La Paz, 8 de noviembre (ANF).- La empresa auditora del sistema de Transmisión de Resultados Electorales Preliminares (TREP), Ethical Hacking, contratada por el Tribunal Supremo Electoral, en un informe de más de 60 páginas concluyó que el proceso electoral de Bolivia “está viciado de nulidad” por la cantidad de alteraciones al “código fuente del TREP”, las modificaciones manuales y “con máximos privilegios a las bases de datos”, además de las inconsistencias que aparecieron entre el TREP y el Sistema de Cómputo”.
La consultora fue contratada un mes antes de las Elecciones Generales de octubre de este año. Específicamente fue contactada por el Tribunal Supremo Electoral el 19 de septiembre, el 26 de ese mes realizó una presentación de su propuesta ante el organismo electoral, dos horas más tarde les comunicaron que habían sido elegidos por su seriedad.
El requerimiento del TSE era realizar un “Pentesting a base de datos, aplicaciones y un Red Team para las elecciones de 2019”, además de “registrar cambios en los servidores”, se lee en el documento de informe escrito de la empresa. El gerente general de la empresa Álvaro Andrade manifestó que efectivamente trabajaron contra tiempo, porque para los requerimientos que hicieron por lo menos se necesitaban tres meses.
Tras los comicios, la empresa presentó un informe de todo el proceso electoral desde el momento que fue contratada y desde que empezó a hacer las pruebas para de identificación de “vulnerabilidades” al sistema TREP, en el que citó al menos ocho consideraciones de relevancia hasta concluir que el proceso está viciado de nulidad.
Precisamente en la última conclusión señala que tras realizar una extensa exposición de los hechos y de los reportes técnicos durante la ejecución de su trabajo “No podemos dar fe de la integridad de los resultados electorales ya que todo el proceso está viciado de nulidad por la cantidad de alteraciones al código fuente del TREP, la cantidad de accesos y modificaciones de forma manual y con máximos privilegios a las bases de datos y las inconsistencias que fueron apareciendo entre TREP y Sistema de Cómputo durante el proceso electoral”.
Andrade en declaraciones en el programa Jaque Mate que se difunde por Televisión Universitaria aseguró que se "violó la integridad de la base de datos" en las Elecciones Generales, lo que pone en "duda la validez del cómputo electoral”.
La empresa hace ocho revelaciones, desde la inseguridad del software, la identificación de vulnerabilidades, el desconocimiento sobre un servidor externo que no fue monitoreado, la manipulación manual en las bases de datos, entre otros.
1. La empresa Ethical Hacking advirtió al Tribunal Supremo Electoral (TSE) que el software era inseguro, tras haber reportado todas las “vulnerabilidades críticas” identificadas en el TREP y que a pesar de subsanar parte de esas vulnerabilidades “era un riesgo que debían valorar si aceptarlo o no para llevar las elecciones”.
2. Revela que de las recomendaciones y remediaciones a Neotec para realizar en el TREP y el Sistema de Cómputo, solo se aplicaron al TREP y no al 100%, debido a que los tiempos eran muy cortos para remediar algunas cosas, como explicó Neotec.
3. Asimismo, concluye que después de que se generó el “hash de integridad” ante la Sala Plena y los observadores de la Organización de Estados Americanos (OEA), “el código fuente sufrió varias alteraciones en diferentes fechas de las cuales no fuimos participes y por lo tanto ya no podemos certificar la integridad del mismo software”.
El informe dice que hicieron una auditoría exhaustiva de código estático en especial en las rutinas y funciones donde se ingresan los datos y el tratamiento que se les da para certificar que el software no realiza operaciones fraudulentas y que los datos que ingresan se manejan de forma segura y adecuada. Sin embargo, el código fuente tuvo alteraciones.
4. También revela a propósito del corte del TREP, que si bien se concluyó que hubo un error de omisión del protocolo y no debió realizarse el cambio sin autorización, “está claro que ese servidor no estaba en nuestro rango de monitoreo y al redirigir todo el tráfico del SERECI para la verificación de actas, una tarea tan importante y delicada a un servidor externo totalmente fuera del rango de monitoreo, nosotros no podemos dar fe de toda la información que se ingresó en ese momento y el proceso electoral pierde toda credibilidad al violarse el protocolo de seguridad”.
5. Reiteró que “al no tener registros de la información enviada desde un servidor fuera de nuestro monitoreo, no podemos dar fe de la integridad de los datos que se registraron durante el pico que generó la alerta ya que es casi imposible que lleguen más de 30.000 peticiones cada 30 segundos desde el SERECI con un grupo de 350 operadores ‘registrando 2 actas por minuto’ como indicó Marcel Guzmán de Rojas”.
6. Observó que respecto al error del algoritmo del sistema TREP que Neotec llama “Flat de cómputo”, el que se estaría produciendo en todas las elecciones hace más de 4 años, demuestra que “el TREP es un sistema falible” y contiene errores de programación que debieron solucionarse. “Esos errores obligan a que se tenga que acceder a la base de datos” durante las elecciones y “realizar cambios manuales lo que posteriormente cae en violación de la integridad”.
7. La empresa Ethical Hacking también revela que hubo una “alteración manual de las bases de datos del TREP y de Cómputo, durante el proceso de votación, sea cual sea el motivo y desde el punto de vista técnico y forense, vicia de nulidad todo el proceso electoral y pierde toda credibilidad al violar la integridad de las bases de datos”.
8. Por todos estos elementos, la empresa que fue contratada para auditar al TREP, manifestó que no puede “dar fe de la integridad de los resultados electorales ya que todo el proceso está viciado de nulidad por la cantidad de alteraciones al código fuente del TREP, la cantidad de accesos y modificaciones de forma manual y con máximos privilegios a las bases de datos y las inconsistencias que fueron apareciendo entre TREP y Sistema de Cómputo durante el proceso electoral”.
La consultora hace un detalle pormenorizado de sus intervenciones desde que el viernes 11 de octubre, solo nueve días antes a los comicios, presentaron los primeros reportes de “vulnerabilidades identificadas en el TREP, Servidores Externos Web y sobre dos imágenes Windows 7 de 64 y 32 bits que se enviarían a cada TED (Tribunal Electoral Departamental).
Describen seis vulnerabilidades fundamentales: comunicaciones inseguras, obtención de credenciales en base a números de identidad, envío masivo de datos electorales, exposición de información sensible, obtención de cédulas válidas por fuerza bruta, falta de protección Antiroot-bypass antiroot.
El Tribunal Supremo Electoral nunca explicó los pormenores técnicos respecto las vulnerabilidades antes de las Elecciones Generales, no explicó las razones por las que determinó la suspensión de la transmisión de resultados electorales y solo precisó que era para evitar confusiones entre la transmisión del cómputo oficial y el TREP.
Mientras que la empresa Neotec responsable del TREP argumentó que la suspensión fue por órdenes de los vocales del TSE. Asimismo insistió que la base de datos no había sido alterada.
/NVG/
