El Congreso y la Ciberseguridad Electora
El Congreso se está acercando a la implementación de una supervisión de ciberseguridad más estricta en la tecnología electoral de EE. UU. Dentro de la Ley de Autorización de Inteligencia de este año, que financia agencias de inteligencia como la CIA, se encuentra la Ley de Fortalecimiento de la Ciberseguridad Electoral para Mantener el Respeto por las Elecciones a través de Pruebas Independientes (SECURE IT), que exigiría pruebas de penetración de las máquinas de votación y escáneres de boletas certificados a nivel federal, y crearía un programa piloto para explorar la viabilidad de permitir que investigadores independientes examinen diversos sistemas electorales en busca de fallos.
La Ley SECURE IT, presentada originalmente por los senadores estadounidenses Mark Warner, demócrata de Virginia, y Susan Collins, republicana de Maine, podría mejorar significativamente la seguridad de la tecnología electoral clave en una época en que adversarios extranjeros continúan intentando socavar la democracia estadounidense. “Esta legislación empoderará a nuestros investigadores para que piensen como lo hacen nuestros adversarios y expongan vulnerabilidades ocultas al intentar penetrar nuestros sistemas con las mismas herramientas y métodos utilizados por actores malintencionados”, comenta Warner, que preside el Comité de Inteligencia del Senado.
Preocupaciones por la Seguridad Electoral
El nuevo impulso por estos programas resalta el hecho de que, aunque las preocupaciones sobre la seguridad electoral se han desplazado hacia peligros más vívidos, como amenazas de muerte contra secretarios de condado, violencia en los lugares de votación y desinformación impulsada por inteligencia artificial, los legisladores siguen preocupados por la posibilidad de que hackers infiltren los sistemas de votación, que se consideran infraestructura crítica, pero están ligeramente regulados en comparación con otras industrias vitales.
La interferencia de Rusia en las elecciones de 2016 puso de relieve las amenazas a las máquinas de votación y, a pesar de las importantes mejoras, incluso las máquinas modernas pueden tener fallos. Los expertos han abogado constantemente por normas federales más estrictas y auditorías de seguridad independientes. El nuevo proyecto de ley intenta abordar esas preocupaciones de dos maneras.
Provisión de Pruebas de Penetración
La primera disposición codificaría la reciente adición de pruebas de penetración al proceso de certificación de la Comisión de Asistencia Electoral de EE. UU. (EAC). (La EAC recientemente reformó sus estándares de certificación, que cubren máquinas de votación y escáneres de boletas, y que muchos estados exigen que sus proveedores cumplan). Mientras que las pruebas anteriores simplemente verificaban si las máquinas contenían determinadas medidas defensivas, como software antivirus y encriptación de datos, las pruebas de penetración simularán ataques del mundo real diseñados para encontrar y explotar las debilidades de las máquinas, lo que podría revelar nueva información sobre serias fallas de software. “La gente ha estado pidiendo pruebas de [penetración] obligatorias durante años para el equipo electoral”, afirma Edgardo Cortés, ex comisionado electoral de Virginia y asesor del equipo de seguridad electoral en el Centro Brennan para la Justicia de la Universidad de Nueva York.
Programa de Divulgación de Vulnerabilidades
La segunda disposición del proyecto exigiría a la EAC experimentar con un programa de divulgación de vulnerabilidades para la tecnología electoral, incluidos sistemas que no están sujetos a pruebas federales, como bases de datos de registro de votantes y sitios web de resultados electorales. Los programas de divulgación de vulnerabilidades son esencialmente cacerías del tesoro para expertos cibernéticos con conciencia cívica. Los participantes verificados, operando bajo reglas claras sobre qué sistemas informáticos del organizador son un objetivo válido, intentan hackear esos sistemas encontrando fallos en su diseño o configuración. Luego informan cualquier fallo que descubran al organizador, a veces a cambio de una recompensa.
Al permitir que un grupo diverso de expertos busque errores en una amplia gama de sistemas electorales, el proyecto de ley de Warner y Collins podría ampliar drásticamente el escrutinio del mecanismo de la democracia estadounidense.
Fuente y créditos: www.wired.com
Cats: Security
