Informe confidencial: OEA advierte que el padrón electoral no es fiable porque corre riesgo de ser hackeado
Un informe confidencial elaborado este año por el Departamento de Cooperación y Observación Electoral (DEACO) de la Secretaría de Asuntos Políticos de la Organización de Estados Americanos (OEA) al que accedió ANF, revela que el Padrón Electoral Biométrico (PEB) del país no es confiable, porque es vulnerable al hackeo informático y al manipuleo de la información. Esto se debería a la caducidad de su sistema informático.
En el documento se advierte que el padrón no cuenta con los avances en aspectos de seguridad que incluyan los nuevos y modernos sistemas operativos.
El informe no sólo fue enviado al Tribunal Supremo Electoral (TSE) como instancia interesada, sino también al viceministro de Relaciones Exteriores, Juan Carlos Alurralde de parte del embajador Diego Pary, embajador de Bolivia ante la OEA. Mediante nota SG/SAP/DECO-438/2015, se envía el Informe Final del Proyecto “Mejoramiento de los procesos y procedimientos de depuración y conformación del padrón electoral biométrico del Órgano Electoral Plurinacional (OEP)”.
La OEA hace notar que durante tres meses, entre diciembre de 2014 y febrero de 2015, desplegó un equipo de especialistas internacionales al país, que se centraron en la valoración de la legislación vigente, la operación de las bases de datos y la seguridad informática para la conformación del PEB.
Para la ejecución del proyecto se realizó una revisión documental, seguida de múltiples entrevistas con el personal del TSE, en especial, funcionarios del Servicio de Registro Cívico (Sereci) y de la Dirección Nacional de Tecnología y Comunicaciones (DNTIC), instancias encargadas de la conformación del Padrón Electoral Biométrico.
Los encargados por el organismo multilateral realizaron una verificación de la consistencia de la base de datos del PEB contra las muestras diseñadas por especialistas en estadística para evaluar por un lado, los procedimientos empleados en la actualización, depuración y mantenimiento de la base de datos del registro electoral, y por el otro, para comprobar la situación del registro electoral y la coincidencia con la información electrónica en los archivos del registro electoral. Dicha muestra se realizó tomando en cuenta la información de los nueve departamentos del país.
OEA realizó 84 recomendaciones y hallazgos
Como resultado final, el equipo de la OEA produjo un total de 84 recomendaciones y hallazgos, los cuales fueron organizados por a) acción/prioridad a corto, mediano y largo plazo; b) tipo de hallazgo: mayor, mediano o menor; y, c) temática: aspectos legales, calidad de procesos y procedimientos, bases de datos y seguridad informática.
“Es importante resaltar que en la ejecución del trabajo encomendado, el equipo de la OEA no contó con acceso total a la información e insumos para realizar su trabajo. De igual forma, la tardanza en la entrega de información clave o la negativa de entrega de información relantizaron (hicieron lento) el trabajo”, señala el informe.
Migración de equipos con Windows XP
Luego de la visita al centro de datos principal, el equipo de la OEA observó en la infraestructura tecnológica del TSE, la existencia del equipo con Windows XP, muchos de ellos asignados a tareas relacionadas al padrón biométrico, lo que representaría un riesgo importante.
Los riesgos identificados con el Windows XP, según la OEA, tienen que ver con el sistema aludido, pues no cuenta con los avances en aspectos de seguridad que incluyan los nuevos y modernos sistemas operativos, como por ejemplo el Windows 8.1, dentro de la línea del fabricante. “Se puede optar por soluciones de otro fabricante, pero siempre seleccionando versiones actualizadas del sistema operativo”, recomiendan los especialistas.
En segundo orden, porque a partir del 8 de abril de 2014, los clientes de Windows XP ya no reciben actualizaciones de seguridad, revisiones, soporte asistido (gratuito o pagado) y tampoco actualizaciones de contenido técnico en línea, como los habituales recibidos durante su ciclo de vida previstos por Microsof, quedando totalmente desfasado dicho sistema operativo.
Por esto, las nuevas vulnerabilidades descubiertas en Windows XP, después de su anunciado “fin de vida”, no serán cubiertas y remediadas por las nuevas actualizaciones de seguridad de Microsoft, las cuales se centrarán en sistemas más modernos, se alerta en el informe.
“Cabe destacar que durante el último año, Windows XP fue afectado e incluido en numerosos boletines de seguridad, lo que pone en evidencia la necesidad de una migración de los sistemas del organismo a un sistema operativo más moderno. Para esto, es necesario tener en cuenta la inversión requerida en el hardware adecuado, que permita la operación de estos nuevos sistemas”, destaca una de las recomendaciones.
También se resalta que entre las tasas de infección de malware para sistemas operativos Windows, las estadísticas demuestran que la tasa de infección de Windows XP es significativamente mayor que los sistemas operativos modernos de la misma línea del fabricante como Windows 7 y Windows 8.
Migración de equipos con Windows Server 2003
La OEA advierte que a partir del 14 de julio de 2015, Mocrosoft no volverá a ofrecer actualizaciones de seguridad o de contenido técnico, ni asistencia para el sistema operativo Windows Server 2003, lo cual implica que no se desarrollarán, ni publicarán actualizaciones.
“Esto significa un grave riesgo, puesto que los servidores dispondrán de una seguridad reducida, debido a lo cual las instalaciones virtuales y físicas no migradas serán vulnerables. El fin de ciclo, desencadena una falta de cumplimiento normativo y de conformidad tanto con estándares como con regulaciones internacionales, lo que puede acarrear consecuencias devastadoras”, subraya el informe.
La recomendación en este caso, según el equipo de especialistas, es adoptar la tecnología provista por Windows Server 2012 R2 o similar, migrando ordenadamente los servidores con el menor impacto en los recursos informáticos, de bajos costos y escasa o nula interrupción de la productividad.
Otra de las recomendaciones con carácter de urgente es proceder con una planificación para la migración hacia la plataforma que por su diseño, dote de seguridad y fiabilidad, con el valor añadido de las características que ahora se incluyen en un producto actualizado. Para esto, el primer paso es relevar y catalogar todo el software y las cargas de trabajo que se ejecutan en Windows Server 2003.
Es preciso por lo delicado de la situación hallada, según la OEA, acelerar el tiempo para la finalización de la migración a la vez que se minimicen costos, riesgos e interrupciones a los usuarios. La transición debe contemplar tecnologías instrumentales y prácticas recomendadas por el fabricante, que permitan afrontar con eficacia cada fase de la planificación y la ejecución de la migración. Dichas tecnologías contribuyen a mitigar el riesgo de las migraciones, las consolidaciones y las reestructuraciones.
Se debe contemplar, entre otros aspectos, el traslado y restructuración de las cuentas de usuarios, los datos y los sistemas sin afectar a la productividad de la infraestructura o de los usuarios.
En cuanto a las nuevas necesidades de hardware de la institución, se señala que si bien los actuales costos de mantenimiento por el envejecimiento del hardaware se han incrementado y existe el riesgo de que queden fuera de servicio, equipos por falta de componentes para reparaciones, se hace necesario realizar una planificación detallada de migración de los recursos y nuevas tecnologías de hardware.
Los riesgos asociaciones a la finalización de su ciclo de vida
Aunque el informe fue entregado a la antigua sala plena del TSE, se conoce que los nuevos vocales tuvieron conocimiento del informe, que en los hechos debía haberse aplicado antes de las elecciones subnacionales del 29 de marzo, pero que quedaron pendientes.
La OEA recomienda también al TSE, plantearse seriamente la estimación de los riesgos que se corren por utilizar equipos con sistema operativo Windows XP o Windows Server 2003 después de la finalización de su ciclo de vida. “Es importante entender que los hackers, atacantes y códigos maliciosos (exploits) tendrán un terreno fértil para sus ataques si se opta por seguir con Windows XP y/o Windows Server 2003, ya que contarán con abundante información acerca de vulnerabilidades y la certeza de resultados de la brecha de seguridad”, sostiene el documento.
De lo descrito, se deduce que el TSE está frente a un escenario completamente adverso desde la seguridad informática y esto involucra a los activos utilizados para la gestión del padrón biométrico, es por ello que se requiere adoptar medidas inmediatas para mitigar los riesgos descritos.
