Auditoría revela «protección insuficiente» en software del sistema para elecciones municipales

Auditoría revela «protección insuficiente» en software del sistema para elecciones municipales

Fuente externa.

Con los reparos hechos por la JCE no hay elementos de riesgo, dice el informe

El informe de la auditoría técnica al sistema de escrutinio, digitalización, escaneo y transmisión de resultados (EDET) que será usado para las elecciones municipales del 18 de febrero de este año, realizado por el Instituto Interamericano de Derechos Humanos (IIDH)/Centro de Asesoría y Promoción Electoral (Capel) reveló este miércoles «protección insuficiente del software contra programas maliciosos (malware.

Según se detalla en el informe número 001-2024-JUNTA CENTRAL ELECTORAL (JCE), se cumplieron 19 recomendaciones de un total de 24 hechas para la JCE. De esas, fueron cumplidas dos parcialmente: las que tienen que ver con la protección y con la falta de firma del software, de acuerdo a lo encontrado en el escrutinio.

Respecto a la protección del sistema, el IIDH y Capel recomendaron instalar y configurar una solución antimalware avanzada, que ofrezca protección más allá de las capacidades del antivirus por defecto de Windows. A esto, la JCE respondió con la «instalación en los equipos de un cliente del antivirus Defender en la versión 3.6.5 con funcionalidades de antimalware y un control que impide la instalación de aplicaciones y la ejecución de scripts» (código para el sistema).

LEA: Elecciones municipales: lo que debes saber antes de ir a votar

El informe indica que, luego de la acción de la JCE, «se observó que, aunque no se ha instalado un antivirus distinto al que viene por defecto en Windows, los controles aplicados proporcionan una capa de seguridad adicional».

Y añade que «estos controles compensatorios reducen significativamente el riesgo de que ejecutables malware sean copiados o ejecutados en el equipo EDET. Por lo tanto, este hallazgo se considera mitigado parcialmente, dado que las medidas implementadas ofrecen una solución que, aunque no elimina completamente la vulnerabilidad, sí reduce su impacto y probabilidad de ocurrencia».

Las otras tres recomendaciones que no fueron cumplidas tienen que ver con las credenciales expuestas de la base de datos local del EDET, del usuario que usa dicho sistema para conectarse a la base de datos central, y puerto expuesto del servidor de la base de datos.

Más temprano, la Junta recordó que la auditoría inició el 28 de noviembre de 2023 con la entrega de los equipos de tecnología de las unidades EDET, ambiente y acceso requeridos por los auditores de Capel.

El presidente de la JCE, Román Jáquez Liranzo, dijo que en la segunda fase, que fue del 10 al 19 de enero de 2024, se entregaron las unidades EDET, ambientes y accesos requeridos con la nueva versión del software y mejoras de ambiente a Capel.  

La auditoría técnica contempla cuatro etapas: planificación, trabajo de campo, presentación de informe de hallazgos y recomendaciones y seguimiento a través del acompañamiento hasta las elecciones municipales, las presidenciales y congresuales, incluida una eventual segunda vuelta en junio. 

Javier Herrera

Javier Herrera

Periodista. "No conoces a una persona hasta que sudas con ella". Proverbio amish.

Publicaciones Relacionadas