El Gobierno se niega a brindar información sobre la seguridad de los sistemas informáticos que se utilizaron y se utilizarán durante las elecciones. Fue ante un pedido de acceso a la información pública que realizó El Destape, donde requirió los resultados de las auditorías que, de haberse realizado, deberían mostrar si los servicios que provee la empresa Smartmatic de transmisión y recuento de los votos son seguros.
La respuesta del Gobierno para negar la información dice: “Los lineamientos y buenas prácticas globales de seguridad informática, los informes de ‘pentesting’, también conocidos como hackeo ético, tienen carácter de alta confidencialidad debido a que consisten en un estudio detallado de las potenciales vulnerabilidades que todos los softwares podrían tener”.
El Destape consultó a Ivan Arce, uno de los más prestigiosos especialistas en seguridad informática del país, que se dedica hace 20 años a realizar este tipo de tests y que a mediados de los 90 fundó Core, empresa reconocida a nivel mundial justamente para realizarlos. Su postura frente a la respuesta que da el Gobierno es clara: “Es erróneo escudarse en supuestos ‘lineamientos y buenas prácticas globales’ de seguridad informática para no publicar el informe de la prueba de intrusión (‘penetration testing’ o el tristemente célebre término ‘hacking ético’ cuyo uso denota un sesgo de moralina que atrasa un par de décadas) al sistema de transmisión de telegramas y escrutinio provisorio. Es erróneo porque no existen tales lineamientos y quien responde al pedido no cita fuente ni da referencia alguna sobre de dónde sale esa afirmación”.
Este contenido se hizo gracias al apoyo de la comunidad de El Destape. Sumate. Sigamos haciendo historia.
Arce explica que “la práctica de no publicar los resultados de una auditoria es frecuente entre las empresas que intentan ocultar indicios o evidencia de falta de madurez en su manejo de las cuestiones de la seguridad informática pero de ninguna manera es una ‘buena práctica’. En el caso particular de un sistema de escrutinio, contratado con fondos públicos, cuya auditoría también fue contratada con fondos públicos, y en el que potenciales problemas pueden tener impacto directo sobre el bienestar de toda la población es especialmente sensible y excede los parámetros de funcionamiento de las empresas. Es particularmente importante, y yo supondría que es un derecho, saber qué se auditó, cuándo, cuáles fueron los resultados de la auditoría y si los defectos o debilidades encontradas fueron corregidas y esas correcciones verificadas como adecuadas. Escudarse en supuestas ‘buenas prácticas’ que no están explicitadas en ningún lado es simplemente una excusa”.
“Estas buenas prácticas recomiendan enfáticamente que esta información sea resguardada, jamás publicada ni difundida”, alegaron desde el Gobierno. Arce, que lleva 20 años de práctica en este tema, que fue editor de la revista IEEE Security & Privacy y que es miembro fundador del Centro para Diseño Seguro software de IEEE, asegura: “En toda mi carrera profesional no encontré ninguna referencia a ‘buenas prácticas’ que recomienden ‘enfáticamente’ ocultar la información de una auditoría de seguridad”.
MÁS INFO
En su negativa a brindar datos, la respuesta que dio el Gobierno al pedido de acceso a información pública que hizo El Destape agrega: “Estos informes describen las protecciones o defensas que el sistema posee ante esos eventuales ataques y las que no posee y/o las que posee con mayor o menor grado de fortaleza. Uno de los principios más importantes de la seguridad consiste en el desconocimiento, por parte de un potencial atacante, acerca de las protecciones consideradas y los componentes tecnológicos utilizados (herramientas, versiones, librerías y otros)”.
Consultado por El Destape, Arce afirma que la la noción de seguridad por desconocimiento es totalmente falsa. “En seguridad informática ese alegato es conocido por el término ‘seguridad por oscuridad’ y esta ampliamente desacreditado en la comunidad científica y de practicantes”, detalló.
“Un principio básico de la seguridad –explica Arce- es exactamente el contrario: Un sistema debe ser seguro incluso si el potencial atacante conoce al detalle su diseño, implementación y funcionamiento. Este principio es conocido en la disciplina como Principio de Kerckhoffs, en alusión a Auguste Kerckhoffs, criptografo que lo formulo en 1883 en su libro La Criptografía Militar. El tema ha sido discutido y estudiado por décadas y el consenso en la disciplina es que basar la seguridad de un sistema en el supuesto de mantener secreto su diseño y funcionamiento conduce a sistemas con alta probabilidad de tener fallas de seguridad catastróficas”.
La negativa del Gobierno a publicar esta información reitera el oscurantismo en torno a los sistemas proveídos por Smartmatic tanto para el periodismo como para la oposición, que según pudo saber El Destape tampoco recibió información ni resultados de esas auditorías.
El documento del Gobierno reconoce lo que sostiene toda la comunidad de seguridad informática: que cualquier software tiene “potenciales vulnerabilidades”. No es menor, ya que tanto en esta cuestión como en el abortado anhelo de imponer el voto electrónico el macrismo se empacó en la postura de que podían desarollar un sistema informático totalmente seguro.
Sin embargo, este mismo argumento lo utilizan para retacear la información requerida por este medio que, vale aclarar, no solicitaba un reporte de las vulnerabilidades del sistema sino los resultados de las auditorías que, en teoría, se hicieron sobre ellos. Lo de “en teoría” no es chanza: cuando se realizó el único simulacro electoral al que permitieron ingreso de la prensa, este periodista le consultó a Adrián Pérez, Secretario de Asuntos Políticos e Institucionales del Ministerio del Interior, quien era la empresa que certificó la seguridad de los sistemas informáticos de Smartmatic y se produjo este diálogo:
-Creo que Deloitte– contestó Pérez.
-¿Creo o es? Es importante.
- ¿Querés saber el nombre de la empresa? Te la comunicamos en un ratito.
El ratito pasó y no hubo confirmación, aunque este medio pudo chequear la información por otras fuentes. El Destape consultó entonces a apoderados de partidos opositores y tampoco recibieron el resultado de la auditoría informática sobre los programas que se usarán durante las elecciones.
El argumento que utiliza el Gobierno para negar la información son las excepciones que figuran en la ley de Acceso a la Información Pública en el artículo 8, incisos a y c. Pero de su lectura no se desprende que esta información pueda ser incluida en esas excepciones. El inciso a se refiere a “Información expresamente clasificada como reservada o confidencial o secreta, por razones de defensa o política exterior”; el c, “Secretos industriales, comerciales, financieros, científicos, técnicos o tecnológicos cuya revelación pudiera perjudicar el nivel de competitividad o lesionar los intereses del sujeto obligado”. Es evidente que conocer el resultado de las auditorías de los sistemas informáticos que van a intervenir en la elecciones no clasifica dentro de estas excepciones.
El pedido fue dirigido al Correo Argentino, ya que es la dependencia estatal que realizó la licitación que ganó la empresa Smartmatic, sobre la que aún pesan fundadas sospechas de que no garantiza el normal funcionamiento de las elecciones. De hecho una auditoría realizada por el Consejo de la Magistratura indicó que “El recuento provisional funcionó de forma totalmente defectuosa” a pesar de que, como informó El Destape, se trató de una evaluación muy deficiente y limitada. La respuesta lleva la firma de Luis Freixas Pinto, presidente de Correo Oficial de la República Argentina, cuyo currículum muestra que tuvo una extensa carrera en las empresas de la familia Macri.
Un caso para entender la importancia de que estos sistemas sean auditados de forma pública es el de Suiza. En febrero pasado, el gobierno suizo realizó una Prueba Pública de Intrusión para poner a prueba la seguridad de su sistema de votación electrónica. Hubo más de 1.500 inscritos que pudieron acceder al sistema y buscar errores. El resultado: encontraron vulnerabilidades críticas y suspendieron el uso del sistema de voto electrónico. Con un dato agregado. La empresa que lo iba a realizar era la catalana Scytl, que compitió con Smartmatic para quedarse con el escrutinio de las elecciones argentinas. Tal como reveló El Destape, Scytl tuvo mejor nota que Smartmatic pero perdió la licitación porque pidió un poco más de dinero por el servicio.