Se evidencian preocupaciones antes de las elecciones por sistemas de voto de Dominion en demanda de Georgia

Experto en ciberseguridad expresó su preocupación por la integridad del sistema, incluidas las vulnerabilidades externas, en una declaración jurada

Por Jeff Carlson
12 de noviembre de 2020 11:28 PM Actualizado: 13 de noviembre de 2020 6:50 PM

El software y equipo de Dominion Voting Systems, utilizado en las elecciones presidenciales de este mes, ha sido fuente de una continua controversia, luego que un observador electoral de las primarias estatales en Georgia realizada a principios de este año hiciera una declaración jurada destacando múltiples problemas.

El secretario de estado de Georgia, Brad Raffensperger, anunció la compra por parte del estado de un sistema electoral de USD 106 millones de Dominion Voting Systems en julio de 2019. En una demanda, que se originó en 2017, los críticos sostienen que el nuevo sistema estaba sujeto a muchas de las mismas vulnerabilidades de seguridad que el que estaba reemplazando.

En una orden del 11 de octubre, solo unas semanas antes de las elecciones presidenciales, la jueza de distrito de EE. UU. Amy Totenberg estuvo de acuerdo con las preocupaciones asociadas con el nuevo sistema de votación de Dominion y escribió que el caso presentaba “una grave vulnerabilidad de seguridad del sistema y problemas operativos que podrían poner a los Demandantes y a otros votantes en riesgo de ser privados de su derecho fundamental a emitir un voto efectivo que se cuente con precisión».

“La Orden de la Corte ha profundizado en los verdaderos riesgos que plantea el nuevo sistema de votación BMD, así como su forma de implementación. Estos riesgos no son hipotéticos ni remotos en las circunstancias actuales”, escribió la jueza Totenberg en su orden.

A pesar de las dudas de la corte, Totenberg falló en contra de reemplazar el sistema Dominion justo antes de las elecciones presidenciales, y señaló que «la implementación de un cambio sistémico tan repentino en estas circunstancias no puede sino causar confusión en los votantes y alguna medida real de interrupción electoral».

Preocupaciones sobre los sistemas electorales

En una declaración del 24 de agosto de Harri Hursti, un reconocido experto en seguridad del voto electrónico, proporcionó una descripción de primera mano de los problemas que observó durante las elecciones primarias estatales del 9 de junio en Georgia y las elecciones de segunda vuelta del 11 de agosto.

Hursti había sido «autorizado como experto inspeccionando y observando bajo la solicitud de inspección de la Regla 34 de la Coalición para una Buena Gobernanza en ciertos lugares de votación y el Centro de Preparación de Elecciones del Condado de Fulton».

Hursti resumió sus hallazgos de la siguiente manera:

  1. «La configuración del escáner y el software de tabulación que se está empleando para determinar qué votos contar en las boletas de papel marcadas a mano probablemente provoquen que los votos claramente intencionados no se cuenten».
  2. «El sistema de votación se está operando en el condado de Fulton de una manera que aumenta el riesgo de seguridad a un nivel extremo».
  3. «Los votantes no están revisando sus boletas impresas BMD [Dispositivos de marcado de boletas], lo cual hace que los resultados generados por los BMD no sean auditables debido al registro de auditoría no confiable».

Durante la observación en la Iglesia Cristiana Peachtree en Atlanta, Georgia, Hursti señaló que el «escáner variaba en la cantidad de tiempo que tomaba aceptar o rechazar una boleta».

Hursti afirmó que un sistema dedicado no debería experimentar retrasos variables y señaló que «nosotros siempre sospechamos de retrasos variables inesperados, ya que son señales comunes de muchos problemas, incluida la posibilidad de que se ejecute un código no autorizado».

Hursti observó tiempos de procesamiento variables en diferentes lugares, lo cual generó preocupaciones ya que los dispositivos físicos idénticos «no deberían comportarse de manera diferente al realizar la tarea idéntica de escanear una boleta».

Hursti declaró en su declaración jurada que su presencia fue solicitada por dos observadores electorales en el lugar de votación de Fanplex que estaban observando ciertas anomalías inexplicables. Al llegar, Hursti observó que por «razones desconocidas, en varias máquinas, mientras los votantes intentaban votar, los dispositivos del marcado de boletas a veces imprimían boletas de ‘prueba'».

Como señaló Hursti, “durante el día de las elecciones, el dispositivo para marcar las boletas no debe procesar ni imprimir ninguna boleta que no sea la que está votando el votante”. Hursti declaró que esto era indicativo de una “configuración incorrecta” dada al dispositivo de marcado de boletas.

El tema también planteó otras preguntas en su mente:

  1. «¿Por qué el dispositivo no imprimió solo boletas de prueba?»
  2. «¿Cómo puede el dispositivo cambiar su comportamiento en medio del día de las elecciones?»
  3. «¿La configuración incorrecta se origina en el Sistema de Registro de Votación Electrónico?»
  4. «¿Cuáles son las implicaciones para la confiabilidad de que se cuenten la boleta impresa y el código QR?»

Subcontratación generalizada de la operación

Durante la segunda vuelta de las elecciones, en la noche del 11 de agosto de 2020, Hursti estuvo presente en el Centro de Preparación Electoral del Condado de Fulton para observar la “carga de los dispositivos de memoria provenientes de las jefaturas al servidor Dominion Election Management System [EMS]». Durante esta observación, Hursti señaló que «los problemas del sistema eran recurrentes y los técnicos de Dominion que operaban el sistema tenían problemas con el proceso de carga».

Hursti también señaló que parecía que el personal de Dominion eran los únicos con conocimiento y acceso al servidor de Dominion. Como dijo Hursti en su declaración: «En mis conversaciones con Derrick Gilstrap y otro personal de EPC del Departamento de Elecciones del Condado de Fulton, ellos profesaron tener un conocimiento o control limitado sobre el servidor EMS y sus operaciones».

Hursti señaló que esta subcontratación generalizada de la operación del equipo de votación al personal del proveedor era «muy inusual en mi experiencia y de gran preocupación desde la perspectiva de la seguridad y el conflicto de intereses». Hursti se refirió al mantenimiento y acceso al sitio de Dominion como «un factor de riesgo elevado».

Hursti también señaló que las computadoras Dell que ejecutan el servidor Dominion parecen no haber sido «reforzadas»–el proceso de «asegurar un sistema reduciendo su superficie de vulnerabilidad». Hursti dijo que le parecía «inaceptable que un servidor EMS no se haya reforzado antes de la instalación».

Una «gran deficiencia»

Además de los problemas de hardening, Hursti observó que las computadoras utilizadas en el sistema de Georgia para el procesamiento de votos parecían tener “paquetes de software complementarios para el hogar/pequeñas empresas”. Esto generó áreas de gran preocupación para Hursti, como señaló:

“[Uno] de los primeros procedimientos de hardening es la eliminación de todo el software no deseado, y la eliminación de esos íconos de juegos y los juegos e instaladores asociados junto con todo el otro software que no es absolutamente necesario en la computadora para fines de procesamiento de elecciones sería una de los primeros y más básicos pasos del proceso de hardening. En mi opinión profesional, se debe realizar una investigación independiente de inmediato en los 159 condados para determinar si los sistemas de Dominion en todo el estado comparten esta gran deficiencia».

Además de los paquetes de software mencionados anteriormente, Hursti descubrió que una de las computadoras tenía un ícono para un juego de computadora de 2017 llamado «Homescapes» que Hursti señaló que cuestionaba si «todas las computadoras del sistema Georgia Dominion tienen la misma versión del sistema operativo, o cómo el juego ha llegado a tener presencia en el sistema de votación Dominion de Fulton”.

Hursti también descubrió una combinación preocupante de equipos antiguos y nuevos que conllevaban riesgos de seguridad adicionales debido a la falta de actualizaciones de parches:

«Aunque este sistema de votación Dominion es nuevo en Georgia, el sistema operativo Windows 10 de al menos la computadora ‘principal’ en el rack no se ha actualizado por 4 años y tiene una amplia gama de vulnerabilidades conocidas y divulgadas públicamente».

Hursti señaló que la falta de «hardening» creaba riesgos de seguridad incluso para las computadoras que no estaban conectadas a Internet. Él observó que cuando se conectaban unidades flash al servidor, “el sistema operativo montaba automáticamente los discos. Cuando el sistema operativo está montando automáticamente un disco de almacenamiento, el sistema operativo comienza a interactuar automáticamente con el dispositivo».

Hursti señaló que la administración del servidor EMS del condado de Fulton parecía ser una «operación ad hoc sin un proceso formalizado». Esto parecía particularmente evidente en relación con el proceso de los discos de almacenamiento provenientes de varias jefaturas durante la noche:

“Este tipo de operación es naturalmente propenso a errores humanos. Observé al personal que llamaba al piso preguntando si todos los votos que llevaban tarjetas Compact Flash se habían entregado desde las máquinas de votación anticipada para su procesamiento, y luego encontré tarjetas adicionales que se habían pasado por alto en un aparente error humano. Más tarde, escuché nuevamente a un técnico llamando al piso preguntando si se habían entregado todos los votos que llevaban tarjetas Compact Flash. Esto demuestra claramente la falta de gestión de inventario que debería estar en su lugar para garantizar, entre otras cosas, que no se inserten dispositivos de almacenamiento falsos en la computadora. En respuesta, se entregaron personalmente 3 tarjetas Compact Flash más. Menos de 5 minutos después, escuché a uno de los trabajadores del condado decir que se encontró una tarjeta adicional y se la entregó para su procesamiento.

Hursti también observó que «las operaciones se realizaron repetidamente directamente en el sistema operativo». El software electoral no tiene visibilidad de las operaciones del sistema operativo, lo cual crea problemas de auditoría adicionales y, como señaló Hursti, “a menos que el sistema esté configurado correctamente para recopilar datos de auditoría del sistema de archivos, no está completo. Como el sistema parece no estar reforzado, es poco probable que el sistema operativo se haya configurado para recopilar datos de auditoría».

«Acceso completo»

Una preocupación aún mayor fue el aparente «acceso completo» que el personal de Dominion parecía tener al sistema informático. Hursti observó a los técnicos de Dominion resolviendo mensajes de error con un enfoque de «prueba y error» que incluía el acceso a la aplicación «Administración de Computadoras», lo que indica un acceso completo en opinión de Hursti.

Como dijo en su declaración, “Esto significa que no hay una separación de acceso significativa y controles de privilegios y roles que protejan a los servidores de elecciones primarias del condado. Esto también amplifica enormemente el riesgo de errores humanos catastróficos y la ejecución de programas maliciosos».

Durante estos intentos de resolver los diversos problemas que estaban ocurriendo en tiempo real, Hursti notó que parecía como si el personal de Dominion cambiara de los intentos de reparación en el sitio a la resolución de problemas fuera del sitio:

“El miembro del personal de Dominion caminó detrás del rack del servidor e hizo manipulaciones manuales que no se podían observar desde mi punto de vista. Después de eso, se movieron con sus laptops personales a una mesa físicamente más alejada del sistema electoral y dejaron de probar diferentes formas de solucionar el problema frente al servidor, y ya no hablaron continuamente con su ayuda remota por teléfono».

«En las llamadas de seguimiento, escuché que les pedían a las personas que estaban al otro lado del teléfono que verificaran diferentes cosas, y ellos solo fueron a una computadora y parecieron probar algo y luego tomar una foto de la pantalla de la computadora con un teléfono móvil y aparentemente enviarlo a una ubicación remota».

Hursti afirmó que esto «creó una fuerte impresión mental de que el esfuerzo de solución de problemas se estaba haciendo de forma remota a través del acceso remoto a partes clave del sistema».

Hursti también señaló que un “nuevo punto de acceso inalámbrico con un nombre de punto de acceso SSID oculto apareció en la lista de estaciones Wi-Fi activas” que él estaba monitoreando.

Todo esto generó alarmas materiales para Hursti, quien señaló que “si de hecho se dispuso y se otorgó acceso remoto al servidor, esto tiene serias implicaciones para la seguridad del nuevo sistema Dominion. El acceso remoto, independientemente de cómo esté protegido y organizado, es siempre un riesgo de seguridad, pero además es una transferencia de control fuera de los perímetros físicos y niega la capacidad de observar las actividades”.

Recuento

El 11 de noviembre de 2020, el secretario de Estado de Georgia, Brad Raffensperger, anunció que habrá un recuento completo y una auditoría de todas las boletas emitidas en las elecciones presidenciales.

“Con el margen tan estrecho, será necesario un recuento manual completo en cada condado. Esto ayudará a generar confianza. Será una auditoría, un recuento y una revisión todo junto”, dijo Raffensperger.

Dominion Voting Systems no respondió a una solicitud de comentarios.


Apoye nuestro periodismo independiente donando un «café» para el equipo


A continuación

Estafa: Peligrosas tarjetas anticovid | China al Descubierto

Cómo puede usted ayudarnos a seguir informando

¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.