La filtración de un código pone en peligro el voto electrónico en Salta

El código fuente de las máquinas de voto electrónico de Salta que fue filtrado en la web tras las PASO es el mismo código oficial que contienen los CDs con los que funcionan esas computadoras, constataron expertos informáticos que advirtieron del riesgo de emplear en octubre un software cuyos detalles se conocen y puede ser adulterado, mientras la Justicia salteña adelantó que denunciará penalmente el robo del CD.

Durante un encuentro realizado el viernes en la redacción de Télam, el administrador de sistemas Javier Smaldone comparó el código fuente filtrado de una máquina de votación de la empresa MSA con el de los CDs que usaron esos mismos equipos en las últimas PASO salteñas, y llegó a la conclusión de que se trata del mismo software.

El proceso fue supervisado en el lugar por Alfredo Ortega, doctor en Informática e investigador de la firma checa Avast, y por Patricia Delbono, perito forense informática y miembro del Consejo Profesional de Ingeniería de Telecomunicaciones, Electrónica y Computación (Copitec).

Delbono constató que los archivos «esenciales» para el funcionamiento del sistema son iguales entre las versiones que se encuentran en la web y las que poseen los CDs.

Para llegar a esa conclusión, los técnicos ejecutaron en las copias una función conocida como «hash», un algoritmo «que se le puede correr a cualquier tipo de archivo, ya sea un formato de texto, una imagen o un ejecutable para garantizar la integridad de ese archivo», explicó la forense.

«La función va a generar una gran cadena de caracteres entre letras y números que se denomina digesto. Ese digesto es como el DNI de ese archivo y lo que me garantiza es la integridad. Lo que permite es que si te envío ese mismo archivo a vos con el digesto y vos le ejecutás la función ‘hash’ en tu computadora, te debería dar el mismo digesto», precisó Delbono.

El 18 de agosto, Télam había informado sobre la filtración del código fuente realizada por un hacker llamado Prometheus a través de una cuenta de Twitter, en la que se anunciaba que los archivos de la máquina de MSA se encontraban disponibles en el sitio https://github.com/prometheus-ar/vot.ar.

Esa versión fue negada de forma rotunda por el Poder Judicial de Salta, que respondió «que no se trata del código fuente de las máquinas de voto electrónico que se emplea en la provincia».

Este código «no serviría por ejemplo para activar una máquina de votación» y que «una sola modificación a ese código ya implica que la máquina no arranque», afirmaron a Télam fuentes judiciales.

Smaldone refutó ambas cuestiones al señalar que el sistema fue programado con lenguaje Phyton, en el que el código fuente y la aplicación van juntas, lo que permitiría que teniendo uno de estos CDs sí se puedan hacer modificaciones así como activar una máquina.

«Este software no se ha mostrado públicamente y, en el plenario de comisiones de agosto del año pasado del Congreso, la secretaria Electoral de Salta y el presidente del Tribunal Superior de Justicia de CABA dijeron que no se mostraba el código fuente ‘porque mostrarlo implicaría un riesgo para la seguridad del sistema’. Ahora se filtró y es un problema de seguridad», cuestionó Smaldone.

Por su parte, Ortega afirmó que «hay un problema de seguridad cuando se libera un código fuente que no esta preparado para ser liberado».

«Cuando vos no preparás un código fuente para ser liberado, es de menos calidad porque no te imaginás la cantidad de gente que lo va a ver, no lo documentás bien. Por lo que pudimos ver (desde el momento que fue filtrado) no tiene la mejor calidad de código, casi no fue auditado o lo fue por un grupo muy pequeño de personas», sostuvo Ortega.

En ese sentido, el especialista estimó que en este caso se está usando «seguridad por oscuridad, que no funciona nunca o casos muy acotados», porque supone que la seguridad del sistema descansa en el secretismo del mismo.

«Es imposible que esto no hubiera pasado, teniendo en cuenta el territorio de la Argentina o el de una provincia. Se usó en un territorio gigante, con un montón de personas que no conocés. Si se aplicara a nivel país, jamás vas a poder controlar los 90.000 CDs que estarían en las 90.000 mesas de votación», graficó.

Según relató Smaldone, el día de las PASO se comunicó con él «una persona a través de Twitter» que le dijo que «al estar limpiando las aulas encontró material de la votación tirado», y le envió «una foto donde se veían boletas de votación y dos CDs con el software» que usan las máquinas.

Días después el informático recibió por correo un paquete con las copias oficiales del software, las boletas y otros implementos de votación, todos rotulados con la inscripción correspondiente a las PASO de este año.

«El día jueves 17 aparece, en el mismo sitio donde aparecían las anteriores filtraciones, un código que se anuncia como el utilizado el domingo anterior en la provincia de Salta. Lo que hago es tomar los CD y verifico que el código fuente es idéntico a lo que se había publicado», explicó Smaldone al describir el mismo proceso que se realizó en Télam.

En este caso se analizó «el CD que recibió Smaldone y la información de github, se corrieron los hashes y muchos digestos dieron iguales, de manera que llegamos a la conclusión que los archivos son iguales», enmarcó Delbono.

Durante la prueba solo algunos archivos difirieron entre las versiones, pero los tres especialistas coincidieron en que se tratan de archivos no esenciales al funcionamiento del sistema sino «de estilo».