Seguridad electoral

La ciberseguridad electoral y seguridad electoral se refieres a la protección de las elecciones y la infraestructura de votación contra ataques cibernéticos o amenazas cibernéticas, incluida la manipulación o infiltración de máquinas y equipos de votación, redes y prácticas de oficinas electorales y bases de datos de registro de votantes.

Las amenazas cibernéticas o los ataques a las elecciones o la infraestructura de votación pueden ser llevados a cabo por personas internas dentro de una jurisdicción de votación, o por una variedad de otros actores que van desde infames estados-nación hasta ciberdelincuentes organizados y piratas informáticos solitarios. Los motivos pueden variar desde el deseo de influir en el resultado de las elecciones hasta desacreditar los procesos democráticos, crear desconfianza pública o incluso agitación política.

Estados Unidos

Estados Unidos se caracteriza por un sistema de administración electoral altamente descentralizado. Las elecciones son una responsabilidad constitucional de las entidades electorales estatales y locales, como los secretarios de estado, los directores electorales, los secretarios del condado u otros funcionarios a nivel local que abarcan más de 6000 subdivisiones locales en todo el país.

Sin embargo, la seguridad electoral se ha caracterizado como una preocupación de seguridad nacional que atrae cada vez más la participación de entidades del gobierno federal como el Departamento de Seguridad Nacional de EE. UU. A principios de 2016, Jeh Johnson, secretario de Seguridad Nacional, designó las elecciones como "infraestructura crítica", lo que hace que el subsector sea elegible para recibir asistencia prioritaria en seguridad cibernética y otras protecciones federales del Departamento de Seguridad Nacional. La designación se aplica a las instalaciones de almacenamiento, los lugares de votación y las ubicaciones centralizadas de tabulación de votos utilizadas para respaldar el proceso electoral, y la tecnología de la información y las comunicaciones para incluir bases de datos de registro de votantes, máquinas de votación y otros sistemas para administrar el proceso electoral e informar y mostrar los resultados en representación de los gobiernos estatales y locales.En particular, los piratas informáticos que falsifican las instrucciones oficiales antes de una elección podrían afectar la participación electoral o los piratas informáticos que falsifican los resultados en línea después de una elección podrían sembrar la discordia.

Después de las elecciones de 2016

La seguridad electoral se ha convertido en un foco importante y un área de debate en los últimos años, especialmente desde las elecciones presidenciales de EE. UU. de 2016. En 2017, el DHS confirmó que un adversario extranjero de EE. UU., Rusia, intentó interferir en las elecciones presidenciales de EE. UU. de 2016 a través de "un enfoque multifacético destinado a socavar la confianza en el proceso democrático [estadounidense]". Esto incluía realizar espionaje cibernético contra objetivos políticos., lanzar campañas de propaganda u "operaciones de información" (IO) en las redes sociales y acceder a elementos de múltiples juntas electorales estatales o locales de EE. UU.

El 22 de septiembre de 2017, se informó que el Departamento de Seguridad Nacional de EE. UU. (DHS, por sus siglas en inglés) notificó a 21 estados que fueron atacados por piratas informáticos respaldados por el Kremlin durante las elecciones de 2016. Esos estados incluyen Alabama, Alaska, Colorado, Connecticut, Delaware, Florida, Illinois, Maryland, Minnesota, Ohio, Oklahoma, Oregón, Dakota del Norte, Pensilvania, Virginia, Washington, Arizona, California, Iowa, Texas y Wisconsin. Actualmente, según los informes, los piratas informáticos solo lograron violar el sistema de registro de votantes de un estado: Illinois.

A raíz de la piratería informática de 2016, ha surgido un banco cada vez mayor de expertos en ciberseguridad y seguridad nacional que señalan que Rusia es solo una amenaza potencial. Otros actores, incluidos Corea del Norte, Irán, los delincuentes organizados y los piratas informáticos individuales tienen motivos y capacidad técnica para infiltrarse o interferir en las elecciones y las operaciones democráticas. Líderes y expertos han advertido que un futuro ataque a las elecciones o la infraestructura de votación por parte de piratas informáticos respaldados por Rusia u otros con malas intenciones, como se vio en 2016, es probable en 2018 y más allá.

Una recomendación para evitar la desinformación de sitios web falsos relacionados con las elecciones y la suplantación de correo electrónico es que los gobiernos locales utilicen nombres de dominio.gov para sitios web y direcciones de correo electrónico. Estos están controlados por el gobierno federal, que autentica que el gobierno legítimo controla el dominio. Muchos gobiernos locales usan.com u otros nombres de dominio de nivel superior; un atacante podría configurar fácil y rápidamente una copia alterada del sitio en una dirección.com que suene similar utilizando un registrador privado.

En la evaluación de 2018 de la seguridad electoral estatal de EE. UU. realizada por el Center for American Progress, ningún estado recibió una "A" según sus mediciones de siete factores de seguridad electoral. Cuarenta estados recibieron una calificación de C o inferior. Un informe separado de 2017 del Center for American Progress describe nueve soluciones que los estados pueden implementar para asegurar sus elecciones; incluyendo la solicitud de boletas de papel o registros de cada voto, el reemplazo de equipos de votación obsoletos, la realización de auditorías posteriores a las elecciones, la promulgación de estándares de seguridad cibernética para los sistemas de votación, las pruebas previas a las elecciones de los equipos de votación, las evaluaciones de amenazas, la coordinación de la seguridad electoral entre las agencias estatales y federales, y la asignación de fondos federales para garantizar la seguridad electoral.

Europa

Los intentos de Rusia de interferir en las elecciones estadounidenses en 2016 se ajustan a un patrón de incidentes similares en toda Europa durante al menos una década. Los ataques cibernéticos en Ucrania, Bulgaria, Estonia, Alemania, Francia y Austria que los investigadores atribuyeron a presuntos piratas informáticos respaldados por el Kremlin parecían tener como objetivo influir en los resultados electorales, sembrar discordia y socavar la confianza en las instituciones públicas, que incluyen agencias gubernamentales, medios de comunicación y funcionarios electos. A fines de 2017, el Reino Unido, a través de sus agencias de inteligencia, afirmó que una campaña rusa de IO desempeñó un papel perjudicial en su referéndum Brexit en junio de 2016.

Papel de los hackers de sombrero blanco

La comunidad de hackers de "sombrero blanco" también ha estado involucrada en el debate público. Del 27 al 30 de julio de 2017, DEFCON, la conferencia de piratas informáticos más grande, más antigua y más conocida del mundo, organizó una "Aldea de piratería de máquinas de votación" en su conferencia anual en Las Vegas, Nevada, para resaltar las vulnerabilidades de seguridad electoral. El evento contó con 25 equipos de votación diferentes utilizados en las elecciones federales, estatales y locales de EE. UU. y los puso a disposición de los hackers de sombrero blanco y los investigadores de TI con fines educativos, de experimentación y para demostrar las vulnerabilidades cibernéticas de dichos equipos. Durante el evento de 3 días, miles de piratas informáticos, medios de comunicación y funcionarios electos fueron testigos del pirateo de todos los equipos, y la primera máquina se vio comprometida en menos de 90 minutos. Una máquina de votación fue pirateada de forma remota y se configuró para reproducir la canción de Rick Astley "Never Gonna Give You Up". Se publicaron hallazgos adicionales de Voting Village en un informe emitido por DEFCON en octubre de 2017.

La "Aldea de votación" volvió por segundo año en DEF CON, que se llevó a cabo en Las Vegas del 9 al 12 de agosto de 2018. El evento de 2018 amplió drásticamente sus consultas para incluir más del entorno electoral, desde registros de registro de votantes hasta reportajes de la noche electoral y muchos más humanos y máquinas en el medio. DEF CON 2018 también contó con una mayor variedad de máquinas de votación, funcionarios electorales, equipos, procesos del sistema electoral y reportajes de la noche electoral. Los participantes de Voting Village consistieron en piratas informáticos, profesionales de TI y seguridad, periodistas, abogados, académicos y líderes gubernamentales locales, estatales y federales. Se emitió un informe completo sobre los Hallazgos de Village de 2018 en una conferencia de prensa en Washington, DC, celebrada el 27 de septiembre de 2018.[1]

Legislación y política

Ha surgido una variedad de expertos y grupos de interés para abordar las vulnerabilidades de la infraestructura electoral de EE. UU. y para apoyar a los funcionarios electorales estatales y locales en sus esfuerzos de seguridad. De estos esfuerzos ha surgido un conjunto general de ideas de políticas para la seguridad electoral, que incluyen:

• Implementar el uso universal de boletas de papel, marcadas a mano y leídas por escáner óptico, asegurando un registro de auditoría en papel verificado por el votante (VVPAT).
• Eliminar gradualmente las máquinas de votación con pantalla táctil, especialmente los dispositivos electrónicos de grabación directa (DRE) más vulnerables
• Actualice los libros de votación y otros equipos electrónicos utilizados para registrar a los votantes.
• Verificar los resultados de la votación exigiendo a los funcionarios electorales que realicen auditorías de limitación de riesgos, una auditoría postelectoral estadística antes de la certificación de los resultados finales.
• Asegure la infraestructura de votación, especialmente las bases de datos de registro de votantes, utilizando herramientas de higiene cibernética como los "20 controles críticos de seguridad" de CIS o el Marco de seguridad cibernética de NIST.
• Solicite a expertos externos que realicen evaluaciones cibernéticas (DHS, piratas informáticos de sombrero blanco, proveedores de seguridad cibernética e investigadores de seguridad) cuando sea necesario.
• Proporcione recursos y capacitación a los líderes electorales estatales y locales para el mantenimiento cibernético y el monitoreo continuo.
• Promover el intercambio de información sobre ciberamenazas e incidentes en toda la industria electoral.
• Financiamiento federal apropiado para que los estados implementen mejoras de infraestructura, auditorías y medidas de higiene cibernética.
• Establezca canales claros para la coordinación entre las agencias locales, estatales y federales, incluido el intercambio en tiempo real de información sobre amenazas e inteligencia.
• Mantener la designación de elecciones por parte del DHS como Subsector de Infraestructura Crítica.
• Exigir al DHS que instituya un plan de evaluación de amenazas preelectoral para reforzar su capacidad de apoyo técnico a los estados y locales que soliciten asistencia.

También se ha introducido legislación federal para abordar estas preocupaciones. La primera legislación bipartidista del Congreso para proteger la administración de las elecciones federales contra las amenazas a la seguridad cibernética, la Ley de Elecciones Seguras (SB 2261), fue presentada el 21 de diciembre de 2017 por el Senador James Lankford (R-OK).

El Presupuesto Federal de 2018 (firmado por el presidente Donald Trump) incluyó $380 millones de dólares en fondos estatales para mejorar la seguridad electoral. Cada estado recibió un pago estándar de $ 3 millones de dólares, con los $ 230 millones de dólares restantes asignados a cada estado proporcionalmente en función de la población en edad de votar. Las medidas de seguridad financiadas incluyeron la mejora de la seguridad cibernética (36,3 % de los fondos), la compra de nuevos equipos de votación (27,8 %), la mejora de los sistemas de registro de votantes (13,7 %), las auditorías posteriores a las elecciones (5,6 %) y la mejora de los esfuerzos de comunicación (2 %).