Vídeo: El pasado mes de octubre Anonymus bloqueó la web del Tribunal Constitucional - EUROPA PRESS
LA INJERENCIA DE LOS PIRATAS INFORMÁTICOS EN EL 21-D

El récord de ataques en octubre obliga a extremar las medidas de seguridad

Aunque los expertos insisten en que es imposible alterar el recuento, sí se puede influir en la campaña electoral

MadridActualizado:

España se juega su futuro en las elecciones catalanas del próximo 21 de diciembre. Una fecha crucial que está marcada a fuego en el calendario y a la que están llamados más de 5,5 millones de catalanes. A menos de un mes para su celebración, el Gobierno debe decidir por la vía de urgencia el sistema informático destinado al recuento de los votos emitidos. Dada la premura en la convocatoria, no ha habido posibilidad de iniciar un concurso público para su elección. Las quinielas se sitúan entre dos empresas, la veterana firma Indra y la catalana Scytl.

Aunque todavía no es oficial, todo indica que será Indra la encargada de dar soporte, captura y difusión de los resultados provisionales como en la anterior convocatoria de 2015. Los resultados, en cualquier caso, se van a mirar con lupa por sus posibles consecuencias en política territorial. El envite soberanista, las amenazas de grupos de «hacktivistas» y una posible influencia de grupos extranjeros en el proceso electoral han despertado los temores ante una posible manipulación de los resultados.

La sombra de una injerencia extranjera en las próximas elecciones es alargada. En los últimos meses se han producido intentos de bloqueos de páginas web de instituciones españolas. Los expertos consultados por este diario se muestran cautos ante un incremento de las actividades de grupos de «hacktivistas» y los intentos de ciberataques en el marco del 21-D, pero en las últimas semanas se han multiplicado. La mayoría, en la órbita del independentismo. Fuentes del Centro Criptológico Nacional (CCN-CERT), organismo adscrito al Centro Nacional de Inteligencia (CNI), sí han reconocido un repunte de la actividad de piratas informáticos en octubre, mes en el que activistas vinculados a Anonymous tumbaron la web del Tribunal Constitucional mediante ataques de denegación de servicios o DDoS como protesta por la aprobación del artículo 155 en Cataluña. En este periodo se desactivaron unos 3.000 dirigidos a la administración pública española y se contabilizaron 70 ataques contra páginas de internet de las Administraciones Públicas del Gobierno central. Aunque el impacto fue «nulo o bajo», un 15% tuvo un éxito parcial en su intento de tumbar las webs oficiales.

En el conjunto del año se registraron cerca de 27.000 ciberamenazas neutralizadas. De ellos, un 5% fueron de naturaleza crítica, lo que pone de manifiesto que diariamente se gestionan unos tres ciberataques de esta índole en los dispositivos de seguridad de las instituciones públicas españolas. El número de ciberincidentes ha crecido un 26,55% respecto al año anterior. El jefe de ciberseguridad del CCN, Javier Candau, destacó el «uso de internet por parte de los terroristas» en los últimos años «de forma intensiva para comunicarse, hacer propaganda, financiarse y hacer procesos de radicalización», aunque por ahora no se han detectado ataques provenientes de grupos terroristas que «hagan daño a los servicios nacionales».

La posibilidad de que desde otra nación alguien pueda llegar a «hackear» los resultados electorales es otra de las mayores preocupaciones de las instituciones, sobre todo con los precedentes de Estados Unidos y Holanda, que en su día dieron que hablar en este sentido. Y, sobre todo, en este último país, en el que decidió contar a mano los votos en las elecciones de marzo para evitar robos de información y ciberataques.

Fuentes cercanas al proceso electoral han asegurado a ABC que está previsto que se apliquen las «máximas medidas de seguridad» exigidas en un proceso electoral de esta magnitud y se fiará al mismo modelo informático empleado en la anterior convocatoria electoral de 2015. No obstante, sí reconocen que se actualizarán algunas medidas para hacer frente a las técnicas más modernas empleadas por los grupos de ciberatacantes en la actualidad.

El plan de contingencia previsto garantiza que se podrán repeler los posibles ataques, pero por el momento no se contemplan cambios en el protocolo ni en el sistema informático. «No podemos detallar las medidas de seguridad que se implementan en todas las etapas del proceso, ya que podrían perder su efectividad», reconocen las mismas fuentes, quienes recuerdan que el escrutinio definitivo es «imposible» de «hackear» al tratarse de un proceso físico y manual en donde no existe un flujo de datos entre varios equipos informáticos.

La empresa seleccionada por la Generalitat será, según lo establecido por ley, la encargada de dar soporte a esos resultados provisionales que tienen simplemente un carácter informativo, por lo que no son vinculantes de cara a la proclamación de electos. De esta tarea se encargan las Juntas Electorales con base a las copias originales de las actas de escrutinio, según está establecido en la ley. El proveedor tecnológico no realiza el recuento de los votos. Lo hacen los miembros de mesa en el colegio electoral y, siempre, bajo la supervisión de los interventores de los partidos políticos, coaliciones o agrupaciones que concurren a la elección.

Pese a las dudas existentes entre los votantes, los expertos en seguridad informática insisten en la idea que es casi imposible alterar los resultados. «Cuando los votos de los ciudadanos se realizan en urna y papel, y son contabilizados por los miembros de la mesa electoral, la posibilidad del “hackeo” queda totalmente descartada», explica a este diario Deepak Daswani, ingeniero en Informática experto en Hacking y Ciberseguridad. En su opinión, sí existe un momento dentro del proceso de recolección de los datos en el que esa información es tratada utilizando medios tecnológicos. Ahí -dice- podría existir la posibilidad de que alguien pudiese manipular la información correspondiente al recuento de votos, pero «la verdad es que en la práctica sería bastante complejo que pudiese darse».

Para que ese supuesto fuese factible debería tratarse de un ataque muy dirigido y sofisticado «que requeriría de muchísimas variables y condiciones favorables» para poder llevarse a cabo. «Vivimos en un momento en el que la realidad supera a la ficción, y cosas peores se han visto, como Stuxnet, el ataque dirigido en su día a las centrales nucleares de Irán. Así que hemos de pensar cualquier cosa que podamos imaginar que suceda en este mundo de los ciberataques es totalmente plausible, aunque la posibilidad sea muy pequeña», subraya.

Más temeroso se muestra Pablo San Emeterio, ingeniero informático de la firma Eleven Paths, al considerar que «cuando se introducen sistemas informáticos en procesos que anteriormente no estaban informatizados» el proceso es «susceptible de tener vulnerabilidades que puedan ser explotadas por terceros». No obstante, la sensación de seguridad plena se evapora rápidamente al asumir que cualquier aparato electrónico que se conecte a internet puede ser objeto de un ciberataque.

Un posible ciberataque a la infraestructura electoral del 21-D que pueda influir en los resultados queda prácticamente descartado, a priori, dado que en España, por regla general, no suele utilizarse el voto electrónico por medio de internet o a través de máquinas de voto electrónico, algo que en Estados Unidos sí se emplea en algunos estados. Precisamente, en la última edición este verano de la conferencia de «hackers» Def Con en Las Vegas se puso a prueba a los participantes retándoles a acceder a estas máquinas de voto. Como se temía, fueron comprometidas en pocos minutos. La fórmula fue la de explotar una serie de vulnerabilidades localizadas en el «firmware» -conjunto de instrucciones que se encuentran dentro del programa informático- de las máquinas.

Una medida general que se debe tomar, según subraya San Emeterio, es la de no escatimar en la inversión en seguridad. «Tanto en las fases iniciales del desarrollo de un sistema informático y ni ahorrar a la hora de establecer controles de seguridad cuando el sistema se despliegue en producción.

Pero no todas las medidas han de estar basadas en tecnología. Por ejemplo, una revisión de la lógica del sistema por parte de un experto puede detectar puntos débiles antes de que se haya programado el sistema», apunta. Otro aspecto a tener en cuenta -sugiere- puede ser «conservar en papel varias actas del resultado de una mesa electoral de modo que puedan utilizarse para verificar posibles discrepancias en los resultados finales».