En este 14 de julio 2018, Foto, Sistemas y software electorales (ES&S), CEO Tom Burt, Derecha, observa algunos de los equipos electorales de la compañía en el área de exhibición de proveedores en una convención de la Asociación Nacional de Secretarios de Estado en Filadelfia. Los expertos dicen que los principales proveedores electorales han escatimado durante mucho tiempo en la seguridad a favor de la conveniencia y utilizan sistemas patentados, lo que dificulta la detección de intromisiones electorales. (Foto AP / Mel Evans)
Fue el tipo de lapsus de seguridad que les da pesadillas a los funcionarios electorales. En 2017, un contratista privado dejó datos sobre los 1.8 millones de votantes registrados de Chicago, incluidas direcciones, fechas de nacimiento y números de Seguro Social parciales:expuestos públicamente durante meses en un servidor en la nube de Amazon.
Más tarde, en una tensa audiencia, La Junta Electoral de Chicago vistió a los tres principales ejecutivos de Election Systems &Software, el principal proveedor de equipos y servicios electorales del país.
Los tres se movieron inquietos en sillas plegables mientras los miembros de la junta los interrogaban sobre lo que salió mal. El CEO de ES&S, Tom Burt, se disculpó y enfatizó repetidamente que no había evidencia de que los piratas informáticos descargaran los datos.
El lapso de Chicago brindó un raro momento de responsabilidad pública para las empresas cerradas que han llegado a servir como guardianes de primera línea de la seguridad electoral de EE. UU.
Un trío de empresas:ES &S de Omaha, Nebraska; Dominion Voting Systems de Denver y Hart InterCivic de Austin, Texas:vender y dar servicio a más del 90 por ciento de la maquinaria sobre la que se emiten los votos y se tabulan los resultados. Los expertos dicen que durante mucho tiempo han escatimado en la seguridad a favor de la conveniencia, lo que dificulta la detección de intrusiones como las que se produjeron en la intromisión en las elecciones de Rusia de 2016.
Las empresas tampoco enfrentan una supervisión federal significativa y operan bajo un manto de secreto financiero y operativo a pesar de su papel fundamental en la base de la democracia estadounidense.
En este 11 de julio 2018, Foto, Peter Lichtenheld, vicepresidente de operaciones del proveedor de sistemas de votación Hart InterCivic, testifica durante una audiencia en el Senado sobre seguridad electoral en Washington. Los expertos dicen que los principales proveedores electorales han escatimado durante mucho tiempo en la seguridad a favor de la conveniencia y utilizan sistemas patentados, lo que dificulta la detección de intromisiones electorales. (Foto AP / Cliff Owen)
En gran parte de la nación, especialmente donde la experiencia tecnológica y los presupuestos son escasos, las empresas organizan efectivamente las elecciones, ya sea directamente o mediante subcontratistas.
"Ellos improvisan las cosas lo mejor que pueden, "El experto en tecnología electoral de la Universidad de Connecticut, Alexander Schwartzman, dijo sobre los líderes de la industria. La construcción de sistemas verdaderamente seguros probablemente los haría no rentables, él dijo.
Los costos de una seguridad inadecuada pueden ser altos. No se mencionó en la audiencia de Chicago:el caché de datos expuestos incluía aproximadamente una docena de contraseñas encriptadas para las cuentas de los empleados de ES&S. En el peor de los casos, un atacante sofisticado podría haberlos utilizado para infiltrarse en los sistemas de la empresa, dijo Chris Vickery de la empresa de seguridad Upgard, que descubrió el lapso de datos.
"Este es el tipo de cosas que conducen a un compromiso total, ", dijo. ES&S dijo que las contraseñas solo se usaron para acceder a la cuenta en la nube de Amazon de la compañía y que" no hubo acceso no autorizado a ningún dato o sistema en ningún momento ".
Los tres principales proveedores se negaron a discutir sus finanzas e insistieron en que las preocupaciones de seguridad son exageradas. ES&S, por ejemplo, dijo en un correo electrónico que "cualquier afirmación sobre la resistencia a las aportaciones sobre seguridad es simplemente falsa" y argumentó que durante décadas la empresa ha "tenido éxito en la protección del proceso de votación".
MUROS DE PIEDRA SOBRE SEGURIDAD
En este 13 de marzo, 2018, Foto, los votantes emitieron sus votos en las elecciones primarias de Illinois en el centro de Chicago. Un fallo de seguridad el año pasado por parte del proveedor de sistemas de votación, Election Systems &Software, expuso públicamente datos sobre los 1,8 millones de votantes de Chicago durante meses en línea. El lapso brindó un raro momento de responsabilidad pública para un negocio cerrado que es un guardián de primera línea de la seguridad electoral de EE. UU. (Foto AP / Kiichiro Sato)
Muchos sistemas de votación en uso hoy en día en los más de 10, 000 jurisdicciones electorales de EE. UU. Son propensas a problemas de seguridad. Los científicos informáticos académicos comenzaron a piratearlos con facilidad hace más de una década, y no ha cambiado mucho.
En teoría, los piratas informáticos podrían causar estragos en múltiples etapas del proceso electoral. Podrían alterar o borrar listas de votantes registrados para sembrar confusión, introducir en secreto software para invertir votos, codifique los sistemas de tabulación o desconecte los sitios de informes de resultados.
No hay evidencia de que haya sucedido nada de esto, al menos no todavía.
Los proveedores dicen que no hay indicios de que los piratas informáticos hayan penetrado en ninguno de sus sistemas. Pero las autoridades reconocen que algunas travesuras electorales o trampas explosivas de malware pueden haber pasado desapercibidas.
El 13 de julio El fiscal especial de los Estados Unidos, Robert Mueller, acusó formalmente a 12 agentes de inteligencia militar rusos por, entre otras cosas, infiltrarse en los sistemas electorales estatales y locales. Los altos funcionarios de inteligencia de Estados Unidos dicen que el Kremlin está bien posicionado para generar confianza en la integridad de las elecciones durante las elecciones intermedias de este año. si decide hacerlo.
Los proveedores electorales se han resistido durante mucho tiempo a las pruebas de vulnerabilidad abiertas realizadas por piratas informáticos éticos:un proceso que tiene como objetivo identificar las debilidades que un adversario podría aprovechar. Estas pruebas son ahora estándar para el Pentágono y los principales bancos.
En este 14 de julio 2018, Foto, Sistemas y software electorales (ES&S), CEO Tom Burt, Derecha, observa algunos de los equipos electorales de la compañía en el área de exhibición de proveedores en una convención de la Asociación Nacional de Secretarios de Estado en Filadelfia. Los expertos dicen que los principales proveedores electorales han escatimado durante mucho tiempo en la seguridad a favor de la conveniencia y utilizan sistemas patentados, lo que dificulta la detección de intromisiones electorales. (Foto AP / Mel Evans)
Si bien los principales proveedores afirman haber intensificado su juego de ciberseguridad, los expertos son escépticos.
"La industria sigue obstaculizando el problema, "dijo Bruce McConnell, un zar de ciberseguridad del Departamento de Patria durante la administración Obama. Los ejecutivos de los proveedores electorales emiten garantías de forma rutinaria, él dijo, pero no anime a los forasteros a inspeccionar su código ni ofrezca "recompensas por errores" a los investigadores para que busquen fallas en su software.
Senador Ron Wyden, un demócrata de Oregon, ha criticado durante mucho tiempo lo que él llama la "grave subinversión en ciberseguridad" de la industria. En una audiencia de julio, acusó a las empresas de "esquivar, balanceándose y tejiendo "en una serie de preguntas básicas de seguridad que les había hecho.
ES&S dijo a The Associated Press que permite independientes, pruebas abiertas de sus sistemas corporativos, así como de sus productos. Pero la compañía no quiso nombrar a los probadores y se negó a proporcionar documentación de las pruebas o sus resultados.
Vicepresidente de asuntos gubernamentales de Dominion, Kay Stimson, dijo que su compañía también ha hecho que terceros independientes investiguen sus sistemas, pero que no los nombrarán ni compartirán detalles. Hart InterCivic, el proveedor número 3, dijo que ha hecho lo mismo utilizando la firma canadiense de ciberseguridad Bulletproof, pero no quiso discutir los resultados.
ES&S contrató a su primer director de seguridad de la información en abril. Ninguno de los tres grandes proveedores diría cuántos expertos en ciberseguridad emplean. Stimson dijo que "la confidencialidad de los empleados y las protecciones de seguridad superan cualquier divulgación potencial".
En este 11 de julio 2018, Foto, Senador Ron Wyden, D-Ore., habla en una audiencia del Senado sobre seguridad electoral en Washington. Wyden se quejó de que los proveedores de sistemas electorales "quieren ser los guardianes de nuestra democracia, pero parecen completamente desinteresados en salvaguardarla". Dos de los tres principales proveedores electorales rechazaron las invitaciones para comparecer en la audiencia. (Foto AP / Cliff Owen)
SOFTWARE DESLIZADO Y VULNERABILIDAD
Los expertos dicen que podrían tomarse las garantías de seguridad de la industria más en serio si no fuera por la abundante evidencia de un desarrollo de software descuidado, una fuente importante de vulnerabilidades.
Durante las elecciones primarias de este año, La tecnología ES&S falló en varios frentes.
En el condado de Los Ángeles, más de 118, Se omitieron 000 nombres en las listas de votantes impresas. Una auditoría externa posterior culpó a la integración descuidada del sistema por parte de una subsidiaria de ES&S durante la fusión de una base de datos.
No se realizó una auditoría de este tipo en el condado más poblado de Kansas después de que un tipo diferente de error en los sistemas ES&S recién instalados retrasó el recuento de votos en 13 horas a medida que avanzaban los datos que se cargaban desde las memorias USB.
El científico informático de la Universidad de Iowa, Douglas Jones, dijo que ambos incidentes revelan una programación mediocre y pruebas preelectorales insuficientes. Y los proveedores de equipos de votación nunca parecieron preocupados por la seguridad "en ninguna fase de su diseño, " él dijo.
En este 14 de julio Foto de 2018, un empleado de Election Systems &Software (ES&S) demuestra el equipo de la empresa en el área de exhibición de proveedores de una convención de la Asociación Nacional de Secretarios de Estado en Filadelfia. Los expertos dicen que las tecnologías patentadas e inseguras, que durante mucho tiempo han enfatizado la conveniencia sobre la seguridad, están impidiendo los esfuerzos federales para hacer que los sistemas de votación estadounidenses sean más difíciles de piratear para los rusos o cualquier otra persona. (Foto AP / Mel Evans)
Por ejemplo, El líder de la industria ES&S vende sistemas de tabulación de votos equipados con módems celulares, una característica que los expertos dicen que los piratas informáticos sofisticados podrían explotar para manipular los recuentos de votos. Algunos estados prohíben este tipo de conexiones inalámbricas; en Alabama, el estado tuvo que obligar a ES&S a retirarlos de las máquinas en enero.
"Parecía que se hacía mucho más hincapié en lo geniales que podían ser las máquinas que en la evidencia real de que eran seguras, "dijo John Bennett, el subjefe de personal del secretario de estado de Alabama.
California lleva a cabo algunos de los escrutinios más rigurosos de los sistemas de votación en los EE. UU. Y ha encontrado repetidamente problemas crónicos con los sistemas de votación más populares. El año pasado, un contratista de seguridad estatal encontró múltiples vulnerabilidades en el sistema Electionware de ES&S que podrían, por ejemplo, permitir que un intruso borre todos los votos registrados al cierre de la votación.
En 2014, el mismo contratista, Jacob Stauffer de la empresa de seguridad Coherent Cyber, encontró "múltiples vulnerabilidades críticas" en Democracy Suite de Dominion que podrían permitir a los piratas informáticos expertos comprometer el resultado de una elección.
"Estos sistemas son el monstruo de Frankenstein, esencialmente, "Dijo Stauffer.
El Departamento federal de Seguridad Nacional comenzó a ofrecer pruebas de vulnerabilidad confidenciales a los proveedores durante el verano. Pero solo un proveedor se ha sometido a tales pruebas, dijo un funcionario de la agencia que habló bajo condición de anonimato porque el funcionario no estaba autorizado a discutir el asunto públicamente.
Este 14 de julio La foto de 2018 muestra alfombrillas para mouse de computadora con el logotipo de Secure the Vote en ellas, exhibido en una mesa en el proveedor de Election Systems &Software (ES&S) en una convención de secretarios de estado de estado en Filadelfia. (Foto AP / Mel Evans)
INNOVACIÓN ESTABLECIDA
Más competencia podría ayudar, pero las barreras de la industria para los proveedores más pequeños son "absolutamente enormes, "dijo Larry Moore, presidente del advenedizo Clear Ballot. Su sistema de votación auditable tardó dos años y medio en obtener la certificación federal a un costo de $ 1 millón.
Las empresas emergentes están en apuros para interrumpir una industria cuyos principales actores dependen en gran medida de tecnologías patentadas. ES&S y otros proveedores los han protegido celosamente en los tribunales y también han desatado a los abogados contra los funcionarios electorales que compran productos de la competencia.
En octubre, ES&S demandó al condado de Cook, Illinois, buscando anular sus $ 30 millones, Contrato de 10 años con un competidor. También amenazó recientemente a Louisiana y el condado de Douglas, Kansas, con juicios por elección de otros proveedores.
El director de elecciones del condado de Cook, Noah Praetz, dijo que demandar en defensa de la participación de mercado solo enfría la competencia en una industria con márgenes "horriblemente bajos", especialmente considerando la financiación limitada del gobierno para equipos electorales.
"El mercado no funciona muy bien en términos de innovación, " él dijo.
Este 18 de julio 2018, La foto muestra un almacén en North Canton, Ohio, donde las máquinas de votación AccuVote TSX usadas previamente compradas en un condado de Ohio son vendidas por un reciclador de productos electrónicos por menos de $ 100 cada una. El anticuado máquinas vulnerables, todavía en uso en todo el país, son un legado de una industria que durante mucho tiempo ha enfatizado la conveniencia sobre el tipo de seguridad que, según los expertos, se requiere para proteger los sistemas electorales de la nación de los piratas informáticos sofisticados. (Foto AP / Frank Bajak)
SUPERVISIÓN LIMITADA
Las elecciones las dirigen los estados, cuya supervisión de los proveedores varía. California, Nueva York y Colorado se encuentran entre los estados que vigilan de cerca a los proveedores, pero muchos otros tienen relaciones más acogedoras con ellos.
Y los vendedores pueden ser recalcitrantes. En 2017, por ejemplo, Hart InterCivic se negó a proporcionarle a Virginia una máquina de votación con pantalla táctil e-Slate sin papel para realizar pruebas, dijo Edgardo Cortes, luego el comisionado estatal de elecciones.
En las elecciones intermedias de este año, como en las elecciones de 2016, aproximadamente 1 de cada 5 votantes utilizará este tipo de máquinas electrónicas. Sus recuentos no se pueden verificar porque no producen ningún registro en papel.
Cortés decidió descertificar todos esos sistemas. Si alguien intentara irrumpir y alterar los votos, Él concluyó, "Realmente no había forma de que supiéramos si eso había sucedido". Vicepresidente de operaciones de Hart InterCivic, Peter Lichtenheld, no impugnó el relato de Cortés en el testimonio del Senado de julio, pero dijo que sus clientes de Virginia ya se estaban mudando a máquinas más nuevas.
A nivel federal, ninguna autoridad acredita a los proveedores electorales ni los examina a ellos ni a sus subcontratistas. Ninguna ley federal les exige que informen sobre las infracciones de seguridad o que realicen verificaciones de antecedentes de los empleados o subcontratistas.
En este 8 de noviembre, 2016, foto de archivo, Los residentes del Distrito 33 de Chicago marcan sus boletas en el salón de billar Golden Cue de Marie. Un fallo de seguridad el año pasado por parte del proveedor de sistemas de votación, Election Systems &Software, expuso públicamente datos sobre los 1,8 millones de votantes de Chicago durante meses en línea. El lapso brindó un raro momento de responsabilidad pública para un negocio cerrado que es un guardián de primera línea de la seguridad electoral de EE. UU. (Foto AP / Charles Rex Arbogast, Expediente)
Los proveedores electorales ni siquiera tienen que ser empresas estadounidenses. Dominion fue de propiedad canadiense hasta julio, cuando una firma de capital privado de Nueva York compró una participación mayoritaria.
La supervisión federal se limita a la poco conocida Comisión de Asistencia Electoral, una agencia de 30 empleados que certifica equipos de votación pero cuyas recomendaciones son estrictamente voluntarias. No tiene poder de supervisión y no puede sancionar a los fabricantes por cualquier deficiencia.
"No podemos regular "El presidente de la EAC, Thomas Hicks, dijo durante una audiencia del Congreso el 11 de julio cuando surgió la pregunta. Tampoco el DHS, a pesar de que designó a los sistemas electorales de la nación como "infraestructura crítica" a principios de 2017.
© 2018 The Associated Press. Reservados todos los derechos.