Firma que hizo ‘auditoría’ a máquinas de votación de Georgia tiene un largo historial con Dominion

Análisis de noticias

La empresa que contrató el secretario de estado de Georgia para hacer una «auditoría» de la tecnología de Dominion Voting Systems, tecnología usada en las elecciones de 2020, es la misma que certificó previamente los sistemas de Dominion y también aprobó un cambio de software de última hora en todo el sistema unas semanas antes de la elección.

El secretario de Estado Brad Raffensperger no reveló que la empresa, Pro V&V, tenía una relación preexistente con Dominion que se remonta a años atrás, en su declaración del 17 de noviembre en la que anunciaba los resultados de la auditoría.

Raffensperger tampoco reveló que Dominion había utilizado conclusiones técnicas de Pro V&V en una demanda en Georgia, antes de las elecciones, que cuestionaba la confiabilidad de los sistemas de Dominion durante una corrección de software de última hora antes de las elecciones del 3 de noviembre. La prueba de Pro V&V había sido caracterizada como una «prueba superficial» por un experto citado en documentos judiciales.

En la declaración ampliamente citada, Raffensperger dijo que la auditoría de las máquinas Dominion estaba completa, que no había «señales de juego sucio» y que «Pro V&V no encontró evidencia» de manipulación en las máquinas:

«Nos alegra, pero no nos sorprende, que la auditoría de las máquinas de votación del estado haya sido un éxito rotundo», dijo el secretario Raffensperger. “La seguridad electoral ha sido una prioridad máxima desde el primer día de mi administración. Nos hemos asociado con el Departamento de Seguridad Nacional, el Centro Cibernético de Georgia, expertos en seguridad de Georgia Tech y una amplia gama de otros expertos en seguridad electoral en todo el estado y el país para que los votantes de Georgia puedan estar seguros de que su voto es seguro».

Raffensperger también incluyó una descripción impresionante de Pro V&V en su declaración, pero nuevamente no reveló la relación de la empresa con Dominion, ni abordó el hecho de que Pro V&V parece ser una empresa muy pequeña y privada que opera desde una única suite de oficina.

«Pro V&V, con sede en Huntsville, Alabama, es un laboratorio de pruebas de sistemas de votación (VSTL) certificado por la Comisión de Asistencia Electoral de EE.UU., lo que significa que el laboratorio está» calificado para probar sistemas de votación según los estándares federales». La certificación VSTL se proporciona en virtud de la Ley Help America Votes de 2002. La acreditación de Pro V&V por parte de USEAC también fue recomendada por el Instituto Nacional de Estándares y Tecnología (NIST), el laboratorio de ciencias físicas del gobierno de los Estados Unidos dedicado a crear normas y medidas que ayuden a los Estados Unidos a ser el principal innovador científico del mundo. El NIST contribuye regularmente al desarrollo de normas de seguridad cibernética y electoral para los Estados Unidos y el mundo».

Según el sitio web de la Comisión de Asistencia Electoral (EAC), parece que la comisión federal tiene actualmente solo dos laboratorios de pruebas acreditados para todo el país: Pro V&V y SLI Compliance. Hay siete laboratorios de prueba de sistemas de votación (VSTL) listados en el sitio de EAC, pero cinco de estas compañías tienen anotaciones que muestran sus acreditaciones como vencidas.

Además, aunque la EAC enumera a Pro V&V como acreditado, el enlace al certificado de acreditación de Pro V&V conduce a una advertencia de «No se pudo encontrar la página«. Puede encontrar un certificado de acreditación anterior para Pro V&V por separado, en la descripción general del perfil de la empresa. Tiene una fecha de emisión del 24 de febrero de 2015 y se muestra con una vigencia que vence el 24 de febrero de 2017. No está claro si la acreditación de la empresa ha expirado o si la falla radica en el sitio web de la EAC.

Las caracterizaciones que Raffensperger hizo de Pro V&V no dieron ninguna indicación de que tuviera alguna familiaridad previa con la empresa y uno podría creer fácilmente que no hubo afiliación o vínculos de larga data entre Dominion y Pro V&V, aunque esa impresión es inexacta.

La declaración de Raffensperger sí indica que el trabajo de auditoría posterior a las elecciones de Pro V&V fue bastante limitado, describiendo solo la extracción de “el software o firmware de los componentes para verificar que el único software o firmware de los componentes estuviera certificado para su uso por la oficina del Secretario de Estado”.

El sitio de la EAC tiene una lista de sistemas de votación certificados en la que Dominion tiene 14 versiones detalladas del sistema de votación. El 8 de febrero de 2017, Dominion presentó su Democracy Suite versión 5.0 y, al mismo tiempo, Pro V&V aparentemente se convirtió en el laboratorio de pruebas principal para los sistemas de votación más nuevos de Dominion. Con solo una excepción importante: una modificación (5.5-A) probada por SLI para conformar el Democracy Suite 5.5 de Dominion para el estado de Pensilvania (la misma versión que luego usaría Georgia). Pro V&V ha sido el único laboratorio de pruebas para los sistemas de votación de Dominion hasta la fecha.

En julio de 2019, Georgia compró un sistema electoral de Dominion cuyo costo fue de USD 106 millones. En una demanda que se originó en 2017, los críticos sostuvieron que el nuevo sistema Dominion estaba sujeto a muchas de las mismas vulnerabilidades de seguridad que el que estaba reemplazando. Raffensperger fue incluido como acusado en el caso, y los abogados del estado y del condado han estado presentes en varias audiencias.

Tras la compra del sistema de Dominion por parte de Georgia, dos empleados de Pro V&V, Michael Walker y Wendy Williams, aprobaron el informe de prueba de Dominion Voting Systems Democracy Suite 5.5-A para el estado de Georgia el 26 de noviembre de 2019. Además, fueron estos las mismas personas que proporcionaron las pruebas del 13 de abril y 16 de junio de este año del Democracy Suite 5.5-C modificado de Dominion. Williams también jugaría un papel en algunos problemas de certificación de última hora para Dominion.

Pero incluso aquí, hubo un problema. La versión de software específica 5.5-A, utilizada en última instancia por Georgia, en realidad había sido probada por SLI para Pensilvania y no fue probada por Pro V & V, un asunto que luego sería observado por los tribunales:

«La primera declaración jurada del Sr. Cobb revela que Pro V&V no llevó a cabo por sí misma ninguna forma de penetración o prueba de seguridad de la versión de software 5.5-A específicamente para ser utilizada en Georgia (certificada por Dominion en agosto de 2019) sino que se basó en las pruebas de seguridad de otra empresa de versiones anteriores del software Dominion Democracy Suite».

En cambio, Pro V&V se había basado en sus pruebas iniciales de la versión de Dominion Suite 5.5. Y como señalaron los tribunales, “Dr. [Eric] Coomer testificó que existe una diferencia entre las versiones 5.5 y 5.5-A de Dominion Democracy Suite, un cambio en el software ICX que no se consideró de minimis».

En una declaración jurada del 24 de agosto, Harri Hursti, un reconocido experto en seguridad del voto electrónico, proporcionó una descripción de primera mano de los problemas que observó con los nuevos sistemas de votación de Georgia durante las elecciones primarias estatales del 9 de junio y las elecciones de segunda vuelta del 11 de agosto.

Hursti le dijo al tribunal sobre una serie de problemas, incluido que «la configuración del escáner y el software de tabulación que se está empleando para determinar qué votos contar en las boletas de papel marcadas a mano, probablemente, pueden estar causando que los votos claramente intencionados no sean contados».

Luego, durante las pruebas preelectorales de los sistemas de votación de Dominion, a fines de septiembre, los funcionarios de Georgia descubrieron un problema relacionado con las pantallas para las elecciones por el Senado de EE.UU. Encontraron que, bajo ciertas circunstancias, no todos los nombres de los candidatos encajarían correctamente en una sola pantalla.

Dominion se embarcó en una modificación de software para abordar el problema, que requirió la validación de pruebas de Pro V&V, ya que el software ahora se había cambiado en todos los sistemas Dominion. Hubo cierto desacuerdo en cuanto a la amplitud de los cambios de software realizados y la posible necesidad de una recertificación del sistema resultante debido a los cambios. Como resultado, el tribunal celebró una reunión de Zoom el 1 de octubre para abordar el asunto.

Una de las personas presentes en la reunión de Zoom fue Ryan Germany, consejero general de la oficina del secretario de estado de Georgia.

Durante el devenir de los procedimientos judiciales, los abogados de Dominion describieron el problema y la solución de software resultante como «de minimis» y no invalidaba la certificación EAC emitida anteriormente. Los abogados de «votantes activistas por la integridad», que ya estaban involucrados en juicios sobre el nuevo sistema Dominion de Georgia, expresaron su preocupación por «la gravedad del problema y la seguridad de una solución de último momento».

El tribunal se hizo eco de algunas de estas preocupaciones y señaló que, debido a la implementación en todo el estado de la modificación del software, podría haber «implicaciones mayores». El problema no era pequeño, como lo explicó el Dr. J. Alex Halderman, un experto en seguridad presente en la audiencia:

“Me gustaría reiterar la esencia de las preocupaciones de seguridad que tengo. Tenemos que tener claro que incluso si el cambio en el código fuente es pequeño, como dice Dominion, el proceso de actualización de este software requiere reemplazar completamente el núcleo del software Dominion en cada BMD (dispositivo de marcado de votos)».

Dominion había enviado la corrección de software a Pro V&V para su evaluación. Una vez más, Pro V&V había proporcionado recientemente pruebas de certificación para Democracy Suite 5.5-C de Dominion el 20 de abril y el 16 de junio, lo que llevó a la certificación EAC el 9 de julio, pero no detectó el problema del software en ese momento.

Durante la llamada de Zoom del 1 de octubre, el Dr. Eric Coomer, director de estrategia de productos y seguridad de Dominion Voting Systems, dijo al tribunal que creía que el cambio de software «era mínimo», pero declaró que Dominion no tomó esa determinación, sino que «sometió ese cambio a un laboratorio acreditado, en este caso, Pro V&V». Ellos analizan el cambio. Miran el código. Y determinan si es de minimis o no”.

La designación oficial del software como «de minimis» era importante, ya que tendría que ver con la necesidad de una recertificación EAC completa de Dominion Systems, algo que podría requerir más tiempo del disponible antes de las elecciones presidenciales del 3 de noviembre.

Si el cambio de software se consideró de minimis, entonces se envía al EAC como una orden de cambio de ingeniería o «ECO». Como testificó Coomer, “Por lo tanto, no hay un nuevo esfuerzo de certificación de EAC. Es simplemente actualizar la certificación actual para este ECO”.

De hecho, el 2 de octubre, se envió una carta de Wendy Owens, una empleada de Pro V&V, confirmando «que esta versión del software ICX corrigió el problema con la visualización de concursos de dos columnas». La carta concluía con una recomendación de Pro V&V de que el cambio de software a los sistemas de Dominion se «considerará de minimis».

La posición de Pro V&V fue disputada formalmente en una declaración del 3 de octubre de Halderman, quien declaró que “el informe deja en claro que Pro V&V realizó solo pruebas superficiales de este nuevo software. La empresa no intentó verificar de forma independiente la causa del problema de visualización de la boleta, ni verificó adecuadamente que los cambios sean una solución eficaz. Pro V&V tampoco parece haber hecho ningún esfuerzo por probar si los cambios crean nuevos problemas que afectan la confiabilidad, precisión o seguridad del sistema BMD”.

Sin embargo, el 11 de octubre, la jueza Amy Totenberg emitió un fallo (pdf) en el caso, señalando que “a pesar de los profundos problemas planteados por los demandantes, el Tribunal no puede saltar del borde legal y potencialmente provocar una interrupción importante en el proceso primario, legalmente establecido, del estado».

El 3 de diciembre, durante una reunión del Comité de Supervisión del Gobierno del Senado de Georgia sobre el fraude electoral, Ryan Germany, abogado de la oficina del secretario de estado de Georgia, abordó nuevamente el tema de la auditoría de equipos de Dominion y señaló que:

“Eso es algo que ya hemos hecho. Tuvimos un laboratorio de prueba de sistemas de votación independiente que llegó después de las elecciones y auditó una sección transversal de nuestras máquinas… Lo que encontraron fue que las máquinas funcionaban con precisión. El software de las máquinas es exactamente lo que se supone que debe estar ahí».

Germany también declaró que Pro V&V iba a hacer verificaciones para “comprobar el valor de hash y asegurarse de que es lo que esperamos, y lo fue en cada caso”.

Pero una vez más, no hubo divulgación sobre la afiliación de Pro V&V con Dominion, ni se plantearon críticas al trabajo de Pro V&V, a pesar de que Germany había estado involucrado personalmente en el litigio en torno a los sistemas de Dominion y estaba al tanto del papel de Pro V&V en proporcionar la crucial determinación «de minimis».

Curiosamente, en su fallo de octubre, Totenberg señaló que fue el secretario de estado quien «contrató a Pro V&V para realizar una revisión de su sistema de votación BMD recientemente adoptado, según se requiere para fines de certificación de la EAC, para presentarlo a la EAC para su aprobación».

Totenberg también criticó a Jack Cobb, el director de Pro V&V, señalando que «en realidad no tiene conocimientos especializados o antecedentes en ingeniería de seguridad cibernética y no realizó ningún análisis de riesgos de seguridad de los dispositivos de marcado de votos».

Totenberg observó que «Cobb indicó que no estaba familiarizado con el hecho de que el malware podría inhibir o deshabilitar los valores hash, una preocupación que abordaron todos los especialistas en ciberseguridad de los demandantes que proporcionaron declaraciones o testimonios en este caso».

Finalmente, Totenberg señaló que «los demandados del estado no presentaron ningún experto en ciberseguridad independiente para abordar directamente los problemas de ciberseguridad y las vulnerabilidades de riesgo del sistema de votación de códigos QR de Dominion, planteadas por los demandantes».

En cambio, «los demandados del estado se basaron en el testimonio del Dr. Coomer (el director de estrategia de productos y seguridad de Dominion) para abordar, en base a su experiencia profesional, algunos de los importantes problemas de ciberseguridad planteados por los demandantes».

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí

Descubre

Elecciones fueron influidas por organizaciones procomunistas de China