Primera auditoría a equipos de la JCE reveló serias debilidades en ciberseguridad
La Junta Central Electoral (JCE) afirma que los errores encontrados en la primera auditoría a los equipos de digitalización, escaneo y transmisión de datos (EDET) ya fueron solucionados, pero, ¿cuáles fueron los hallazgos encontrados durante esa evaluación?
El resultado preliminar de la auditoría, reveló serias debilidades en términos de ciberseguridad. Falta de restricciones y medidas de seguridad son algunas de las serias deficiencias encontradas por el análisis del Centro de Asesoría y Promoción Electoral (CAPEL), en diciembre pasado.
Uno de los principales hallazgos contenidos en el informe, es que el sistema operativo de los equipos de cómputo electoral que serán utilizados en las elecciones municipales de febrero requiere el reforzamiento del software contra programas maliciosos o malware.
Según las pruebas realizadas, es necesario “instalar y configurar una solución antimalware avanzada, que ofrezca protección más allá de las capacidades del antivirus por defecto de Windows”.
La red informática de los EDET tampoco contaba con las suficientes medidas de seguridad; como parte de su inspección, el CAPEL pudo ingresar a la red utilizando equipo no autorizado y luego ejecutó un escaneo a la base de datos central o principal. De acuerdo a los datos, estas actividades no fueron detectadas ni bloqueadas y puede constituir una gran oportunidad para hacer daño.
“La posibilidad de acceder a la BIOS sin restricciones representa un riesgo de seguridad, ya que la BIOS controla funciones fundamentales del sistema. Un acceso no autorizado podría resultar en la alteración de la secuencia de arranque o la configuración de dispositivos, lo que podría impactar el funcionamiento del sistema”, advierte la auditoría a la que Diario Libre tuvo acceso.
Base de datos
El tema de las credenciales que posee la base de datos de los equipos de la Junta Central Electoral (JCE), representa el punto de mayor preocupación de los investigadores del CAPEL en su informe preliminar.
En primer lugar, se cuestiona que las credenciales de la base de datos local de los EDET son visibles, lo que representa una vulnerabilidad que podría ser explotada por un atacante para obtener acceso no autorizado.
También se comprobó que el sistema de administración de la base de datos está expuesto “a múltiples vulnerabilidades críticas” que podrían afectar la disponibilidad, integridad y confidencialidad de la información almacenada.
El servidor de la base de datos central o principal del EDET permite conexiones prácticamente sin restricciones, lo que permite que se haga la conexión sin importar desde donde se realice.
“Sin controles adecuados, cualquier persona con las credenciales de usuario y contraseña adecuadas puede acceder a la base de datos“, detalla el informe.
Sistema operativo
En el sistema operativo de los EDET se detectaron múltiples vulnerabilidades, debido a que existe el riesgo de que puedan ser susceptibles a la instalación de softwares maliciosos o programas que comprometan su integridad.
“En el contexto electoral, la explotación de estas vulnerabilidades podría comprometer la seguridad y estabilidad de los equipos utilizados en las elecciones”, indica el documento.
Al evaluar el hardware y software de los equipos de cómputo se verificó que no tienen restricciones para la conexión de dispositivos USB, lo que implica una amenaza para la fiabilidad y transparencia del proceso, considerando que estos dispositivos de almacenamiento pueden ser utilizados para introducir softwares maliciosos o extraer datos confidenciales.
El CAPEL también resaltó que el inicio de sesión tiene privilegios de administrador local, lo que se presta para posibles manipulaciones no autorizadas del software o hardware de los artefactos.
“Es importante garantizar que los usuarios de estos equipos tengan solo los permisos necesarios para realizar sus tareas, sin posibilidad de acceder o modificar aspectos críticos del sistema operativo“, establece el informe.
JCE continúa inspecciones
El director de Informática de la JCE, Johnny Rivera, informó el pasado martes 9 de enero que la auditoría a los dispositivos EDET concluiría en esa semana. De acuerdo al organismo electoral, los primeros hallazgos de la auditoría, eran de importancia, pero que ya fueron solventados.
“Eran hallazgos importantes, pero no eran hallazgos que no pudieran corregirse en un tiempo prudente”, precisó.
En esa ocasión, Rivera también indicó que el inicio de la primera auditoría coincidió con la llegada de los equipos tecnológicos, “o que no dio tiempo a que se preparen para hacerle la entrega a los auditores“.