Revelan serias debilidades en ciberseguridad en equipos de la JCE

Revelan serias debilidades de ciberseguridad en auditoría a equipos de la JCE

Medios Panoramaenero 16, 2024 | 07:10 AM | 4 mins de lectura

La Junta Central Electoral (JCE) asegura haber abordado los errores identificados en la primera auditoría de los equipos de digitalización, escaneo y transmisión de datos (EDET). Sin embargo, surge la interrogante: ¿cuáles fueron los hallazgos durante dicha evaluación?

El resultado preliminar de la auditoría reveló serias debilidades en términos de ciberseguridad. Deficiencias significativas, como la falta de restricciones y medidas de seguridad, fueron destacadas por el análisis realizado por el Centro de Asesoría y Promoción Electoral (CAPEL) en diciembre pasado.

El informe resalta uno de los principales hallazgos: el sistema operativo de los equipos de cómputo electoral destinados para las elecciones municipales de febrero necesita reforzar su software contra programas maliciosos o malware.

Las pruebas realizadas indican la necesidad de «instalar y configurar una solución antimalware avanzada que brinde protección más allá de las capacidades del antivirus predeterminado de Windows».

Te puede interesar: Donald Trump arrasa en los caucus de Iowa: “Es hora de que nuestro país se una”

La red informática de los EDET tampoco contaba con las suficientes medidas de seguridad; como parte de su inspección, el CAPEL pudo ingresar a la red utilizando equipo no autorizado y luego ejecutó un escaneo a la base de datos central o principal. De acuerdo a los datos, estas actividades no fueron detectadas ni bloqueadas y puede constituir una gran oportunidad para hacer daño.

Además, el hardware utilizado no requiere autenticación para acceder a la configuración del sistema básico de entrada/salida (BIOS).

«La posibilidad de acceder a la BIOS sin restricciones representa un riesgo de seguridad, ya que la BIOS controla funciones fundamentales del sistema. Un acceso no autorizado podría resultar en la alteración de la secuencia de arranque o la configuración de dispositivos, lo que podría impactar el funcionamiento del sistema», advierte la auditoría a la que Diario Libre tuvo acceso.

Base de datos

El tema de las credenciales que posee la base de datos de los equipos de la Junta Central Electoral (JCE), representa el punto de mayor preocupación de los investigadores del CAPEL en su informe preliminar.

En primer lugar, se cuestiona que las credenciales de la base de datos local de los EDET son visibles, lo que representa una vulnerabilidad que podría ser explotada por un atacante para obtener acceso no autorizado.

Te puede interesar: «Voluntario»: así será el plan que reducirá de 44 a 36 las horas laborales

También se comprobó que el sistema de administración de la base de datos está expuesto «a múltiples vulnerabilidades críticas» que podrían afectar la disponibilidad, integridad y confidencialidad de la información almacenada.

El servidor de la base de datos central o principal del EDET permite conexiones prácticamente sin restricciones, lo que permite que se haga la conexión sin importar desde donde se realice.

«Sin controles adecuados, cualquier persona con las credenciales de usuario y contraseña adecuadas puede acceder a la base de datos», detalla el informe.

Sistema operativo

En el sistema operativo de los EDET se detectaron múltiples vulnerabilidades, debido a que existe el riesgo de que puedan ser susceptibles a la instalación de softwares maliciosos o programas que comprometan su integridad.

«En el contexto electoral, la explotación de estas vulnerabilidades podría comprometer la seguridad y estabilidad de los equipos utilizados en las elecciones», indica el documento.

Al evaluar el hardware y software de los equipos de cómputo se verificó que no tienen restricciones para la conexión de dispositivos USB, lo que implica una amenaza para la fiabilidad y transparencia del proceso, considerando que estos dispositivos de almacenamiento pueden ser utilizados para introducir softwares maliciosos o extraer datos confidenciales.

Te puede interesar: Agricultura: decomiso de fruta a Julio Iglesias en RD fue para evitar plagas

El CAPEL también resaltó que el inicio de sesión tiene privilegios de administrador local, lo que se presta para posibles manipulaciones no autorizadas del software o hardware de los artefactos.

«Es importante garantizar que los usuarios de estos equipos tengan solo los permisos necesarios para realizar sus tareas, sin posibilidad de acceder o modificar aspectos críticos del sistema operativo», establece el informe.

JCE continúa inspecciones

El director de Informática de la JCE, Johnny Rivera, informó el pasado martes 9 de enero que la auditoría a los dispositivos EDET concluiría en esa semana. De acuerdo al organismo electoral, los primeros hallazgos de la auditoría, eran de importancia, pero que ya fueron solventados.

«Eran hallazgos importantes, pero no eran hallazgos que no pudieran corregirse en un tiempo prudente», precisó.

En esa ocasión, Rivera también indicó que el inicio de la primera auditoría coincidió con la llegada de los equipos tecnológicos, «o que no dio tiempo a que se preparen para hacerle la entrega a los auditores».