La votación en línea toma otro golpe

• By Susan Miller
• 14 de febrero de 2020

La aplicación de votación móvil asegurada por la cadena de bloques de Voatz fue criticada por los investigadores del MIT, quienes reportaron descubrieron varias vulnerabilidades de seguridad.

Los investigadores del MIT dijeron que su análisis de seguridad apuntaba a debilidades que permitirían a los hackers "alterar, detener o exponer cómo votó un usuario individual", plantea "posibles problemas de privacidad para los usuarios" y tiene una transparencia limitada, lo que limita la capacidad de los investigadores de seguridad para garantizar La integridad de las aplicaciones.

"Nuestros hallazgos sirven como una ilustración concreta de la sabiduría común contra el voto por Internet y de la importancia de la transparencia para la legitimidad de las elecciones", escribieron en un describiendo su análisis del sistema Voatz.

Para su análisis, los investigadores del MIT invirtieron la ingeniería de la aplicación y crearon un modelo del servidor Voatz. Dijeron que la "documentación mínima disponible del sistema" de la compañía les impidió realizar pruebas sobre el proceso de votación real, por lo que su estudio presenta "un análisis del proceso de elección como visible desde la propia aplicación".

Antes de publicar el documento, el equipo del MIT llevó sus hallazgos a la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional, cuyo Equipo de Respuesta a Incidentes y Caza (HIRT) investigó si había alguna evidencia de actividad maliciosa actual o anterior en el entorno de red de Voatz.

Según la evaluación de una semana realizada en septiembre de 2019 centrada en las redes corporativas y en la nube de Voatz, CISA no encontró evidencia de amenazas activas, según un informe de Coindesk. En el HIRT reporte, los investigadores dijeron que descubrieron algunos problemas que podrían plantear preocupaciones futuras, pero en general elogiaron a la compañía por sus "medidas proactivas en el uso de canarios, recompensas de errores, alertas de Shodan y escaneo interno activo y equipo rojo".

HIRT no evaluó la seguridad de la aplicación en sí.

En un blog titulada "Respuesta de Voatz al informe defectuoso de los investigadores", la compañía detalló tres fallas "fundamentales" con la investigación.

Primero, dijeron los funcionarios de la compañía, el equipo del MIT usó una versión de Android de la aplicación Voatz que tenía "al menos 27 versiones anteriores al momento de su divulgación y no se usó en una elección". En segundo lugar, la aplicación nunca se conectó a los servidores de Voatz, que están alojados en Amazon Web Services y en las nubes de Microsoft Azure, lo que hace que los investigadores no puedan registrarse en la aplicación, verificar su identidad o recibir o emitir un voto. En tercer lugar, la compañía dijo que en lugar de acceder a los servidores de Voatz, los investigadores "fabricaron una versión imaginada" de los servidores, plantearon la hipótesis de cómo funcionaban e hicieron suposiciones "que son simplemente falsas".

Al abordar las quejas de los investigadores sobre la falta de transparencia de la compañía, Voatz dijo que trabaja con "investigadores calificados y colaborativos". También enfatizó que en todas las elecciones que han utilizado la aplicación Voatz, que han involucrado a menos de 600 votantes, no se han reportado problemas.

"La realidad es que continuar con nuestros proyectos piloto de votación móvil es la mejor promesa para mejorar la accesibilidad, la seguridad y la resistencia en comparación con cualquiera de las opciones existentes disponibles para aquellos cuyas circunstancias dificultan la votación", dijo el blog.

La aplicación Voatz se ha utilizado más ampliamente en Virginia Occidental. Secretario de Estado Mac Warner primero probado la opción para que los miembros calificados del servicio militar en el extranjero emitieran sus votos en ausencia en las elecciones primarias del condado en mayo de 2018. También se usó en las elecciones estatales de noviembre de 2018, donde 144 votantes en 30 países diferentes pudieron emitir sus votos. En febrero, la aplicación estará disponible para votantes ausentes con discapacidades físicas.

Los usuarios descargan la aplicación en sus teléfonos inteligentes, verifican sus identidades al proporcionar una foto de su licencia de conducir, identificación estatal o pasaporte que coincida con una selfie. Una vez que se confirman las identidades de los votantes, reciben una boleta móvil basada en la que recibirían en su recinto local. La tecnología de contabilidad distribuida garantiza que los votos no puedan ser manipulados una vez que se hayan registrado. La aplicación también se ha utilizado en Colorado y Utah.

Un defensor de Voatz contactado por CoinDesk dijo que los beneficios de accesibilidad de la aplicación superan con creces cualquier riesgo de seguridad. Amelia Powers Gardner, una auditora de elecciones en el condado de Utah, Utah, que supervisó su uso del sistema Voatz para los votantes discapacitados y los miembros del servicio desplegados en el extranjero, dijo que el sistema Voatz es una opción mucho mejor que las boletas de correo electrónico para los grupos de votación que de otra manera estarían marginados.

"Si bien estas preocupaciones acerca de la carga móvil pueden ser válidas, no alcanzan un nivel de seguridad que me haga cuestionar el uso de la aplicación móvil", dijo a Coindesk.

Fuente: https://gcn.com/articles/2020/02/14/mit-voatz-voting-app-security.aspx