Eliana Uchani Alaca - Edición impresa

El sistema de Transmisión de Resultados Electorales Preliminares (TREP) que se usó en las elecciones generales del 20 de octubre de 2019 fue puesto en marcha sin la resolución de las deficiencias que detectó la empresa auditora Ethical Hacking.  La firma Neotec, que se encargó de brindar el soporte técnico,  no tenía la capacidad de manejar un sistema de esas características por la falta de personal y tiempo.

El director ejecutivo de  Ethical Hacking, Álvaro Andrade, explicó al periódico Bolivia que detectaron  13 vulnerabilidades en todo el proceso de auditoría del sistema informático. Aseguró que el software del TREP no contaba con las medidas de seguridad para ser usado en un proceso electoral  de esas características, por tanto, el programa era fácil de violentar.

“Después de todos los reportes de vulnerabilidad que remitimos, en los que se detectaron más de 13 deficiencias, la empresa Neotec solo  subsanó el 50% de esas observaciones. Incluso cinco días antes de las elecciones se remitió otro reporte de vulnerabilidad y eso no fue resuelto porque Marcel Guzmán no tenía la capacidad ni tiempo para hacerlo”, detalló.

Andrade se presentó al Ministerio Público el martes para emitir su declaración informativa en calidad de testigo, en el caso seguido a los exvocales del Tribunal Supremo Electoral (TSE) por la manipulación de los resultados electorales del 20 de octubre. El acto se inició a las 10.30 y se prolongó por más de siete horas.

Etapa previa

Andrade contó que el 11 de octubre presentaron el primer informe de auditoría al TREP, que contenía vulnerabilidades altamente críticas, que permitían cambiar datos, valores y las actas del proceso electoral de forma automática. Al día siguiente entregaron un segundo informe con nuevas debilidades que fueron presentadas al exvicepresidente del TSE Antonio Costas.

Estos datos también fueron descritos en la declaración informativa de Andrade; este medio pudo acceder al documento.

El 14 de octubre presentaron tres reportes con más observaciones a la infraestructura externa electoral, interna y a la aplicación móvil del TREP. El TSE pidió ampliar el campo de auditoría y solicitó realizar dos estudios adicionales: el primero al código estático del TREP y el segundo para reforzar la infraestructura de la red de cómputo oficial.

A cinco días de las elecciones generales, Marcel Guzmán, de Neotec, y Álvaro Andrade sostuvieron  una reunión. El primero indicó que debido a la gran cantidad de deficiencias y el corto tiempo, no podría subsanar todas las irregularidades y que solo resolvería las más riesgosas.

Esto fue explicado a los vocales y se advirtió que el TREP era vulnerable a cualquier tipo de intervención.

El 19 de octubre se desarrolló un procedimiento para poner en cero las bases de datos del sistema, estaban presentes los vocales del TSE y dos observadores de la Organización de los Estados Americanos (OEA) para certificar que no existan datos pregrabados.

Día de las elecciones

Dos horas antes de que lleguen las actas del exterior, Ethical recibió la primera alerta de una conexión no autorizada; Guzmán se conectó al TREP para cotejar la base de datos que no se hizo en el proceso.

A las 05.30 del 20 de octubre  recibieron otra alerta de seguridad porque desconectaron los agentes de monitoreo. Guzmán dijo que encontró un error en el botón de validación de actas y  modificó el código fuente del TREP.  Reanudó el servidor para la ejecución de la nueva versión del sistema, acción que invalidó el protocolo de seguridad.

Dos horas más tarde, Neotec cambió el código fuente y la base de datos, modificaciones que se realizaron sin la autorización de la Dirección Nacional de Tecnología, Información y Comunicación (DNTIC) del TSE y de la empresa auditora.

A una hora de presentar los resultados preliminares se identificó el ingreso de una gran cantidad de datos a los servidores del TREP, lo que causó una alerta; cuando revisaron, detectaron que provenían de un servidor no registrado.

Emitieron una alerta roja y se convocó a los vocales del TSE a una reunión de emergencia, en la que Guzmán señaló que tuvo que acceder al sistema para redirigir el sistema a solicitud de los vocales, que debían presentar los resultados preliminares. Los datos fueron enviados a un servidor que contenía almacenados datos históricos de la votación.

Responsable del corte

En la audiencia de anticipo de prueba que se realizó el miércoles, en la que estaban presentes los exvocales del Órgano Electoral, Andrade apuntó a Lidia Iriarte como la responsable de ordenar el corte del TREP.

En medio de la audiencia, mientras Andrade explicaba las irregularidades, el fiscal le pidió identificar a la vocal que ordenó paralizar el TREP. El testigo no se acordaba del nombre de la exautoridad, pero con el dedo apuntó a Iriarte.

Otras irregularidades

Neotec usó contraseñas obsoletas para 7.000 usuarios que iban a transmitir información a la base de datos del TREP.

Neotec usó otro cifrado para restablecer las contraseñas, pero también eran vulnerables.

Cualquier persona podía descargar la aplicación móvil del TREP y acceder a los usuarios que enviaban datos a la nube de información.   

Neotec no solucionó las 13 vulnerabilidades de la empresa auditora.

Después de las elecciones, Neotec continuó vulnerando el protocolo de seguridad del sistema.

El sistema informático integral del TSE también era vulnerable. Ethical realizó un protocolo para reforzar la seguridad.