«El software del 28-A puede ser hackeado»

La suerte está echada. Debates, mítines, entrevistas. Programa, programa, programa. Espectáculos televisivos más o menos edificantes. Y, por fin, las elecciones generales. Los españoles votarán este domingo como lo han hecho siempre, con la confianza de que un voto es un voto y de que nada va a interferir en el escrutinio. Pero cada vez son más las sombras que acechan sobre cualquier proceso electoral. ¿Está realmente a salvo de los piratas informáticos? ¿Hasta qué punto se puede garantizar que un hacker, a título individual o al servicio de una potencia extranjera, no interfiere en el recuento?

En entrevista con larazon.es, Eusebio Nieva, director técnico de la empresa antivirus Check Point para España y Portugal, advierte de que «debemos estar prevenidos» ante la posibilidad de cualquier ataque debido a que el traslado de información entre mesas electorales se ha digitalizado.

Pregunta: ¿Hasta qué punto los votantes pueden tener la seguridad, al 100%, de que en las elecciones del 28-A no habrá interferencias de piratas informáticos?

Respuesta: Como cualquier tecnología, el sistema de escrutinio de votos que se va a implantar de cara a las próximas elecciones generales puede ser objeto de ciberataques y, por tanto, ser hackeado. Sin embargo, no hay necesidad de alarmarse, ya que esta tecnología incorpora medidas de seguridad frente a ataques cibernéticos. Además, hay que destacar que, aunque un hacker pudiera acceder a estos sistemas, solamente podría modificar datos del recuento de votos, pero en ningún caso tener acceso a nuestra información personal.

P: ¿Técnicamente, cómo se garantiza la limpieza del recuento? ¿Es posible hackearlo?

El recuento de votos va a seguir empleando el mismo proceso que hasta ahora, es decir, un recuento manual. Por tanto, nada cambia en este sentido, por lo que nuestro voto va a ser contabilizado. La novedad en este caso es que se ha digitalizado el proceso de traspaso de información entre las mesas electorales y el sistema central de recopilación de información que cuenta con sistemas de seguridad fiables.

La aplicación instalada en los terminales que se emplearán para transferir los datos realiza controles de validación y coherencia, al mismo tiempo que elimina tareas intermedias. De esta forma, reduce los errores derivados de la cadena de transmisión de datos y permite validar en origen la información recogida en las mesas electorales

El informe Mueller ha confirmado que Rusia entró en los servidores del Comité Nacional Demócrata y de Hillary Clinton y no exonera del todo de responsabilidad a Donald Trump. Si eso ha ocurrido en la primera potencia del mundo, ¿se puede garantizar que no ocurrirá en otros países como España?

En el momento que la tecnología juega un papel importante en cualquier ámbito, podría ser vulnerada. Es por ello que lo importante es tomar las medidas necesarias para minimizar el riesgo de ataque, para estar prevenido ante cualquier tipo de amenaza.

¿Cómo funciona el recuento electrónico de votos? ¿Es seguro? ¿Qué medidas de seguridad emplea?

En el caso de las elecciones generales del 28 de abril en España, es fundamental destacar que el recuento en sí sigue siendo manual. Es decir, los votos los cuentan los miembros de la mesa, a viva voz y con la presencia de los interventores y apoderados de todos los partidos. Sin embargo, de cara a los comicios generales se han implantado algunas soluciones de soporte tecnológico con el objetivo de optimizar la transmisión de datos de las mesas a un dispositivo central para su recopilación y posterior difusión.

¿Pueden hackear el software de recuento y acceder a los datos de los votantes?

El software puede ser hackeado, pero en ningún caso se puede acceder a la identidad de los votantes. El sistema de transferencia de datos para las elecciones únicamente envía información relativa a los votos, es decir, cuántos han sido recogidos y cuantos corresponden a cada partido político. Por tanto, los votantes pueden estar tranquilos en lo relativo a su privacidad, ya que en ningún momento se incluyen dentro de la información que se transfiere al sistema central desde las distintas mesas electorales.

¿Es posible cambiar o eliminar votos a través de este software?

Sí. De hecho, manipular los datos en el proceso de escrutinio es precisamente el objetivo fundamental de este tipo de ataques. De esta forma, los ciberdelincuentes que se esconden detrás de estas ciberamenazas buscan dar un vuelco a los resultados, para lo cual pueden eliminar o incluso cambiar el signo de algunos de ellos. Por otra parte, otro de los grandes peligros derivados de los ataques al sistema electrónico de escrutinio de votos es el caos y la desconfianza sobre la veracidad de los resultados obtenidos. Esto pone en jaque la credibilidad de las urnas, del sistema político y de la fiabilidad de las soluciones tecnológicas implantadas para este tipo de procesos. A pesar de ello, puesto que no es un sistema único y siempre prevalecerán los resultados registrados en la mesa, esto no sería un escenario que afectase al recuento final.

¿Cree que en un futuro el voto telemático sustituirá al presencial o no se dan las garantías? Solucionaría los problemas de movilidad de muchas personas...

En ciberseguridad es casi imposible adelantarse, ya que cada vez surgen nuevos tipos de ciberataques innovadores, más desarrollados y con nuevas características. En este sentido es muy difícil saber hasta qué punto se podría garantizar la seguridad del proceso puesto que cada sistema de votación cuenta con mecanismos de funcionamiento distintos y, por tanto, requiere de estrategias de seguridad diferentes. Un claro ejemplo sería el voto por Internet en el que cada ciudadano podría votar desde su propio domicilio, para lo cual habría que garantizar la seguridad de infinidad de dispositivos, así como la red y la plataforma a través de la cual se va a realizar el voto.

En cualquier caso, el sistema de voto debe incorporar, no solamente los mecanismos para poder ejercer el voto de forma segura y anónima, sino también la forma de comprobar los resultados por parte de cualquiera y garantizar la fiabilidad, transparencia y resistencia a manipulación del proceso. Blockchain o tecnologías similares pueden actuar de registro electrónico de votos de manera que todo el mundo pudiese consultarlo y hacer el recuento de forma automática además de comprobar cada uno de los votos.

¿Quién puede tener interés en interferir en las elecciones españolas y con qué intención?

En términos generales, este tipo de ataques cibernéticos suelen mostrar un marcado carácter político. Sin embargo, la dificultad para rastrear el origen de los ataques hace que sea prácticamente imposible elaborar un perfil del hacker o grupo de ciberdelincuentes que tienen un mayor grado de interés en hackear las elecciones.

En general, se podrían identificar hipotéticamente dos grupos interesados en realizar este tipo de ataques. Por una parte, injerencia de otros países para cambiar el sentido del voto más acorde a sus propios intereses y, en este caso potencias extranjeras serían los actores más probables. Por otro lado, grupos antisistema o politizados que pretendan hacer una llamada de atención sobre alguna situación particular o alguna reivindicación concreta.

Se ha escrito mucho sobre una posible interferencia rusa en el referéndum de Cataluña. ¿Tienen datos, sospechas o intenciones de que esto haya ocurrido?

No tenemos información que pueda respaldar esa teoría. El hecho de que procesos tan relevantes como un escrutinio de votos se digitalicen hace que evidentemente el riesgo de convertirse en objetivo de ciberataques aumente. Sin embargo, esta es una tendencia que se produce también en otros sectores, ya que la transformación digital que viven la inmensa mayoría de modelos de negocio que trabajan con datos sensibles o económicos hace que estén en la lista de prioridades de los ciberatacantes.