Ethical Hacking revela que 7.000 contraseñas de acceso al TREP eran inseguras

El director ejecutivo de la empresa auditora comentó que observó que la aplicación del TREP se pudiera descargar de la tienda Play Store.
viernes, 6 de marzo de 2020 · 00:04

Erika Segales / La Paz

 El director ejecutivo de la empresa auditora Ethical Hacking, Álvaro Andrade, sostuvo  que una de las grandes vulnerabilidades del sistema TREP (Transmisión de Resultados Electorales Preliminares) del 20-O fue que los usuarios y contraseñas de 7.000 operadores, que debían ingresar los resultados de las actas,  eran inseguros. 

“Logramos extraer los 7.000 usuarios del TREP. Las contraseñas de estos usuarios estaban cifradas en un algoritmo que se llama MD5, el cual está obsoleto hace más de 10 años. Entonces era muy fácil romper las contraseñas. Rompimos todas las claves de los usuarios, les recomendamos que usen un cifrado más fuerte en vez de usar un algoritmo tan conocido en la industria de seguridad”, dijo.

Andrade comentó que para subsanar esa situación se recomendó al director de Neotec, Marcel Guzmán de Rojas, desarrollar un algoritmo de cifrado propio. Cuando faltaban cinco días para las elecciones  se presentó un nuevo sistema de seguridad; no obstante, el nuevo algoritmo de cifrado desarrollado por Neotec también resultó vulnerable.

“Neotec desarrolló su propio algoritmo de cifrado, cuando (Marcel Guzmán de Rojas) lo trajo dijo ‘con esto no se puede hackear más, ahora sí está seguro’, pero nos tomó 30 minutos romper todo su algoritmo. Logramos obtener todo el acceso al sistema. El director de Neotec dijo ‘no puedo hacer más, estamos a cinco días, no me va a dar el tiempo”, indicó Andrade.

Cuando se presentó el TREP, el 9 de octubre, el exdirector nacional del Servicio de Registro Cívico (Serecí) José Antonio Pardo informó que el día de la elección general -el 20 de octubre- se iba a desplegar a más de 7.000 personas para la transmisión de resultados preliminares,  a nivel nacional e internacional.

Se explicó que cada uno de estos 7.000 operadores tendría acceso al sistema mediante una contraseña. Su trabajo consistía en transcribir los resultados y enviar una fotografía de las  actas desde sus celulares.

El director de Ethical Hacking señaló que otra circunstancia que incrementó la vulnerabilidad del TREP fue que la aplicación con la que trabajaron los 7.000 operadores estaba disponible para su descarga en el Play Store de Android. 

“Como la aplicación estaba en el Play Store de Android cualquier persona podría instalarla, sin el usuario y la contraseña no lo podían usar, pero la aplicación era tan vulnerable que nosotros logramos extraer los 7.000 usuarios y las 7.000 contraseñas”, comentó Andrade.

El director  de la empresa auditora señaló que esta situación fue expuesta ante los exvocales del Tribunal Supremo Electoral  y sostuvo que aún así los integrantes de la sala plena  decidieron llevar adelante la elección del 20 de octubre de 2019 con un  TREP con vulnerabilidades. Este medio intentó obtener la contraparte de Neotec, pero no se tuvo éxito.

Recomendaciones  para el 3 de mayo

  • Auditoras  La misión de observadores de la Organización de Estados Americanos (OEA) presentó  una lista de más de 90 recomendaciones para los comicios de 2020. Una de ellas es contratar dos empresas auditoras externas para que vigilen a las firmas que faciliten  el sistema informático para el proceso electoral.
  • Control La misión de la  OEA  plantea reforzar el control del voto fuera del país, involucrando a los delegados de partido en la “Comisión de Voto en el Exterior”, además de garantizar la seguridad en los recintos de votación. En las pasadas  elecciones se detectó que  modificaron  actas  “cuando ya estaban ingresando al sistema”.
21
2