La Secretaría para el Fortalecimiento de la Democracia, de la Secretaría General de la Organización de Estados Americanos (OEA), detectó que la pericia española encargada por la Fiscalía tiene 12 deficiencias, ocho omisiones y al menos cuatro contradicciones, por lo que “carece de valor”. La OEA reafirmó los hallazgos de la auditoría a los comicios de 2019,  recordó que es vinculante  e instó al Ejecutivo a honrar el convenio suscrito. 

A través de un documento, difundido ayer, la secretaría de la OEA, luego de analizar  la pericia que el Ministerio Público encargó al Grupo de Investigación Deep Tech Lab de Bisite, de la Fundación General de la Universidad de Salamanca,   confirmó  los hallazgos de la auditoría de 2019.

En cambio, la Cancillería, a través de un comunicado, cuestionó la auditoría de la OEA y, por el contrario, indicó que “se ratifica la validez e importancia del peritaje”.

El documento  de ayer  de la OEA  subraya que la auditoría es la única que se realizó en tiempo y forma, en el terreno, y con las necesarias capacidades técnicas de expertos y peritos. Por otro lado, en referencia a la pericia encargada,  señala que “las evidencias no se destruyen solas ni por un simple error, sino con el propósito claro de ocultar hechos incriminatorios”. 
 

 Las deficiencias 

Las deficiencias detectadas por la Secretaría para el Fortalecimiento de la Democracia de la OEA son: 1) Que la pericia se refiere exclusivamente a temas informáticos. 2) Que se realizó con base en información desconocida y proporcionada por la Fiscalía. 3) Que no abarca otros asuntos de suma importancia para comprender los hechos de 2019. 4) Que se llevó a cabo “mucho tiempo después”. 5) Que  fue realizada a distancia. 6) Que la efectuó un equipo sin experiencia en materia electoral.

7) Que no tuvo “el espectro de información analizado y las fuentes utilizadas” por el equipo de la OEA, que trabajó de manera independiente con la posibilidad de recopilar información y de entrevistar a una serie de actores. 8) Que el informe afirma, sin sustento técnico, que la gestión inadecuada de los sistemas informáticos “no supuso una manipulación de los datos”. 9) Que concluye que no haber reportado los servidores ocultos “constituye negligencia”, cuando “constituye una manipulación en la infraestructura tecnológica”.  10) Que basa sus conclusiones en información que excluía los registros de accesos a la base de datos del cómputo.  11) Que la potencial evidencia digital no se preservó según la ISO/IEC 27037  y 12) Que tampoco se estableció la cadena de custodia de la misma.
 

Las omisiones

Las omisiones detectadas  son: 1) El informe español  no menciona el concepto de superficie de ataque. 2) Omite documentar la exposición a internet a través de un dominio privado. 3)  No menciona la falta de trazabilidad de las imágenes de actas del TREP, que debió ser sustentada con los metadatos de las mismas. 4) No hace referencia a que el informe de la auditora Ethical Hacking confirmó que los   administradores operaron en un lugar remoto y sin supervisión.

5) El informe no hace alusión a las técnicas anti-forenses, que pudieron aplicarse  en la infraestructura del TSE y que facilitan la manipulación, sobreescritura, o eliminación de la potencial evidencia, con el objetivo  de evitar la detección por parte del perito forense. 6) No aborda de manera específica los verdaderos riesgos de modificaciones de un software que no tenía preservación formal antes del proceso y que fue modificado en pleno proceso. 

 7) No tiene en cuenta las buenas prácticas al momento de analizar los distintos incidentes, en especial el corte  del TREP (no se lo cita como “causa raíz”)  y 8) No analiza debidamente el ciclo de vida de la información electoral, los tiempos de proceso ni los intervalos que facilitan las técnicas de manipulación (incrementados por el corte del TREP), “lo que lo induce al error de señalar que son necesarias acciones simultáneas en ambos sistemas informáticos para lograr una manipulación de los resultados”.
 

Las contradicciones 

En el documento  de ayer  la OEA  indica que, a lo largo del informe pericial, los académicos contradicen su propia conclusión sobre la integridad de los resultados, y cita  cuatro elementos: 1) Reconocen la “alteración manual de las bases de datos” de servidores del TREP y cómputo a las 17:02 del 21/10/2019. 2) Sostienen que hubo usuarios no identificados con capacidad de acceso al sistema informático, como administrador, con capacidad de añadir, modificar y/o eliminar datos, así como de borrar los registros de las evidencias. 

3) En la conclusión sobre el incidente FB-018 expresan que el borrado de las evidencias “supone una incidencia de riesgo alto, ya que permite ocultar al comportamiento del servidor al equipo pericial y esconder así, posibles acciones malintencionadas”  y 4) Dictaminan “que los sistemas del TREP y cómputo oficial fueron independientes”, y que “la única información que se compartió entre ellos fueron las actas provenientes del extranjero”.

Por ello, la OEA sostiene que “la revisión de las bases de datos de los sistemas que se realizó a pedido de la Fiscalía carece de valor”.
 

 Auditoría “vinculante” 

En el informe difundido ayer, la  secretaría de la OEA, entre otros detalles, reafirmó los hallazgos de la auditoría a los comicios fallidos de 2019. En ese marco,  reseñó  más de 20 hallazgos, entre los cuales están: la paralización del TREP, la detección de servidores ocultos, la utilización de esquema tecnológico paralelo con fines indebidos, el llenado doloso e irregular de actas de escrutinio, y el ingreso de al menos 1.575 actas del TREP (cuya red fue vulnerada y manipulada) directamente al Cómputo Oficial. 

En el documento de la OEA también se cita el acuerdo que suscribió el Estado con la Secretaría General,  en el que se incluyó que el resultado de  la auditoría es vinculante. La OEA instó ayer  al Estado a honrar el convenio firmado. 

La Cancillería replicó que el Estado cumplió el acuerdo hasta que Luis Almagro, secretario general de la OEA, “lo violentó” con  declaraciones unilaterales sobre resultados, sin que haya concluido la auditoría  y expidiendo un informe preliminar no contemplado.