El Consejo Nacional Electoral (CNE) prepara un sistema de transmisión de resultados de alta seguridad con mayor transparencia, para lo cual pondrá más controles y fuentes de verificación. La única vulnerabilidad que se puede presentar, alegan sus técnicos, está en el momento del conteo manual de resultados.

El sistema informático del CNE está a cargo de Lucy Pomboza, coordinadora nacional de Tecnología, y de Cristian Palacios, director nacional de Seguridad Informática. Ellos cuentan que en las elecciones seccionales del 5 de febrero pasado hubo 80 millones de accesos, y de ellos 500.000 fueron intentos de ataque al sistema informático o jaqueos.

Publicidad

Para las elecciones del 20 de agosto se implementarán todas las políticas de seguridad para proteger el sistema informático de transmisión de resultados, señalan. En lo interno ya existe protección, y en lo externo existen al menos cinco capas de seguridad.

¿Qué medidas de seguridad tendrán las actas de escrutinio de los comicios del 20 de agosto?

El CNE también se prepara para posibles ataques volumétricos al sistema informático, como el registrado en el proceso electoral de febrero pasado, cuando los hackers pretendían que el servicio se cuelgue o no esté disponible. Por eso, esta vez se pondrá una herramienta de contención que se encargará de analizar el tráfico, lo catalogará e impedirá que pase ese tráfico hacia los servidores.

Publicidad

La mayoría de los ataques que se recibieron en las elecciones seccionales fueron de países de Oriente Medio. Y el sistema del CNE lo que hizo fue mapear las IP y proceder a bloquear, porque a medida que se detectan se actualizan y se colocan en una base de datos.

Para el acceso a los sistemas y a la red electoral, el CNE usa múltiples factores de autentificación. Los usuarios normales tienen un perfil para acceder, y quienes tienen acceso a los servidores de base de datos son personas con altos perfiles que ponen las claves, y nadie puede acceder.

Niveles de seguridad

El sistema informático de escrutinios del CNE está dividido en dos partes.

La primera implica el escaneo de actas e ingreso y digitación de datos, verificación de las firmas, control de calidad, revisión y supervisión de las actas. Todos esos módulos se aplican entre los 1.741 recintos electorales, los centros de procesamiento electoral que están en las 24 delegaciones y la matriz en Quito.

En esta fase se aplica la primera seguridad a través de una red privada virtual; eso significa que desde el recinto hacia la matriz del CNE se tiene un enlace dedicado, es decir, de punto a punto, no a través de internet.

El proveedor de este servicio es la Corporación Nacional de Telecomunicaciones (CNT), y en cada elección, en los 1.741 recintos electorales o centros de digitalización de actas (CDA) colocan un punto, un rúter, una fibra dedicada a CNE matriz.

En ese trayecto de conexión e información nadie se mete, afirma Pomboza, y los equipos de escaneo de actas que se usan son normales de Koica y Xerox. La seguridad en este paso de transmisión la brindan las actas que son impresas por el Instituto Geográfico Militar (IGM), y tienen códigos forenses, barras y códigos QR, anticopia, marca de agua y otras que no son visibles. Al menos, el papel del acta tiene seis seguridades y esos códigos de seguridad de las actas solo los tiene el IGM.

Al colocar el enlace directo, que se denomina red electoral, garantiza que el ingreso de datos al sistema nunca se detenga y la transmisión de resultados en los centros de mando sea continua.

La otra seguridad está implementada en el equipo informático, pues las computadoras que se usan son antiformateo y especiales, porque se desactivan todas las claves, nadie puede configurar una computadora; pues en el momento en que se prende la computadora solo aparece un aplicativo para poner el usuario y la contraseña, y proceder al escaneo. Todo está controlado.

Vulnerabilidades

Los funcionarios encargados del sistema informático del CNE señalan que las inconsistencias de los resultados electorales pueden presentarse en el conteo manual de los votos y cuyos números se escriben a mano en el acta.

Números en actas de escrutinio deben ser legibles, de lo contrario pasa como inconsistencia en los resultados de las elecciones 2023

Pero Pomboza explica que, cuando alguien de buena o mala fe altera los resultados en un acta en el momento de escanearla, ya se tiene un reconocimiento automático de caracteres, y cuando se detectan irregularidades o errores pasa a ser acta inconsistente.

El sistema compara el número de electores que votaron con los que están empadronados; por eso, no puede haber más del número de empadronados en cada junta.

Nuevas seguridades

Lucy Pomboza, coordinadora nacional de Tecnología, y Cristian Palacios, director nacional de Seguridad Informática del Consejo Nacional Electoral (CNE), durante una entrevista con EL UNIVERSO sobre seguridad tecnológica en los procesos de las próximas elecciones del 20 de agosto de 2023, en su oficina, en Quito. Alfredo Cárdenas/ EL UNIVERSO. Foto: El Universo

Para las elecciones del 20 de agosto, a diferencia del proceso del 5 de febrero de 2023, se incrementarán las seguridades en cada parte del sistema informático.

En esas elecciones, cuando ya se escaneen las actas se colocará en cada acta un certificado digital, similar a una firma digital, pues a través de eso se validará el acta.

Lo que se aplicará es tecnología de blockchain, que es una estructura matemática para almacenar datos de una manera casi imposible de falsificar. Esa tecnología fue piloto el 5 de febrero pasado y será pionera en la región.

Esta tecnología de blockchain está en una red pública, es decir, está distribuida a nivel mundial. Un sistema descentralizado y transparente de registro de datos que permite a múltiples participantes mantener una base de datos compartida de manera segura.

Blockchain permite que las transacciones sean validadas y registradas por una red de participantes distribuidos en múltiples nodos de la red. Cada transacción se registra en un “bloque” que contiene un enlace criptográfico al bloque anterior, formando así una cadena continua de bloques, de ahí su nombre blockchain o cadena de bloques.

Repositorio y ataques al sistema

Lucy Pomboza anuncia que para las elecciones del 20 de agosto habrá un repositorio de actas donde todos pueden acceder. Lo que se pretende asegurar, con la parte tecnológica, es que esté disponible el historial de actas.

El repositorio digital son archivos donde se almacenan recursos digitales para que puedan ser consultados; es una especie de carpeta donde reposarán todas las actas escaneadas con certificados digitales e inmutados, y podrán descargarse las actas con los resultados, y tendrán blockchain para que esos archivos puedan ser verificados por tecnología del CNE.

La publicación de resultados ya no se realiza a través de enlaces físicos, como era antes del 2019; a partir de esa fecha, el CNE contrató una nube y esa es elástica, lo cual significa que ya no depende de un ancho de banda, pues mientras más consultas se realicen más se estira. Ese servicio lo proporciona CNT.

La necesidad de un repositorio surgió por el continuo incremento de acceso a los resultados, pues en el proceso electoral del 2021 se registraron 6 millones de accesos, en las elecciones de febrero de 2023 hubo 80 millones de accesos, y de ellos hubo 500.000 intentos de ataque al sistema informático del CNE.

Lo único que pasó el 5 de febrero fue que se relantizó o se hizo más lento el servicio, pero nunca afectó la presentación de resultados ni el procesamiento, porque las actas tenían llaves y códigos de seguridad, así como el procesamiento de los resultados, explican los técnicos.

El repositorio es de imágenes y resultados en formato plano, y este ya se aplicó en febrero de 2023, pero no se difundió. En este repositorio habrá una carpeta con todo el estado de procesamiento de datos del país que permitirá a las organizaciones políticas hacer el control electoral de sus candidatos.

Para las elecciones de agosto, el CNE contratará otra contingencia de nube, y con ello se tendrán dos nubes que publicarán los resultados.

Cristian Palacios señala que se hacen controles desde los puntos donde fluye la información, esto es, desde los centros de digitalización, centros de procesamiento y en la presentación de los resultados; por lo tanto, se trata de controlar y poner todas las seguridades posibles con encriptación.

Si alguien lograra acceder y tratara de leer la información, no podría entender, porque es información que está codificada, y lo que se hace es poner a disposición de las organizaciones políticas y a la ciudadanía la información procesada para que puedan llevar su control.

Antes de exponer el sistema se hacen pruebas de vulnerabilidad para evitar los hackers externos, pues el mismo CNE cuenta con un equipo de hackers que son los que se encargan de vulnerar las protecciones del sistema y, luego de hacer un análisis interno de vulnerabilidad, se corrigen.

Incluso la institución electoral hace una contratación de un servicio internacional que se encarga de hacer un análisis de vulnerabilidad de la publicación de resultados, de los equipos que están en los centros de digitalización de actas, de la red y del sistema informático.

De momento está en proceso de contratación de la empresa que se encargará de hacer el control de vulnerabilidad y entregará un informe de los hallazgos para que seguridad informática del CNE realice las correcciones en caso de haberlas. Una de las primeras pruebas que habrá a posibles vulnerabilidades del sistema será en el simulacro previsto para el 30 de julio próximo. (I)