Rusia se encuentra en medio de un proceso de votación nacional sobre importantes enmiendas constitucionales, y esta vez las autoridades han decidido experimentar un sistema de voto electrónico en las regiones de Moscú y Nizhny Novgorod, mencionan especialistas en seguridad web. Las autoridades mencionan que este sistema permitirá a los ciudadanos descifrar sus propios votos, lo que brinda mayor confianza en este proceso.
Esta no es la primera ocasión en la que interviene un sistema de votación electrónica en Rusia. En 2019, el departamento de TI de Moscú desarrolló un sistema de votación remota basado en tecnología blockchain. Como resultado, los votos se cifraron utilizando la versión propia del departamento de un sistema de cifrado ElGamal. Después de múltiples pruebas, expertos encontraron varias vulnerabilidades en el sistema de cifrado.
En este nuevo sistema, la boleta de los votantes está cifrada con la ayuda de TweetNaCI.js, una biblioteca de JavaScript desarrollada por un investigador llamado Dmitry Chestnykh, quien descubrió que los desarrolladores del sistema de votación electrónica remota de Rusia estaban utilizando su marco de trabajo.
¿Mayor seguridad al votar?
El sistema de anterior cifraba cada voto individualmente, usando una clave secreta única. Por lo tanto, para descifrar su voto, tenía que obtener la clave secreta del destinatario, en este caso, el comité electoral. Por su parte, el nuevo sistema emite una clave compartida para el remitente y el destinatario, en este caso, el votante y el comité electoral, que puede usarse para cifrar el voto, así como para descifrarlo, mencionan los expertos en seguridad web.
Para probar el nuevo sistema, los investigadores de Meduza realizaron un experimento en una boleta electrónica que se emitió con Google Chrome, descubriendo que obtener la clave secreta es relativamente fácil. Acorde a los expertos, fue posible descifrar la boleta de un votante que participó en el experimento, por lo que los votantes cuentan con la certeza de que se conserva la integridad de su voto.
Por otra parte, los expertos en seguridad web mencionan que esto permite forzar el voto. En teoría, un empleador podría, además de verificar que sus empleados hayan votado, descubrir en qué sentido fue emitido el voto. Además, guardar estas claves de cifrado no requiere que un empleado tenga conocimientos tecnológicos. Por ejemplo, se les podría pedir que descarguen una extensión especial para un navegador, que reemplaza las claves generadas aleatoriamente por otras estáticas. Esto simplificaría enormemente la tarea de descifrar votos, ya que todos compartirían una sola clave de cifrado.
Esta misma característica se puede usar para monitorear la integridad del recuento de votos, en caso de que la comisión electoral se niegue a revelar las claves de cifrado para cada boleta electrónica específica. Por ejemplo, los partidarios de un candidato en particular podrían acordar instalar la misma extensión del navegador, lo que les permitiría, en el transcurso del período de votación, rastrear el número mínimo de votos que su candidato debe tener durante el recuento final.
Los desarrolladores de los sistemas de votación electrónica podrían prohibir a los votantes el uso de un conjunto compartido de claves de cifrado, pero esto sería inútil. Acorde al desarrollador de este marco de trabajo, existen múltiples formas de eludir este tipo de controles de seguridad, incluyendo las extensiones del navegador que escriben claves de cifrado aparentemente aleatorias que pueden restaurarse en una fecha posterior. “Una extensión podría simplemente guardar las claves en una base de datos central”, también sugirió Chestnykh. “El algoritmo Curve25519 es muy rápido, por lo que descifrar millones de votos sería fácil”.
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
