Intervención del Dr. J. Alex Halderman, reconocido especialista en sistemas de votación electrónica, en el Comité de Inteligencia del Senado de los EE.UU. sobre los ataques de Rusia al sistema electoral estadounidense de 2016 y las debilidades de los sistemas de votación electrónica y de asistencia electrónica al escrutinio.
Salvando las diferencias entre los sistemas electorales de los EE.UU. y la Argentina es interesante notar que destaca varios de los aspectos que quienes nos oponemos al uso de sistemas de voto electrónico hemos puesto de manifiesto en el Congreso de la Nación en reiteradas oportunidades.
A continuación, la traducción al español del documento presentado por Halderman (también puede consultar la versión original en inglés).
Comité de Inteligencia del Senado de los EE.UU.
Interferencia rusa en las elecciones estadounidenses de 2016
Testimonio Experto de J. Alex Halderman, Profesor de Ciencias de la Computación, Universidad de Michigan. 21 de junio de 2017
Presidente Burr, Vicepresidente Warner y miembros del Comité, gracias por invitarme a hablar hoy sobre la seguridad de las elecciones estadounidenses. Estoy aquí para decirles no sólo lo que pienso, sino también las preocupaciones compartidas por cientos de expertos de la investigación y la industria de la ciberseguridad. Esta experiencia es relevante porque las elecciones —el fundamento de nuestra democracia— están ahora en el frente de la ciberseguridad y se enfrentan a amenazas cada vez más serias. Nuestro interés en este asunto es decididamente apartidario; nuestro enfoque se centra en la integridad del proceso democrático y en la capacidad del sistema de votación para registrar, contabilizar e informar los resultados de las elecciones con precisión.
Mi investigación en ciencias de la computación y ciberseguridad aborda una amplia gama de desafíos de seguridad [1]. Estudio los ataques y defensas de los protocolos de Internet en los que todos confiamos a diario para mantener nuestra información personal y financiera segura. También estudio las capacidades y limitaciones de los atacantes más poderosos del mundo, incluyendo bandas criminales sofisticadas y estados nación hostiles. Gran parte de mi trabajo durante los últimos diez años ha sido estudiar la tecnología informática en la que se basa nuestro sistema electoral[2]. En este trabajo, a menudo lidero el «equipo rojo», desempeñando el papel de un atacante potencial para encontrar dónde los sistemas y las prácticas son vulnerables y aprender a fortalecerlos.
Sé de primera mano lo fácil que puede ser manipular máquinas de votación computarizadas. Como parte de las pruebas de seguridad, he realizado ataques a máquinas de votación ampliamente utilizadas, y he hecho que los estudiantes ataquen con éxito las máquinas bajo mi supervisión.
Las máquinas de votación de los Estados Unidos son vulnerables
Como ustedes saben, los estados eligen su propia tecnología de votación[3]. Hoy en día, la gran mayoría de los votos se emiten utilizando uno de dos métodos informatizados. La mayoría de los estados y la mayoría de los votantes usan el primer tipo, llamado escaneo óptico de boletas, en el cual el votante llena una boleta de papel que luego es escaneada y contada por una computadora. El otro enfoque ampliamente utilizado lleva a los votantes a interactuar directamente con una computadora, en lugar de marcar una opción en el papel. Se llama votación DRE, o de registro directo electrónico. Con las máquinas de votación DRE, los registros primarios de la votación se almacenan en la memoria de la computadora[4].
Tanto los escáneres ópticos como las máquinas de votación DRE son computadoras. Bajo el capó, no son tan diferentes de su laptop o smartphone, aunque tienden a utilizar tecnología mucho más antigua, a veces décadas desactualizada[5]. Fundamentalmente, sufren de debilidades de seguridad similares a las de otros dispositivos informáticos. Lo sé porque he desarrollado formas de atacar a muchos de ellos como parte de mi investigación sobre las amenazas a la seguridad electoral.
Hace diez años, formé parte del primer equipo académico en realizar un análisis de seguridad integral de una máquina de votación de DRE. Examinamos lo que era en ese momento el DRE de pantalla táctil más utilizado en el país[6], y pasamos varios meses investigándolo en busca de vulnerabilidades. Lo que encontramos fue perturbador: podíamos reprogramar la máquina para inadvertidamente hacer que cualquier candidato ganara. También creamos software malicioso —código roba-votos— que podía propagarse de máquina a máquina como un virus informático, y cambiar silenciosamente el resultado de la elección[7].
Vulnerabilidades como éstas son endémicas en todo nuestro sistema electoral. Los expertos en ciberseguridad han estudiado una amplia gama de máquinas de votación de los Estados Unidos —incluyendo DRE y escáneres ópticos— y en cada caso han encontrado graves vulnerabilidades que permitirían a los atacantes sabotear las máquinas y alterar los votos[8]. Es por esto que existe un consenso abrumador en las comunidades de investigación sobre ciberseguridad e integridad electoral de que nuestras elecciones están en riesgo.
Los ciberataques podrían comprometer las elecciones
Por supuesto, interferir en una elección estatal o nacional es una tarea mayor que sólo atacar una única máquina. Algunos dicen que la naturaleza descentralizada del sistema de votación de los Estados Unidos y el hecho de que las máquinas de votación no están conectadas directamente a Internet hacen imposible el cambio de un resultado electoral estatal o nacional. Desafortunadamente, eso no es cierto[9].
Algunas funciones electorales están en realidad bastante centralizadas. Una pequeña cantidad de proveedores de tecnología electoral y contratistas de apoyo proveen los sistemas utilizados por muchos gobiernos locales. Los atacantes podrían apuntar a una o varias de estas compañías y propagar el código malicioso al equipo electoral que utilizan millones de votantes.
Además, en elecciones reñidas, la descentralización puede realmente volverse contra nosotros. Un atacante puede buscar vulnerabilidades en distintas áreas de los «swing states» más importantes, encontrar las que tienen la protección más débil y atacar allí[10]. En una elección reñida, cambiar algunos votos puede ser suficiente para inclinar el resultado, y un atacante puede elegir dónde —y en qué equipos— robar esos votos. Las elecciones estatales y locales también están en riesgo.
Nuestra infraestructura electoral no está tan lejos de Internet como puede parecer[11]. Antes de cada elección, las máquinas de votación tienen que ser programadas con el diseño de la boleta electoral, las contiendas y los candidatos. Esta programación se crea en una computadora de escritorio llamada sistema de gestión de elecciones, o EMS, y luego se transfiere a las máquinas de votación usando memorias USB o tarjetas de memoria. Estos sistemas son generalmente administrados por personal de TI del condado o por contratistas privados[12]. Lamentablemente, los sistemas de gestión electoral no están adecuadamente protegidos y no siempre están adecuadamente aislados de Internet. Los atacantes que comprometen un sistema de gestión de elecciones pueden extender el malware de robo de votos a una gran cantidad de máquinas[13].
Los intentos de ataque rusos: las amenazas son reales
La lección clave de 2016 es que las amenazas de hacking son reales.
Este mes, hemos visto informes que detallan los esfuerzos de Rusia para atacar los sistemas de registro de votantes en hasta 39 estados[14] y desarrollar la capacidad para propagar un ataque desde un proveedor de tecnología electoral a las oficinas electorales locales[15]. Atacar los sistemas de TI de los proveedores y los municipios podría poner a los rusos en posición de sabotear el equipamiento el día de las elecciones, haciendo que las máquinas de votación o libros electrónicos de votación (electronic poll books) fallen, lo que resultaría en largas colas u otras interrupciones. Los rusos podrían incluso haber diseñado este caos para que tuviera un efecto partidista, apuntando a localidades que se inclinen fuertemente hacia un candidato u otro.
La infiltración exitosa de los sistemas de TI electorales también podría haber puesto a los rusos en posición de propagar un ataque a las máquinas de votación y potencialmente robar votos. Aunque los sistemas de registro involucrados fueron por lo general mantenidos a nivel estatal, y la mayoría de la programación preelectoral es realizada por condados o proveedores externos, los condados tienden a estar aún menos defendidos que los gobiernos estatales. Por lo general, cuentan con poco personal de apoyo de TI y poca o ninguna experiencia en ciberseguridad.
Otro enfoque que los rusos podrían haber estado planeando es manipular el sistema de votación de manera obvia y fácil de descubrir, tal como hacer que los sistemas de reporte envíen a los medios de comunicación resultados iniciales incorrectos en la noche de las elecciones. Incluso si se corrigiera el problema y no se cambiaran los votos reales, esto causaría incertidumbre en los resultados y una desconfianza generalizada en el sistema, que perjudicaría nuestros procesos democráticos. Si los votantes no pueden confiar en que sus votos se cuentan honestamente, tendrán razones para dudar de la validez de las elecciones[16].
No sé hasta qué punto llegaron los rusos en su esfuerzo para penetrar en nuestra infraestructura electoral, ni si interfirieron con el equipamiento el día de las elecciones. (Hasta donde se ha hecho público, ningún equipo de votación ha sido sometido a exámenes forenses para comprobar si fue atacado con éxito). Pero no hay duda de que Rusia tiene la capacidad técnica de realizar ataques a gran escala contra nuestro sistema de votación, al igual que otras naciones hostiles. Como James Comey testificó aquí hace dos semanas, sabemos que «Vienen tras América» y «Volverán»[17].
Pasos prácticos para defender la infraestructura electoral
Debemos comenzar a prepararnos ahora para defender mejor nuestra infraestructura electoral y protegerla de ciberataques antes de las elecciones de 2018 y 2020. La buena noticia es que sabemos cómo lograr esto. Boletas de papel, auditorías y otros pasos sencillos pueden hacer que las elecciones sean mucho más difíciles de atacar.
He incorporado al expediente una carta de más de 100 informáticos, expertos en seguridad y funcionarios electorales. Esta carta recomienda tres medidas esenciales que pueden salvaguardar las elecciones estadounidenses:
- En primer lugar, necesitamos reemplazar las máquinas de votación obsoletas y vulnerables, tales como sistemas sin papel, por escáneres ópticos y boletas de papel, tecnología que 36 estados ya utilizan. El papel proporciona un registro físico resiliente del voto[18] que simplemente no puede ser comprometido por un ciberataque. El presidente Trump destacó este punto poco antes de las elecciones en una entrevista con Fox News. «Hay algo realmente agradable en el viejo sistema de boletas de papel», dijo. «No hay que preocuparse por hackeos. No hay que preocuparse por todos los problemas que estamos viendo»[19].
- En segundo lugar, necesitamos comprobar constantemente y de forma rutinaria que nuestros resultados electorales son precisos, inspeccionando una cantidad suficiente de boletas para saber si los resultados informáticos son correctos[20]. Esto se puede hacer con lo que se conoce como auditorías de limitación de riesgo (risk-limiting audits)[21]. Dichas auditorías son un control de calidad de sentido común[22]. Mediante la comprobación manual de una muestra aleatoria relativamente pequeña de boletas, los funcionarios pueden proporcionar rápida y económicamente una alta certeza de que el resultado de la elección es correcto. El escaneo óptico de boletas conjuntamente con auditorías de limitación de riesgo proporcionan una manera práctica de detectar y corregir ciberataques que cambien votos. Pueden parecer de baja tecnología, pero son una defensa fiable y rentable[23].
- Por último, tenemos que elevar la vara para los ataques de todo tipo —incluyendo la manipulación de votos y el sabotaje— mediante la realización de evaluaciones exhaustivas de las amenazas y la aplicación de las mejores prácticas de ciberseguridad en el diseño del equipamiento de votación[24] y la gestión de las elecciones.
Estas correcciones no son caras. El reemplazo de sistemas inseguros sin papel en todo el país costaría entre $130 millones y $400 millones[25]. La ejecución de auditorías de limitación de riesgo a nivel nacional para las elecciones federales costaría menos de $20 millones al año[26]. Estas cantidades son sumamente pequeñas en comparación con la mejora de la seguridad nacional que resultaría de esta inversión. Sin embargo, estas medidas permitirían abordar un desafío cibernético primordial, aumentar la confianza de los votantes y fortalecer significativamente un elemento crucial de nuestra seguridad nacional. También enviarían una respuesta firme a cualquier adversario que contemplara interferir con nuestro sistema electoral.
Los funcionarios electorales tienen una tarea extremadamente difícil, incluso sin tener que preocuparse por ciberataques de gobiernos hostiles. El gobierno federal puede hacer inversiones prudentes y rentables para ayudarles a defender nuestra infraestructura electoral y mantener la confianza de los votantes. Con el liderazgo conjunto consensuado del Congreso y la acción en asociación con los estados, nuestras elecciones pueden estar bien protegidas a tiempo para 2018 y 2020.
Gracias por la oportunidad de testificar. Espero con interés responder a cualquier pregunta.
Referencias
[1] Mi curriculum vitae y publicaciones de investigación están disponibles en https://jhalderm.com.
[2] Para una introducción accesible a los riesgos de seguridad y potencial futuro de las tecnologías de votación por computadora, ver mi curso online, Securing Digital Democracy, que está disponible de forma gratuita en Coursera: https://www. coursera.org/learn/digital-democracy.
[3] En muchos estados, la tecnología en uso incluso difiere de un condado a otro. Verified Voting mantiene una base de datos en línea del equipamiento en uso en cada localidad: https://www.verifiedvoting.org/verifier/.
[4] Algunos DRE también producen un registro impreso del voto y lo muestran brevemente al votante, usando un mecanismo llamado respaldo en papel verificable por el votante (voter-verifiable paper audit trail), o VVPAT. Mientras que el VVPAT proporciona un registro físico del voto que es una salvaguarda valiosa contra ciberataques, la investigación ha demostrado que los registros VVPAT son difíciles de auditar con precisión y que los votantes a menudo no se dan cuenta si el registro impreso no coincide con sus votos. Por estas razones, la mayoría de los expertos en seguridad electoral apoyan el escaneo óptico de boletas de papel. Véase: S. Goggin y M. Byrne, “An Examination of the Auditability of Voter Verified Paper Audit Trail (VVPAT) Ballots”. En Proceedings of the 2007 USENIX/ACCURATE Electronic Voting Technology Workshop, agosto de 2007. Disponible en http: /www.accurate-voting.org/wp-content/uploads/2007/08/evt07-goggin.pdf. Ver también: B. Campbell and M. Byrne, “Now Do Voters Notice Review Screen Anomalies?” En Proceedings of the 2009 USENIX/ACCURATE/IAVoSS Electronic Voting Technology Workshop, agosto de 2009. Disponible en: http://chil.rice.edu/research/pdf/CampbellByrne_EVT_(2009).pdf.
[5] En 2016, en 43 estados se usaron máquinas de votación por computadora que tenían por lo menos 10 años de antigüedad, cerca del final de su vida útil de diseño. El hardware y el software más antiguos generalmente carecen de defensas que se opongan a técnicas de ataque más modernas. Ver: L. Norden and C. Famighetti, “America’s Voting Machines at Risk”, Brennan Center, 2015. https://www.brennancenter.org/publication/americas-voting-machines-risk. Ver también: S. Checkoway, A. Feldman, B. Kantor, J. A. Halderman, E. W. Felten, and H. Shacham, “Can DREs Provide Long-Lasting Security? The Case of Return-Oriented Programming and the AVC Advantage”. En Proceedings of the 2009 USENIX/ACCURATE/IAVoSS Electronic Voting Technology Workshop, agosto de 2009. Disponible en: https://jhalderm.com/pub/papers/avc-evt09.pdf.
[6] La máquina fue la Diebold AccuVote TS, que es actualmente utilizada a lo largo del estado de Georgia en 2017.
[7] A. J. Feldman, J. A. Halderman, and E. W. Felten, “Security Analysis of the Diebold AccuVote-TS Voting Machine”. En Proceedings of the 2007 USENIX/ACCURATE Electronic Voting Technology Workshop (EVT), agosto de 2007. El artículo de investigación y un video explicativo están disponibles en: https://citp.princeton.edu/research/voting/.
[8] Para una bibliografía parcial de la investigación de ataques a máquinas de votación, ver: J. A Halderman, “Practical Attacks on Real-world E-voting”. En F. Hao and P. Y. A. Ryan (eds.), Real-World Electronic Voting: Design, Analysis and Deployment, CRC Press, diciembre de 2016. Disponible en: https://jhalderm.com/pub/papers/ch7evoting-attacks-2016.pdf.
[9] Expliqué cómo los atacantes pueden evitar estos obstáculos en un reciente informe del Congreso: Strengthening Election Cybersecurity, 15 de mayo de 2017. El video está disponible en https://www.electiondefense.org/congressional-briefings-cyber-security/.
[10] Para una descripción más detallada de cómo los adversarios pueden seleccionar objetivos, ver J. A. Halderman, “Want to Know if the Election was Hacked? Look at the Ballots”, noviembre de 2016, disponible en: https://medium.com/@jhalderm/want-to-know-if-the-election-was-hacked-look-at-the-ballots-c61a6113b0ba.
[11] Afortunadamente, los EE.UU. han resistido el uso generalizado de la votación por Internet —un desarrollo que pondría un nuevo blanco de tiro sobre nuestro sistema democrático. Yo mismo he demostrado ataques contra sistemas de votación por Internet en Washington D.C., Estonia y Australia. Ver: S. Wolchok, E. Wustrow, D. Isabel, and J. A. Halderman, “Attacking the Washington, D.C. Internet Voting System”. En Proceedings of the 16th Intl. Conference on Financial Cryptography and Data Security, febrero de 2012. Disponible en: https://jhalderm.com/pub/papers/dcvoting-fc12.pdf. D. Springall, T. Finkenauer, Z. Durumeric, J. Kitcat, H. Hursti, M. MacAlpine, and J. A. Halderman, “Security Analysis of the Estonian Internet Voting System”. En Proceedings of the 21st ACM Conference on Computer and Communications Security (CCS), noviembre de 2014. Disponible en: https://jhalderm.com/pub/papers/ivoting-ccs14.pdf. J. A. Halderman and V. Teague, “The New South Wales iVote System: Security Failures and Verification Flaws in a Live Online Election”. En Proceedings of the 5th International Conference on E-voting and Identity, septiembre de 2015. Disponible en: https://arxiv.org/pdf/1504.05646v2.pdf. Para una discusión más amplia sobre por qué los sistemas seguros de votación por Internet están a probablemente décadas de distancia, ver: R. Cunningham, M. Bernhard, and J. A. Halderman, “The Security Challenges of Online Voting Have Not Gone Away”. IEEE Spectrum, 3 de noviembre de 2016. http://spectrum.ieee.org/tech-talk/telecom/security/thesecurity-challenges-of-online-voting-have-not-gone-away.
[12] En mi propio estado, Michigan, alrededor del 75% de los condados externalizan la programación preelectoral en un par de proveedores de servicios independientes. Se trata de pequeñas empresas con 10-20 empleados que están principalmente en el negocio de la venta de material electoral, incluyendo urnas y pegatinas «Yo voté».
[13] Ver, por ejemplo, J. Calandrino, et al., “Source Code Review of the Diebold Voting System”, parte del California Secretary of State’s “Top-to-Bottom” Voting Systems Review, julio de 2007. Disponible en: https://jhalderm.com/pub/papers/diebold-ttbr07.pdf.
[14] M. Riley and J. Robertson, “Russian Cyber Hacks on U.S. Electoral System Far Wider Than Previously Known”. Bloomberg, 13 de junio de 2017. https://www.bloomberg.com/politics/articles/2017-06-13/russian-breach-of-39-states-threatens-future-u-s-elections.
[15] M. Cole, R. Esposito, S. Biddle, and R. Grim, “Top-secret NSA Report Details Russian Hacking Efforts Days Before 2016 Election”. The Intercept, 5 de junio de 2017. https://theintercept.com/2017/06/05/top-secret-nsa-report-details-russian-hacking-effort-days-before-2016-election/.
[16] Ver, a modo de ejemplo, E. H. Spafford, “Voter Assurance”. NAE The Bridge, diciembre de 2008. https://www.nae.edu/19582/Bridge/VotingTechnologies/VoterAssurance.aspx.
[17] Testimonio del ex Director del FBI James B. Comey ante el Comité de Inteligencia del Senado, 8 de junio de 2017.
[18] Por supuesto, las boletas en papel también pueden ser alteradas por las personas que las manipulan. El conteo por escaneo óptico tiene la ventaja de que produce registros tanto en papel como electrónicos. Mientras los funcionarios comprueben que ambos conjuntos de registros coincidan, sería muy difícil para los delincuentes alterar el resultado de la elección sin ser detectados, ya sea por un ciberataque o por la manipulación por métodos tradicionales de las boletas.
[19] Ver: http://www.businessinsider.com/donald-trump-election-day-fox-news-2016-11.
[20] Al menos 29 estados ya requieren algún tipo de auditoría post-electoral. Sin embargo, dado que los procedimientos en la mayoría de los estados no están diseñados como una ciberdefensa, la cantidad de boletas que se auditan puede ser demasiado baja o geográficamente localizada como para detectar con certeza un ataque. Algunos estados también permiten la auditoría controlando las boletas de papel a través de las mismas máquinas potencialmente comprometidas. Los resultados de las máquinas de votación DRE sin papel no pueden ser fuertemente auditados, ya que no hay registros físicos que verificar. Para detalles estado por estado, vea la National Conference of State Legislatures, “Post-election Audits”, junio de 2017. Disponible en: http://www.ncsl.org/research/elections-and-campaigns/post-election-audits635926066.aspx.
[21] Para una explicación detallada de las auditorías de limitación de riesgo, vea J. Bretschneider et al., “Risk-Limiting Post-Election Audits: Why and How”. Disponible en: https://www.stat.berkeley.edu/~stark/Preprints/RLAwhitepaper12.pdf. New Mexico ya requiere de algo similar a una auditoría de limitación de riesgo, y Colorado las está implementando desde 2017. Se han probado auditorías de limitación de riesgo en elecciones reales en California, Colorado y Ohio.
[22] Una de las razones por las que las auditorías posteriores a las elecciones son esenciales es que las pruebas previas de «lógica y precisión» pueden ser vencidas por software malicioso que se ejecute en las máquinas de votación. El código de robo de votos puede ser diseñado para detectar cuándo está siendo probado, y no realizar el engaño durante esas pruebas. El software de control de emisiones de Volkswagen hizo algo similar para ocultar el hecho de que estaba mintiendo durante las pruebas de la EPA.
[23] El ex director de la CIA James Woolsey y el Teniente Coronel Tony Shaffer pidieron boletas de papel y auditorías en un editorial del 12 de mayo de 2017 en Fox News: «En última instancia, creemos que la solución a la inseguridad electoral radica en el famoso viejo adagio del presidente Reagan: ‘confía pero verifica'». http://www.foxnews.com/opinion/2017/05/12/america-s-voting-systems-need-security-upgrades-it-s-time-to-beef-up-cybersecurity.html.
[24] Un esfuerzo notable para desarrollar equipos de votación seguros es STAR-Vote, una colaboración entre investigadores de seguridad y la oficina electoral de Travis County, oficina electoral de Texas. STAR-Vote integra una gama de defensas modernas, incluyendo criptografía de extremo a extremo y auditorías de limitación de riesgo. Ver S. Bell et al., “STAR-Vote: A Secure, Transparent, Auditable, and Reliable Voting System”. USENIX Journal of Election Technology and Systems (JETS) 1(1), agosto de 2013. https://www.usenix.org/system/files/conference/evtwote13/jets0101-bell.pdf.
[25] Brennan Center, “Estimate for the Cost of Replacing Paperless, Computerized Voting Machines”, junio de 2017. https://www.brennancenter.org/sites/default/files/analysis/New_Machines_Cost_Across_Paperless_Jurisdictions%20%282%29.pdf. Este costo podría reducirse considerablemente mediante el desarrollo de equipos de votación basados en software de código abierto y hardware comercial de venta directa (COTS).
[26] Esta estimación supone que la auditoría de una elección federal tendrá un costo promedio similar al recuento manual del 10% de los precintos. En una auditoría de limitación de riesgo, la cantidad real de boletas que se deben verificar varía con, entre otros factores, el margen de victoria.
¡Excelente laburo de traducción, Javi!
Una vez más, Halderman la rompe…