Joaquín Sorianello denunció que la empresa a cargo publicó por error unos certificados con los que se podrían "enviar resultados falsos del escrutinio". Ayer se supo que el sistema tiene otra falla.

Voto seguro?, fallas de seguridad en la Boleta Electrónica

La División de Delitos Informáticos de la Policía Metropolitana allanó anoche el domicilio del programador Joaquín Sorianello, quien había advertido la filtración de información sensible del sistema de carga de datos de la boleta única electrónica que se utilizará en las elecciones porteñas de mañana y que permite alterar el escrutinio. Es la segunda falla detectada, luego de que un grupo de informáticos denunciara ayer que el software tiene un agujero de seguridad que posibilita sumar varios votos a un candidato con una sola boleta. Esta última información fue confirmada por las autoridades.

"Después de encontrar una vulnerabilidad grave en el sistema de voto electrónico a MSA (la empresa Magic Software Argentina, que se encarga de los aspectos técnicos de la flamante modalidad electoral) están allanando mi casa los (agentes) de delitos informáticos", contó el joven a través de su cuenta de Twitter. "Parece que tocar al voto electrónico es tocar intereses muy grandes. Configuran mal un server, avisas, te allanan la casa", ironizó.

La semana pasada, tras enterarse de la falla a través de la cuenta @fraudevotar, el técnico informático había advertido a los medios y a la firma que implementará la boleta única electrónica sobre la filtración de los certificados SSL de seguridad de los terminales que envían los datos del escrutinio provisoria desde las escuelas al centro de cómputos.

La primera falla de seguridad

La semana pasada Sorianello hizo circular un mail en el que explica la supuesta falla de seguridad y que Infobae reproduce a continuación:

Los certificados SSL de los terminales que envían los datos desde las escuelas al centro de cómputos estuvieron publicados en el sitio http://caba.operaciones.com.ar por una deficiente configuración en sus servidores. Cualquier persona malintencionada podría con estos certificados SSL enviar resultados falsos del escrutinio. También podría realizar un ataque de denegación de servicio. Es decir, transmitir tantos resultados que hagan que el sistema no pueda procesar los recuentos genuinos.

¿Cómo podría un atacante cambiar el escrutinio? Mediante un certificado SSL validado por la empresa Magic Software Argentina (MSA) una persona con una computadora conectada a Internet puede hacerse pasar por el terminal que transmite los datos del escrutinio. Un certificado SSL es un archivo de datos que contiene una clave de encriptación asimétrica. Permite transmitir datos codificados y garantizar la autenticidad de una máquina conectada a Internet. El control de acceso a estos certificados es crucial para la seguridad del protocolo SSL.

La segunda falla de seguridad



link: https://www.youtube.com/watch?v=CTOCspLn6Zk