Cómo afrontar la ciberseguridad en los procesos electorales

La influencia que pueden tener algunos grupos de ciberdelincuentes en los procesos electorales es una preocupación general en estos días y no es para menos. La ciberseguridad juega un papel clave en los procesos electorales, ya que afecta a muchos elementos de la cadena de votación: los votantes, los dispositivos electrónicos utilizados para el voto —donde los haya—, los registros de potenciales electores, el listado de candidatos, los recuentos, las transmisiones de los datos a las juntas electorales centrales, la publicación de los resultados...

A esto, debemos sumar las diferentes amenazas que existen en estos procesos y que pueden ir desde la explotación de vulnerabilidades de los sistemas informáticos, a los ataques de phishing, la denegación de servicios —por ejemplo, en la publicación de resultados— o incluso las fake news para influir en el votante antes de las elecciones.

Cuanto más digitalizado esté el proceso, mayor será la superficie de ataque

Desde hace algunos años, numerosos procesos electorales se han visto amenazados —cuando no afectados— por incidentes de ciberseguridad. Por ejemplo, en 2014, durante las elecciones en Polonia, se produjo un ciberataque que obligó al chequeo manual para hacer el recuento de votos. En 2015, durante las últimas elecciones europeas, se produjo un ataque de DDoS que mantuvo inactivo el servicio web de las autoridades búlgaras durante varias horas. En 2017, durante la campaña a las elecciones presidenciales de Francia, se produjo un ciberataque a la infraestructura del candidato, y actual presidente, Emmanuel Macron. Ese mismo año, el servicio electoral de la República Checa se vio afectado por un ataque de denegación de servicio.

Sin embargo, no todos los países se ven afectados de igual manera, ni todos afrontan esta problemática de forma idéntica. Algunos países utilizan el voto electrónico de forma masiva a través de urnas electrónicas donde el voto se deposita a través de papeletas marcadas en papel con lápices de colores que son leídas con tecnologías como OCR; otros países permiten la votación de forma completamente online utilizando identidades digitales; y una gran mayoría, como en España, establece un procedimiento con papeletas en papel y recuentos netamente manuales. De cualquier forma, cuanto más digitalizado esté el proceso, mayor será lo que se conoce como “superficie de ataque”.

Más información

¿Se puede asegurar la ciberseguridad en las próximas elecciones generales?

¿Todavía no sabes a quién votar? Este chatbot te ayuda a decidirte

Algunos organismos, como la Fundación Internacional de Sistemas Electorales (IFES, por sus siglas en inglés), trabajan en proteger estos procesos desde el punto de vista de los posibles ciberataques. En su caso, han definido una metodología conocida como HEAT que marca las pautas a seguir a la hora plantear medidas contra las posibles amenazas. También la Comisión Europea ha elaborado un compendio de las experiencias recogidas por diferentes países en cuanto a las medidas prácticas que la organización de un proceso electoral debe tener en cuenta y que afectan a los datos de electores y candidatos, las herramientas utilizadas para recoger los votos, los procedimientos utilizados para enviar, procesar y contar los votos y los sistemas utilizados para publicitar los resultados, así como otros servicios de apoyo al proceso. Todos ellos forman parte de un estudio realizado por un grupo de cooperación europeo que bajo la directiva NIS permite compartir e intercambiar experiencias entre los Estados miembros.

Entre las medidas recomendadas por la Comisión Europea se encuentra la definición de un enfoque unificado para garantizar la integridad de los datos (por ejemplo, utilizando elementos criptográficos), el control de la cadena de suministros de los elementos tecnológicos (incluyendo el desarrollo seguro de aplicaciones de soporte o incluso de recuento) o el testeo y las pruebas piloto antes de su utilización real (realizando pruebas de pentesting de seguridad).

Otras medidas tecnológicas incluyen la protección frente a ataques de DDoS, el control del acceso a los sistemas, la integridad y seguridad en la transmisión de los datos, el análisis y monitorización del tráfico de las redes, la segmentación de redes por niveles de seguridad y los procedimientos y procesos de respuesta ante incidentes y copias de seguridad y recuperación de datos en caso de necesidad.

Recientemente ENISA ha publicado una docena de recomendaciones que sirven de directrices generales a seguir cara a un proceso electoral y que recopilan gran parte de los puntos aquí mencionados —incluso algunos otros más. Todos son clave a la hora proteger el acto democrático de depositar el voto y tener garantías de que será valorado de acuerdo al procedimiento electoral definido, sin otras intromisiones.

Lo importante, sin embargo, es que las votaciones se producen cada cuatro años. Y quién sabe si lo que hoy sirve para un proceso electoral estará tecnológicamente anticuado en una posible votación futura.

Mientras tanto, deberemos pensar, al menos a nivel nacional, en las soluciones informáticas que actualmente dan apoyo a nuestro proceso electoral y que se centran en la protección de la identidad de los votantes y en gestionar —una vez realizado el recuento de los votos— la transmisión de las actas, las herramientas, las aplicaciones y los servicios desplegados en los centros de recopilación de datos y, como no, la publicación de los resultados finales.

Juanjo Galán es Business Strategy de All4Sec