Seguridad electoral

Seguridad nacional

La ciberseguridad electoral o seguridad electoral se refiere a la protección de las elecciones ^[1] y la infraestructura de votación contra ciberataques o amenazas cibernéticas ^[2] , incluida la manipulación o infiltración de máquinas y equipos de votación, redes y prácticas de oficinas electorales y bases de datos de registro de votantes. ^[3]

Las amenazas o ataques cibernéticos a las elecciones o a la infraestructura electoral pueden ser llevados a cabo por personas de dentro de una jurisdicción electoral o por una variedad de otros actores, desde estados-nación nefastos hasta cibercriminales organizados y piratas informáticos solitarios . Los motivos pueden variar desde el deseo de influir en el resultado de las elecciones hasta el descrédito de los procesos democráticos, pasando por la creación de desconfianza pública o incluso agitación política.

Mejores prácticas en materia de legislación y políticas

Han surgido diversos expertos y grupos de interés para abordar las vulnerabilidades de la infraestructura electoral y apoyar a las democracias en sus esfuerzos por mejorar la seguridad. ^[4] De estos esfuerzos ha surgido un conjunto general de ideas políticas para la seguridad electoral, entre ellas:

• Transición de sistemas de votación propietarios de caja negra a sistemas de votación transparentes de código abierto ^{[5] [6] [7]}
• Implementar el uso universal de papeletas de votación, marcadas a mano y leídas por escáner óptico, garantizando un registro de auditoría de papel verificado por el votante ( VVPAT ). ^{[8] [9] [7]}
• Aprobar requisitos de certificación de máquinas de votación ^[10] que, por ejemplo, eliminen gradualmente las máquinas de votación con pantalla táctil, especialmente los dispositivos electrónicos de grabación directa (DRE) más vulnerables ^[11] y sigan recomendaciones como las de la Comisión de Asistencia Electoral de Estados Unidos .
• Verificar los resultados de la votación exigiendo a los funcionarios electorales que realicen auditorías de limitación de riesgos , una auditoría estadística posterior a las elecciones antes de la certificación de los resultados finales. ^{[11] [7] [12]}
• Contabilización y conciliación de votos para garantizar que se contabilicen todos los votos ^[10]
• Dar a los votantes la oportunidad de corregir cualquier error que de otro modo haría que sus votos fueran desechados.
• Prohibición del voto electrónico ^[10]
• Proteger toda la infraestructura de votación, desde las bases de datos hasta los equipos, utilizando herramientas de higiene cibernética como los "20 controles críticos de seguridad" del CIS o el Marco de ciberseguridad del NIST . ^{[10] [12] [13]}
• Proporcionar recursos, capacitación e intercambio de información a los líderes electorales para el mantenimiento cibernético y el monitoreo continuo. ^{[14] [15]}
• Designar las elecciones como infraestructura crítica ^[14] y proporcionar el financiamiento adecuado para implementar mejoras de infraestructura, auditorías y medidas de higiene cibernética.
• Pruebas de lógica y precisión previas a las elecciones para verificar fallas en los equipos ^[10]
• Establecer un plan de evaluación de amenazas previas a las elecciones para reforzar la capacidad de apoyo técnico para los funcionarios electorales que soliciten asistencia. ^[14]
  • Recurrir a expertos externos para que realicen evaluaciones cibernéticas (especialistas gubernamentales, piratas informáticos de sombrero blanco , proveedores de ciberseguridad e investigadores de seguridad) cuando sea necesario. ^[15]

El papel de los hackers de sombrero blanco

La comunidad de hackers de “sombrero blanco” también ha estado involucrada en el debate público.

Villa de votación en DEFCON

Del 27 al 30 de julio de 2017, DEFCON (la conferencia de hackers más grande, más antigua y más conocida del mundo) organizó una "Voting Machine Hacking Village" en su conferencia anual en Las Vegas, Nevada, para destacar las vulnerabilidades de seguridad electoral. ^[16] El evento presentó 25 piezas diferentes de equipos de votación utilizados en elecciones federales, estatales y locales de EE. UU. y los puso a disposición de hackers de sombrero blanco e investigadores de TI con el propósito de educación, experimentación y para demostrar las vulnerabilidades cibernéticas de dichos equipos. Durante el evento de 3 días, miles de hackers, medios de comunicación y funcionarios electos presenciaron el hackeo de cada pieza de equipo, y la primera máquina se vio comprometida en menos de 90 minutos. ^[17] Una máquina de votación fue hackeada de forma remota y se configuró para reproducir la canción de Rick Astley " Never Gonna Give You Up ". Los hallazgos adicionales de la Voting Village se publicaron en un informe emitido por DEFCON en octubre de 2017. ^[18]

El "Voting Village" volvió por segundo año en la DEF CON, que se celebró en Las Vegas del 9 al 12 de agosto de 2018. El evento de 2018 amplió drásticamente sus investigaciones para incluir más del entorno electoral, desde los registros de inscripción de votantes hasta los informes de la noche de las elecciones y muchos más de los humanos y las máquinas en el medio. DEF CON 2018 también presentó una mayor variedad de máquinas de votación, funcionarios electorales, equipos, procesos del sistema electoral e informes de la noche de las elecciones. Los participantes de la Villa de Votación consistieron en piratas informáticos, profesionales de TI y seguridad, periodistas, abogados, académicos y líderes del gobierno local, estatal y federal. Se emitió un informe completo sobre los hallazgos de la Villa de 2018 en una conferencia de prensa en Washington, DC, celebrada el 27 de septiembre de 2018. ^[19]

En el Voting Village de 2024, los piratas informáticos descubrieron páginas llenas de fallas en las máquinas de votación utilizadas en los Estados Unidos y expresaron su frustración por el lento ritmo de implementación por parte de los proveedores. Harri Hursti, cofundador de la iniciativa, advirtió que estados nacionales como China y Rusia probablemente conocen todas estas fallas y tienen equipos trabajando en esto las 24 horas del día, los 7 días de la semana. ^[20]

Otros descubrimientos de los investigadores

En 2024, el investigador de ciberseguridad Jason Parker descubrió una vulnerabilidad en el portal de cancelación de registro de votantes de Georgia ^{[21] [22]} que permitía a los usuarios eludir el requisito de un número de licencia de conducir, lo que permitía enviar cancelaciones de registro de votantes con información mínima y disponible públicamente. El descubrimiento llamó la atención sobre las debilidades del sistema y la importancia de seguir trabajando para proteger la infraestructura electoral.

Europa

Los intentos de Rusia de interferir en las elecciones estadounidenses en 2016 se ajustan a un patrón de incidentes similares en toda Europa durante al menos una década. Los ciberataques en Ucrania , Bulgaria , Estonia , Alemania , Francia y Austria que los investigadores atribuyeron a presuntos piratas informáticos respaldados por el Kremlin parecían tener como objetivo influir en los resultados electorales, sembrar discordia y socavar la confianza en las instituciones públicas, que incluyen agencias gubernamentales, los medios de comunicación y funcionarios electos. ^[23]

Estados Unidos

Estados Unidos se caracteriza por un sistema de administración electoral altamente descentralizado. Las elecciones son una responsabilidad constitucional de las entidades electorales estatales y locales, como los secretarios de estado, los directores electorales, los secretarios de condado u otros funcionarios de nivel local que abarcan más de 6000 subdivisiones locales en todo el país. ^[24]

Sin embargo, la seguridad electoral se ha caracterizado como una preocupación de seguridad nacional que atrae cada vez más la participación de entidades del gobierno federal como el Departamento de Seguridad Nacional de los EE. UU . A principios de 2017, Jeh Johnson , Secretario de Seguridad Nacional, designó las elecciones como "infraestructura crítica", lo que hace que el subsector sea elegible para recibir asistencia prioritaria en materia de ciberseguridad y otras protecciones federales del Departamento de Seguridad Nacional. La designación se aplica a las instalaciones de almacenamiento, los lugares de votación y los lugares de tabulación centralizada de votos utilizados para respaldar el proceso electoral, y la tecnología de la información y las comunicaciones para incluir bases de datos de registro de votantes, máquinas de votación y otros sistemas para administrar el proceso electoral e informar y mostrar los resultados en nombre de los gobiernos estatales y locales. ^[25] En particular, los piratas informáticos que falsifican instrucciones oficiales antes de una elección podrían afectar la participación electoral o los piratas informáticos que falsifican los resultados en línea después de una elección podrían sembrar discordia. ^{[26] [ fuente no primaria necesaria ]}

Después de las elecciones de 2016

La seguridad electoral se ha convertido en un tema de debate y un tema central en los últimos años, especialmente desde las elecciones presidenciales estadounidenses de 2016. En 2017, el DHS confirmó que un adversario extranjero de Estados Unidos, Rusia , intentó interferir en las elecciones presidenciales estadounidenses de 2016 a través de "un enfoque multifacético destinado a socavar la confianza en el proceso democrático [estadounidense]". ^[27] Esto incluyó la realización de espionaje cibernético contra objetivos políticos, el lanzamiento de campañas de propaganda u "operaciones de información" (IO) en las redes sociales y el acceso a elementos de múltiples juntas electorales estatales o locales de Estados Unidos. ^[28]

El 22 de septiembre de 2017, se informó que el Departamento de Seguridad Nacional de los Estados Unidos (DHS) notificó a 21 estados que fueron blanco de piratas informáticos respaldados por el Kremlin durante las elecciones de 2016. Esos estados incluían Alabama , Alaska , Colorado , Connecticut , Delaware , Florida , Illinois , Maryland , Minnesota , Ohio , Oklahoma , Oregón , Dakota del Norte , Pensilvania , Virginia , Washington , Arizona , California , Iowa , Texas y Wisconsin . Hasta el momento, los piratas informáticos solo lograron violar el sistema de registro de votantes de un estado: Illinois. ^[29] No hubo evidencia de que se cambiaran los votos. ^[30]

Tras el ataque informático de 2016, ha surgido un grupo cada vez mayor de expertos en seguridad nacional y cibernética que señalan que Rusia es solo una amenaza potencial. Otros actores, como Corea del Norte , Irán y el crimen organizado, poseen motivos y capacidad técnica para infiltrarse en las elecciones y el funcionamiento democrático o interferir en ellas. ^[31] Los líderes y expertos han advertido de que es probable que en 2018 y más adelante se produzca un ataque futuro a las elecciones o a la infraestructura electoral por parte de piratas informáticos respaldados por Rusia u otros con intenciones nefastas, como el que se vio en 2016. ^{[32] [33] [34]}

Una recomendación para evitar la desinformación procedente de sitios web falsos relacionados con las elecciones y la suplantación de correo electrónico es que los gobiernos locales utilicen nombres de dominio .gov para los sitios web y las direcciones de correo electrónico. Estos están controlados por el gobierno federal, que autentifica que el gobierno legítimo controla el dominio. Muchos gobiernos locales utilizan .com u otros nombres de dominio de nivel superior; un atacante podría configurar fácil y rápidamente una copia alterada del sitio en una dirección .com de sonido similar utilizando un registrador privado. ^[35]

En la evaluación de la seguridad electoral de los estados de EE. UU. realizada en 2018 por el Center for American Progress , ningún estado recibió una "A" en función de sus mediciones de siete factores de seguridad electoral. ^[10] Cuarenta estados recibieron una calificación de C o inferior. Un informe independiente de 2017 del Center for American Progress describe nueve soluciones que los estados pueden implementar para asegurar sus elecciones, ^[36] entre ellas:

• Requerir papeletas de votación o registros de cada voto
• la sustitución de equipos de votación obsoletos
• Realización de auditorías postelectorales
• Actualizar los antiguos sistemas de registro de votantes y los libros de votación electrónicos
• Promulgación de normas de ciberseguridad para los sistemas de votación
• Pruebas preelectorales de equipos de votación
• evaluaciones de amenazas con intercambio obligatorio de hallazgos
• coordinación de la seguridad electoral entre agencias estatales y federales
• la asignación de fondos federales para garantizar la seguridad electoral

Algunos han pedido pruebas públicas de las máquinas de votación y auditorías obligatorias posteriores a las elecciones. ^{[37] [38] [39]}

Seguridad de las bases de datos del registro de votantes

La Ley de Ayuda a Estados Unidos a Votar de 2002 exige que todos los estados con registro de votantes implementen “una lista de registro de votantes única, uniforme, oficial, centralizada, interactiva y computarizada a nivel estatal” ^[40] , o base de datos de registro de votantes (VRDB).

La importancia de la seguridad de la VRDB se puso de relieve durante las elecciones generales de 2016, cuando los sistemas de varios estados fueron atacados por actores maliciosos. Solo se logró acceder con éxito a la base de datos de Illinois. El Departamento de Seguridad Nacional evaluó “con gran certeza que la penetración fue realizada por actores rusos” ^[41] que pudieron ver, aunque no editar, los registros de inscripción de votantes antes de que el estado cerrara la VRDB durante casi dos semanas. ^[42] Ningún registro de votantes se vio comprometido en el ataque.

Una encuesta bienal sobre las prácticas de seguridad de las bases de datos de registro de votantes de los estados realizada por el Centro de Innovación e Investigación Electoral desde 2018 ha encontrado consistentemente que "las políticas y prácticas sólidas y en mejora para proteger las bases de datos de registro de votantes están generalizadas en todos los estados".

Entre las políticas y prácticas señaladas en los resultados de 2024 se encuentran:

• Dotación de personal profesional de TI y capacitación en ciberseguridad
• Acceso asegurado mediante autenticación multifactor o similar, limitando a los usuarios a la información necesaria, o ambas cosas
• Identificar y detener amenazas potenciales mediante el monitoreo de la actividad de VRDB, auditorías regulares del sistema y el tráfico, o ambas
• Copia de seguridad de datos críticos ^[43]

Véase también

• Sistemas de votación de código abierto
• El registro de votantes en Estados Unidos

Referencias

1. "Seguridad electoral - Sección 3: Categorías clave del proceso electoral - Liberar el potencial de los datos electorales - Iniciativa de datos electorales abiertos". openelectiondata.net . Consultado el 16 de marzo de 2018 .
2. Fidler, David (mayo de 2017). "Transformando la ciberseguridad electoral", Council on Foreign Relations (PDF) .
3. "Preparación para la seguridad electoral - BeReady16 | Comisión de Asistencia Electoral de Estados Unidos" www.eac.gov . Consultado el 6 de marzo de 2018 .
4. Larson, Selena. "Los piratas informáticos trabajarán con el gobierno y el mundo académico para garantizar la seguridad de las futuras elecciones". CNNMoney . Consultado el 6 de marzo de 2018 .
5. Woolsey, R. James; Fox, Brian J. (3 de agosto de 2017). «Opinión | Para proteger el voto, utilice software de código abierto». The New York Times . ISSN  0362-4331 . Consultado el 9 de diciembre de 2022 .
6. Wofford, Ben (25 de junio de 2021). "La misión de un hombre para abrir el mundo secreto de las máquinas de votación estadounidenses". POLITICO . Consultado el 9 de diciembre de 2022 .
7. "Fundación de Votación Verificada: Principios para Nuevos Sistemas de Votación". Votación Verificada . 2015-02-04 . Consultado el 2018-03-06 .
8. "Centro Belfer para la Ciencia y Asuntos Internacionales, Escuela Kennedy de Harvard, Defendiendo la democracia digital, Manual de ciberseguridad para elecciones estatales y locales, febrero de 2018".
9. Legislaturas, Conferencia Nacional de Estados. "Seguridad electoral: políticas estatales". www.ncsl.org . Consultado el 6 de marzo de 2018 .
10. Root, Danielle; Kennedy, Liz; Sozan, Michael; Parshall, Jerry (12 de febrero de 2018). "Seguridad electoral en los 50 estados". Center for American Progress . Consultado el 1 de mayo de 2020 .
11. "Testimonio experto de J. Alex Halderman, profesor de Ciencias de la Computación, Universidad de Michigan, ante el Comité Selecto de Inteligencia del Senado de Estados Unidos, 21 de junio de 2017" (PDF) .
12. "9 soluciones para asegurar las elecciones en Estados Unidos - Center for American Progress". Center for American Progress . Consultado el 6 de marzo de 2018 .
13. "Centro para la Seguridad de Internet (CIS), Manual para la seguridad de la infraestructura electoral, versión 1.0, febrero de 2018" (PDF) .
14. "GRUPO DE TRABAJO DEL CONGRESO SOBRE SEGURIDAD ELECTORAL, Informe final, enero de 2018" (PDF) .
15. "Praetz, Noah, Oficina del Secretario del Condado de Cook, IL, David Orr, Visión 2020: Seguridad electoral en la era de amenazas extranjeras comprometidas, 7 de diciembre de 2017" (PDF) .
16. "Los piratas informáticos de la conferencia DefCon explotan vulnerabilidades en las máquinas de votación". USA TODAY . Consultado el 6 de marzo de 2018 .
17. "Los piratas informáticos compitieron para acceder a las máquinas de votación de Estados Unidos. Les tomó 90 minutos". Newsweek . 2017-07-30 . Consultado el 2018-03-06 .
18. "DEFCON 25 Voting Machine Hacking Village: Informe sobre vulnerabilidades cibernéticas en equipos, bases de datos e infraestructura electoral de EE. UU. Octubre de 2017" (PDF) .
19. Informe de la localidad electoral DEFCON 2018. Septiembre de 2018.
20. Miller, Maggie (12 de agosto de 2024). "Los mejores piratas informáticos del país encontraron vulnerabilidades en las máquinas de votación, pero no tuvieron tiempo de solucionarlas". Politico .
21. Clark, Doug Bock (5 de agosto de 2024). "Una terrible vulnerabilidad: un investigador de ciberseguridad descubre otra falla en el portal de cancelación de votos de Georgia". ProPublica . Consultado el 14 de septiembre de 2024 .
22. Keefe, Brendan (5 de agosto de 2024). "Una falla de seguridad permitió que cualquiera solicitara la cancelación de los registros de votantes de Georgia". Atlanta News First . Consultado el 14 de septiembre de 2024 .
23. Dorell, Oren (10 de enero de 2018). "El patrón de intromisión de Rusia en el extranjero expone una amenaza para las elecciones estadounidenses de 2018: informe". USA TODAY . Consultado el 6 de marzo de 2018 .
24. "Informe: Administración electoral a nivel estatal y local". Conferencia Nacional de Legislaturas Estatales . 22 de diciembre de 2023. Consultado el 6 de marzo de 2018 .
25. Johnson, Jeh (6 de enero de 2017). "Declaración del Secretario Johnson sobre la designación de la infraestructura electoral como subsector de infraestructura crítica". Departamento de Seguridad Nacional . Consultado el 6 de marzo de 2018 .
26. Gran Jurado Civil del Condado de San Mateo 2018-2019 (24 de julio de 2019). "Seguridad de los anuncios electorales" (PDF) . Tribunal Superior de California . Consultado el 20 de agosto de 2019 .{{cite web}}: CS1 maint: numeric names: authors list (link)
27. "Testimonio ante el Congreso de Jeanette Manfra, entonces subsecretaria adjunta interina de Ciberseguridad y Comunicaciones, Dirección de Protección Nacional y Programas, Departamento de Seguridad Nacional de los Estados Unidos, ante el Comité Selecto de Inteligencia, Senado de los Estados Unidos, 21 de junio de 2017" (PDF) .
28. "ICA: Evaluación de la comunidad de inteligencia. Antecedentes de la "Evaluación de las actividades e intenciones rusas en las recientes elecciones estadounidenses: el proceso analítico y la atribución de incidentes cibernéticos". 9 de enero de 2017" (PDF) .
29. "Seguridad electoral en los 50 estados - Centro para el Progreso Estadounidense". Centro para el Progreso Estadounidense . Consultado el 6 de marzo de 2018 .
30. Mestel, Spenser (28 de febrero de 2024). "La start-up que rompe el monopolio de las máquinas de votación". Pulitzer Center .
31. "Seguridad electoral en los 50 estados - Centro para el Progreso Estadounidense". Centro para el Progreso Estadounidense . Consultado el 6 de marzo de 2018 .
32. "Pompeo: 'Tengo todas las expectativas' de que Rusia intervendrá en las elecciones intermedias de 2018". POLITICO . Consultado el 6 de marzo de 2018 .
33. CNBC (6 de marzo de 2018). «Alto funcionario de inteligencia: es muy probable que Rusia busque influir en las elecciones estadounidenses de 2018». CNBC . Consultado el 6 de marzo de 2018 .
34. Cohen, Zachary. "El jefe de ciberseguridad de Estados Unidos dice que Trump no le ha pedido que se enfrente a la ciberamenaza rusa". CNN . Consultado el 6 de marzo de 2018 .
35. Parks, Miles (29 de enero de 2020). "Un simple paso podría ayudar a la seguridad electoral. Los gobiernos no lo están haciendo". NPR .
36. Root, Danielle; Kennedy, Liz (16 de agosto de 2017). "9 soluciones para asegurar las elecciones en Estados Unidos". Center for American Progress . Consultado el 1 de mayo de 2020 .
37. Smith, Carl (2 de diciembre de 2021). "¿Cómo pueden los gobiernos restaurar la confianza pública en las elecciones?". Gobernar . Consultado el 13 de agosto de 2024 .
38. Manual de la democracia (págs. 8-10) de The NewDEAL Forum. (2023)
39. McQuade, Barbara (2024). "Capítulo 9". Ataque desde dentro: cómo la desinformación está saboteando a Estados Unidos . Nueva York: Seven Stories Press. ISBN 978-1-64421-363-6.
40. "52 USC 21083: Requisitos de la lista de registro de votantes computarizada a nivel estatal y requisitos para los votantes que se registran por correo". uscode.house.gov . Consultado el 7 de septiembre de 2024 .
41. "Página:Informe del Comité Selecto de Inteligencia del Senado de los Estados Unidos sobre las campañas de medidas activas rusas y la interferencia en las elecciones estadounidenses de 2016, volumen 1.pdf/22 - Wikisource, la biblioteca libre". es.wikisource.org . Consultado el 7 de septiembre de 2024 .
42. "Tres años después de que piratas informáticos rusos piratearan la base de datos de votantes de Illinois, las autoridades gastan millones para proteger las elecciones de 2020". Chicago Tribune . 2019-08-05 . Consultado el 2024-09-07 .
43. "Cómo proteger las bases de datos de registro de votantes: resultados preliminares de la encuesta de 2024". Centro de Innovación e Investigación Electoral . Consultado el 7 de septiembre de 2024 .

Enlaces externos

• Verified Voting: organización de defensa de los derechos de los votantes de EE. UU. que cataloga los equipos de votación utilizados en cada estado