Descubre una vulnerabilidad crítica en el sistema de votación electrónica de Suiza

Se trata de un fallo en el código fuente, que ya ha sido corregido, y que podría permitir a un atacante manipular los votos. El Gobierno prevé utilizar el sistema de votación en las elecciones federales de octubre de 2019

Investigadores de diferentes países reportaron de manera independiente el hallazgo de una vulnerabilidad en el sistema de voto electrónico de Suiza que se utiliza en dicho pais. Según Swiss Post, es una falla crítica en el código fuente relacionada con la verificabilidad universal.

Si la vulnerabilidad descubierta no permitía infiltrarse en el propio sistema de votación, podría permitir que un atacante que tuviera acceso local a una de las máquinas de votación manipulara los votos emitidos. El problema estaba en el sistema criptográfico que se encarga de verificar que los votos emímitos son los mismos que los informados, ya que acuerdo a los inquisitors, el sistema criptográfico es débil y permitía cambiar los votos.

Luego de que reportaran el error, Swiss Post solicitó a Scytl, la compañía tecnologia responsable del desarrollo del sistema, que repare el fallo; el cual ya había sido identificado en 2017 pero cuyas correcciones no se habían realizado de manera completa. Actualmente, el error en el código ha sido corregido y la modificación se aplicará al sistema con la próxima actualización programada.

La Universidad de Melbourne publicó una breve descripción del descubrimiento por parte de investigadores y académicos de la universidad y también mencionó que la misma falla fue descubierta de forma independiente por Rolf Haenni de la Universidad de Ciencias Aplicadas de Berna ─quien publicó un análisis más completo sobre la vulnerabilidad─ , y también por Thomas Haines de la Universidad Noruega de Ciencia y Tecnología (NTNU).

El descubrimiento surge tras el lanzamiento el 25 de febrero del programa bug bounty lanzado por el Gobierno de Suiza ─válido hasta el 24 de marzo─ y que invita a especialistas en seguridad de cualquier parte del mundo a realizar pruebas de penetración en el sistema de votación para descubrir fallas de seguridad.

Actualmente, el sistema de votación electrónica, que se utiliza en cuatro cantones suizos, no se ve afectado por este error en el código fuente porque el error afecta exclusivamente al sistema de votación que utiliza verificación universal, que se incluyó para las pruebas de penetración pero que jamás se traducido para reales votaciones. Se espera que luego de las pruebas de penetracion me di cuenta de que puedo utilizar el sistema de votación para las elecciones federales previstas para octubre de 2019.

Los investigadores que reportaron la falla no lo hicieron en el marco del programa de recompensas por errores, aunque utilizaron el código fuente que se publicó para que los especialistas que aplicaron al programa de recompensas pudieran realizar pruebas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!