Una organización de expertos en cifrado pierde su clave y se queda sin elecciones

Una de las entidades más influyentes del mundo en materia de cifrado y ciberseguridad, la Asociación Internacional de Investigación en Criptología (IACR), ha tenido que anular los resultados de sus elecciones internas después de que uno de sus responsables perdiera la clave de descifrado necesaria para acceder a los votos.

La IACR, una organización científica sin ánimo de lucro fundada en 1982, reúne a miles de investigadores dedicados al estudio de la criptología, la rama de la informática que protege las comunicaciones digitales mediante técnicas de cifrado.

Su objetivo es promover la investigación y el desarrollo de sistemas seguros, por lo que el error ha sorprendido a la comunidad tecnológica.

Un error humano bloquea las votaciones electrónicas de una entidad líder en criptografía

El incidente se produjo durante las elecciones a tres cargos de director y cuatro de oficial, un proceso iniciado el 17 de octubre y cerrado el 16 de noviembre. Para garantizar la transparencia, la organización utiliza el sistema de votación electrónica Helios, una herramienta de código abierto basada en criptografía que mantiene los votos cifrados hasta el recuento final.

El sistema requiere que tres miembros actúen como fiduciarios, cada uno con una parte de la clave que permite descifrar los resultados. Sin embargo, uno de ellos extravió su clave privada, lo que hizo “técnicamente imposible” abrir el archivo de resultados.

La asociación lo describió como un ‘error humano honesto pero desafortunado’ y decidió repetir las elecciones, que permanecerán abiertas hasta el 20 de diciembre.

Para evitar futuros incidentes, la IACR implantará un nuevo sistema de gestión de claves con umbral “2 de 3”, que permitirá recuperar los resultados con solo dos claves activas, además de un protocolo escrito para los futuros responsables del proceso.

El criptógrafo estadounidense Bruce Schneier señaló que los fallos en criptografía suelen deberse más a errores humanos que a problemas técnicos: “Los sistemas criptográficos pueden ser muy seguros, pero dependen de las personas que los manejan. Y es ahí donde suelen fallar: por olvidar claves, compartirlas mal o cometer errores”.

Aunque la asociación se ha disculpado y asegura que trata el incidente “con la máxima seriedad”, el caso pone de relieve una ironía difícil de ignorar:incluso las organizaciones más especializadas en seguridad digital pueden verse vulnerables al factor humano, el punto más débil de cualquier sistema.