“La ingeniería rusa de hackeo en EE. UU. ya está en marcha”

Así lo considera el exfiscal federal David Hickton. El experto en crímenes cibernéticos coincide con otros especialistas en que el trabajo preliminar para manipular la próxima elección ya está hecho.

No es fácil entrar para ver a Diane Ellis-Marseglia, una de las tres comisionadas que administran el condado Bucks de Pensilvania. La seguridad es fuerte en el edificio de la administración del gobierno en el número 55 de la calle East Court en Doylestown, una estructura de ladrillo y tres pisos sin ventanas, donde ella tiene su oficina. También es aquí donde los funcionarios se retiran durante la noche electoral para contar los votos registrados en las más de 900 máquinas para votar del condado. Los guardias en la puerta aplican rayos X a los bolsos y escanean a cada visitante con una vara.

Desgraciadamente, los hackers rusos no necesitarán agendar una visita el día de la elección. Los expertos en cibernética advierten que ellos podrían usar medios más sofisticados para cambiar los resultados de contiendas reñidas o sembrar confusión en un intento de desacreditar las elecciones en Estados Unidos. El proceso electoral, a mitad de la legislatura en 2018, ofrece un blanco atractivo: una red de más de 3,000 gobiernos de condados que administran las elecciones, a menudo con un presupuesto apretado, y muchos de ellos tienen anticuadas máquinas electrónicas para votar que podrían ser vulnerables a la manipulación. Con los demócratas listos para asumir el control de la Cámara de Representantes de Estados Unidos y tal vez, incluso el Senado, los riesgos políticos son altos.

Los hackers rusos estuvieron infamemente activos en la elección de 2016. Aun cuando el presidente Donald Trump lo niega, la evidencia sugiere que ellos fueron los responsables de la irrupción en las computadoras del Comité Nacional Demócrata, según informes de inteligencia estadounidenses. Administraron una campaña de desinformación en Facebook y Twitter. También atacaron bases de datos del padrón de votantes en 21 estados, sistemas de administración de la elección en 39 estados y, por lo menos, un vendedor de software electoral, y eso es solo lo que los servicios de inteligencia del gobierno saben.

Aun cuando no hay evidencia de que estos ataques hayan resultado en cambios directos en el conteo de votos, los expertos en seguridad cibernética temen que los rusos tal vez ya hayan dado los primeros pasos en el sistema electoral estadounidense, incluido plantar malware —programas de computadora maliciosos— en las máquinas para votar. Los estados y condados han reaccionado con tanta lentitud a la amenaza que las máquinas para votar seguras no estarán en listas antes de 2020, dándoles a los rusos un incentivo para atacar en 2018, cuando todavía pueden.

El resultado podría ser un ataque extranjero histórico en la mecánica misma de la democracia estadounidense, dice David Hickton, un exfiscal federal enfocado en crímenes cibernéticos. “Esto es un asalto a nuestra soberanía. La ingeniería de hackeo rusa ya está en marcha aquí. La única cuestión ahora es: ¿qué vamos a hacer al respecto?” A principios de octubre, Hillary Clinton comparó la influencia cibernética rusa en nuestras elecciones con los eventos del 11/9. “Hemos sido atacados por una potencia extranjera”, comenta ella, “y no hemos hecho nada”.

Ciertamente, Estados Unidos no ha obligado a los rusos a buscar dónde atacar. Las elecciones a mitad de la legislatura están llenas de blancos fáciles. El condado Bucks difícilmente es único en cuanto a su dependencia en máquinas para votar fácilmente hackeadas, cuyos resultados podrían determinar el control del Congreso o de estados individuales. Alrededor de 30 por ciento de las máquinas para votar en Estados Unidos son tan anticuadas y tan mal protegidas como las del condado Bucks, dice Marian Schneider, exsubsecretaria de elecciones y administración en Pensilvania y ahora presidenta de Verified Voting [voto verificado], un grupo que defiende la integridad de la elección nacional. Ballotpedia, un sitio web sin fines de lucro que rastrea las elecciones, lista casi 400 contiendas para puestos congresistas y de alto nivel estatal que este noviembre serán lo bastante reñidas para considerarse como campos de batalla.

De muchas maneras, el condado Bucks es el prototipo de los distritos que los hackers posiblemente ataquen. En primera, es un distrito indeciso en un estado indeciso. En 2016, Trump venció a Hillary Clinton en Pensilvania por alrededor de 45,000 votos, menos del 1 por ciento. Apenas en marzo pasado, el demócrata Conor Lamb derrotó a Rick Saccone por menos de 800 votos en una elección especial por un escaño en la Cámara de Representantes por el 18º Distrito del estado, cerca de Pittsburgh. Algunas contiendas en distritos cercanos al condado Bucks se han decidido por tan poco como decenas de votos, y más de una vez. Algunas elecciones locales en el condado han terminado en empates.

Las elecciones a mitad de la legislatura en el condado Bucks serán reñidas. Bucks representa la mayor parte del 1º Distrito de Pensilvania, donde el republicano Brian Fitzpatrick se enfrentará al demócrata Scott Wallace en una contienda por la representación federal. Como las fronteras del distrito fueron replanteadas recientemente para cumplir con una orden judicial, ninguno de los candidatos está en funciones. Las encuestas sugieren que la contienda podría decidirse por solo cientos de votos.

Otra razón por la cual Bucks podría ser un blanco fácil de atacar es su tecnología de votación. El condado depende de la Shouptronic 1242, una máquina para votar electrónica diseñada en 1984, antes de que la palabra hacker se refiriera a un programador de computadoras malicioso. Una Shouptronic se ve como una antigua PC de escritorio del tamaño de un refrigerador, con botones en vez de una pantalla táctil. Cuando un ciudadano pasa detrás de la cortina y pulsa el botón “voto”, la Shouptronic almacena el resultado electrónicamente en lo que esencialmente es un cartucho de videojuego clásico de la década de los 1980. Después de que cierran las casillas, los funcionarios van a las más de 900 máquinas Shouptronic montadas en iglesias, escuelas y otros lugares para votar alrededor del condado, recolectan todos los cartuchos y los llevan al número 55 de la calle East Court. Allí, detrás de los fueres muros de ladrillo, cargan los cartuchos, uno por uno, en un lector, que cuenta el voto.

Asegurarse de que se cuenten todos los votos es gran parte del trabajo de Ellis-Marseglia. Ella está consciente de la amenaza de los hackers rusos, pero parece confiar en que los votos de los ciudadanos estén a salvo. “Sí me preocupa la seguridad de la elección en general en Estados Unidos”, comenta ella. “Pero no aquí. No hay razón para preocuparse por cualquiera de nuestras máquinas. Nuestras máquinas no están conectadas a internet, por lo que no veo el problema”.

El jefe de información del condado, Don Jacobs, un exejecutivo de tecnología informática en la industria de los bienes raíces, también enfatiza la falta de una conexión directa en línea a las máquinas para votar. “El conteo de votos está en un cartucho que es llevado manualmente a un lector, y ese lector tampoco está conectado a internet”, dice él. “Es un sistema seguro”.

Pero los expertos en seguridad cibernética dicen que esta confianza es injustificada. “¿Están bromeando?”, dice Hickton, quien codirige la Comisión Blue Ribbon en Seguridad Electoral de Pensilvania y dirige el Instituto de Ley, Política y Seguridad Cibernética en la Universidad de Pittsburgh. “No puedes enterrar la cabeza en la arena y decir que estas máquinas son seguras porque las encerraste en un clóset antes de la elección. Quienquiera que diga eso no entiende las amenazas cibernéticas”.

CONTEOS DE VOTOS: En el sentido del reloj, desde arriba: casillas para votar en Pensilvania; calcomanías para votantes; Trump, quien ha disputado los reportes de hackeo ruso, en un mitin de campaña en Pensilvania. Imagen: Jessica Kourkounis/Getty Images

CÓMO HACKEAR UNA ELECCIÓN

Aun cuando las Shouptronic del condado Bucks no están conectadas, los hackers tienen muchas maneras de comprometerlas. La manera más directa y efectiva sería remplazar un chip de computadora en la máquina que contiene las instrucciones sobre qué hacer cuando los votantes pulsen los botones con uno que contenga instrucciones escritas por hackers. Cuando este chip funciona apropiadamente, asegura que un votante que pulsa el botón junto al nombre de Mary Smith en realidad registre un voto para Mary Smith. Un chip hackeado se puede programar para añadirle ese voto al conteo del rival. O, para evitar la detección, podría cambiar solo uno de cada cinco votos por Mary Smith a su rival.

O simplemente podría fallar al registrar un voto por cualquier candidato. Esta técnica se llama “votar de menos”, porque implica que el votante eligió no votar por uno de los candidatos, cosa que a veces hacen los votantes. Para evitar aún más las pruebas previas y posteriores a la elección, el chip hackeado se puede programar para que se comporte perfectamente por más de una hora en la mañana de la elección, cuando típicamente se hace la prueba previa a la votación, y también dejar de comportarse mal poco antes de que termine la votación, para que la prueba posterior a la elección no muestre nada.

Intercambiar un chip requeriría de un acceso físico a las máquinas, ya sea en algún momento antes del 6 de noviembre o el mismo día de la elección. Andrew Appel, un profesor de ciencias computacionales en Princeton y uno de los principales expertos en seguridad cibernética electoral, una vez demostró públicamente cómo hacerlo. Armado con un desarmador, algunas herramientas para violar chapas y unos cuantos sellos falsos, abrió un panel en la máquina e intercambió los chips. Le tomó siete minutos. Los agentes rusos podrían sobornar a alguno de los cientos de funcionarios electorales locales, empleados o contratistas quienes tienen acceso a las máquinas para votar en algún momento para llevar a cabo su tarea.

Las Shouptronic también pueden ser atacadas en línea, sin necesitar de acceso físico. Dicho hackeo se enfocaría en el software que etiqueta los botones para votar. Los votantes hacen su selección en la máquina presionando rectángulos en una boleta impresa del tamaño de un póster montada sobre el panel frontal de la máquina. Apretar el rectángulo a su vez activa botones físicos en la máquina, los cuales registran los votos. Para cada elección, los funcionarios programan la máquina para que compagine los rectángulos correctos en el póster con los botones en la máquina. Si hay una disparidad, el voto no se contará apropiadamente.

El programa que mapea los botones con el póster impreso es un archivo de computadora que se introduce en la máquina poco antes de la elección a través de otro de esos cartuchos al estilo de los videojuegos de la década de 1980. Ese archivo se crea en la computadora de un funcionario o empleado del condado, o en la de un contratista. Esa computadora casi seguramente está conectada a internet, y casi seguramente se puede hackear. Y allí radica la vulnerabilidad.

Meterse en el archivo programador de los botones requeriría apropiarse de la contraseña de casi cualquier empleado en la organización, a menudo con solo probar las contraseñas fáciles de adivinar que mucha gente usa todavía. Los hackers también pueden enviar un correo falso, pero en apariencia convincente (“phishing”) que engaña a los destinatarios para que les den sus contraseñas. Eso fue precisamente lo que pasó en el condado Bucks en septiembre del año pasado. Un empleado del condado supuestamente fue engañado para hacer clic en un archivo adjunto infectado en un correo de phishing que parecía provenir de una agencia estatal de Pensilvania. La computadora del empleado entonces, por su cuenta, le envió el correo malicioso y el archivo adjunto a cerca de 700 funcionarios y empleados del condado. El condado afirmó que el problema fue contenido, pero no hay manera de asegurar qué información o software pudo verse comprometido.

Alternativamente, un hacker podría entrar en la computadora de alguien involucrado en montar o imprimir el póster de la boleta, alterando el archivo PDF que contiene la imagen del póster y cambiando uno o más rectángulos para alinearlos con los botones erróneos.

Un hackeo al mapeo de botones puede llevarse a cabo por completo desde Rusia. Podría implicar simplemente intercambiar los rectángulos de la Shouptronic correspondientes a dos candidatos opositores la noche de la elección, para que un voto por uno de los candidatos sea contado como un voto para el otro. Eso sería un hackeo ideal en una contienda en la que se espera que el candidato favorecido por el hacker pierda por un margen estrecho; la máquina reportaría fraudulentamente que el candidato ganó por un margen estrecho. Y en una contienda reñida, habría pocos motivos para insistir en que hubo juego sucio, y absolutamente ninguna manera de hacer un recuento para asegurarse.

Los hackers rusos ya han tenido éxitos documentados de entrar en las computadoras de decenas de bases de datos con los padrones electorales estatales y los sistemas de administración de la elección, el Comité Nacional Demócrata y la red eléctrica del país. En comparación con estas proezas, un hackeo al mapeo de botones sería pan comido.

Las pruebas previas a la votación hechas por un funcionario o el monitoreo en el lugar de la casilla teóricamente podrían captar un hackeo al mapeo de botones en progreso. Desgraciadamente, tales pruebas no siempre se llevan a cabo minuciosamente, o en absoluto. Por ejemplo, nadie se percató cuando los botones de dos candidatos en una elección primaria de Nueva Jersey en 2011, por dos escaños en el Comité Ejecutivo Demócrata del condado Cumberland, fueron intercambiados. Según Appel, quien fue consultado después de la elección, la única razón por la cual se percataron del intercambio fue que el candidato de quien se esperaba que ganara por un margen amplio en realidad perdió por un margen amplio. Solo después de que el candidato “perdedor” obtuvo una cantidad abrumadora de declaraciones juradas de los votantes fue que se descubrió la discrepancia. ¿Fue un hackeo o un error honesto? Con la Shouptronic, no hay manera de saberlo, porque no deja un rastro en papel que pueda ser revisado después del hecho.

“Si la única manera en que podemos confiar en una elección es mediante declaraciones juradas de cada votante, estamos en problemas”, dice Appel.

Es posible que los rusos perfeccionaron sus ataques contra las máquinas para votar electrónicas en la elección de 2016 sin revelar sus cartas. Ninguno de esos ataques ha sido documentado, pero, de nuevo, nadie los ha buscado. “Hasta donde sé, exactamente cero máquinas han sido revisadas de manera forense después de las elecciones”, dice el experto en seguridad cibernética Alex Halderman, un científico computacional y profesor de ingeniería en la Universidad de Michigan. En otras palabras, no tenemos manera de saber si las máquinas para votar en el condado Bucks y otros condados vulnerables con contiendas reñidas para escaños en la Cámara de Representantes ya fueron preparadas para dar resultados falsos por oficiales de inteligencia rusos.

RASTRO DE PAPEL

Lo que hace a la Shouptronic y otras máquinas “electrónicas de registro directo” potencialmente destructivas es que no aceptan ni producen boletas de papel o cualquier otro registro en papel de los votos individuales. Pensilvania, junto con Luisiana, Georgia, Nueva Jersey y Carolina del Sur, depende tremendamente de máquinas electrónicas de registro directo a nivel estatal. Las máquinas electrónicas de registro directo han sido eliminadas por completo en 39 estados, y la mayoría de los otros estados en gran medida las han remplazado. En una máquina que usa papel, un votante puede llenar una boleta de papel (la cual luego es insertada en la máquina para su escaneo óptico) o vota electrónicamente en la máquina y luego mira un registro en papel impreso por la máquina para confirmar que los votos se registraron correctamente. Las boletas en papel o los registros en papel se guardan.

La ventaja en seguridad de las máquinas que usan papel es que dejan un rastro que se puede examinar para descubrir discrepancias en el conteo electrónico y, de ser necesario, permitir un recuento total de las boletas en papel para remplazar el conteo electrónico. Nadie sabe cómo hackear una pila de boletas en papel bajo las narices de los funcionarios electorales. Por ello es que Nueva Hampshire, que tendrá contiendas reñidas por escaños en la Cámara de Representantes en noviembre, es un blanco de hackeo mucho menos factible. “Ochenta y cinco por ciento de las boletas emitidas en Nueva Hampshire es contado por escáneres ópticos, y el resto se cuenta a mano”, dice David Scanlan, el subsecretario de gobierno de Nueva Hampshire. “Hacemos más recuentos que cualquier otro estado”.

Sin las boletas en papel para el recuento, no hay una buena manera de saber cuántas veces las máquinas electrónicas de registro directo han contado mal las elecciones en el pasado, ya sea por hackeos o errores. Hay funcionarios que supervisan los reportes insuficientes de los votos: cuando las máquinas reportan cantidades inusualmente grandes de boletas incompletas, lo cual sugiere que las máquinas han descartado votos. La Shouptronic y otras máquinas electrónicas de registro directo han sido implicadas en más de tales incidentes de “votos insuficientes” que cualquier otro tipo de sistema de votación. En la elección presidencial de 2004, casi la mitad de las boletas registradas por las máquinas Shouptronic en algunos distritos de Nuevo México no mostraron votos por algún candidato presidencial, en comparación con un porcentaje mínimo en los distritos que usaron otras máquinas. Las máquinas electrónicas de registro directo de Georgia han sufrido numerosas fallas en el sistema, problemas técnicos y resultados sospechosos desde su instalación en 2002. Conforme las máquinas se han hundido más en la obsolescencia desde principios de la década de 2000, los riesgos han aumentado, dice Hickton.

El condado Bucks sabía de estos riesgos cuando compró sus máquinas Shouptronic en 2006. “Estábamos involucrados extremadamente en el proceso, y defendimos las boletas en papel”, comenta Peggy Dator, copresidenta de la Liga de Mujeres Votantes del condado Bucks, uno de varios grupos que se opuso a la decisión de los funcionarios del condado. Las Shouptronic no solo no dan un registro en papel, sino que el condado las compró usadas, lo cual significa que pudieron ser hackeadas antes de llegar.

“Comprar estas máquinas fue una decisión notablemente mala”, opina Halderman. “Las Shouptronic ya eran antiguas en ese momento. Es asombroso que sigan funcionando hoy en día”.

Los residentes del condado Bucks en su mayoría parecen ignorar los peligros. En Nonno’s Cafe, ubicado en un encantador laberinto de tiendas de artesanías en el centro de Doylestown, Mary Rose Bocchino, la dueña, petite y energética de la tienda, sirve un expreso doble mientras minimiza las preocupaciones de seguridad en las elecciones venideras. “Confío en que la gente haya trabajado para protegernos contra los hackers”, comenta Bocchino, quien piensa votar por los republicanos. “Me preocupa más la gente que no tiene que mostrar una identificación para votar”.

MÁS ALLÁ DE 2018

Bajo la presión del gobierno federal, junto con 380 millones de dólares en financiamiento federal, Pensilvania y los otros 10 estados que todavía dependen de las máquinas para votar electrónicas de registro directo trabajan para remplazarlas con máquinas basadas en boletas en papel a tiempo para las elecciones primarias de 2020. Pero esas máquinas no estarán disponibles este año.

Los promotores de elecciones seguras en Georgia, que depende por completo en máquinas electrónicas de registro directo, presentaron una demanda ante una corte federal este año para obligar al estado a remplazarlas por máquinas de papel para las elecciones a mitad de la legislatura. El dictamen en septiembre llamó la atención con severidad a los funcionarios de Georgia por no haber actuado antes para deshacerse de las máquinas electrónicas de registro electrónico, pero concedió que no había tiempo suficiente para tenerlo preparado en noviembre. Como resultado, es poco probable que los rusos tengan una oportunidad mejor de hackear los votos suficientes para cambiar una elección clave de la que tienen este noviembre. Rusia está mirando a través de una ventana del todo abierta que va a cerrarse rápidamente el próximo año.

Eso no significa que estemos sanos y salvos para 2020. Deshacerse de todas las máquinas electrónicas de registro directo les dará a todos los condados en Estados Unidos la capacidad de llevar a cabo recuentos confiables de las boletas en papel donde haya razón para sospechar que hubo problemas. Pero ¿los funcionarios de condados y los estatales serán capaces de saber si sus elecciones fueron hackeadas para que entonces puedan acudir a las boletas en papel para un recuento total? La única manera segura de saberlo, dicen los expertos, es tomar muestras rutinariamente de un porcentaje calculado cuidadosamente de las boletas en papel —el porcentaje varía con cuán cerrada sea la elección— y compararlas con el registro electrónico.

Estas llamadas “auditorías para limitar riesgos” todavía no suceden en la mayor parte de Estados Unidos, incluso donde hay máquinas de boletas en papel que facilitan hacerlas, y no está claro si eso cambiará mucho para 2020. “Al momento, solo unos pocos estados hacen auditorías para limitar riesgos de alta calidad”, dice Appel. La mitad de los estados no hace ninguna auditoría.

En 2020, las auditorías serán el siguiente campo de batalla de la seguridad electoral. Aun cuando remplazar las máquinas electrónicas de registro directo eliminara un tipo de vulnerabilidad, otros permanecerán. En un sistema de votación basado en papel, las computadoras que actualizan el software de las máquinas son vulnerables por sí mismas al hackeo. Si esas computadoras son violadas, actualizaciones falsas de software podrían distribuirse a decenas de miles de máquinas en todo el estado.

Buena suerte al proteger esas computadoras, expresa Ryan Lackey, fundador de la compañía de seguridad cibernética ResetSecurity y jefe de información de la compañía de criptomonedas Tezos. “Cuesta decenas de miles de dólares por computadora el estar protegido totalmente contra todas las amenazas de seguridad”, continúa él. “Las computadoras relacionadas con las elecciones son blancos más grandes, y la gente que las protege no tiene una fracción de ese dinero para gastarlo en seguridad”.

Lo irónico es que cuanto más avanza la tecnología electoral, más dependeremos de las boletas en papel para mantener a los rusos y otras manos fuera de las palancas de nuestra democracia. Eso nos deja ante el hecho crudo de que en una de las elecciones potencialmente más significativas que este país ha enfrentado, las máquinas en el condado Bucks y cientos de condados como éste —las máquinas que tienen más posibilidades de marcar toda la diferencia en quién gobierna a Estados Unidos— o tendrán un solo pedazo de papel entre ellas. A causa de la falta de ese papel, probablemente nunca sepamos de cierto cuál fue el resultado verdadero de la elección.