El Órgano Electoral Plurinacional (OEP) contrató a dos empresas informáticas para brindar soporte técnico y seguridad digital, durante las elecciones generales 2019. Ambas tuvieron fallas durante ese proceso electoral y se acusan mutuamente en sus informes.

Se contrató a Neotec para cumplir con el “servicio de mantenimiento y soporte técnico para el sistema de transmisión de resultados electorales preliminares (TREP)”. Mientras que Ethical Hacking fue contratada como  la “empresa auditora”, según su el informe al OEP.

La Organización de Estados Americanos (OEA), en su informe preliminar, estableció que no puede validar los resultados de las elecciones por  haber encontrado graves irregularidades.

Las acusaciones

En su informe, Neotec observa la contratación tardía de la consultora: “La auditoría al sistema Simobol (sistema de cómputo) realizada por la empresa Ethical Hacking comenzó el 10 de octubre de 2019, apenas 10 días antes de la elección”. 

Remarca que la empresa auditora solicitó la instalación del programa monitor Ossec. Neotec inicialmente se opuso a la aplicación de ese programa en los servidores, pues no se tenía experiencia previa sobre el impacto.  “Sencillamente nunca se probó antes. Instalar un programa adicional –cinco días antes de la elección– que no se probó  en conjunto con el Simobol (sistema de cómputo) es un riesgo”, alerta el documento.

“Por decisión de los vocales”, Neotec aceptó la instalación del agente Ossec en todos los servidores exceptuando en el “Bo1”, “que no estaba previsto ser utilizado el día de la elección”. Además, entregaron  una copia  de toda la información del los programas de Simobol a  Ethical Hacking.

 “Sostuvimos múltiples reuniones explicando las partes más relevantes del código fuente. 10 días antes de la elección, cualquier trabajo de auditoría tiene grandes limitaciones, pues no existe tiempo suficiente para explicar los detalles tecnológicos y operativos  para lograr una comprensión de cómo funciona el  Simobol y qué es lo que ocurre la noche de la elección”, cita.

 En su rol  de auditora, la empresa Ethical Hacking afirma que  informaba constantemente de los puntos de vulnerabilidad que encontraba en el sistema. Estos eran atendidos por Neotec, según el informe que presentó al TSE, el 6 de noviembre. El gerente de Ethical Hacking, Álvaro Andrade,   afirma que los errores fueron de Neotec, dado que  también es la creadora del software que se utilizó para las elecciones. “Nosotros  auditamos su producto. Vimos que era un software que funcionaba como debía, pero no le dieron la importancia a la  seguridad”, contó Andrade.

 Tras esa observación,  Ethical Hacking compiló un nuevo código y creó un archivo comprimido, con las correcciones de seguridad, que  “no se podía cambiar”.

Según Andrade, luego de corregir esas vulnerabilidades –por un error– Neotec habría generado otro código. “El gerente de Neotec hizo el arreglo, volvió a compilar todo y nos mandó un email. Esto mató todo, el protocolo se fue al tacho”, relató Andrade.

Denunció que hubo varias renovaciones del protocolo de seguridad. Añadió que los códigos fuente que habían sido comprados por el TSE no estaban en su poder, sino en manos de Neotec.

Andrade  aseveró que hubo una alerta por un acceso a la base de datos del sistema. Además, se identificó la activación de  otro servidor, que  no estaba monitoreado por   Ethical Hacking.

Al respecto, Neotec asegura que la empresa Ethical Hacking  conocía el servidor, porque fue utilizados en las pruebas. 
 

Versiones de la auditora y la creadora del software

  Neotec

1 La empresa contratada para brindar el “servicio de mantenimiento y soporte técnico para el sistema TREP y cómputo para elecciones”. Presentó su informe  el 28 de octubre de 2019, ante el TSE.

2  El gerente  declara que interrumpir la TREP “fue desastroso”. Denuncia que  les cortaron el internet y las llamadas.
Reconoce su error. “el servidor Bo1 no debió usarse el día de la elección”.

3 Sin embargo, Neotec asegura que “las vulnerabilidades (señaladas por la auditora) fueron resueltas antes de la elección y en otros procesos.

4 Alerta que Ethical Hacking no  presenta evidencia de que el sistema fue vulnerado, únicamente exponen violaciones a protocolos de seguridad.

Ethical  Hacking

1 En su informe, Ethical Hacking señala que fue alertando de las “críticas vulneralibidades” en el software y se las comunicó a Neotec para que se las repare.

2 Revela que surgió un problema por  un “servidor no estaba en el rango de monitoreo. “al redirigir todo (…), nosotros no podemos dar fe detoda la información que se ingresó”.

3 Señaló que en ese momento “el proceso electoral pierde toda credibilidad al violarse el protocolo de seguridad” preparado con servidores autorizados.

 4 El informe revela que, tras el incidente en el proceso electoral, “la situación se volvió insostenible, todos empezaron a gritar y a acusarlo de fraude”.

TSE: “Gerente de Ethical Hacking se contradice”

• El TSE  El tribunal manifestó que la información divulgada  por Álvaro Andrade, gerente de Ethical Hacking, contradice otro informe del 28 de octubre:  “se verificó que no existió ningún tipo de alteración de datos ni de ataque cibernético. El problema fue causado por falta de comunicación”.

 Las causas que pararon la Transmisión Rápida de Resultados Preliminares (TREP)

En el informe de Neotec, entregado antes que el de Ethical Hacking, El gerente Marcel Guzman de Rojas explica qué ocasionó que se pare la Transmisión Rápida de Resultados Preliminares (TREP).

El 20 de octubre, día de las elecciones, a las 19:40  el TREP había recibido 30,845 actas, el 89.26% del total y se verificaron 28,973, el 83.85%. Entonces “ se detiene la generación de resultados, con el objeto de realizar la  conferencia de prensa  sin que cambien los resultados cada tres minutos y con la intención de reanudar la generación de resultados al concluirla”.

“Sin embargo, a  las 20:10 se cortó el servicio de Internet en el Serecí y se ordenó suspender el TREP”, denuncia el gerente de Neotec. Guzmán de Rojas declaró que la orden vino del Tribunal Supremo Electoral (TSE). 

 La presidenta del TSE, María Eugenia Choque, admitió haber emitido la orden. Aseguró  que hubo motivos que serán explicados en la auditoría que realiza  la organización de Estados Americanos (OEA). 

 “Eran más o menos las 6:49, y el sistema  arrojó una alerta, comenzamos a recibir una cantidad de solicitudes extremadamente grande”, narró el gerente de  Ethical Hacking,  Álvaro Andrade. Señaló que, si bien tenían  un protocolo de seguridad preparado que monitoreaba todos los servidores presentados por Neotec, se trataba de un “IP” (servidor) desconocido. Su sistema disparó la alerta.

“Cerca de la presentación de los resultados del TREP, empezamos a detectar una alza fuerte de peticiones y todas venían de una dirección  IP 10.10.222, que no era una que estábamos monitoreando. Eran de validaciones de actas. Eran miles, más de 30.000”, explicó el gerente de la auditora, Álvaro Andrade.

Consultado sobre el servidor  sin seguridad, el gerente de la empresa Neotec aseguró que  ese IP no era desconocido para la empresa auditora. “Ethical Hacking debería haber lanzado la alerta días antes porque se usó en simulacros, el viernes”, dijo Guzmán de Rojas en entrevista con  Página Siete.

  Además, acusó al gerente de Ethical Hacking de mentir. “Ellos dicen que había 30.000 peticiones por segundo. Eso es falso, lejanamente falso. Las peticiones llegan a las 7.000 por minuto. No es  que han interpretado mal las bitácoras, están diciendo una mentira”, aseveró el gerente de Neotec.

Se vulneró triángulo de seguridad de información

Se vulneró el triángulo de seguridad informática en las elecciones generales de Bolivia, afirmó el abogado especialista en derecho informático Fabián Espinoza. Este comprende la integridad, la disponibilidad y la confidencialidad de los datos.

 Señala que se habría  incumplido por la empresa auditora, Ethical Hacking; el creador del software y responsable de soporte técnico, Neotec,  y el Órgano Electoral Plurinacional (OEP).

“Se debe ver cuáles son los principios básicos de seguridad de la información que  se han inclumplido. Por ejemplo, la disponibilidad se ha visto comprometida cuando se paró el TREP, en miras de la ciudadanía. Es decir que las previsiones que debieron tomar para que esté disponible han fallado”, señala el especialista.  Recalca que esto involucra a los tres actores, a los TED y al Serecí con grados de responsabilidad.

Respecto a la integridad, señaló como el principal responsable a Neotec  por “no haber garantizado que los datos no sean modificados”. “Han abierto la base de datos, han desanulado actas, como denunció Ethical Hacking”.

 Espinoza recordó que el Órgano Electoral también contrató a la empresa CloudFare, que es un servicio de nube basado en tecnología de Amazon (AWS). Con esto se incumplió el decreto supremo 3251 que indica que todas entidades públicas deben usar software libre. 

Los datos viajaban a servidores de Amazon hasta Estados Unidos. “Quien incumplió el principio de disponibilidad fue el TSE. No mantuvieron disponibles los datos”, señaló Espinoza.

Por otro lado, Ethical Hacking no cumplió el principio de confidencialidad. “Ellos, habiendo conocido que había información sensible (contraseñas entre otros) saliendo del perímetro de seguridad, no tomó medidas de mitigación”, asevera Espinoza. 

Explicó que la confidencialidad supone el ingreso al dato, para sujetos autorizados. Era responsabilidad de  Ethical Hacking velar por la confidencialidad ante otros agentes externos. Debieron contemplar el plan de contingencia tecnológica.

  El exvicepresidente del TSE, Antonio Costas, en una entrevista con CNN indicó que sí se conocían los resultados del TREP al 94%. “Se tenía ese avance y no se informó. Hicieron confidencial lo que debía ser público”, aseveró Espinoza.

   La Ley 018, señala: “Todos los actos y decisiones del Órgano Electoral Plurinacional son públicos y transparentes, bajo sanción de nulidad”. Esto, “pese a que la nulidad afecta al acto o decisión en concreto”.
 

Ambas trabajaron en otras elecciones 
  Antecedentes de las empresas adjudicadas

Ethical Hacking y Neotec tienen experiencia en procesos electorales de otros países. Algunos  casos fueron en  conflicto, como en Bolivia.

 Pese a que Ethical Hacking es una empresa internacional, nació en La Paz Bolivia el 2001, luego migró a Brasil, Ecuador y finalmente a Panamá.

 “El dominio que teníamos en Bolivia era ehacking.com. bo, pero hace unos años pasamos a ser un holding. Es decir, nos  convertimos en el grupo de empresas  EHC Group”, contó su gerente, Álvaro Andrade. Su actual página web es https://www.ehcgroup.io/. Tienen sedes e inversión panameña y mexicana. En su informe al Órgano Electoral Plurinacional, señaló que el trabajo por el que se le contrato fue el de “Servicio de Pruebas de Penetración y Monitoreo Persistente”. Andrade aseguró que su empresa  fue la más seria entre las candidatas que se presentaron.

“Éramos tres o cuatro. Para nosotros era la primera vez que visitábamos el Tribunal Supremo Electoral. Más allá de los servicios  de monitoreo, seguridad y testing, nosotros somos fabricantes de herramientas de plataformas de seguridad”, dijo.

El gerente confirmó que “el 60% de los trabajadores son bolivianos”, pero ahora es un grupo empresarial.

En Panamá, Ethical Hacking no es una empresa muy conocida. Brinda servicios de seguridad informática. El gerente no quiso brindar información sobre los procesos electorales en los que participó por “normas de confidencialidad” de esos.

Por otro lado, Neotec realizó proyectos de seguridad ciudadana y administración de justicia para el Poder Judicial, el Fiscal y la Policía en Bolivia, Guatemala, Colombia, Panamá y Ruanda. Participó de  proyectos electorales en Bolivia (elecciones judiciales y referendo), Guatemala, El Salvador, Honduras, Nicaragua, Panamá y Ruanda.

También fue observador  en una elección de Venezuela donde hubo conflictos. “Trabajamos para la misión de observación del centro Carter. En el revocatorio de mandato del presidente Chávez, tanto la OEA como nosotros descartamos que  no hubo fraude. No participamos de otra”, dijo.