Una actividad para niños en la conferencia DEFCON en Las Vegas ha revelado que irrumpir en los sitios web vinculados con los sistemas de votación de Estados Unidos puede ser, en su sentido más literal, un juego de niños.
En una actividad diseñada exclusivamente para niños, los organizadores de DEFCON pusieron al alcance de los participantes 13 réplicas de sitios web vinculados a los sistemas de votación utilizados en elecciones presidenciales en diferentes estados del país norteamericano. Después de darles un breve curso sobre inyecciones SQL, se los invitó a descubrir formas de irrumpir en los sistemas para alterar la cantidad de votos, nombres de los candidatos y nombres de los partidos políticos.
En total participaron en la competencia 50 niños de entre 6 y 17 años, de los cuales 46 lograron explotar algún tipo de vulnerabilidad. Pero el ganador de la competencia fue Emmett Brewer, de 11 años, que en sólo 10 minutos encontró la forma de alterar la réplica del sitio web del sistema de votación de Florida para cambiar los nombres y cifras que mostraba.
Una niña de 11 años también logró alterar el sitio de Florida en menos de 15 minutos, y ella decidió utilizar su poder para triplicar los votos que se habían recibido. 30 de los participantes tardaron menos de 30 minutos en explotar alguna vulnerabilidad.
Nico Sell, uno de los organizadores de la competencia y co-fundador de la organización r00tz Asylum, que enseña técnicas de investigación de seguridad informática a niños, se mostró preocupado por los resultados de la actividad. “Estas son réplicas muy fieles de todos los sitios. No deberían ser tan fáciles de atacar como para que un niño de 8 años pueda hacerlo en menos de 30 minutos. Eso habla de nuestra negligencia como sociedad”.
En vista de las críticas que despertó la competencia, la Asociación Nacional de Secretarías de Estado (NASS) emitió una declaración en respuesta a la competencia de DEFCON en la que explica que las réplicas estudiadas en DEFCON poco tienen que ver con los sitios reales.
“Nuestra principal preocupación es que la actividad de DEFCON utiliza un entorno ficticio que no es una réplica fiel a los sistemas de elecciones ni a sus redes o medidas físicas de seguridad”, dicen las declaraciones de la asociación. “Ofrecer a los participantes acceso físico ilimitado a aparatos de votación, muchos de los cuales ya no están en uso, no replica con certeza las protecciones físicas y cibernéticas establecidas por el estado y los gobiernos locales antes y durante el día de las elecciones”.
La NASS también aclaró la naturaleza y funciones de los sitios web atacados: “aunque no se puede negar que los sitios web son vulnerables a ataques de hackers, los sitios web que informan sobre las elecciones sólo publican información preliminar, resultados extraoficiales para el público y los medios de comunicación. Los sitios no están conectados a los equipos de conteo de votos y serían incapaces de cambiar los resultados de las elecciones”.
Pero Sell dijo que esto no era suficiente para subestimar los resultados de la competencia de DEFCON, ya que aunque no se pueda cambiar la información oficial, un cambio en la página de difusión de información electoral podría generar caos en un momento tan tenso y lleno de emociones como el día de las elecciones.
Fuentes
An 11-Year-Old Hacked Into a U.S. Voting System Replica in 10 Minutes This Weekend • Time
Niño hackea en 10 minutos réplica del portal electoral en EU • El Universal
11-year-old shows it’s child’s play to mess with elections • Sophos
DEFCON: Niño de 11 años toma el control de una réplica de un portal electoral de los Estados Unidos