La Agencia de Ciberseguridad e Infraestructura de Estados Unidos, o CISA, dijo que no hay pruebas de que los defectos en los equipos de Dominion Voting Systems hayan sido explotados para alterar los resultados electorales. El aviso se basa en las pruebas realizadas por un prominente informático y testigo experto en una larga demanda que no está relacionada con las acusaciones de una elección robada impulsadas por el ex presidente Donald Trump tras su derrota en las elecciones de 2020.
El aviso, obtenido por The Associated Press antes de su publicación prevista para el viernes, detalla nueve vulnerabilidades y sugiere medidas de protección para prevenir o detectar su explotación. En medio de un remolino de desinformación y desinformación sobre las elecciones, CISA parece estar tratando de caminar una línea entre no alarmar al público y hacer hincapié en la necesidad de que los funcionarios electorales tomen medidas.
El director ejecutivo de CISA, Brandon Wales, dijo en un comunicado que «los procedimientos estándar de seguridad electoral de los estados detectarían la explotación de estas vulnerabilidades y, en muchos casos, evitarían los intentos por completo.» Sin embargo, el aviso parece sugerir que los estados no están haciendo lo suficiente. Insta a que se tomen medidas de mitigación inmediatas, incluyendo «medidas defensivas continuas y mejoradas para reducir el riesgo de explotación de estas vulnerabilidades». Estas medidas deben aplicarse antes de cada elección, dice el aviso, y está claro que no se está haciendo en todos los estados que utilizan las máquinas.
El informático de la Universidad de Michigan J. Alex Halderman, autor del informe en el que se basa el aviso, lleva mucho tiempo sosteniendo que el uso de la tecnología digital para registrar los votos es peligroso porque los ordenadores son intrínsecamente vulnerables a la piratería informática y, por tanto, requieren múltiples salvaguardias que no se siguen de manera uniforme. Él y muchos otros expertos en seguridad electoral han insistido en que el uso de papeletas marcadas a mano es el método más seguro de votación y la única opción que permite realizar auditorías postelectorales significativas.
«Estas vulnerabilidades, en su mayor parte, no son fáciles de explotar por alguien que entre en la calle, pero sí son cosas que nos preocupan que puedan ser explotadas por atacantes sofisticados, como naciones hostiles, o por personas con información privilegiada sobre las elecciones, y tendrían consecuencias muy graves», dijo Halderman a AP.
El potencial de intromisión por parte de personas con acceso a las elecciones ha sido ilustrado por la secretaria del condado de Mesa, Tina Peters, en Colorado, que se ha convertido en una heroína para los teóricos de la conspiración electoral. Los datos de las máquinas de votación del condado aparecieron en sitios web de conspiración electoral el verano pasado, poco después de que Peters apareciera en un simposio sobre las elecciones organizado por el director general de MyPillow, Mike Lindell. Ha sido acusada y recientemente se le impidió presentarse como candidata a secretaria de Estado.
Halderman descubrió que un atacante con acceso físico o a la red podría hacerse con el control de las máquinas de votación e instalar código malicioso que podría alterar los resultados. Eso incluye acceder al sistema de gestión electoral para modificar los archivos antes de que se carguen en las máquinas de votación o falsificar las tarjetas que utilizan los técnicos, los votantes y los trabajadores electorales para obtener un acceso no autorizado a las máquinas.
«Los atacantes podrían entonces marcar las papeletas de manera inconsistente con la intención de los votantes, alterar los votos registrados o incluso identificar los votos secretos de los votantes», dijo Halderman.
Halderman es un testigo experto de los demandantes en una demanda presentada originalmente en 2017 que apuntaba a las anticuadas máquinas de votación que Georgia utilizaba en ese momento. El estado compró el sistema Dominion en 2019, pero los demandantes sostienen que el nuevo sistema también es inseguro. Un informe de 25.000 palabras que detalla los hallazgos de Halderman se presentó bajo sello en el tribunal federal de Atlanta el pasado julio.
La jueza de distrito Amy Totenberg, que supervisa el caso, ha expresado su preocupación por la publicación del informe, ya que le preocupa la posibilidad de que se produzcan hackeos y el uso indebido de información sensible del sistema electoral. En febrero aceptó que el informe se compartiera con la CISA, que prometió trabajar con Halderman y Dominion para analizar las posibles vulnerabilidades y luego ayudar a las jurisdicciones que utilizan las máquinas a probar y aplicar cualquier protección.
Halderman está de acuerdo en que no hay pruebas de que las vulnerabilidades fueran explotadas en las elecciones de 2020. Pero esa no era su misión, dijo. Lo que buscaba era la forma en que el sistema de votación Democracy Suite ImageCast X de Dominion pudiera verse comprometido. Las máquinas de votación con pantalla táctil pueden configurarse como dispositivos de marcado de boletas que producen una boleta de papel o registran los votos electrónicamente.
En un comunicado, Dominion defendió las máquinas como «precisas y seguras».
Los sistemas de Dominion han sido difamados por personas que impulsan la narrativa de que las elecciones de 2020 fueron robadas a Trump. Las afirmaciones y a veces escandalosas de aliados de alto perfil de Trump llevaron a la empresa a presentar demandas por difamación. Funcionarios estatales y federales han dicho repetidamente que no hay pruebas de fraude generalizado en las elecciones de 2020 – y ninguna prueba de que el equipo de Dominion fue manipulado para alterar los resultados.
Halderman dijo que es una «desafortunada coincidencia» que las primeras vulnerabilidades en los equipos de los colegios electorales reportadas a CISA afecten a las máquinas de Dominion.
«Hay problemas sistémicos en la forma en que se desarrollan, prueban y certifican los equipos electorales, y creo que es más probable que se encuentren problemas graves en los equipos de otros proveedores si se someten al mismo tipo de pruebas», dijo Halderman.
El aviso de CISA desaconseja específicamente el uso de las máquinas tal y como están configuradas en Georgia, donde una papeleta impresa incluye tanto un código de barras como una lista legible por el ser humano que refleja las selecciones del votante, y los votos son contados por un escáner que lee el código de barras.
«Cuando los códigos de barras se utilizan para tabular los votos, pueden ser objeto de ataques que exploten las vulnerabilidades enumeradas, de modo que el código de barras no sea coherente con la parte de la papeleta de papel legible por el ser humano», dice el aviso. Recomienda que las máquinas de votación se configuren, si es posible, para que produzcan «papeletas tradicionales de cara completa» en lugar de papeletas resumidas que utilizan un código de barras.
Las máquinas afectadas son utilizadas por al menos algunos votantes en al menos 16 estados, y en la mayoría de esos lugares se utilizan sólo para las personas que no pueden rellenar físicamente una papeleta a mano, según un rastreador de equipos de votación mantenido por el organismo de control Verified Voting. Pero en algunos estados, como Georgia, casi todo el voto en persona se realiza en las máquinas afectadas.
El subsecretario de Estado de Georgia, Gabriel Sterling, dijo que el aviso de la CISA y un informe separado encargado por Dominion reconocen que «las salvaguardias de procedimiento existentes hacen extremadamente improbable» que un actor malo pueda explotar las vulnerabilidades identificadas por Halderman. Calificó de «exageradas» las afirmaciones de Halderman.
Dominion ha dicho a CISA que las vulnerabilidades se han solucionado en versiones posteriores del software, y el aviso dice que los funcionarios electorales deben ponerse en contacto con la empresa para determinar qué actualizaciones son necesarias. Halderman probó las máquinas utilizadas en Georgia, y dijo que no está claro si las máquinas que ejecutan otras versiones del software comparten las mismas vulnerabilidades.
Halderman dijo que, por lo que sabe, «nadie más que Dominion ha tenido la oportunidad de probar sus correcciones afirmadas».
Para prevenir o detectar la explotación de estas vulnerabilidades, las recomendaciones del aviso incluyen garantizar que las máquinas de votación sean seguras y estén protegidas en todo momento; realizar rigurosas pruebas pre y postelectorales en las máquinas, así como auditorías postelectorales; y animar a los votantes a verificar la parte legible por el ser humano en las papeletas impresas.
Bitcoin 
Ethereum 
Tether 
BNB 
XRP 
USDC 
Lido Staked Ether 
Dogecoin 
Cardano 
Solana