19 de Marzo, 2024
Radio Mercosur
América

Elecciones de Bolivia están cargadas de "nulidad absoluta"

El gerente de Ethical Hacking, Álvaro Andrade, dijo en la TVU de La Paz, que se identificaron “vulnerabilidades” antes de las elecciones, que no fueron subsanadas.

Responsive image
El funcionario no usó la palabra fraude, pero señaló que no se llevaron bien los procesos. Hubo más de 30.000 peticiones de validación de actas.
 
Álvaro Andrada, de Ethical Hacking, en entrevista con Ximena Galarza. Foto: TVU
 
Reveladores. Así fueron los datos que el gerente general de Ethical Hacking, Álvaro Andrade, lanzó la noche de este jueves en el programa Jaque Mate de TVU de La Paz. La entrevista exclusiva fue dirigida por la presentadora Ximena Galarza y emitida por el Facebook del canal paceño. 
 
El invitado contó que su firma, con sede en Panamá, fue la "elegida" por el Tribunal Supremo Electoral (TSE) para realizar la auditoría del proceso en Bolivia.
 
Pero sostuvo que no tuvieron mucho tiempo para hacer un trabajo que demandaba al menos cinco meses. Según Andrade, recién fueron contactados el 19 de septiembre y siete días después lanzaron su presentación oficial en las oficinas del Órgano Electoral Plurinacional ubicadas en la plaza Abaroa de La Paz. El tiempo ya apremiaba. 
 
"Había vulnerabilidades críticas"
 
¿Cuál era la labor básica de la empresa que gerencia Álvaro Andrade? Pues, básicamente, identificar cualquier anomalía del proceso.
 
Se armó un equipo con personal de México y Panamá, y se instaló "todo" para cumplir con la tarea. "Nuestro trabajo era realizar pruebas todos los días... 
 
Publicamos vulnerabilidades bastante críticas. Nos tocó auditar el TREP. El 10 (de octubre) empezamos la auditoría y el 11 presentamos nuestro primer informe de “vulnerabilidades", detalló Andrade, que aseguró ser de nacionalidad boliviana. 
 
Entre algunas "vulnerabilidades críticas" el gerente señaló las siguientes: 
 
1. Comunicaciones inseguras. Era posible interceptar y leer todas las comunicaciones del TREP. Eso significaba que se podían ver los votos y cambiarlos.
 
2. Obtención de credenciales. Se las podía conseguir a través de los números de las cédulas y acceder a las contraseñas cifradas. Por lo tanto, se tuvieron que "romper" los códigos, pero al deshacerlos se permitía que hubiera un atacante externo que pudiera extraerlas. Existían 7.000 usuarios del TREP y cualquiera podía ingresar a estas.
 
3. Envío masivo de actas. Aquí hay tres instantes en el sistema del TREP: El golpe 1 (donde llegan las actas y se registran), el golpe 2 (donde se verifican las actas y se envían a dos operadores para el cómputo) y el golpe 3 (donde se pide el acta y se hace la validación). Cualquiera podía acceder al golpe 1 y cambiar las tendencias.
 
4. Envío masivo de actas electorales. Era posible inyectar desde Internet, votos, actas hasta fotografías de las mismas. Eso era una falla en el desarrollo del software por diseño inseguro. 
 
4. Exposición de información sensible. Aquí se mandaban los datos por la URL y por lo tanto no era seguro. Era posible interceptar y alterar la comunicación entre la aplicación y el sistema. No se contaba con la protección básica, como el anti-rut y se podía instalar en cualquier celular ruteado para ver el usuario, la contraseña y descargar privilegios.
 
"Había como siete vulnerabilidades críticas. La empresa Neotec las iba parchando, pero no se llegó a cubrir el 100%. Cada día había más vulnerabilidades, pero Neotec no las podía arreglar, porque necesitaban más tiempo y ya estábamos a pocos días de las elecciones", sostuvo Andrade.