Medio: Página Siete
Fecha de la publicación: domingo 17 de noviembre de 2019
Categoría: Institucional
Subcategoría: Tribunal Supremo Electoral (TSE)
Dirección Web: Visitar Sitio Web
Lead
Contenido
Se contrató a Neotec para cumplir con el
“servicio de mantenimiento y soporte técnico para el sistema de
transmisión de resultados electorales preliminares (TREP)”. Mientras que
Ethical Hacking fue contratada como la “empresa auditora”, según su el
informe al OEP.
La Organización de Estados Americanos (OEA), en su informe preliminar, estableció que no puede validar los resultados de las elecciones por haber encontrado graves irregularidades.
Las acusaciones
En su informe, Neotec observa la contratación tardía de la consultora: “La auditoría al sistema Simobol (sistema de cómputo) realizada por la empresa Ethical Hacking comenzó el 10 de octubre de 2019, apenas 10 días antes de la elección”.
Remarca que la empresa auditora solicitó la instalación del programa monitor Ossec. Neotec inicialmente se opuso a la aplicación de ese programa en los servidores, pues no se tenía experiencia previa sobre el impacto. “Sencillamente nunca se probó antes. Instalar un programa adicional –cinco días antes de la elección– que no se probó en conjunto con el Simobol (sistema de cómputo) es un riesgo”, alerta el documento.
“Por decisión de los vocales”, Neotec aceptó la instalación del agente Ossec en todos los servidores exceptuando en el “Bo1”, “que no estaba previsto ser utilizado el día de la elección”. Además, entregaron una copia de toda la información del los programas de Simobol a Ethical Hacking.
“Sostuvimos múltiples reuniones explicando las partes más relevantes del código fuente. 10 días antes de la elección, cualquier trabajo de auditoría tiene grandes limitaciones, pues no existe tiempo suficiente para explicar los detalles tecnológicos y operativos para lograr una comprensión de cómo funciona el Simobol y qué es lo que ocurre la noche de la elección”, cita.
En su rol de auditora, la empresa Ethical Hacking afirma que informaba constantemente de los puntos de vulnerabilidad que encontraba en el sistema. Estos eran atendidos por Neotec, según el informe que presentó al TSE, el 6 de noviembre. El gerente de Ethical Hacking, Álvaro Andrade, afirma que los errores fueron de Neotec, dado que también es la creadora del software que se utilizó para las elecciones. “Nosotros auditamos su producto. Vimos que era un software que funcionaba como debía, pero no le dieron la importancia a la seguridad”, contó Andrade.
Tras esa observación, Ethical Hacking compiló un nuevo código y creó un archivo comprimido, con las correcciones de seguridad, que “no se podía cambiar”.
Según Andrade, luego de corregir esas vulnerabilidades –por un error– Neotec habría generado otro código. “El gerente de Neotec hizo el arreglo, volvió a compilar todo y nos mandó un email. Esto mató todo, el protocolo se fue al tacho”, relató Andrade.
Denunció que hubo varias renovaciones del protocolo de seguridad. Añadió que los códigos fuente que habían sido comprados por el TSE no estaban en su poder, sino en manos de Neotec.
Andrade aseveró que hubo una alerta por un acceso a la base de datos del sistema. Además, se identificó la activación de otro servidor, que no estaba monitoreado por Ethical Hacking.
Al respecto, Neotec asegura que la empresa Ethical Hacking conocía el servidor, porque fue utilizados en las pruebas.
Versiones de la auditora y la creadora del software
Neotec
1 La empresa contratada para brindar el “servicio de mantenimiento y soporte técnico para el sistema TREP y cómputo para elecciones”. Presentó su informe el 28 de octubre de 2019, ante el TSE.
2 El gerente declara que interrumpir la TREP “fue desastroso”. Denuncia que les cortaron el internet y las llamadas.
Reconoce su error. “el servidor Bo1 no debió usarse el día de la elección”.
3 Sin embargo, Neotec asegura que “las vulnerabilidades (señaladas por la auditora) fueron resueltas antes de la elección y en otros procesos.
4 Alerta que Ethical Hacking no presenta evidencia de que el sistema fue vulnerado, únicamente exponen violaciones a protocolos de seguridad.
Ethical Hacking
1 En su informe, Ethical Hacking señala que fue alertando de las “críticas vulneralibidades” en el software y se las comunicó a Neotec para que se las repare.
2 Revela que surgió un problema por un “servidor no estaba en el rango de monitoreo. “al redirigir todo (…), nosotros no podemos dar fe detoda la información que se ingresó”.
3 Señaló que en ese momento “el proceso electoral pierde toda credibilidad al violarse el protocolo de seguridad” preparado con servidores autorizados.
4 El informe revela que, tras el incidente en el proceso electoral, “la situación se volvió insostenible, todos empezaron a gritar y a acusarlo de fraude”.
TSE: “Gerente de Ethical Hacking se contradice”
- El TSE El tribunal manifestó que la información divulgada por Álvaro Andrade, gerente de Ethical Hacking, contradice otro informe del 28 de octubre: “se verificó que no existió ningún tipo de alteración de datos ni de ataque cibernético. El problema fue causado por falta de comunicación”.
Las causas que pararon la Transmisión Rápida de Resultados Preliminares (TREP)
En el informe de Neotec, entregado antes que el de Ethical Hacking, El gerente Marcel Guzman de Rojas explica qué ocasionó que se pare la Transmisión Rápida de Resultados Preliminares (TREP).
El 20 de octubre, día de las elecciones, a las 19:40 el TREP había recibido 30,845 actas, el 89.26% del total y se verificaron 28,973, el 83.85%. Entonces “ se detiene la generación de resultados, con el objeto de realizar la conferencia de prensa sin que cambien los resultados cada tres minutos y con la intención de reanudar la generación de resultados al concluirla”.
“Sin embargo, a las 20:10 se cortó el servicio de Internet en el Serecí y se ordenó suspender el TREP”, denuncia el gerente de Neotec. Guzmán de Rojas declaró que la orden vino del Tribunal Supremo Electoral (TSE).
La presidenta del TSE, María Eugenia Choque, admitió haber emitido la orden. Aseguró que hubo motivos que serán explicados en la auditoría que realiza la organización de Estados Americanos (OEA).
“Eran más o menos las 6:49, y el sistema arrojó una alerta, comenzamos a recibir una cantidad de solicitudes extremadamente grande”, narró el gerente de Ethical Hacking, Álvaro Andrade. Señaló que, si bien tenían un protocolo de seguridad preparado que monitoreaba todos los servidores presentados por Neotec, se trataba de un “IP” (servidor) desconocido. Su sistema disparó la alerta.
Consultado sobre el servidor sin seguridad, el gerente de la empresa Neotec aseguró que ese IP no era desconocido para la empresa auditora. “Ethical Hacking debería haber lanzado la alerta días antes porque se usó en simulacros, el viernes”, dijo Guzmán de Rojas en entrevista con Página Siete.
Además, acusó al gerente de Ethical Hacking de mentir. “Ellos dicen que había 30.000 peticiones por segundo. Eso es falso, lejanamente falso. Las peticiones llegan a las 7.000 por minuto. No es que han interpretado mal las bitácoras, están diciendo una mentira”, aseveró el gerente de Neotec.
Se vulneró triángulo de seguridad de información
Se vulneró el triángulo de seguridad informática en las elecciones generales de Bolivia, afirmó el abogado especialista en derecho informático Fabián Espinoza. Este comprende la integridad, la disponibilidad y la confidencialidad de los datos.
Señala que se habría incumplido por la empresa auditora, Ethical Hacking; el creador del software y responsable de soporte técnico, Neotec, y el Órgano Electoral Plurinacional (OEP).
“Se debe ver cuáles son los principios básicos de seguridad de la información que se han inclumplido. Por ejemplo, la disponibilidad se ha visto comprometida cuando se paró el TREP, en miras de la ciudadanía. Es decir que las previsiones que debieron tomar para que esté disponible han fallado”, señala el especialista. Recalca que esto involucra a los tres actores, a los TED y al Serecí con grados de responsabilidad.
Respecto a la integridad, señaló como el principal responsable a Neotec por “no haber garantizado que los datos no sean modificados”. “Han abierto la base de datos, han desanulado actas, como denunció Ethical Hacking”.
Espinoza recordó que el Órgano Electoral también contrató a la empresa CloudFare, que es un servicio de nube basado en tecnología de Amazon (AWS). Con esto se incumplió el decreto supremo 3251 que indica que todas entidades públicas deben usar software libre.
Los datos viajaban a servidores de Amazon hasta Estados Unidos. “Quien incumplió el principio de disponibilidad fue el TSE. No mantuvieron disponibles los datos”, señaló Espinoza.
Por otro lado, Ethical Hacking no cumplió el principio de confidencialidad. “Ellos, habiendo conocido que había información sensible (contraseñas entre otros) saliendo del perímetro de seguridad, no tomó medidas de mitigación”, asevera Espinoza.
Explicó que la confidencialidad supone el ingreso al dato, para sujetos autorizados. Era responsabilidad de Ethical Hacking velar por la confidencialidad ante otros agentes externos. Debieron contemplar el plan de contingencia tecnológica.
El exvicepresidente del TSE, Antonio Costas, en una entrevista con CNN indicó que sí se conocían los resultados del TREP al 94%. “Se tenía ese avance y no se informó. Hicieron confidencial lo que debía ser público”, aseveró Espinoza.
La Ley 018, señala: “Todos los actos y decisiones del Órgano Electoral
Plurinacional son públicos y transparentes, bajo sanción de nulidad”.
Esto, “pese a que la nulidad afecta al acto o decisión en concreto”.
Ambas trabajaron en otras elecciones
Antecedentes de las empresas adjudicadas
Ethical Hacking y Neotec tienen experiencia en procesos electorales de otros países. Algunos casos fueron en conflicto, como en Bolivia.
Pese a que Ethical Hacking es una empresa internacional, nació en La Paz Bolivia el 2001, luego migró a Brasil, Ecuador y finalmente a Panamá.
“El dominio que teníamos en Bolivia era ehacking.com. bo, pero hace unos años pasamos a ser un holding. Es decir, nos convertimos en el grupo de empresas EHC Group”, contó su gerente, Álvaro Andrade. Su actual página web es https://www.ehcgroup.io/. Tienen sedes e inversión panameña y mexicana. En su informe al Órgano Electoral Plurinacional, señaló que el trabajo por el que se le contrato fue el de “Servicio de Pruebas de Penetración y Monitoreo Persistente”. Andrade aseguró que su empresa fue la más seria entre las candidatas que se presentaron.
“Éramos tres o cuatro. Para nosotros era la primera vez que visitábamos el Tribunal Supremo Electoral. Más allá de los servicios de monitoreo, seguridad y testing, nosotros somos fabricantes de herramientas de plataformas de seguridad”, dijo.
El gerente confirmó que “el 60% de los trabajadores son bolivianos”, pero ahora es un grupo empresarial.
En Panamá, Ethical Hacking no es una empresa muy conocida. Brinda servicios de seguridad informática. El gerente no quiso brindar información sobre los procesos electorales en los que participó por “normas de confidencialidad” de esos.
Por otro lado, Neotec realizó proyectos de seguridad ciudadana y administración de justicia para el Poder Judicial, el Fiscal y la Policía en Bolivia, Guatemala, Colombia, Panamá y Ruanda. Participó de proyectos electorales en Bolivia (elecciones judiciales y referendo), Guatemala, El Salvador, Honduras, Nicaragua, Panamá y Ruanda.
También fue observador en una elección de Venezuela donde hubo conflictos. “Trabajamos para la misión de observación del centro Carter. En el revocatorio de mandato del presidente Chávez, tanto la OEA como nosotros descartamos que no hubo fraude. No participamos de otra”, dijo.