La ciberseguridad electoral o seguridad electoral se refiere a la protección de las elecciones [1] y la infraestructura de votación contra ataques cibernéticos o amenazas cibernéticas [2] , incluida la manipulación o infiltración de máquinas y equipos de votación, redes y prácticas de oficinas electorales y bases de datos de registro de votantes. [3]
Las amenazas cibernéticas o los ataques a las elecciones o la infraestructura de votación podrían ser llevados a cabo por personas internas dentro de una jurisdicción de votación , o por una variedad de otros actores que van desde los nefastos estados-nación hasta los ciberdelincuentes organizados y los piratas informáticos lobos solitarios . Los motivos pueden variar desde el deseo de influir en el resultado de las elecciones, hasta desacreditar los procesos democráticos, crear desconfianza pública o incluso agitación política.
Estados Unidos
Estados Unidos se caracteriza por un sistema de administración electoral altamente descentralizado. Las elecciones son una responsabilidad constitucional de las entidades electorales estatales y locales, como los secretarios de estado, directores electorales, secretarios del condado u otros funcionarios de nivel local que abarcan más de 6.000 subdivisiones locales en todo el país. [4]
Sin embargo, la seguridad electoral se ha caracterizado como una preocupación de seguridad nacional que atrae cada vez más la participación de entidades del gobierno federal como el Departamento de Seguridad Nacional de los Estados Unidos . A principios de 2016, Jeh Johnson , Secretario de Seguridad Nacional, designó las elecciones como "infraestructura crítica", lo que hace que el subsector sea elegible para recibir asistencia prioritaria en seguridad cibernética y otras protecciones federales del Departamento de Seguridad Nacional. La designación se aplica a las instalaciones de almacenamiento, los lugares de votación y las ubicaciones de tabulaciones de voto centralizadas que se utilizan para respaldar el proceso electoral, y la tecnología de la información y las comunicaciones para incluir bases de datos de registro de votantes, máquinas de votación y otros sistemas para administrar el proceso electoral e informar y mostrar los resultados en en nombre de los gobiernos estatales y locales. [5] En particular, los piratas informáticos que falsifican las instrucciones oficiales antes de una elección podrían afectar la participación de los votantes o los piratas informáticos que falsifican los resultados en línea después de una elección podrían sembrar discordia. [6]
La seguridad electoral se ha convertido en un foco importante y un área de debate en los últimos años, especialmente desde las elecciones presidenciales de EE . UU . De 2016 . En 2017, el DHS confirmó que un adversario extranjero de EE. UU., Rusia, intentó interferir en las elecciones presidenciales de EE. UU. De 2016 a través de "un enfoque multifacético destinado a socavar la confianza en el proceso democrático [estadounidense]". [7] Esto incluyó la realización de ciberespionaje contra objetivos políticos, lanzando propaganda u campañas de “operaciones de información” (IO) en las redes sociales y accediendo a elementos de múltiples juntas electorales estatales o locales de EE. UU. [8]
El 22 de septiembre de 2017, se informó que el Departamento de Seguridad Nacional de EE. UU. (DHS) notificó a 21 estados que fueron atacados por piratas informáticos respaldados por el Kremlin durante las elecciones de 2016. Esos estados incluían Alabama, Alaska, Colorado, Connecticut, Delaware, Florida, Illinois, Maryland, Minnesota, Ohio, Oklahoma, Oregon, Dakota del Norte, Pensilvania, Virginia, Washington. 2 Arizona, California, Iowa, Texas y Wisconsin. Actualmente, los piratas informáticos solo supuestamente lograron violar el sistema de registro de votantes de un estado: Illinois. [9]
A raíz de la piratería de 2016, ha surgido un grupo cada vez mayor de expertos en seguridad nacional y cibernéticos que señalan que Rusia es solo una amenaza potencial. Otros actores, incluidos Corea del Norte, Irán, los delincuentes organizados poseen y los piratas informáticos individuales tienen motivos y capacidad técnica para infiltrarse o interferir en las elecciones y las operaciones democráticas. [10] Líderes y expertos advirtieron que un futuro ataque a las elecciones o la infraestructura de votación por parte de piratas informáticos respaldados por Rusia u otros con intenciones nefastas, como se vio en 2016, es probable en 2018 y más allá. [11] [12] [13]
Una recomendación para evitar la desinformación de sitios web falsos relacionados con las elecciones y la suplantación de correo electrónico es que los gobiernos locales utilicen nombres de dominio .gov para sitios web y direcciones de correo electrónico. Estos están controlados por el gobierno federal, que autentica que el gobierno legítimo controla el dominio. Muchos gobiernos locales utilizan .com u otros nombres de dominio de nivel superior; un atacante podría configurar fácil y rápidamente una copia alterada del sitio en una dirección .com que suena similar utilizando un registrador privado. [14]
En la evaluación de 2018 de la seguridad electoral estatal de EE. UU. Realizada por el Center for American Progress, ningún estado recibió una "A" en función de sus mediciones de siete factores de seguridad electoral. [15] Cuarenta estados recibieron una calificación de C o menos. Un informe separado de 2017 del Center for American Progress describe nueve soluciones que los estados pueden implementar para asegurar sus elecciones; incluyendo el requerimiento de boletas de papel o registros de cada voto, el reemplazo de equipos de votación obsoletos, la realización de auditorías posteriores a las elecciones, la promulgación de estándares de seguridad cibernética para los sistemas de votación, las pruebas preelectorales del equipo de votación, las evaluaciones de amenazas, la coordinación de la seguridad electoral entre las agencias estatales y federales, y la asignación de fondos federales para garantizar la seguridad de las elecciones. [dieciséis]
Europa
Los intentos de Rusia en 2016 de interferir en las elecciones estadounidenses se ajustan a un patrón de incidentes similares en Europa durante al menos una década. Los ciberataques en Ucrania, Bulgaria, Estonia, Alemania, Francia y Austria que los investigadores atribuyeron a presuntos piratas informáticos respaldados por el Kremlin parecían tener como objetivo influir en los resultados electorales, sembrando discordia y socavando la confianza en instituciones públicas que incluyen agencias gubernamentales, medios de comunicación y funcionarios electos. [17] A fines de 2017, el Reino Unido, a través de sus agencias de inteligencia, afirmó que una campaña rusa de OI desempeñó un papel perjudicial en su votación del referéndum del Brexit en junio de 2016. [18]
Papel de los hackers de sombrero blanco
La comunidad de hackers de "sombrero blanco" también ha estado involucrada en el debate público. Del 27 al 30 de julio de 2017, DEFCON , la conferencia de piratas informáticos más grande, de mayor duración y más conocida del mundo, organizó una “Villa de piratería de máquinas de votación” en su conferencia anual en Las Vegas, Nevada, para resaltar las vulnerabilidades de seguridad electoral. [19] El evento contó con 25 equipos de votación diferentes utilizados en las elecciones federales, estatales y locales de los EE. UU. Y los puso a disposición de los piratas informáticos de sombrero blanco y los investigadores de TI con fines de educación, experimentación y para demostrar las vulnerabilidades cibernéticas de dicho equipo. . Durante el evento de 3 días, miles de piratas informáticos, medios de comunicación y funcionarios electos presenciaron el pirateo de todos los equipos, con la primera máquina comprometida en menos de 90 minutos. [20] Una máquina de votación fue pirateada de forma remota y se configuró para reproducir la canción de Rick Astley " Never Gonna Give You Up ". [21] [ cita irrelevante ] Se publicaron hallazgos adicionales de Voting Village en un informe emitido por DEFCON en octubre de 2017. [22]
El "Voting Village" se recuperó por segundo año en DEF CON, que se llevó a cabo en Las Vegas, del 9 al 12 de agosto de 2018. El evento de 2018 amplió drásticamente sus consultas para incluir más del entorno electoral, desde los registros de registro de votantes hasta los reportajes de la noche de las elecciones y muchos más humanos y máquinas en el medio. DEF CON 2018 también contó con una mayor variedad de máquinas de votación, funcionarios electorales, equipos, procesos del sistema electoral e informes de la noche de las elecciones. Los participantes de Voting Village estaban compuestos por piratas informáticos, profesionales de la seguridad y las tecnologías de la información, periodistas, abogados, académicos y líderes del gobierno local, estatal y federal. Se emitió un informe completo sobre los hallazgos de la aldea de 2018 en una conferencia de prensa en Washington, DC, celebrada el 27 de septiembre de 2018. [1]
Legislación y política
Ha surgido una variedad de expertos y grupos de interés para abordar las vulnerabilidades de la infraestructura de votación de EE. UU. Y para apoyar a los funcionarios electorales estatales y locales en sus esfuerzos de seguridad. [23] De estos esfuerzos ha surgido un conjunto general de ideas políticas para la seguridad electoral, que incluyen:
- Implementar el uso universal de boletas de papel, marcadas a mano y leídas por escáner óptico, asegurando un registro de auditoría en papel verificado por los votantes ( VVPAT ). [24] [25] [26]
- Eliminar gradualmente las máquinas de votación con pantalla táctil, especialmente los dispositivos electrónicos de grabación directa (DRE) más vulnerables [27]
- Actualizar los libros de votación y otros equipos electrónicos utilizados para registrar a los votantes. [28]
- Verifique los resultados de la votación exigiendo a los funcionarios electorales que realicen auditorías de limitación de riesgos , una auditoría estadística postelectoral antes de la certificación de los resultados finales. [27] [26] [28]
- Asegure la infraestructura de votación, especialmente las bases de datos de registro de votantes, utilizando herramientas de higiene cibernética como los “20 controles críticos de seguridad” de CIS o el marco de seguridad cibernética del NIST . [29]
- Llame a expertos externos para realizar evaluaciones cibernéticas (DHS, piratas informáticos de sombrero blanco, proveedores de ciberseguridad e investigadores de seguridad) cuando sea necesario. [30]
- Brindar recursos y capacitación a los líderes electorales estatales y locales para el mantenimiento cibernético y el monitoreo continuo. [30]
- Promover el intercambio de información sobre ciberamenazas e incidentes en y en toda la industria de la votación. [31]
- Financiamiento federal apropiado para que los estados implementen actualizaciones de infraestructura, auditorías y medidas de higiene cibernética.
- Establezca canales claros para la coordinación entre agencias locales, estatales y federales, incluido el intercambio en tiempo real de información de inteligencia y amenazas. [31]
- Mantener la designación de elecciones del DHS como un subsector de infraestructura crítica. [31]
- Exigir al DHS que instituya un plan de evaluación de amenazas antes de las elecciones para reforzar su capacidad de apoyo técnico a los estatales y locales que soliciten asistencia. [31]
También se ha introducido legislación federal para abordar estas preocupaciones. La primera legislación bipartidista del Congreso para proteger la administración de las elecciones federales contra las amenazas a la seguridad cibernética, la Ley de Elecciones Seguras (SB 2261), fue presentada el 21 de diciembre de 2017 por el senador James Lankford (R-OK). [32]
El Presupuesto Federal de 2018 (firmado por el presidente Donald Trump) incluyó 380 millones de dólares en fondos estatales para mejorar la seguridad electoral. [33] Cada estado recibió un pago estándar de $ 3 millones de dólares, y los restantes $ 230 millones se asignaron a cada estado proporcionalmente en función de la población en edad de votar. [34] Las medidas de seguridad financiadas incluyeron la mejora de la ciberseguridad (36,3% de los fondos), la compra de nuevos equipos de votación (27,8%), la mejora de los sistemas de registro de votantes (13,7%), las auditorías postelectorales (5,6%) y la mejora de los esfuerzos de comunicación ( 2%).
Ver también
- Fundación de votación verificada
Referencias
- ^ "Seguridad electoral - Sección 3: Categorías clave del proceso electoral - Liberar el potencial de los datos electorales - Iniciativa de datos electorales abiertos" . openelectiondata.net . Consultado el 16 de marzo de 2018 .
- ^ Fidler, David (mayo de 2017). "Transformando la ciberseguridad electoral, Consejo de Relaciones Exteriores" (PDF) .
- ^ "Preparación para la seguridad electoral - BeReady16 | Comisión de asistencia electoral de Estados Unidos" . www.eac.gov . Consultado el 6 de marzo de 2018 .
- ^ Legislaturas, Conferencia Nacional de Estado. "Administración de elecciones a nivel estatal y local" . www.ncsl.org . Consultado el 6 de marzo de 2018 .
- ^ "Declaración del Secretario Johnson sobre la designación de la infraestructura electoral como un subsector de infraestructura crítica" . Departamento de Seguridad Nacional . 2017-01-06 . Consultado el 6 de marzo de 2018 .
- ^ 2018-2019 Gran Jurado Civil del Condado de San Mateo (24 de julio de 2019). "Seguridad de los anuncios electorales" (PDF) . Tribunal Superior de California . Consultado el 20 de agosto de 2019 .
- ^ "Testimonio ante el Congreso de Jeanette Manfra, entonces subsecretaria adjunta interina de ciberseguridad y comunicaciones, Dirección de Programas y Protección Nacional, Departamento de Seguridad Nacional de EE. UU., Ante el Comité Selecto de Inteligencia, Senado de los Estados Unidos, 21 de junio de 2017" (PDF) .
- ^ "ICA: Evaluación de la comunidad de inteligencia". Antecedentes de "Evaluación de las actividades e intenciones rusas en las elecciones estadounidenses recientes: el proceso analítico y la atribución de incidentes cibernéticos". 9 de enero de 2017 " (PDF) .
- ^ "Seguridad electoral en los 50 estados - Centro para el progreso estadounidense" . Centro para el Progreso Americano . Consultado el 6 de marzo de 2018 .
- ^ "Seguridad electoral en los 50 estados - Centro para el progreso estadounidense" . Centro para el Progreso Americano . Consultado el 6 de marzo de 2018 .
- ^ "Pompeo: 'Tengo todas las expectativas' Rusia se inmiscuirá en las elecciones intermedias de 2018" . POLITICO . Consultado el 6 de marzo de 2018 .
- ^ CNBC (6 de marzo de 2018). "Alto funcionario de inteligencia: 'Es muy probable' que Rusia busque influir en la votación de Estados Unidos en 2018" . CNBC . Consultado el 6 de marzo de 2018 .
- ^ Cohen, Zachary. "El jefe cibernético de Estados Unidos dice que Trump no le ha dicho que se enfrente a la ciberamenaza rusa" . CNN . Consultado el 6 de marzo de 2018 .
- ^ 1 Un simple paso podría ayudar a la seguridad electoral. Los gobiernos no lo están haciendo
- ^ Raíz, Danielle; Kennedy, Liz; Sozan, Michael; Parshall, Jerry. "Seguridad electoral en los 50 estados" . Centro para el Progreso Americano . Consultado el 1 de mayo de 2020 .
- ^ Raíz, Danielle; Kennedy, Liz. "9 soluciones para asegurar las elecciones de Estados Unidos" . Centro para el Progreso Americano . Consultado el 1 de mayo de 2020 .
- ^ "El patrón de Rusia de intromisión en el extranjero expone una amenaza para las elecciones estadounidenses de 2018: informe" . USA HOY . Consultado el 6 de marzo de 2018 .
- ^ Kirkpatrick, David D. (15 de noviembre de 2017). "Señales de intromisión rusa en el referéndum del Brexit" . The New York Times . ISSN 0362-4331 . Consultado el 6 de marzo de 2018 .
- ^ "Los piratas informáticos en la conferencia DefCon explotan vulnerabilidades en las máquinas de votación" . USA HOY . Consultado el 6 de marzo de 2018 .
- ^ "Los piratas informáticos compitieron para violar las máquinas de votación estadounidenses. Les tomó 90 minutos" . Newsweek . 2017-07-30 . Consultado el 6 de marzo de 2018 .
- ^ Francia, Lisa Respers. "Rick Astley está en una buena racha (Rick)" . CNN . Consultado el 6 de marzo de 2018 .
- ^ "DEFCON 25 Voting Machine Hacking Village: Informe sobre las vulnerabilidades cibernéticas en el equipo, las bases de datos y la infraestructura de las elecciones de EE. UU. Octubre de 2017" (PDF) .
- ^ Larson, Selena. "Los piratas informáticos trabajarán con el gobierno y la academia para que las elecciones futuras sean seguras" . CNNMoney . Consultado el 6 de marzo de 2018 .
- ^ "Belfer Center for Science and International Affairs, Harvard Kennedy School, Defending Digital Democracy, The State & Local Election Cybersecurity Playbook, febrero de 2018" .
- ^ Legislaturas, Conferencia Nacional de Estado. "Seguridad electoral: Políticas de Estado" . www.ncsl.org . Consultado el 6 de marzo de 2018 .
- ^ a b "Fundación de votación verificada: principios para nuevos sistemas de votación" . Votación verificada . 2015-02-04 . Consultado el 6 de marzo de 2018 .
- ^ a b "Testimonio de experto de J. Alex Halderman, profesor de Ciencias de la Computación, Universidad de Michigan ante el Comité Selecto de Inteligencia del Senado de los Estados Unidos, 21 de junio de 2017" (PDF) .
- ^ a b "9 soluciones para asegurar las elecciones de Estados Unidos - Centro para el progreso estadounidense" . Centro para el Progreso Americano . Consultado el 6 de marzo de 2018 .
- ^ "Center for Internet Security (CIS), A Handbook for Elections Infrastructure Security, versión 1.0, febrero de 2018" (PDF) .
- ^ a b "Praetz, Noah, Oficina del Condado de Cook, Secretario de Illinois, David Orr, Visión 2020: Seguridad electoral en la era de las amenazas extranjeras comprometidas, 7 de diciembre de 2017" (PDF) .
- ^ a b c d "GRUPO DE TRABAJO DEL CONGRESO SOBRE SEGURIDAD DE LAS ELECCIONES, Informe final, enero de 2018" (PDF) .
- ^ Chalfant, Morgan (21 de diciembre de 2017). "Grupo bipartidista de legisladores respalda nuevo proyecto de ley de seguridad electoral" . TheHill . Consultado el 6 de marzo de 2018 .
- ^ "Plan de estado y territorios para gastar la mayoría de los fondos de la subvención HAVA en seguridad electoral, actualizaciones del sistema | Comisión de asistencia electoral de EE. UU . " . www.eac.gov . Consultado el 1 de mayo de 2020 .
- ^ "Seguridad electoral: Políticas de Estado" . www.ncsl.org . Consultado el 1 de mayo de 2020 .
enlaces externos
- Votación verificada : organización de defensa de EE. UU. Que cataloga el equipo de votación utilizado en cada estado.