RDÉ DIGITAL, SANTO DOMINGO.- La Junta Central Electoral (JCE), afirma haber abordado los errores identificados en la primera auditoría de los equipos de digitalización, escaneo y transmisión de datos (EDET). Esto a raíz de que el resultado preliminar de la auditoría revelara serias debilidades en términos de ciberseguridad y deficiencias significativas, como la falta de restricciones y medidas de seguridad, que fueron destacadas por el análisis realizado por el Centro de Asesoría y Promoción Electoral (CAPEL) en diciembre pasado.
El informe resalta como uno de los principales hallazgos que el sistema operativo de los equipos de cómputo electoral destinados para las elecciones municipales de febrero necesita reforzar su software contra programas maliciosos o malware.
Las pruebas realizadas indican la necesidad de «instalar y configurar una solución antimalware avanzada que brinde protección más allá de las capacidades del antivirus predeterminado de Windows».
La red informática de los EDET no contaba con las suficientes medidas de seguridad, como parte de su inspección, el CAPEL pudo ingresar a la red utilizando equipo no autorizado y luego ejecutar un escaneo a la base de datos central o principal.
De acuerdo a los datos, estas actividades no fueron detectadas ni bloqueadas y puede constituir una gran oportunidad para hacer daño, y además, el hardware utilizado no requiere autenticación para acceder a la configuración del sistema básico de entrada/salida (BIOS).
«La posibilidad de acceder a la BIOS sin restricciones representa un riesgo de seguridad, ya que la esta controla funciones fundamentales del sistema. Un acceso no autorizado podría resultar en la alteración de la secuencia de arranque o la configuración de dispositivos, lo que podría impactar el funcionamiento del sistema», advierte la auditoría.
La Base de datos
El tema de las credenciales que posee la base de datos de los equipos de la Junta Central Electoral (JCE), representa el punto de mayor preocupación de los investigadores del CAPEL en su informe preliminar.
En primer lugar, se cuestiona que las credenciales de la base de datos local de los EDET son visibles, lo que representa una vulnerabilidad que podría ser explotada por un atacante para obtener acceso no autorizado.
También se pudo comprobar que el sistema de administración de la base de datos está expuesto «a múltiples vulnerabilidades críticas» que podrían afectar la disponibilidad, integridad y confidencialidad de la información almacenada.
El servidor de la base de datos central o principal del EDET permite conexiones prácticamente sin restricciones, lo que permite que se haga la conexión sin importar desde donde se realice.
«Sin controles adecuados, cualquier persona con las credenciales de usuario y contraseña adecuadas puede acceder a la base de datos», detalla el informe.
En cuanto al sistema operativo de los EDET se detectaron múltiples vulnerabilidades, debido a que existe el riesgo de que puedan ser susceptibles a la instalación de softwares maliciosos o programas que comprometan su integridad.
«En el contexto electoral, la explotación de estas vulnerabilidades podría comprometer la seguridad y estabilidad de los equipos utilizados en las elecciones», indica el documento.
Al evaluar el hardware y software de los equipos de cómputo se verificó que no tienen restricciones para la conexión de dispositivos USB, lo que implica una amenaza para la fiabilidad y transparencia del proceso, considerando que estos dispositivos de almacenamiento pueden ser utilizados para introducir softwares maliciosos o extraer datos confidenciales.
El CAPEL también resaltó que el inicio de sesión tiene privilegios de administrador local, lo que se presta para posibles manipulaciones no autorizadas del software o hardware de los artefactos.
«Es importante garantizar que los usuarios de estos equipos tengan solo los permisos necesarios para realizar sus tareas, sin posibilidad de acceder o modificar aspectos críticos del sistema operativo», establece el informe.
El director de Informática de la JCE, Johnny Rivera, informó el pasado martes 9 de enero que la auditoría a los dispositivos EDET concluiría en esa semana. De acuerdo al organismo electoral, los primeros hallazgos de la auditoría, eran de importancia, pero que ya fueron solventados.
«Eran hallazgos importantes, pero no eran hallazgos que no pudieran corregirse en un tiempo prudente», precisó.
En esa ocasión, Rivera también indicó que el inicio de la primera auditoría coincidió con la llegada de los equipos tecnológicos, «o que no dio tiempo a que se preparen para hacerle la entrega a los auditores».
