
La empresa auditora del sistema de Transmisión de Resultados Electorales Preliminares (TREP), Ethical Hacking, contratada por el Tribunal Supremo Electoral (TSE), en un informe de más de 60 páginas concluyó que el proceso electoral de Bolivia "está viciado de nulidad" por la cantidad de alteraciones al "código fuente del TREP", las modificaciones manuales y "con máximos privilegios a las bases de datos", además de las inconsistencias que aparecieron entre el TREP y el Sistema de Cómputo".
La consultora fue contratada un mes antes de las Elecciones de octubre. Específicamente fue contactada por el TSE el 19 de septiembre, el 26 de ese mes realizó una presentación de su propuesta ante el organismo electoral, dos horas más tarde les comunicaron que habían sido elegidos por su seriedad.
VULNERABILIDADES
¿Cuál era la labor básica de la empresa que gerenta Álvaro Andrade? Identificar cualquier anomalía del proceso.
Andrade dijo que se armó un equipo con personal de México y Panamá, y se instaló "todo" para cumplir con la tarea. "Nuestro trabajo era realizar pruebas todos los días... Publicamos vulnerabilidades bastante críticas. Nos tocó auditar el TREP. El 10 (de octubre) empezamos la auditoría y el 11 presentamos nuestro primer informe de vulnerabilidades", detalló Andrade, que aseguró ser boliviano.
Entre algunas "vulnerabilidades críticas" el gerente señaló:
1. Comunicaciones inseguras. Era posible interceptar y leer todas las comunicaciones del TREP. Eso significaba que se podían ver los votos y cambiarlos.
2. Obtención de credenciales. Se las podía conseguir a través de los números de las cédulas y acceder a las contraseñas cifradas. Por lo tanto, se tuvieron que "romper" los códigos, pero al deshacerlos se permitía que hubiera un atacante externo que pudiera extraerlas. Existían 7.000 usuarios del TREP y cualquiera podía ingresar a estas.
3. Envío masivo de actas. Aquí hay tres instantes en el sistema del TREP: el golpe 1 (donde llegan las actas y se registran), el golpe 2 (donde se verifican las actas y se envían a dos operadores para el cómputo) y el golpe 3 (donde se pide el acta y se hace la validación). Cualquiera podía acceder al golpe 1 y cambiar las tendencias.
4. Envío masivo de actas electorales. Era posible inyectar desde Internet, votos, actas hasta fotografías de las mismas. Eso era una falla en el desarrollo del software por diseño inseguro.
5. Exposición de información sensible. Aquí se mandaban los datos por la URL y por lo tanto no era seguro. Era posible interceptar y alterar la comunicación entre la aplicación y el sistema. No se contaba con la protección básica, como el anti-rut y se podía instalar en cualquier celular ruteado para ver el usuario, la contraseña y descargar privilegios.
"Había como siete vulnerabilidades críticas. Neotec las iba parchando, pero no se llegó a cubrir el 100 %. Cada día había más vulnerabilidades, pero Neotec no las podía arreglar, porque necesitaban más tiempo y ya estábamos a pocos días de las elecciones", dijo Andrade.
TSE comunica
Mediante un comunicado, el TSE señaló ayer que el informe que la empresa Ethical Hacking les entregó, el 30 de octubre de 2019, “contradice la información que brindó a los medios”, en la que se habla de "vicios de nulidad" sobre el proceso de votación.
La instancia electoral explica que el documento que les dio la empresa dice: “ejecutado el protocolo de revisión y validación de integridad junto con el desarrollador de Neotec, la presencia de Dntic y nosotros, se verificó que no existió ningún tipo de alteración de datos, ni de ataque cibernético, se verificó que el problema fue causado por falta de comunicación por parte de la empresa Neotec, al saltarse el protocolo de comunicación para cambios en la infraestructura”.
El TSE indicó que “se encuentra a la espera de los resultados de la auditoría de la OEA.
Revelación
El gerente de Ethical Hacking, Álvaro Andrade reveló que el TSE pidió ver cuál era la tendencia de la votación, minutos antes de la rueda de prensa y señaló que cuando entraron las actas de Santa Cruz al sistema los resultados comenzaron a cambiar entre los dos más votados, el MAS y CC.
Dijo que está seguro que la OEA o cualquier otra empresa no pondrá las "manos al fuego" cuando lleguen a hacer la auditoría. Y que ya la firma Ethical Hacking envió un informe con 11 conclusiones y sus respectivas observaciones.