La OEA revela que el padrón opera con tecnología obsoleta
La Organización de Estados Americanos (OEA) detectó que el Padrón Electoral Biométrico utiliza tecnología obsoleta y que hay riesgo de ataques de hackers y códigos maliciosos.
Un informe confidencial elaborado por el Departamento de Cooperación y Observación Electoral (DEACO) de la Secretaría de Asuntos Políticos de la OEA, al que accedió Página Siete, señala que un equipo del organismo internacional observó que la entidad que resguarda la base de datos de los votantes en Bolivia, utiliza equipos con sistemas operativos Windows XP y Windows Server 2003, que ya no reciben soporte técnico ni actualizaciones de su proveedor: Microsoft.
“El Tribunal Supremo Electoral debe plantearse seriamente la estimación de los riesgos que se corren por utilizar equipos con sistema operativo Windows XP o Windows Server 2003, después de la finalización de su ciclo de vida. Es importante entender que los hackers, atacantes y códigos maliciosos (exploits), tendrán un terreno fértil para sus ataques si se opta por seguir con Windows XP y/o Windows Server 2003, ya que contarán con abundante información acerca de las vulnerabilidades y la certeza resultado de la brecha de seguridad”, advierte el informe emitido en mayo.
Windows XP es un sistema operativo que desde el 8 de abril de 2014 ya no recibe actualizaciones de seguridad, revisiones, soporte asistido (gratuito o pago) y tampoco actualizaciones de contenido técnico en línea.
Sobre el Windows Server 2003, la OEA advierte al organismo electoral que desde el 14 de julio de este año, “Microsoft no volverá a ofrecer actualizaciones de seguridad o de contenido técnico ni asistencia (…). Esto significa un grave riesgo, puesto que los servidores dispondrán de una seguridad reducida”, por lo que recomienda la migración a un sistema operativo como Windows Server 2012 R2 o similar.
“El Tribunal Supremo Electoral, al no resolver estas vulnerabilidades conocidas, ofrece un blanco fácil para los atacantes, con el fin de explotar las vulnerabilidades del sistema operativo usando códigos maliciosos (exploits) disponibles”, señala otra parte del informe en cuestión.
Consultado sobre el informe, el vocal del TSE Antonio Costas afirmó ayer que es una “recomendación válida”; sin embargo, dijo que “esta recomendación, si se lee en el contexto, no está indicando que nosotros estamos expuestos a una situación de colapso. Se deben mejorar los procedimientos de seguridad”.
El documento, según conoció este matutino por fuentes cercanas al organismo electoral, fue remitido a esa entidad en mayo, antes de la renuncia de todos los vocales del anterior tribunal.
La solicitud a la OEA para la evaluación de los procesos de actualización, depuración y conformación del padrón electoral biométrico, fue realizada por el TSE después de que fueron habilitados al menos 20 mil difuntos como si fueran votantes para que sufraguen en las elecciones generales de octubre de 2014.
El organismo internacional realizó un trabajo de campo
Investigación La OEA desplegó a Bolivia un equipo de especialistas internacionales durante tres meses (entre diciembre de 2014 y febrero de 2015) para valorar la legislación vigente, la operación de las bases de datos y la seguridad informática para la conformación del Padrón Electoral.
Peligro El organismo internacional advierte que el TSE está frente a un escenario completamente adverso desde la seguridad informática, y esto involucra los activos utilizados para la gestión del padrón biométrico que actualmente tiene 6.019.299 electores, según reporte del tribunal electoral.
Migración La entidad recomienda la migración de los sistemas operativos obsoletos a versiones más nuevas para evitar vulneraciones a la seguridad de la información, porque XP y Server, por ejemplo, ya no reciben actualizaciones, no tienen soporte en línea y son más vulnerables a los hackers.
“No estamos expuestos a una situación de colapso”
El vocal del TSE Antonio Costas afirmó ayer que en el informe de la OEA hay dos aspectos importantes que considerar.
“En el primero, se hace una sugerencia para implementar el ISO 27001 (conjunto de políticas de administración de la información) en todos los procesos de seguridad de la información. Es una recomendación buena, una recomendación válida que nosotros vamos a aplicar. Sin embargo, esta recomendación, si se lee el informe en el contexto, no está indicando que nosotros estamos expuestos a una situación de colapso, no”, afirmó.
“Ellos describen posibles vulnerabilidades si el sistema del padrón electoral está expuesto a las redes públicas, fundamentalmente al internet, debido a que tanto el Windows XP como el Windows Server 2003 y el SQL Server 2003, ya no tienen soporte del proveedor que es Microsoft. Hay que aclarar, y eso es muy puntual: el sistema del padrón electoral y el sistema de reconocimiento dactilar AFIS, no está en contacto con las redes públicas”.
El segundo se refiere a que no hay peligro para el padrón, “porque está aislado, concretamente está aislado. Ahora, la migración hacia una nueva versión que contemple una versión de este software que tenga soporte, sí se va a realizar. Sin embargo, tiene un costo de varios millones de dólares”, afirmó el vocal Costas.