Las claves de las máquinas electorales están en Internet, según los hackers

Puede que tenga las llaves para abrir las máquinas de votación que se utilizan en los estados de todo el país, y eso no es nada bueno.

Yo am no soy funcionario electoral. I am no soy experto en máquinas de votación, ni operador, ni estoy afiliado a ningún organismo gubernamental federal, estatal o local.

Yo am simplemente un periodista de investigación que, al enterarse de que los tipos de llaves utilizados para estas máquinas están al parecer ampliamente disponibles para su compra en Internet, tuvo la prudencia de pedir llevarse unas cuantas llaves a casa como recuerdo de mi reciente viaje a la Conferencia de Hacking DEF CON 27 en Las Vegas.

Ahora, tengo acceso a máquinas que se han utilizado o se utilizan actualmente en 35 estados diferentes. Estados oscilantes, iconos costeros y el corazón del país, según los expertos. El SWAG más guay y probablemente más inquietante de la historia, sin duda.

LAS MÁQUINAS DE VOTACIÓN PUEDEN SER PIRATEADAS EN DOS MINUTOS, ADVIERTE UN EXPERTO

"Son las llaves del reino", explica Harri Hursti, hacker y experto en seguridad de datos de Nordic Innovation Labs. Hursti, que ayudó a organizar la "Aldea del Voto" de DEF CON, hablaba tanto literal como metafóricamente, ya que algunas de estas llaves abren realmente la carcasa de la tarjeta de memoria de ciertas máquinas. 

El problema, dice Hursti, es que muchas de las cerraduras utilizadas para estas máquinas funcionan con llaves básicas que pueden sustituirse fácilmente con el tiempo, o en caso de que se pierdan. Algunas de las llaves son tan universales que no sólo abren máquinas de votación, sino también minibares e incluso algunos ascensores.

Pedir a Amazon lo que en realidad es una llave maestra no es el tipo de "pirateo" en el que podrías pensar en un lugar como la Aldea del Voto de DEF CON, o en una lluvia de ideas sobre las posibles vulnerabilidades de los equipos supuestamente seguros que se utilizan en las elecciones estadounidenses en general. Pero aquí estamos.

De hecho, los tipos de llaves que me mostraron en la "Aldea de Votación" de DEF CON están disponibles en sitios como Amazon, eBay y otros, como sugirió Hursti.

HACKERS EXTRANJEROS TIENEN EN SU PUNTO DE MIRA LAS REDES ELECTORALES DE EEUU, SEGÚN UN INFORME

"Esta [máquina] se utiliza en 18 estados diferentes, muchos estados oscilantes diferentes. Puede alterar la papeleta, puede hacer que diga algo que se supone que no debe decir. Y eso está socavando nuestra democracia".

- Rachel Tobac, Directora General de SocialProof Security

Por supuesto, en DEF CON me enteré de muchas otras puertas traseras digitales y otras vulnerabilidades inquietantes relativas al equipo electoral estadounidense. Como la "función oculta" que, según Hursti, se descubrió hace poco en una máquina que lleva en uso y bajo el microscopio más de una década.

"Una función oculta que permite reabrir las urnas silenciosamente, e introducir más papeletas e imprimir las nuevas pruebas de las elecciones", dice Hursti. Y a pesar de creer que los fabricantes habían aprendido de las vulnerabilidades expuestas anteriormente en esa máquina a lo largo de los años, "estas características [recién descubiertas] se habían pasado por alto" todo el tiempo, dice Hursti.

Vi a Hursti explicar este nuevo descubrimiento al representante Eric Swalwell, demócrata de California, uno de los numerosos legisladores que asistieron a la DEF CON de este año, y cuya cara pareció caerse al conocer la nueva revelación. Probablemente porque esta máquina en concreto lleva años utilizándose en California, su estado natal.

Hubo un equipo de estudiantes que manipuló dos máquinas diferentes para que jugaran entre sí al clásico retro "PONG" desde el otro lado de la sala. Otro grupo de investigadores fue capaz de piratear un equipo, utilizado anteriormente para registrar y verificar a los votantes el día de las elecciones, para ejecutar el videojuego homónimo, "DOOM".

35 MILLONES DE REGISTROS DE VOTANTES A LA VENTA EN LA RED OSCURA, SEGÚN UN INFORME

Esta última máquina utilizaba una tableta de uso común con cámaras orientadas hacia delante y hacia atrás. Un representante de medios de comunicación de Election Systems & Software (ES&S), una de las empresas detrás de ese equipo en particular y de otros en DEF CON, dijo que "las máquinas de votación no tienen cámaras. Quizá te refieras a nuestra versión anterior de e-pollbook, utilizada para registrar y verificar a los votantes".

Esas tabletas, dijeron, sólo se utilizaban "en algunos estados para acelerar el proceso de registro de votantes", y que su equipo "no fotografía a los votantes ni emite papeletas, y no hay forma de vincular la papeleta al votante en el momento del registro."

Puedes decidir hasta qué punto te tranquilizan estas afirmaciones si alguna vez te encuentras mirando a una cámara web mientras te registras el día de las elecciones.

Se descubrió que una máquina de votación tenía una contraseña de "1111". Mejor que la máquina de votación SIN contraseña. 

Y vi cómo se desmantelaba físicamente otra máquina de votación, con tarjeta de memoria y todo, sólo con las uñas y un bolígrafo. Rachel Tobac, directora ejecutiva de SocialProof Security, empresa especializada en "ingeniería social" y evaluaciones de seguridad, me guió por ese último proceso en menos de 90 segundos. Y sólo era su segundo año pirateando máquinas de votación.

En la "zona infantil" de la DEF CON, conocida como el "Asilo r00tz", unos niños que apenas acababan de salir de la escuela secundaria habían pirateado un sitio web simulado de contribuciones a campañas para revelar donaciones de un donante de mucho dinero llamado "spaghetti". Bromas aparte, el poder de cambiar los nombres y las cantidades de las donaciones políticas en los sitios web oficiales de los estados no es cosa de risa.

LOS HACKERS IRRUMPEN FÁCILMENTE EN LAS MÁQUINAS DE VOTACIÓN, EN EL DESAFÍO DE LA CONFERENCIA

Hubo indicios de que se están abordando algunos de los problemas de los equipos electorales estadounidenses, como el contingente significativamente mayor de legisladores en la DEF CON de este año, así como funcionarios electorales e incluso congresistas de ambos lados del pasillo. O el hecho de que más de una docena de máquinas de votación reales estuvieran disponibles para ser manipuladas en la Voting Village de este año, algunas de ellas por los propios fabricantes.

Dominion Voting, otra empresa que fabrica equipos electorales, "envió representantes y equipos de demostración a DEF CON este año con la esperanza de encontrar más formas de trabajar con investigadores y hackers de sombrero blanco", según un representante.

Un miembro destacado de la comunidad de piratas informáticos en DEF CON dijo a Fox que tenían la sensación de que el enfoque de "tierra quemada" de Voting Village, consistente en desmantelar máquinas de votación en un espacio público, ya no era la mejor manera de fomentar un diálogo público con las empresas que están detrás de la tecnología. Esa misma persona dijo que es una muy buena señal que al parecer hubiera representantes de al menos una de esas empresas en DEF CON este año, con equipo a cuestas. También admitieron que tener equipos electorales que utilizan claves maestras vendidas en Internet parece un problema obvio y fácilmente solucionable.

También se están investigando avances tecnológicos para intentar que el sistema de votación sea más seguro, como una nueva máquina de 10 millones de dólares financiada por el Departamento de Defensa, y el concepto de combinar la tecnología blockchain con papeletas de voto, un Frankenstein de las elecciones federales que está al menos a tres elecciones de convertirse en una posible realidad, según las personas que trabajan en el proyecto.

Aunque todavía faltan algunos años para ese proyecto en concreto, el voto móvil con blockchain ya se ha sometido a una prueba en Virginia Occidental, y al parecer el estado tiene previsto volver a utilizarlo en 2020. La prueba se centró principalmente en permitir que los votantes en el ejército en el extranjero emitieran su voto, y los funcionarios electorales del estado han dicho al parecer que consideraban que esta tecnología presentaba una alternativa más segura que el voto ordinario por Internet.

Sin embargo, sólo en el último mes, una empresa australiana que trabajaba en un sistema de votación basado en blockchain cerró por motivos legales no especificados, y un investigador francés publicó un informe en el que detallaba cómo había descifrado el sistema de votación por Internet de Moscú un mes antes de las elecciones del país.

Dicho todo esto, los expertos que conocen mejor que nadie lo vulnerables que son estas máquinas dicen que ninguna de estas cosas debería desanimar a nadie a acudir a las urnas.

"¿Los investigadores de seguridad que encuentran estas vulnerabilidades? Somos los primeros en la cola el día de las elecciones (cuando no somos voluntarios como trabajadores electorales)", escribió en un tuit Matt Blaze, otro experto en seguridad de la DEF CON Voting Village.

En cuanto a algunas de las afirmaciones surgidas de las festividades de piratería electoral de este año, el representante de Dominion dijo que la empresa "necesitaría poder revisar el informe completo de DEF CON antes de responder a cualquier afirmación o consulta".

En cuanto a la cuestión de los candados y las llaves, y si apoyan los esfuerzos que se realizan en un lugar como DEF CON, ES&S explicó a Fox que la empresa "somete sus equipos a pruebas de investigadores de seguridad independientes y trata proactivamente de trabajar con expertos independientes en seguridad electoral", además de asociarse con entidades como el Departamento de Seguridad Nacional. Añadieron que existen salvaguardias adicionales más allá de los obvios bloqueos propiamente dichos.

Y aunque ES&S también sugirió que no hay pruebas de que un voto en unas elecciones estadounidenses se haya visto comprometido alguna vez por una brecha de ciberseguridad, Tobac e innumerables otros en DEF CON este año dejaron claro que el tiempo es esencial cuando se trata de resolver los aparentes problemas que siguen existiendo con algunos de estos equipos.

HAZ CLIC AQUÍ PARA OBTENER LA APLICACIÓN FOX NEWS

"Esta [máquina] se utiliza en 18 estados diferentes, muchos estados oscilantes diferentes", dice Tobac. "Puede alterar la papeleta, puede hacer que diga algo que se supone que no debe decir. Y eso está socavando nuestra democracia", añadió.

Habrá más información sobre mi viaje inaugural a la DEF CON. ¿Tienes algún consejo para mí, relacionado con DEF CON o de otro tipo? Envíame un DM a Twitter, @_gonzoAD, o búscame en Signal: alexdiaz36.