Fallos de seguridad masivos en el voto electrónico para el Referéndum

Lunes, 21 febrero a las 18:46:01 4 comentarios Virus
En un informe que se hará público esta semana, el Observatorio Voto Electrónico, favorable a la implantación del voto por Internet en España, denuncia fallos de seguridad masivos en la prueba no vinculante que el Ministerio del Interior ha puesto a disposición de dos millones de votantes en este referéndum. La encargada de realizar esta prueba ha sido Indra, la misma empresa que se encargó del revocatorio venezolano. Para probar sus afirmaciones han logrado infiltrarse en el servidor que aloja los resultados de la prueba, que incluyen informaciones como los votos efectuados, las demarcaciones o los datos de los votantes. 


El Observatorio Voto Electrónico considera que un sistema de votación debe cumplir tres características esenciales para ser implantado: facilitar el recuento, proporcionar más garantías de fiabilidad y confiabilidad que el sistema actual y dotar de mayor seguridad al votante de modo que, por ejemplo, un votante no nacionalista no se sienta cohibido en el País Vasco al poder votar desde casa. La prueba realizada ayer incumple los dos últimos requisitos.
 
El fallo más llamativo es que el servidor está lo suficientemente desprotegido como para que los técnicos del Observatorio hayan podido acceder a la aplicación. Si se tratara de una empresa, un error de esta índole sería una violación de la Ley Orgánica de Protección de Datos. Estos son unos ejemplos de la aplicación empleada en el ministerio:

Listado de Censo

 

Menú de gestión del proceso electoral

Los fallos no se reducen, ni mucho menos, a la vulnerabilidad de la aplicación de voto y la posibilidad de ver los datos de los votantes. El mismo proceso de votar es muy vulnerable. La aplicación no sigue los estándares de seguridad a la hora de identificar al votante y separar el voto de la identidad del usuario. Un código malicioso podría saber qué ha votado el usuario y cambiar su voto por otro.
 
El sistema sigue un protocolo de clave pública y privada como, por ejemplo, la Agencia Tributaria. En estos sistemas, la clave pública sirve para descodificar la información que se envía y la clave privada para codificarla. Con una clave pública determinada, sólo se puede desencriptar la información creada con su clave privada pareja. El usuario y sólo el usuario posee la clave privada, lo que permite garantizar su identidad. Los servidores reciben, por un lado, la clave pública para desencriptar los datos y, por otro, los datos encriptados. Al poder desencriptar los datos con la clave pública, el servidor se asegura de que el voto ha sido emitido realmente por el votante. La aplicación creada por Indra obtenía del usuario ambas claves. Eso le permitiría, hipotéticamente, utilizarlas para suplantar la identidad de los votantes.
 
 
Sin auditoría externa
 
Pese a pedirlo con insistencia, la OVE no recibió autorización para auditar el proceso, por lo que se ha visto forzada a realizar un estudio sin contar con las facilidades necesarias para analizar los posibles problemas del sistema de voto por Internet. Por ello, la auditoría que han realizado ha sido parcial, y una realizada más a fondo podría desvelar aún más fallos. El Observatorio ha realizado una serie de preguntas al Ministerio del Interior, a la Junta Electoral Central y a los municipios encargados de llevar adelante esta prueba que dan una idea de todos los posibles fallos de seguridad que pueden llegar a darse, y que al no realizarse una auditoría puede que hayan tenido lugar sin que se sepa.
 
El Observario exigirá a la Junta Electoral Central que se haga cargo del proceso de informatización del voto, exigiendo que sea sometido al escrutinio público empleando preferentemente sistemas de código abierto, que se empleen algoritmos de encriptación no comprometidos y que se deje sin valor la prueba realizada.

Fuente http://www.libertaddigital.com
http://www.adslzone.net
Un código malicioso podría saber qué ha votado el usuario y cambiar su voto por otro.

Nota: Un código malicioso podría saber qué ha votado el usuario y cambiar su voto por otro... ¿Habrá habido pucherazo?

Comentarios

Opinar en esta noticia

Los fallos no se reducen, ni mucho menos, a la vulnerabilidad de la aplicación de voto y la posibilidad de ver los datos de los votantes. El mismo proceso de votar es muy vulnerable. La aplicación no sigue los estándares de seguridad a la hora de identificar al votante y separar el voto de la identidad del usuario. Un código malicioso podría saber qué ha votado el usuario y cambiar su voto por otro.



Vaya CHAPUZA!! XDDD

   Aumentar karma   Restar karma   karma: 0 | Escrito por MrBunbury el 21 Febrero 2005 a las 19:47 | #ID

Aquí cuentan todo



http://www.votobit.org/

   Aumentar karma   Restar karma   karma: 0 | Escrito por ZoNeRo el 21 Febrero 2005 a las 19:51 | #ID

pues en mi pueblo lo hacían esto del voto electrónico jajaj vya gente...xDD

Salu2!!Emoticon

   Aumentar karma   Restar karma   karma: 0 | Escrito por chs_one el 21 Febrero 2005 a las 21:55 | #ID

Siempre que se haga algo mediante la informatica sera vulnerable. Igual alguien se pensaba que no era vulnerable este sistema... pobrecitos...

   Aumentar karma   Restar karma   karma: 0 | Escrito por ABoR el 22 Febrero 2005 a las 0:51 | #ID

Tu comentario


Image Introduce el código de seguridad para poder escribir un comentario.
Regístrate para evitar introducir el código y además introducir comentarios con tu nickname.


ADSLzone.net no es responable de las opiniones de los internautas
Por favor revisa la ortografía y respeta las normas de la web
Para publicar una imagen, debes utilizar el tag img. Ejemplo: <img src="http://www.google.es/logo.jpg" />