Ethical Hacking: Neotec cambió 2 veces el sistema TREP el 20-O

El director de la empresa auditora afirmó que al cambiar la versión del TREP el día de los comicios, se invalidó el proceso de poner a cero las bases de datos.
miércoles, 11 de marzo de 2020 · 00:04

Erika Segales / La Paz

El 20 de octubre (20-O), día de las elecciones generales 2019, el sistema de Transmisión de Resultados Electorales Preliminares (TREP)  fue cambiado dos veces por la empresa Neotec antes de que se presenten los resultados del conteo electoral, pese a que estaba prohibido. La información fue revelada por el director ejecutivo de la empresa auditora Ethical Hacking, Álvaro Andrade.

“No deberían darse modificaciones, porque se hicieron pruebas durante unos dos meses antes (de la elección). El software nunca presentó errores, siempre funcionó bien, ¿por qué justamente en plena elección tendría que haber fallas en el sistema? No tiene sentido”, dijo Andrade.

El director ejecutivo de la empresa auditora Ethical Hacking indicó que las modificaciones en el código fuente del TREP fueron realizadas a las 5:30 y a las siete de la mañana del 20 de octubre. Señaló que al hacer estos cambios la versión del software dejó de ser la  misma que debió aplicarse el día del proceso electoral.

Andrade explicó que en vísperas de la elección, se realizaron validaciones técnicas junto a Neotec como identificar a los usuarios e impedir el acceso de terceros a los servidores, además de dejar en cero las bases de datos en las que se almacenarían los resultados electorales.  
 
El trabajo duró cuatro horas y fue realizado por Neotec con la participación de la empresa auditora, los exvocales del Tribunal Supremo Electoral (TSE), miembros de la Dirección Nacional de Tecnologías de Información y Comunicación (Dntic), del Servicio de Registro Cívico (Serecí) y dos observadores de la OEA, indicó el gerente general de  Ethical Hacking. 

“Ellos observaron todo lo que se levantaba del TREP, que estaba en cero, que no había datos precargados, ni software oculto, ni malicioso, ni código, ni nada dentro. En el proceso se compiló el TREP en vivo a programa ejecutable y a ese código fuente y a ese programa ejecutado se le sacó un hash, que es un algoritmo matemático que certifica que un archivo o un objeto no sufrió cambios”, dijo Andrade.

Indicó que el hash certificaba que no se cambió el programa en el proceso electoral y que tanto el código del software como  el hash fueron entregados a la entonces presidenta del TSE, María Eugenia Choque, para que se guarden en el Banco Central de Bolivia.

Andrade indicó que desde ese momento nadie podía ingresar al sistema, pero a las 11:40 de la noche del 19 de octubre se registró el ingreso de  Marcel Guzmán de Rojas, director de Neotec. “Me dijo que estaba cereando (poniendo a cero) otras bases de datos que no lo hicieron por falta de tiempo. Le dije Marcel: ‘No toques nada, retírate. Estamos a punto de empezar las elecciones’”, recordó.

Luego, dijo  el gerente, a las  5:30 del 20 de octubre Guzmán de Rojas volvió a ingresar al sistema, desconectó los agentes y apagó los servidores. “Marcel nos manda un correo indicando que encontró un error en un botón de validación de actas y que tuvo que modificar el código fuente, compilar, recompilar y generó un nuevo hash que nos envió, pero lo hizo sin autorización”, señaló.

Andrade indicó que dos horas después Guzmán de Rojas volvió a cambiar el código fuente. “Para esa modificación ya no envió hash y en esta segunda modificación alteró las bases de datos, se conectó a las bases de datos para hacer cambios, lo cual invalida el proceso electoral”, señaló, e indicó que con los cambios también quedo invalidado el cereo.

Página Siete se contactó ayer con el gerente de Neotec, pero no quiso hacer declaraciones.

 El TREP tenía 7 vulnerabilidades 

El director ejecutivo de la empresa auditora Ethical Hacking informó que se detectaron al menos siete  grandes vulnerabilidades en el sistema de Transmisión de Resultados Electorales Preliminares (TREP), según se recoge  en el primer análisis que hizo, y cuyo reporte se dio a conocer en dos informes: el 11 y 15  de octubre, antes de las elecciones generales.

    El 11 de octubre, Ethical Hacking indicó que era posible interceptar y leer las comunicaciones del TREP, que era posible obtener las credenciales de acceso de  7.000 usuarios del sistema TREP, que era posible inyectar desde internet votos, actas y fotografías de las mismas.

Además, la empresa auditora señaló que era posible interceptar y alterar la comunicación entre la aplicación y el servidor, y que la aplicación permitía el acceso a la base de datos local.

    El 15 de octubre alertó también que un atacante podía registrar y validar actas, y que era posible registrar actas creando usuarios falsos de forma automática. En ese informe se indica que Neotec no logró subsanar las vulnerabilidades observadas.

 

 

229
74