Inicio

Última actualización: 23 de mayo de 2018

¿Se pueden robar las elecciones con un ataque cibernético?

Publicado en  DINERO

En víspera de la elección presidencial de este domingo se reaviva la preocupación de lo que los cibercriminales podrían llegar a hacer si detectan alguna vulnerabilidad del Estado en este campo. 

Gobiernos en otras partes del mundo se han visto afectados, no precisamente durante un proceso electoral, pero sí con episodios como el secuestro de datos. El último estudio de ciberseguridad de EY reveló que el 67% de las entidades de gobierno encuestadas alrededor del mundo no tiene un programa formal de inteligencia frente a amenazas cibernéticas. Si esta llegase a ser la realidad de las entidades encargadas del proceso electoral en Colombia, el riesgo incrementaría.

De parte del Gobierno Nacional han dicho que el país se ha preparado para este tipo de escenarios partiendo del Plan Nacional de Garantías Electorales. Con ese fin fue creado el Centro integrado de Inteligencia Electoral, en el que evalúan la vulnerabilidad y riesgo para las elecciones en todos los municipios del país.

Durante el plebiscito, la Registraduría fue objeto de varios ataques cibernéticos en su página web, pero de acuerdo con la entidad todos fueron neutralizados con éxito.

“Debemos estar siempre vigilantes y preparados. Está circulando información de posibles ataques o intenciones non sanctas que podrían provenir incluso del exterior”, señaló el presidente Juan Manuel Santos al instalar el Puesto de Mando Unificado, que se encarga de este asunto y del que hacen parte la Registraduría Nacional, la Policía Nacional, las Fuerzas Militares y el Ministerio de las TIC.

Esto dicen los expertos

“La magnitud de este riesgo es difícil medirla sin tener un análisis de las salvaguardas y de las acciones que haya tomado el Gobierno con el fin de prevenir y complicar al máximo la tarea de grupos que tengan como objetivo desestabilizar las elecciones”, dice Juan Mario Posada, gerente de consultoría y experto en ciberseguridad de EY Colombia.

Por otra parte, Daryan Reinoso, de Symantec, explica que para evitar las amenazas, todos los sistemas de información deben ser provistos de mecanismos de control, procedimientos y profesionales expertos para el manejo de riesgos que comprometan la información manejada.

“Existen metodologías y buenas prácticas que permiten evaluar, medir y gestionar el nivel de riesgo para un sistema de información específico que involucren procesos de consolidación de datos a gran escala”, asegura Reinoso.

Posada agrega que existen muchas herramientas de prevención y respuesta a ataques cibernéticos, por lo que las entidades relacionadas con las elecciones pueden hacer uso de mecanismos de autenticación fuertes en los dispositivos de la infraestructura tecnológica de las entidades, fortalecimiento de las acciones de inteligencia de amenazas cibernéticas, actualizaciones de seguridad en servidores y componentes tecnológicos o pruebas y simulacros de incidentes cibernéticos para medir el nivel de alistamiento que tienen.

Le sugerimos: Ciberdelincuentes, ahora tras la minería de criptomonedas

Añade que la “sensibilización tiene un papel clave”. El reporte de EY muestra queel 60% de las entidades gubernamentales consultadas alrededor del mundo que respondieron considera que la debilidad más importante está relacionada con el descuido o ingenuidad de los colaboradores.

Reinoso por su parte, coincide en que la estrategia integral de ciberseguridad debe involucrar además del componente de tecnología, al personal involucrado y la interacción con entidades complementarias que soporte la gestión integral del riesgo y el manejo de incidentes de seguridad.

Al respecto, Denise Giusto Bilic, especialista en seguridad informática de Eset Latinoamérica cuenta que existen diferentes vectores de ataque informáticos que pueden llegar a comprometer el resultado de una elección gubernamental. A grandes rasgos, de acuerdo con ella, se pueden agrupar en dos categorías: por un lado, aquellos que intentan sacar provecho de los componentes electrónicos del sistema y, por otro, los que buscan manipular la opinión pública a través de medios digitales.

En el primer caso, el nivel de exposición del sistema dependerá de si se trata de voto electrónico o no. En el caso de Colombia no hay voto electrónico.
“Diversos profesionales de la seguridad informática han llegado a la conclusión de que en la actualidad no contamos con tecnología capaz de garantizar al mismo tiempo el secreto del voto, la integridad del resultado y la auditabilidad del proceso. En general, podemos decir que mientras más elementos electrónicos posea el sistema de votación, más susceptible será de verse comprometido por un ciberataque”, indicó Giusto.

La otra forma y que califica como “más sencillo” es el engaño a los votantes mediante técnicas de Ingeniería Social. "La difusión de mensajes fraudulentos puede servir a posicionar ideas falsas en el subconsciente colectivo, generando daños graves o irreversibles en la imagen pública de una entidad o persona.
Algunas técnicas de manipulación social que se han popularizado incluyen la difusión de noticias fraudulentas, la clonación de perfiles de autoridades públicas y sitios oficiales para difamar a la oposición, o la creación de redes de perfiles apócrifos en redes sociales que actúan como bots de mensajería que permiten publicar y contestar de manera automática para posicionar determinadas tendencias en momentos críticos", precisa Giusto Bilic.

Los candidatos y las campañas

Los aspirantes a la Casa de Nariño y sus equipos tampoco están exentos de riesgos. Para Daryan Reinoso uno de los principales retos en épocas actuales donde la información está disponible en cuestión de microsegundos, es tener control de la presencia digital que se desea tener.

“La diversidad de opciones que se tienen para transmitir los mensajes hacia la población en general suponen un desafío en términos de ciberseguridad. Incorporar procesos de mejores prácticas en la gestión de la presencia digital, como por ejemplo la adopción de un factor de autenticación fuerte para el acceso de las cuentas digitales, implementación de programas y procesos de prevención de fuga de información confidencial y protección contra amenazas son controles críticos para lograr este control digital requerido”, indicó Reinoso de Symantec.

Mientras tanto Posada de EY, afirma que las campañas deben tener una actividad de prevención y control constante.

“El monitoreo de menciones en la red, la protección de la página  web y las redes sociales, la definición de responsables capacitados para manejar las cuentas, el involucramiento en los equipos de personas con conocimientos en materia de seguridad digital y especial cuidado con los medios por los cuales comparte la información estratégica son actividades concretas que pueden implementar”, dijo Posada.

También mencionó tendencias como la publicación de noticias falsas, la creación de perfiles ficticios suplantando a los diferentes candidatos y otras amenazas que no deberían ser subestimadas por las campañas.

“Las redes sociales son excelentes plataformas para dar a conocer propuestas y programas de gobierno, pero también vemos que durante esta campaña se ha hecho aún más común el uso de plataformas más personales, como Whatsapp, para divulgar información (verdadera y falsa), contenido programático, publicidad y otros”, agregó Posada.

Para este segmento, Denise Giusto Bilic de Eset dice que es necesario que los candidatos tengan sus cuentas verificadas como oficiales, pero que además tengan mucho cuidado con su privacidad, limitando la cantidad de información que distribuyen públicamente y controlando quiénes forman parte de sus contactos. "Cuando se trata un sitio web clonado, no hay mucho que los administradores puedan hacer para evitar que los atacantes generen un sitio similar o idéntico", añadió Giusto.