El Centro de Asesoría y Promoción Electoral (CAPEL) detectó deficiencias y vulnerabilidades en los dispositivos de escaneo, digitación, impresión y transmisión de datos (EDET), que utilizará la Junta Central Electoral (JCE) en las elecciones del 18 de febrero próximo.
En una auditoría realizada por técnicos de CAPEL se detectó que el sistema operativo del EDET cuenta con una autenticación inapropiada y múltiples vulnerabilidades, y que la base de dato local cuenta también con una autenticación inapropiada.
Además la falta de restricciones en el acceso al “hardware”, y sin firma de código, protección insuficiente contra programas maliciosos, falta de controles para evitar la conexión de dispositivos no autorizados, y que la base de datos central tiene múltiples vulnerabilidades.
El informe establece que al evaluar el inicio de sesión del sistema operativo del EDET, “se comprobó que inicia sesión con el usuario operador_edet el cual tiene privilegios de administrador local”.
Sobre ese aspecto, recomendó al presidente de la JCE, Román Jáquez Liranzo, deshabilitar el inicio de sesión automático para cuentas con privilegios de administrador, así como implementar un rol de usuario limitado para que inicie sesión automática e inmediatamente arranque el software de EDET.
En cuanto al sistema operativo, detectó vulnerabilidades, que considera representan riesgos de seguridad significativos, porque permiten la ejecución remota de código, y sugirió modificar el sistema operativo, de tal manera que se garantice que solo el software mínimo necesario se encuentra instalado.
También, aconsejó aplicar inmediatamente todos los parches de seguridad pendientes y considerar el uso de herramientas de gestión de parches para automatizar ese proceso.
El informe indica que “se comprobó que el acceso a la base de datos no solicita un usuario y contraseña, ya que permite ingresar con las credenciales proporcionadas para el usuario del sistema operativo del EDET.” Sugirió configurar la base de datos para que requiera credenciales específicas, independientes de las del sistema operativo. Precisa que eso implica implementar un sistema de autenticación propio de la base de datos.
En la evaluación al “hardware” constató que el acceso a la configuración de la “BIOS” no requiere autenticación y que ese hecho implica que cualquier persona con acceso físico al equipo puede modificarla. La recomendación en este apartado es que se configure una contraseña para restringir el acceso y cambios en la configuración del hardware.
Los auditores comprobaron que el software no se encuentra firmado digitalmente, y que eso representa una ejecución de “Código sin Integridad Verificada”, por lo que recomendó desarrollar y aplicar una política estricta de firma de código. También recomienda configurar las políticas del sistema operativo para permitir la ejecución solo de aplicaciones que estén firmadas por el certificado de desarrollo.
La segunda prueba del cómputo
En un comunicado emitido ayer, la JCE detalló que la segunda prueba del cómputo electoral del pasado sábado se realizó en 15 municipios de igual número de provincias, e implicó la utilización de 53 recintos electorales para la instalación de 700 colegios de votaciones.
Informó que se logró la instalación de todos los equipos en tan solo hora y media, y que ese proceso quedó evidenciado desde el centro de monitoreo, en la sede del órgano electoral.
“Una vez instalados los equipos en todos los colegios de votaciones se procedió a la confección de las 2,100 actas, a su escaneo, digitalización y luego a su transmisión, proceso que se logró realizar en un 100% en apenas dos horas.”, destaca la JCE en un comunicado de prensa.
Indicó que cada colegio debía elaborar, escanear, digitalizar y transmitir las actas de escrutinio para el nivel de alcaldías, de regidurías y para el nivel preferencial de regidurías.
Para esa segunda prueba, la JCE desplazó a 70 supervisores de Informática a cada uno de los recintos; 193 técnicos de recintos, 700 presidentes y 700 suplentes de secretarios de Colegios Electorales.
Precisó que para las elecciones municipales del 18 febrero, la instalación de los EDET se hará el 17 de febrero, un día antes de los comicios.
Sin fallas en los equipos
El director nacional de Informática de la JCE, Johnny Rivera, resaltó que no se registraron fallas a nivel de los elementos físicos (hardware) de los EDET, ni tampoco fallas en la interconexión y comunicación del sistema operativo entre los diferentes dispositivos conectados.
Explicó que en lo adelante procederán al análisis de la experiencia y a ejecutar los últimos ajustes, dado que el clonado de todos los equipos del cómputo electoral a utilizarse en febrero próximo comenzará a mediado de la semana próxima.
Para las elecciones del 18 de febrero próximo se clonarán 16,851 equipos EDET personalizados y alrededor de 2,000 que se tendrán como “backup” o respaldo para cualquier imprevisto en los Colegios Electorales, según puntualizó el órgano de administración electoral.
Por parte de la JCE, las labores de inspección estuvieron a cargo de los miembros del Pleno, Rafael Vallejo Santelises, Dolores Fernández y Patricia Lorenzo Paniagua, así como los miembros suplentes Vanahí Bello y Prado López.
La prueba también fue supervisada por representantes de las organizaciones políticas.