de registro electoral en dos estados fueron atacados y la consiguiente violación de los datos de votantes ha llevado a preguntas sobre una posible manipulación de las elecciones y una inadecuada seguridad de Estado.

El FBI dijo que piratas informáticos atacaron dos sitios web de elecciones estatales y accedieron a bases de datos de registro de votantes, y un experto cree que, sin duda, habrá más violaciones de datos de votantes antes de las elecciones de noviembre.

No se mencionó cuáles fueron los estados en cuestión en la breve alerta del FBI, pero las autoridades de Arizona e Illinois han admitido que sus sistemas de registro de votantes fueron atacados en lo que respecta a los registros de votantes. Un funcionario del estado de Arizona dijo a Yahoo News que el software malicioso se introdujo en su sistema de registro de votantes, pero que no fue robado ningún dato, y Ken Menzel, consejero general de la Junta de Elecciones de Illinois, dijo que los piratas informáticos habían robado datos personales de unos 200.000 votantes del estado.

El memorando del FBI señaló que puede haber habido una conexión entre los dos ataques, porque una de las ocho direcciones IP asociadas a las infracciones se utilizó en ambos casos.

"El FBI está solicitando que los estados se comuniquen con su Junta de Elecciones y determinen si se ha detectado alguna actividad similar a sus registros, tanto entrantes como salientes", se expresa en la alerta. "No debe intentarse ‘tocar’ o enviar un ping directamente a las direcciones IP."

Menzel dijo que los atacantes eran capaces de explotar "una grieta en la armadura en un pequeño campo de datos en el sistema de registro en línea", que según el FBI, puede haber sido una vulnerabilidad de inyección SQL encontrada con herramientas de pruebas de penetración Acunetix, SQLMap y DirBuster.

Peter Tran, director general y ejecutivo de RSA, la División de Seguridad de EMC, dijo que este tipo de vulnerabilidad puede ser común.

"No es ninguna sorpresa que los sistemas de votantes del estado en cuestión pueden haber sido víctimas de una variedad de técnicas de explotación SQL, principalmente debido a la prevalencia de viejas interfaces y bases de datos impulsada por sitios web, que generalmente se encuentran en los entornos del gobierno municipal y estatal", le dijo Tran a SearchSecurity. "Atacar a las bases de datos usando inyección de SQL, sobre todo si es el camino de menor resistencia, puede producir una cosecha de datos y de control del sistema más allá de los registros públicos del registro de votantes, como el archivo núcleo de votantes, el historial de boletas o de votación, las finanzas de la campaña o los datos del donante y otra información personal sensible, identificable y de capital político."

Tran observó que los datos de registro de votantes se colocan en el dominio de los registros públicos y se pueden comprar legalmente desde sitios como NationBuilder e InstantCheckMate, pero eso no necesariamente disminuye el valor de una violación de datos de votantes para un atacante.

"Los datos de registro público en general, tales como la información básica del registro de votantes, son de relativo bajo riesgo por sí mismos. Sin embargo, este no suele ser el caso conforme el Estado-nación y otros criminales cibernéticos agregan múltiples fuentes de datos de código abierto y rompen los datos para formar perfiles de destino de un alto valor que se pueden aprovechar en una serie de formas que van desde el fraude de identidad al espionaje empresarial o del gobierno", dijo Tran. "Esencialmente, se trata de producir y cultivar cosechas de datos, por lo que al paso del tiempo, los datos se vuelven más valiosos y se incrementan los riesgos para las personas."

Dado que las direcciones IP utilizadas en los ataques habían sido vistas en los foros de hackers rusos, el líder de la minoría del Senado, Harry Reid, escribió al director del FBI, James Comey, con el temor de que las violaciones de datos de votantes puedan resultar en algo más que información robada.

"Recientemente me preocupé sobre la amenaza de que el gobierno ruso manipule nuestras elecciones presidenciales sea mayor de lo que se conoce abiertamente y que pueda incluir la intención de falsear los resultados oficiales de las elecciones", escribió Reid. "La perspectiva de un gobierno hostil buscando activamente socavar nuestras elecciones libres y justas representa una de las amenazas más graves para nuestra democracia desde la Guerra Fría y es fundamental que la Oficina Federal de Investigaciones utilice todos los recursos disponibles para investigar este asunto a fondo y en el momento oportuno."

Comey se negó a comentar sobre las investigaciones en curso en una conferencia organizada por la firma de seguridad Symantec, pero sí dijo que el FBI toma "muy en serio cualquier esfuerzo por parte de todos los actores, incluidos los Estados-nación, y tal vez sobre todo los Estados-nación, que van más allá la recopilación de información acerca de nuestro país, lo cual brinda la perspectiva de un esfuerzo para influir en la dirección de los asuntos en nuestro país".

Seguridad de las elecciones estatales

Rebecca Herold, CEO de Privacy Professor, dijo que la gente debe preocuparse por las violaciones de datos de votantes que ponen a disposición pública la información personal, pero señaló que había otro tema para centrarse en la estela de estos ataques.

"Una abrumadora preocupación adicional es que estos sistemas de votación, que se asocian con las fuentes de los registros robados, si no es que son la fuente de los mismos, están tan mal asegurados que podrían ser hackeados y modificados de manera que cambiarían los resultados de las elecciones en todos los EE.UU. ", dijo Herold a SearchSecurity.

La liberación de esta alerta del FBI se produjo apenas tres días después de que el secretario de Seguridad Nacional, Jeh Johnson, dijera que el Departamento de Seguridad Nacional (DHS) no sabía de "amenazas de ciberseguridad específicas o creíbles relacionadas con los sistemas de las próximas elecciones generales."

A pesar de ello, Johnson alentó “a las autoridades estatales para centrarse en la implementación de las recomendaciones existentes de NIST y la EAC sobre el aseguramiento de la infraestructura de las elecciones" y ofreció “la ayuda del Centro de Integración de Comunicaciones y el Departamento de Seguridad Cibernética para llevar a cabo los análisis de vulnerabilidades, proporcionar información tangible, y acceder a otras herramientas y recursos para mejorar la seguridad cibernética".

Varios funcionarios estatales han expresado su preocupación sobre esta oferta desde el DHS, y el secretario de Estado de Georgia, Brian Kemp, incluso fue tan lejos como para afirmar que esto era un intento de la Casa Blanca para expandir el control federal sobre los procesos electorales del estado y los datos.

Herold aprobó la oferta de DHS, pero dijo que podría haber tomado una forma menos controvertida.

"Creo que la oferta es buena, si se tratara de un intento de arrojar luz sobre problemas muy reales e importantes que existen en la mayoría de los sistemas de votación y los correspondientes sistemas de elecciones en los estados. Sin embargo, para mantener la independencia de los procesos electorales y los datos en los estados, sería más proactivo que el DHS emitiera directrices, y dicha ayuda podría ser utilizado por cada estado que no incluya la participación directa de la agencia federal en los sistemas estatales, lo que crea problemas y podría ser visto como una extralimitación del gobierno federal en cuestiones estatales", dijo Herold. "No debería haber ningún acceso que pudiera ser visto como un intento por parte del gobierno federal para tener una influencia indebida sobre los resultados de las elecciones de cada estado."

Tran dijo que la sugerencia del DHS para seguir las directrices del NIST fue una de las mejores maneras de mejorar la seguridad de las elecciones estatales.

"Internet y la creciente presión para los sistemas de datos basados ​​en la nube no tiene fronteras físicas y, como consecuencia, la determinación de un modelo de gobierno, riesgo y cumplimiento no debería ser considerada en términos de fronteras federales/estatales o ciudades locales", dijo Tran. "En términos de un modelo sostenible, los sistemas de votación deben ser considerados más como parte de la infraestructura crítica nacional, tal vez uno de los principales impulsores de por qué el DHS está ofreciendo asesoría para ayudar a apuntalar los retos a corto y mediano plazo. Como un marco para ayudar a solucionar problemas de ‘federalización' a nivel estatal, el marco de ciberseguridad del NIST puede ofrecer guía, como un modelo viable para determinar el mejor enfoque para la tecnología y la política, lo que es justo y equilibrado para hacer frente a las mejores prácticas de seguridad cibernética".

Herold dijo que el Congreso podría considerar nuevas regulaciones que requieren que los Estados "demuestren que están llevando a cabo la debida diligencia para asegurar que sus sistemas de votación y elecciones así como las bases de datos estén asegurados adecuadamente.”

"El espectro de posibilidades es muy amplio para quienes deseen que los resultados de las elecciones sean muy diferentes de los votos reales de nuestros ciudadanos", dijo Herold. "También es muy amplio el espectro de posibilidades de cómo el uso de los sistemas inadecuadamente asegurados podría crear resultados que no reflejan los informes estadísticos de votos, simplemente porque la falta de controles de seguridad eficaces dentro de los sistemas y las aplicaciones crearon errores de pérdida de datos que podrían proporcionar resultados drásticamente diferentes de la votación original. La verdad es un asunto de seguridad nacional exigir que nuestras elecciones se lleven a cabo con garantías eficaces."

Este artículo se actualizó por última vez en septiembre 2016

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close