Header Ads Widget

Ticker

6/recent/ticker-posts

Investigadores del MIT dicen que la aplicación de votación móvil probada en EE. UU. Está plagada de vulnerabilidades

Las fallas podrían permitir que un pirata informático altere, detenga o exponga la forma en que una persona ha votado.


Los funcionarios electorales en numerosos estados han puesto a prueba varias aplicaciones de votación móvil como un método para expandir el acceso a las urnas, pero los investigadores del MIT dicen que una de las aplicaciones más populares tiene vulnerabilidades de seguridad que podrían exponerla a la manipulación por parte de malos actores.

El análisis del MIT de la aplicación, llamada Voatz , destacó una serie de debilidades que podrían permitir a los piratas informáticos "alterar, detener o exponer cómo ha votado un usuario individual".

Además, los investigadores descubrieron que el uso de Voatz del proveedor Jumio con sede en Palo Alto para la identificación y verificación de votantes plantea posibles problemas de privacidad para los usuarios.

Algunos expertos en seguridad han argumentado durante mucho tiempo que la única forma segura de votar son las boletas de papel.

Votación de la blockchain de iPhone iOS voatz
Voatz

Aplicación de votación móvil para iPhone de Voatz.

La aplicación de votación móvil de Voatz se ha utilizado en pequeños proyectos piloto que involucran solo a unos 600 votantes en total en Denver, West Virginia , cinco condados en Oregon, Utah y el estado de Washington, donde el enfoque principal fue la inclusión de los votantes ausentes que viven en el extranjero.

En respuesta, Voatz calificó el informe del MIT de "defectuoso" porque basó su análisis en una versión de Android de la aplicación que ya no estaba actualizada.

    "Si los investigadores se hubieran tomado el tiempo, como casi otros 100 investigadores, para probar y verificar sus afirmaciones utilizando la última versión de nuestra plataforma a través de nuestro programa público de recompensas por errores en HackerOne , no habrían terminado produciendo un informe que afirme las afirmaciones sobre el sobre la base de un método erróneo ”, declaró hoy Voatz en una publicación de blog .

    “Queremos dejar claro que nuestras nueve elecciones piloto gubernamentales realizadas hasta la fecha, en las que participaron menos de 600 votantes, se han llevado a cabo de forma segura y sin problemas informados”, dijo Voatz.

    En 2018, Virginia Occidental puso a prueba la aplicación de votación móvil de Voatz para miembros del servicio residente y familiares que vivían en el extranjero y que querían votar en las elecciones generales de mitad de período. 

    La oficina del Secretario de Estado de Virginia Occidental señaló una evaluación de seguridad del Departamento de Seguridad Nacional de los pilotos de Voatz 2018 que indica que "no se detectaron comportamientos de actores de amenazas o artefactos de actividades nefastas pasadas en las redes del proveedor".

    Las auditorías de las papeletas de votación creadas por la plataforma de Voatz el día de las elecciones también confirmaron que los resultados eran precisos, según la oficina del Secretario de Estado.

    "Queremos hacer correr la voz a los medios de comunicación como Computerworld para garantizar a los votantes de WV que estamos tomando todas las precauciones posibles para equilibrar la seguridad e integridad de las elecciones con el requisito de WV de proporcionar boletas de voto en ausencia de forma electrónica a los votantes en ausencia, militares y en el extranjero que viven con discapacidades físicas, "Mike Queen, subjefe de personal del Secretario de Estado de Virginia Occidental, Mac Warner, dijo por correo electrónico.

    El  estudio del MIT, sin embargo,  subrayó la necesidad de un diseño de aplicaciones móviles de Voatz sea más transparente porque la información pública acerca de la tecnología es “vaga” en el mejor.

    La plataforma de Voatz utiliza una combinación de datos biométricos, como el reconocimiento facial basado en teléfonos móviles y almacenes de claves respaldados por hardware para proporcionar boletas de extremo a extremo encriptadas y verificables por los votantes. También utiliza blockchain como un libro de contabilidad electrónico inmutable para almacenar los resultados de la votación.

    Voatz se ha negado a proporcionar detalles formales sobre su plataforma, citando la necesidad de proteger la propiedad intelectual, dijeron los investigadores en su artículo.

    En una publicación de blog de hoy, Voatz calificó el enfoque de los investigadores como "defectuoso", lo que "invalida cualquier afirmación sobre su capacidad para comprometer el sistema en general.

    "En resumen, hacer afirmaciones sobre un servidor backend sin ninguna evidencia o conexión al servidor niega cualquier grado de credibilidad en nombre de los investigadores", dijo Voatz.

    Los investigadores también llamaron a Voatz por denunciar a un investigador de la Universidad de Michigan que en 2018 realizó un análisis de la aplicación Voatz. “Esto resultó en que el FBI realizara una investigación contra el investigador”, dijeron los investigadores del MIT.

    No es la primera vez que se critica a Voatz por no ser más abierto sobre su tecnología. En mayo pasado, científicos informáticos del Laboratorio Nacional Lawrence Livermore y la Universidad de Carolina del Sur, junto con grupos de supervisión electoral, publicaron un artículo que criticaba a Voatz por no publicar ninguna "descripción técnica detallada" de su tecnología.

    "Hay al menos cuatro empresas que intentan ofrecer soluciones de votación por Internet o móviles para elecciones de alto riesgo, y un candidato presidencial demócrata de 2020 ha incluido la votación desde un dispositivo móvil a través de la cadena de bloques en su plan de políticas", dijeron los investigadores del MIT en su artículo. . "Hasta donde sabemos, solo Voatz ha implementado con éxito un sistema de este tipo".

    Junto con Voatz, Democracy Live , Votem ,  SecureVote  y  Scytl han probado la tecnología de votación móvil o en línea en varias votaciones públicas o privadas que incluyeron elecciones de accionistas de la empresa y juntas universitarias. Más recientemente, un distrito de Seattle puso a prueba la tecnología Democracy Live  en una elección de la junta de supervisores que estuvo abierta a 1.2 millones de votantes registrados.

    Tusk Philanthropies, una organización sin fines de lucro enfocada en promover la votación móvil como una forma de aumentar la participación de votantes, ha brindado apoyo financiero para ayudar a los gobiernos a implementar programas piloto de votación móvil, lo que permite a las agencias elegir al proveedor.

    En una declaración a Computerworld , Tusk dijo que se siente confiado en los resultados de todas las elecciones piloto porque realizó auditorías independientes de terceros "que mostraron que los votos emitidos a través de la cadena de bloques se registraron y tabularon con precisión".

    “Dicho esto, siempre damos la bienvenida a la nueva información de seguridad y trabajaremos con expertos en seguridad para revisar este documento”, dijo Tusk. “La seguridad es un proceso iterativo que solo puede mejorar con el tiempo. No hay lugar para errores en nuestras elecciones, especialmente cuando se trata de filtración de datos, cifrado comprometido, autenticación rota o ataques de denegación de servicio ".

    Medici Ventures, la subsidiaria de inversión de propiedad total de Overstock.com, también ha respaldado a Voatz, cuya aplicación se ha utilizado principalmente para permitir que los miembros del servicio de votantes ausentes y sus familias emitan sus votos a través de sus teléfonos inteligentes desde cualquier parte del mundo.

    Jonathan Johnson, director ejecutivo de Overstock y presidente de Medici Ventures, respondió en un comunicado a un artículo del New York Times  sobre el estudio del MIT, diciendo que cree que la tecnología Voatz es responsable y segura.

    “No solo previene el fraude electoral, sino que también protege la privacidad de cada votante. La aplicación Voatz incluso genera una boleta en papel que puede ser auditada para garantizar la fidelidad del voto ”, dijo Johnson. “Creemos que este es el camino correcto hacia la innovación segura en tecnología electoral. No debemos permitirnos descarrilar el futuro de la votación ".

    Los críticos de la votación móvil o en línea,  incluidos los expertos en seguridad , creen que abre la posibilidad de ataques de penetración de servidores, malware de dispositivo cliente, ataques de denegación de servicio y otras interrupciones, todo asociado con infectar las computadoras de los votantes con malware o infectar las computadoras. en la oficina de elecciones que manejan y cuentan las papeletas.

    Jeremy Epstein, vicepresidente del Comité de Política Tecnológica de EE. UU. De la Asociación de Maquinaria de Computación (USTPC), ha sido un crítico vocal de las plataformas de votación móviles, incluida Voatz. Dijo que el estudio del MIT fue "muy completo" y demuestra exactamente lo que los expertos han estado diciendo durante años.

    “La votación por Internet es arriesgada. No es de extrañar que el sistema Voatz sea vulnerable a muchos tipos de ataques, incluso a un atacante sin acceso al código fuente u otra información privilegiada ”, dijo Epstein por correo electrónico. “Los ataques demostrados por el MIT están dentro de las capacidades de los adversarios del estado-nación que están interesados ​​en manipular las elecciones estadounidenses, y tal adversario no publicará sus resultados como lo ha hecho el equipo del MIT, dejándonos con una elección que puede ser indetectable manipulado ".

    Voatz, de cinco años, criticó a los investigadores del MIT por nunca conectar ni siquiera la aplicación obsoleta que usaban a los servidores de la compañía, que están alojados en Amazon AWS y Microsoft Azure.

    En ausencia de conectarse a los servidores reales que registran los votos públicos, "los investigadores fabricaron una versión imaginaria de los servidores Voatz, plantearon la hipótesis de cómo funcionaban y luego hicieron suposiciones sobre las interacciones entre los componentes del sistema que son simplemente falsas", dijo Voatz.

    Epstein replicó que los comentarios de Voatz “demuestran que no comprenden ni la gravedad de los ataques ni la forma en que funciona la seguridad en general.

    "Cualquier funcionario electoral que utilice productos de Voatz debería cancelar sus planes antes de que un ataque sigiloso en una elección real comprometa la democracia", dijo Epstein.



    Publicar un comentario

    0 Comentarios