Anuncio

Cada vez es más común ver el uso de sistemas electrónicos en la votación electoral. Ya sea la votación en línea o las máquinas de votación electrónica que encontrará en los colegios electorales, muchas elecciones ahora usan sistemas electrónicos de algún tipo.

Sin embargo, la votación electrónica no está exenta de riesgos. Uno de los mayores problemas es la posibilidad de que dichos sistemas sean pirateados. Aquí explicaremos las diversas formas en que la gente ha encontrado para hackear máquinas de votación.

Cómo funciona la votación electrónica

Cuando va a una mesa de votación, puede encontrar una máquina de votación electrónica donde ingresa su voto. Esto es en lugar del formato tradicional de lápiz y papel. los ventaja de usar máquinas de votación electrónica Cómo funciona la votación electrónica: pros y contras vs. Votación en papelCuando todo se vuelve digital, ¿por qué seguimos votando en papel? Consideremos los pros y los contras de la votación electrónica. Lee mas es que pueden contar los votos más rápido y con mayor precisión que contar los papeles.

Dada la importancia de la seguridad en las elecciones, puede pensar que estas máquinas deben ser muy seguras. Desafortunadamente, ese no es el caso. Hay varias formas de piratear estas máquinas. Y reemplazar máquinas obsoletas por máquinas más nuevas y más seguras es extremadamente costoso.

Los piratas informáticos irrumpen en máquinas de votación en Def Con

Cómo se pueden hackear las máquinas de votación - hackers en Def Con
Haber de imagen: lisafx /DepositPhotos

Durante los últimos años en Def Con, una conferencia de seguridad masiva a la que asistieron muchos piratas informáticos éticos, los organizadores organizaron un evento llamado Voting Village. Aquí, los piratas informáticos están invitados a hackear varios tipos de máquinas de votación utilizadas en los EE. UU. La idea es probar si estas máquinas son seguras.

Lamentablemente, no lo son. Los hackers lograron comprometer cada máquina de votación disponible en el evento 2019. Las máquinas están disponibles para comprar en eBay, lo que facilita a los hackers la práctica de acceder y subvertirlas.

Otra preocupación era que muchas de las partes de las máquinas de votación provienen de fuera de los Estados Unidos, lo que las hace vulnerables a la interferencia extranjera. Por ejemplo, una máquina que los hackers probaron contenía hardware que apuntaba a una dirección IP extranjera. La función de esta conexión no estaba clara, pero es preocupante haberla encontrado.

Métodos utilizados para acceder a las máquinas de votación

En Def Con, los piratas informáticos utilizaron métodos desde adivinar correctamente las contraseñas predeterminadas débiles hasta romper el cifrado de baja calidad. Para algunos de estos hacks, los hackers necesitaban estar cerca de la máquina para abrirla o agregar hardware. Pero en algunos casos, los piratas informáticos informaron que incluso podrían piratear las máquinas sin estar cerca de ellas.

Un problema era una máquina que guardaba los datos de los votantes en una tarjeta SD que estaba encriptada. Pero las claves para descifrar los datos se almacenaron en texto plano en un archivo XML. Esto "permite [editar] que se pueda acceder y modificar fácilmente todos los datos, haciendo que el cifrado no tenga sentido", como se describe en un Informe Def Con.

Otro método que utilizaron los piratas informáticos fue acceder al BIOS de las máquinas de votación, ya que los funcionarios no habían establecido las contraseñas del BIOS. Esto permitió a los hackers acceso total a todas las configuraciones del sistema. Aunque el hardware admitía Secureboot, que evitaría que la máquina ejecutara código desconocido, los funcionarios electorales no lo habían habilitado.

Otro truco de arranque consistió en insertar una memoria USB con un sistema operativo Linux instalado. Cuando se inserta, se puede hacer que la máquina de votación arranque desde el USB. Esto dio acceso a los hackers a la máquina y sus datos.

Otra preocupación era que, en algunas de las máquinas de votación, no se eliminaba el bloatware. Esto se refiere al software preinstalado que viene del fabricante y que puede tener agujeros de seguridad. Estos agujeros pueden permitir que los hackers accedan a la máquina. En un caso, se descubrió que una máquina de votación tenía aplicaciones instaladas como Netflix, Hulu y Prime Video.

Hacks de hardware

Un experto en seguridad demuestra las formas en que los hackers pueden acceder a las máquinas de votación en este video de YouTube. En él, compra una máquina de votación en eBay y encuentra formas de hackearla.

Un problema es que el hardware de la tarjeta inteligente instalado en la placa base del dispositivo no estaba asegurado. Eso significa que cualquiera podría usar la conexión para agregar su propio hardware. Los hackers podrían agregar un dispositivo de derrota. Esta es una pieza de hardware que interfiere deliberadamente con el funcionamiento de la máquina. El dispositivo incluso podría cambiar los datos a medida que ingresa al sistema, lo que efectivamente permite a los piratas informáticos cambiar los votos.

Otro problema es el uso de tarjetas inteligentes en general. La máquina permite el uso de tarjetas inteligentes para que los funcionarios de votación configuren la máquina y recopilen datos una vez que finalice la votación. Pero los hackers pueden insertar su propia tarjeta inteligente. Incluso cuando la tarjeta está en blanco, los piratas informáticos podrían usarla para acceder a los registros de la máquina. Y esto permite a los piratas informáticos descubrir vulnerabilidades y ver los totales de votos.

El investigador también puede acceder a los registros de errores en la máquina. Puede parecer que no son importantes, pero de hecho pueden contener una gran cantidad de información para un hacker.

Los piratas informáticos pueden usar registros de errores tanto para calcular el historial de la máquina como para ver el sistema operativo subyacente. En este ejemplo, los errores provienen de un sistema Windows y los piratas informáticos podrían usar esta información para buscar exploits.

Hackear servidores electorales

Sin embargo, no solo las máquinas de votación son vulnerables a la piratería. La infraestructura de votación electrónica también puede ser vulnerable. A principios de 2020, Ars Technica informó que las partes maliciosas pueden ya he pirateado un servidor electoral en Georgia, antes de las elecciones estadounidenses de 2016 y 2018.

Los hackers pudieron piratear el servidor mediante el uso de Shellshock, una vulnerabilidad en Unix revelada en 2014. Esta vulnerabilidad era particularmente preocupante porque era relativamente fácil de explotar y dejaba vulnerable cualquier máquina basada en Unix o Linux.

Este problema en los servidores electorales fue parcheado en diciembre de 2014, pero para entonces alguien ya podría haber hecho uso del exploit y acceder al servidor.

Otro problema con la seguridad del servidor electoral ocurrió en 2016, cuando los investigadores descubrieron que el servidor electoral de la Universidad Estatal de Kennesaw era vulnerable a un defecto del servidor conocido como Drupageddon. Esto aprovechó una falla en el sistema de administración de contenido de Drupal que se estaba ejecutando en el servidor.

Problemas de seguridad en torno a la votación electrónica

La votación electrónica tiene muchas ventajas. Puede hacer que la votación sea más fácil y rápida, y puede ser más preciso al contar los totales. Sin embargo, también hay varias formas en que los sistemas son vulnerables a la piratería.

Y esta es solo una forma en que las elecciones pueden ser pirateadas. No considera factores como la manipulación de votantes o la infraestructura de manipulación. Para obtener más información sobre los diferentes tipos de amenazas a las elecciones, consulte nuestro artículo sobre cómo funciona la piratería electoral ¿Cómo funciona el pirateo electoral? Todo explicado en términos simples¿Se pregunta qué implica realmente el pirateo electoral? Lo explicaremos de manera directa. Lee mas .

Georgina es una escritora de ciencia y tecnología que vive en Berlín y tiene un doctorado en psicología. Cuando no está escribiendo, generalmente se la encuentra jugando con su PC o montando su bicicleta, y puede ver más de su escritura en georginatorbet.com.