Fallos de seguridad masivos en el voto electrónico para el Referéndum

Lunes, 21 febrero a las 18:46:01 15 comentarios Virus
En un informe que se hará público esta semana, el Observatorio Voto Electrónico, favorable a la implantación del voto por Internet en España, denuncia fallos de seguridad masivos en la prueba no vinculante que el Ministerio del Interior ha puesto a disposición de dos millones de votantes en este referéndum. La encargada de realizar esta prueba ha sido Indra, la misma empresa que se encargó del revocatorio venezolano. Para probar sus afirmaciones han logrado infiltrarse en el servidor que aloja los resultados de la prueba, que incluyen informaciones como los votos efectuados, las demarcaciones o los datos de los votantes. 


El Observatorio Voto Electrónico considera que un sistema de votación debe cumplir tres características esenciales para ser implantado: facilitar el recuento, proporcionar más garantías de fiabilidad y confiabilidad que el sistema actual y dotar de mayor seguridad al votante de modo que, por ejemplo, un votante no nacionalista no se sienta cohibido en el País Vasco al poder votar desde casa. La prueba realizada ayer incumple los dos últimos requisitos.
 
El fallo más llamativo es que el servidor está lo suficientemente desprotegido como para que los técnicos del Observatorio hayan podido acceder a la aplicación. Si se tratara de una empresa, un error de esta índole sería una violación de la Ley Orgánica de Protección de Datos. Estos son unos ejemplos de la aplicación empleada en el ministerio:

Listado de Censo

 

Menú de gestión del proceso electoral

Los fallos no se reducen, ni mucho menos, a la vulnerabilidad de la aplicación de voto y la posibilidad de ver los datos de los votantes. El mismo proceso de votar es muy vulnerable. La aplicación no sigue los estándares de seguridad a la hora de identificar al votante y separar el voto de la identidad del usuario. Un código malicioso podría saber qué ha votado el usuario y cambiar su voto por otro.
 
El sistema sigue un protocolo de clave pública y privada como, por ejemplo, la Agencia Tributaria. En estos sistemas, la clave pública sirve para descodificar la información que se envía y la clave privada para codificarla. Con una clave pública determinada, sólo se puede desencriptar la información creada con su clave privada pareja. El usuario y sólo el usuario posee la clave privada, lo que permite garantizar su identidad. Los servidores reciben, por un lado, la clave pública para desencriptar los datos y, por otro, los datos encriptados. Al poder desencriptar los datos con la clave pública, el servidor se asegura de que el voto ha sido emitido realmente por el votante. La aplicación creada por Indra obtenía del usuario ambas claves. Eso le permitiría, hipotéticamente, utilizarlas para suplantar la identidad de los votantes.
 
 
Sin auditoría externa
 
Pese a pedirlo con insistencia, la OVE no recibió autorización para auditar el proceso, por lo que se ha visto forzada a realizar un estudio sin contar con las facilidades necesarias para analizar los posibles problemas del sistema de voto por Internet. Por ello, la auditoría que han realizado ha sido parcial, y una realizada más a fondo podría desvelar aún más fallos. El Observatorio ha realizado una serie de preguntas al Ministerio del Interior, a la Junta Electoral Central y a los municipios encargados de llevar adelante esta prueba que dan una idea de todos los posibles fallos de seguridad que pueden llegar a darse, y que al no realizarse una auditoría puede que hayan tenido lugar sin que se sepa.
 
El Observario exigirá a la Junta Electoral Central que se haga cargo del proceso de informatización del voto, exigiendo que sea sometido al escrutinio público empleando preferentemente sistemas de código abierto, que se empleen algoritmos de encriptación no comprometidos y que se deje sin valor la prueba realizada.

Fuente http://www.libertaddigital.com
http://www.adslzone.net
Un código malicioso podría saber qué ha votado el usuario y cambiar su voto por otro.

Nota: Un código malicioso podría saber qué ha votado el usuario y cambiar su voto por otro... ¿Habrá habido pucherazo?

    4 Cometarios
    Los comentarios son propiedad de quien los envió. No somos responsables por su contenido.


  • Los fallos no se reducen, ni mucho menos, a la vulnerabilidad de la aplicación de voto y la posibilidad de ver los datos de los votantes. El mismo proceso de votar es muy vulnerable. La aplicación no sigue los estándares de seguridad a la hora de identificar al votante y separar el voto de la identidad del usuario. Un código malicioso podría saber qué ha votado el usuario y cambiar su voto por otro.

    Vaya CHAPUZA!! XDDD

    #1 MrBunbury 21 Febrero 2005 19:47  A favor  En contra | karma: 0

  • Aquí cuentan todo

    http://www.votobit.org/

    #2 ZoNeRo 21 Febrero 2005 19:51  A favor  En contra | karma: 0

  • pues en mi pueblo lo hacían esto del voto electrónico jajaj vya gente...xDD
    Salu2!!Emoticon

    #3 chs_one 21 Febrero 2005 21:55  A favor  En contra | karma: 0

  • Siempre que se haga algo mediante la informatica sera vulnerable. Igual alguien se pensaba que no era vulnerable este sistema... pobrecitos...

    #4 ABoR 22 Febrero 2005 0:51  A favor  En contra | karma: 0
  • Enviar comentario
Hispatienda

¿Contratarás los 30 megas de Telefónica por 54,90 euros?

Esperaré a que bajen los precios
Prefiero menos velocidad más barata
Me quedaré como estoy
Son demasiado caros, no lo contrataré
Si los contrataré



Resultados
Encuestas

votos: 539
Comentarios: 8
Centro Mail Firmware Tomato DNS Telefonica airis kira 251 ADSL Minus contraseñas por defecto de redes wifi