Los hackers de Defcon encuentran que es muy fácil romper las máquinas de votación

La máquina WinVote de Advanced Vooting Solutions, denominada “la peor máquina de votación de Estados Unidos”, estaba equipada con esta sencilla contraseña, incluso cuando se usaba en algunas de las elecciones más importantes del país. AVS salió del negocio en 2007, pero Virginia utilizó sus máquinas inseguras hasta 2015 antes de dejarlas caer por la chatarra. Eso significa que este fragmento vulnerable de la tecnología se utilizó en tres elecciones presidenciales, comenzando con la reelección de George W. Bush en 2004 a Barack Obama en 2012.

Además de Virginia, Pennsylvania y Mississippi utilizan el WinVote sin saber todas las formas en que podría ser hackeado. A diferencia de otras tecnologías - su teléfono, su computadora portátil, los autos conectados- la seguridad no era realmente un foco. 

Google y Apple invitan a los piratas informáticos a encontrar fallas en su código y ofrecen grandes recompensas a quienes las encuentran. Es una práctica común en la industria. El gobierno también lo ha hecho, con programas como “Hack the Pentagon”. 

Pero las oportunidades para probar la seguridad de nuestras máquinas de votación han sido raras. A los fabricantes les gusta mantener en secreto los detalles de las máquinas de votación. Y no suelen proporcionar máquinas para las personas a la prueba.

Esa es la razón por la que los hackers llegaron a la aldea de hackers del votante en Defcon en Las Vegas. La convención masiva de hackers se divide en “pueblos” basados en temas como la selección de candados, el cifrado, la ingeniería social y, por primera vez, la piratería de la máquina de votar.

Defcon recibió más de 30 máquinas de votación con las que jugar, proporcionando una rara oportunidad para que los hackers encuentren los defectos en la tecnología de nuestra democracia. (Los organizadores no especificaron cuántos modelos representaban las 30 unidades). La tecnología de votación se convirtió en el centro de atención político en 2016, cuando los legisladores expresaron su preocupación por la piratería rusa y el camino del presidente Donald Trump hacia la Casa Blanca .

Para ser claros, no hay evidencia de que los votos fueron hackeados durante las elecciones presidenciales de 2016. Pero no ha habido mucha investigación en las máquinas de votación para ver si es posible.

“La exposición de esos dispositivos a las personas que hacen bounties de insectos o realmente miran a este tipo de dispositivos ha sido bastante limitada”, dijo Brian Knopf, investigador de Internet de seguridad de cosas de Neustar, una empresa de análisis de seguridad. “Y así Defcon es una gran oportunidad para aquellos de nosotros que hackear hardware y firmware para mirar a este tipo de dispositivos y realmente responder a esa pregunta, ‘¿Son hackable?’”.

Después de casi una hora y media, la respuesta fue un enfático ‘sí‘.

En el tiempo que tarda en sentarse a través de “The Emoji Movie” , podría entrar en la máquina WinVote a través de su sistema Wi-Fi, como el investigador de DemTech Carsten Schürmann hizo el viernes. DemTech es un proyecto de investigación que ha estado estudiando la tecnología de votación en Dinamarca.

Utilizó una vulnerabilidad de Windows XP de 2003, que la máquina de votación nunca remendó, y obtuvo acceso remoto. Eso significaba que podía cambiar los votos desde cualquier lugar.

Fuera de ctrl-alt-del

Synack, una plataforma de seguridad con sede en San Francisco, tuvo sus manos en la máquina WinVote meses antes de Defcon. Descubrió una serie de fallas graves con el sistema.

Mientras que muchas personas en el Pueblo de Hacking Voter cero en el cierre mecánico débil que cubre el acceso al puerto USB de la máquina, Synack trabajó en dos puertos USB abiertos en la parte posterior. No fue necesario recoger la cerradura. 

El equipo conectó un ratón y un teclado - que no requería autenticación - y salió del software de votación al estándar de Windows XP simplemente pulsando “control-alt-delete”. Lo mismo que usted hace para cerrar un programa puede ser usado para hackear una elección.

“Es realmente sólo una cuestión de conectar su unidad USB en cinco segundos y la cosa está completamente comprometida en ese momento”, dijo el co-fundador de Synack Jay Kaplan. “Hasta el punto donde puedes obtener acceso remoto, es muy simple”, señaló.

El equipo de Synack pudo acceder a la máquina de votación desde una aplicación móvil instalando un programa de escritorio remoto en ella.

Una vez que estás fuera del programa de votación en la máquina, es como cualquier computadora Windows XP antigua, encontró Synack. En un estudio de caso, la compañía encontró que un trabajador de encuestas en Virginia había hackeado la máquina para poder jugar a Minesweeper en ella.

Cuando estás en la máquina, cambiar votos es tan simple como actualizar un documento de Office.

Es como un archivo de Excel en el que “simplemente cambiaría el número y lo volvería a cargar”, dijo Anne-Marie Hwang, pasante de Synack, quien demostró los cambios en los votos.

De vuelta en el pueblo, una vez que una máquina de votación fue hackeado, podría ser restablecido a su estado original para que la próxima persona intente su mano en ella. Era como estropear un Cubo de Rubik antes de pasarlo a la siguiente persona para resolverlo.

El viernes por la tarde, un hacker aprovechó el lado de Windows XP de la máquina AVS WinVote e instaló Windows Media Player en él. Luego rickrolled la habitación jugando Rick Astley “Never Gonna Give You Up” en la máquina de votación.

Un pirata informático que se llama “Oyster” y su equipo trataron de entrar en una máquina de votación Diebold el viernes después de que otro equipo lo hubiera comprometido.

“Espero que encontremos una carga de vulnerabilidades en estos sólo para que podamos abrir al público para ver qué tan grave es el problema”, dijo.

Diebold dijo que vendió su negocio de máquinas de votación en septiembre de 2009, y se negó a comentar la historia.

Se espera que el pueblo regrese a Defcon durante los próximos tres años, hasta la campaña de reelección potencial de Trump. Los hackers de Defcon esperan para 2020, sus hazañas llevarán a cambios en la tecnología de la cabina de votación.

“Hacking es bueno porque es capaz de informar a los políticos y personas en el Congreso sobre lo que deben hacer con las máquinas de votación”, dijo Hwang. “Si nadie los ha hackeado, podríamos seguir usando cosas como esta”.

¿Qué te pareció esta noticia?

Sección Editorial

Comentá esta noticia

Debe iniciar sesión para comentar

Importante ahora

cargando...