Empresa auditora señala que el proceso electoral boliviano está 'viciado de nulidad'
El gerente de Ethical Hacking, Álvaro Andrade, dijo en la TVU de La Paz, que se identificaron 'vulnerabilidades' antes de las elecciones, que no fueron subsanadas. No usó la palabra fraude, pero señaló que no se llevaron bien los procesos. Hubo más de 30.000 peticiones de validación de actas
Cristian Massud Lozada
El Deber
Reveladores. Así fueron los datos que el gerente general de Ethical Hacking, Álvaro Andrade, lanzó la noche de este jueves en el programa Jaque Mate de TVU de La Paz. La entrevista exclusiva fue dirigida por la presentadora Ximena Galarza y emitida por el Facebook del canal paceño.
El invitado contó que su firma, con sede en Panamá, fue la 'elegida' por el Tribunal Supremo Electoral (TSE) para realizar la auditoría del proceso en Bolivia. Pero sostuvo que no tuvieron mucho tiempo para hacer un trabajo que demandaba al menos cinco meses. Según Andrade, recién fueron contactados el 19 de septiembre y siete días después lanzaron su presentación oficial en las oficinas del Órgano Electoral Plurinacional ubicadas en la plaza Abaroa de La Paz. El tiempo ya apremiaba.
"Había vulnerabilidades críticas"
¿Cuál era la labor básica de la empresa que gerenta Álvaro Andrade? Pues, básicamente, identificar cualquier anomalía del proceso.
Se armó un equipo con personal de México y Panamá, y se instaló 'todo' para cumplir con la tarea. "Nuestro trabajo era realizar pruebas todos los días... Publicamos vulnerabilidades bastante críticas. Nos tocó auditar el TREP. El 10 (de octubre) empezamos la auditoría y el 11 presentamos nuestro primer informe de vulnerabilidades", detalló Andrade, que aseguró ser de nacionalidad boliviana.
Entre algunas 'vulnerabilidades críticas' el gerente señaló las siguientes:
1. Comunicaciones inseguras. Era posible interceptar y leer todas las comunicaciones del TREP. Eso significaba que se podían ver los votos y cambiarlos.
2. Obtención de credenciales. Se las podía conseguir a través de los números de las cédulas y acceder a las contraseñas cifradas. Por lo tanto, se tuvieron que 'romper' los códigos, pero al deshacerlos se permitía que hubiera un atacante externo que pudiera extraerlas. Existían 7.000 usuarios del TREP y cualquiera podía ingresar a estas.
3. Envío masivo de actas. Aquí hay tres instantes en el sistema del TREP: El golpe 1 (donde llegan las actas y se registran), el golpe 2 (donde se verifican las actas y se envían a dos operadores para el cómputo) y el golpe 3 (donde se pide el acta y se hace la validación). Cualquiera podía acceder al golpe 1 y cambiar las tendencias.
4. Envío masivo de actas electorales. Era posible inyectar desde Internet, votos, actas hasta fotografías de las mismas. Eso era una falla en el desarrollo del software por diseño inseguro.
4. Exposición de información sensible. Aquí se mandaban los datos por la URL y por lo tanto no era seguro. Era posible interceptar y alterar la comunicación entre la aplicación y el sistema. No se contaba con la protección básica, como el anti-rut y se podía instalar en cualquier celular ruteado para ver el usuario, la contraseña y descargar privilegios.
"Había como siete vulnerabilidades críticas. La empresa Neotec las iba parchando, pero no se llegó a cubrir el 100%. Cada día había más vulnerabilidades, pero Neotec no las podía arreglar, porque necesitaban más tiempo y ya estábamos a pocos días de las elecciones", sostuvo Andrade.
"Había un tercer servidor"
Andrade reveló que, aparte de los dos equipos que se usaron para el proceso electoral, había un tercero que pudo ser identificado. Aseguró que "cualquier persona" podía cambiar los resultados del proceso electoral y que, a pesar de todas las recomendaciones que realizó Ethical Hacking, el TSE decidió llevar a cabo la elección.
El gerente explicó que el 18 de octubre comenzó el calvario e identificó el proceso como un "show". Ese día se comenzó a 'cerear' (término que no existe) la base de datos. Eso significaba que todo esté en cero. El 19 de octubre se ejecutó dicho 'protocolo' ante el TSE, dos técnicos de la OEA y la ausencia del ingeniero Costas. Hasta ese momento no había nada 'raro', según señala el gerente.
A las cinco de la madrugada, el encargado de Neotec, Marcel Guzmán de Rojas, se conectó al sistema porque aparentemente había un error. El solo hecho de haber entrado, significó la pérdida de todo el trabajo anterior y se tuvo que hacer otro 'protocolo'. Otra vez, a las 7:00, hubo otro aparente error y se volvió a cambiar todo y volver a poner en cero la base de datos.
Ya durante el proceso de conteo de votos Andrade reveló que, antes del corte del TREP, alrededor de las 18:30 se recibieron cerca de 30.000 solicitudes de validaciones de actas (significaba el 90% del total). Y ellos prendieron la alerta para que Neotec hiciera su trabajo. También dijo que hubo intentos de hackeo al sistema y que 'alguien' descargó todas las actas.
El gerente dijo que no puede dar fe de la integridad de los datos electorales y aseguró que el proceso está viciado de nulidad. No quiso usar la palabra fraude, pero señáló que no se llevó, de manera adecuada, todo el proceso y se llegó a violar la integridad de la base de datos. Reveló, además, que el TSE pidió ver cuál era la tendencia de la votación, minutos antes de la rueda de prensa y señaló que cuando entraron las actas de Santa Cruz al sistema los resultados comenzaron a cambiar entre los dos más votados, el MAS y CC.
Añadió que está seguro que la OEA o cualquier otra empresa no pondrá las "manos al fuego" cuando lleguen a hacer la auditoría. Y que ya la firma Ethical Hacking envió un informe con 11 conclusiones y sus respectivas observaciones.
Cristian Massud Lozada
El Deber
Reveladores. Así fueron los datos que el gerente general de Ethical Hacking, Álvaro Andrade, lanzó la noche de este jueves en el programa Jaque Mate de TVU de La Paz. La entrevista exclusiva fue dirigida por la presentadora Ximena Galarza y emitida por el Facebook del canal paceño.
El invitado contó que su firma, con sede en Panamá, fue la 'elegida' por el Tribunal Supremo Electoral (TSE) para realizar la auditoría del proceso en Bolivia. Pero sostuvo que no tuvieron mucho tiempo para hacer un trabajo que demandaba al menos cinco meses. Según Andrade, recién fueron contactados el 19 de septiembre y siete días después lanzaron su presentación oficial en las oficinas del Órgano Electoral Plurinacional ubicadas en la plaza Abaroa de La Paz. El tiempo ya apremiaba.
"Había vulnerabilidades críticas"
¿Cuál era la labor básica de la empresa que gerenta Álvaro Andrade? Pues, básicamente, identificar cualquier anomalía del proceso.
Se armó un equipo con personal de México y Panamá, y se instaló 'todo' para cumplir con la tarea. "Nuestro trabajo era realizar pruebas todos los días... Publicamos vulnerabilidades bastante críticas. Nos tocó auditar el TREP. El 10 (de octubre) empezamos la auditoría y el 11 presentamos nuestro primer informe de vulnerabilidades", detalló Andrade, que aseguró ser de nacionalidad boliviana.
Entre algunas 'vulnerabilidades críticas' el gerente señaló las siguientes:
1. Comunicaciones inseguras. Era posible interceptar y leer todas las comunicaciones del TREP. Eso significaba que se podían ver los votos y cambiarlos.
2. Obtención de credenciales. Se las podía conseguir a través de los números de las cédulas y acceder a las contraseñas cifradas. Por lo tanto, se tuvieron que 'romper' los códigos, pero al deshacerlos se permitía que hubiera un atacante externo que pudiera extraerlas. Existían 7.000 usuarios del TREP y cualquiera podía ingresar a estas.
3. Envío masivo de actas. Aquí hay tres instantes en el sistema del TREP: El golpe 1 (donde llegan las actas y se registran), el golpe 2 (donde se verifican las actas y se envían a dos operadores para el cómputo) y el golpe 3 (donde se pide el acta y se hace la validación). Cualquiera podía acceder al golpe 1 y cambiar las tendencias.
4. Envío masivo de actas electorales. Era posible inyectar desde Internet, votos, actas hasta fotografías de las mismas. Eso era una falla en el desarrollo del software por diseño inseguro.
4. Exposición de información sensible. Aquí se mandaban los datos por la URL y por lo tanto no era seguro. Era posible interceptar y alterar la comunicación entre la aplicación y el sistema. No se contaba con la protección básica, como el anti-rut y se podía instalar en cualquier celular ruteado para ver el usuario, la contraseña y descargar privilegios.
"Había como siete vulnerabilidades críticas. La empresa Neotec las iba parchando, pero no se llegó a cubrir el 100%. Cada día había más vulnerabilidades, pero Neotec no las podía arreglar, porque necesitaban más tiempo y ya estábamos a pocos días de las elecciones", sostuvo Andrade.
"Había un tercer servidor"
Andrade reveló que, aparte de los dos equipos que se usaron para el proceso electoral, había un tercero que pudo ser identificado. Aseguró que "cualquier persona" podía cambiar los resultados del proceso electoral y que, a pesar de todas las recomendaciones que realizó Ethical Hacking, el TSE decidió llevar a cabo la elección.
El gerente explicó que el 18 de octubre comenzó el calvario e identificó el proceso como un "show". Ese día se comenzó a 'cerear' (término que no existe) la base de datos. Eso significaba que todo esté en cero. El 19 de octubre se ejecutó dicho 'protocolo' ante el TSE, dos técnicos de la OEA y la ausencia del ingeniero Costas. Hasta ese momento no había nada 'raro', según señala el gerente.
A las cinco de la madrugada, el encargado de Neotec, Marcel Guzmán de Rojas, se conectó al sistema porque aparentemente había un error. El solo hecho de haber entrado, significó la pérdida de todo el trabajo anterior y se tuvo que hacer otro 'protocolo'. Otra vez, a las 7:00, hubo otro aparente error y se volvió a cambiar todo y volver a poner en cero la base de datos.
Ya durante el proceso de conteo de votos Andrade reveló que, antes del corte del TREP, alrededor de las 18:30 se recibieron cerca de 30.000 solicitudes de validaciones de actas (significaba el 90% del total). Y ellos prendieron la alerta para que Neotec hiciera su trabajo. También dijo que hubo intentos de hackeo al sistema y que 'alguien' descargó todas las actas.
El gerente dijo que no puede dar fe de la integridad de los datos electorales y aseguró que el proceso está viciado de nulidad. No quiso usar la palabra fraude, pero señáló que no se llevó, de manera adecuada, todo el proceso y se llegó a violar la integridad de la base de datos. Reveló, además, que el TSE pidió ver cuál era la tendencia de la votación, minutos antes de la rueda de prensa y señaló que cuando entraron las actas de Santa Cruz al sistema los resultados comenzaron a cambiar entre los dos más votados, el MAS y CC.
Añadió que está seguro que la OEA o cualquier otra empresa no pondrá las "manos al fuego" cuando lleguen a hacer la auditoría. Y que ya la firma Ethical Hacking envió un informe con 11 conclusiones y sus respectivas observaciones.