El gerente general de la empresa auditora Ethical Hacking, Álvaro Andrade, manifestó que se detectó acceso a la base de datos de manera irregular, al cual califica de "imperdonable".

Suman las denuncias. El gerente general de la empresa auditora Ethical Hacking, Álvaro Andrade, sostuvo la noche del jueves que el proceso electoral en Bolivia "está viciado de nulidad" ante una serie de irregularidades y alteraciones a los procedimientos y al código fuente del sistema de Transmisión de Resultados Electorales Preliminares Parciales (TREP).

"Está viciado de nulidad no porque lo digamos nosotros, eso lo puede decir cualquier empresa, incluso a OEA que está realizando su auditoría", afirmó durante una entrevista en el programa Jaque Mate de la Televisión Universitaria (TVU) de la Universidad Mayor de San Andrés (UMSA), en La Paz, conducido por la periodista Ximena Galarza.

En dicha entrevista, recordó que su empresa, con sede en Panamá, fue contactada por el Tribunal Supremo Electoral (TSE) el 19 de septiembre para realizar la auditoría del proceso electoral en Bolivia.

Según Andrade, siete días después del contacto telefónico se presentaron de manera formal en el Salón Rojo del TSE en la plaza Abaroa de La Paz en el que luego de dar la demostración en vivo del trabajo que realizarían fueron contratados de manera directa.

"Ese trabajo tenía que hacerse con unos tres a cinco meses de anticipación, estamos hablando de unas elecciones presidenciales, pero estaban corto de tiempo. Nos dijeron que era la primera vez que se contrataba una empresa de seguridad, de auditoría como contraparte de la empresa que desarrolla el software de votación. Lo primero me dijo la presidenta y los vocales es que le demos los niveles de seguridad para que nadie, ni de adentro ni afuera, puedan hacer fraude ", explicó.

El experto señaló que su trabajo consistía básicamente en las pruebas de penetración seguridad del TREP y del sistema del cómputo; y un monitoreo persistente tanto interno y externo para identificar en tiempo récord cualquier anomalía y vulnerabilidad.

Identificaron vulnerabilidades bastantes críticas

Con estos antecedentes, Álvaro Andrade explicó que con su equipo de expertos desde México y Panamá la primera vulnerabilidad encontrada fue en la Transmisión de Resultados Electorales Preliminares Parciales (TREP), precisamente en las comunicaciones inseguras y que fueron reportadas el 11 de octubre.

"Todas las comunicaciones no estaban segurias, no tenían cifradas, era posible interceptar y leer todas las comunicaciones del TREP. Eso significaba que se podían ver los votos y cambiarlos", dijo.

La segunda vulnerabilidad se apuntó en la obtención de credenciales. "Se las podía conseguir a través de los números de cédulas y podías obtener los números de cédulas y las contraseñas cifradas. Por lo tanto, pudimos romper casi todas las contraseñas, pero al deshacerlos se permitía que hubiera un atacante externo que pudiera extraerlas. Existían 7.000 usuarios del TREP y cualquiera podía ingresar a estas.

Indicó que la tercera vulnerabilidad se dio en el envío masivo de actas. "En el sistema del TREP tiene un golpe único: El golpe 1 es el registro de actas, donde llegan las actas y se registran; el golpe 2 donde se verifican las actas y se envían a dos operadores para el cómputo y el golpe 3, físicamente pide el acta y se hace la validación. Nosotros podíamos entrar al golpe 1 y cambiar las tendencias.

La cuarta irregularidad se dio en el envío masivo de actas electorales. "Era posible inyectar desde Internet, votos, actas hasta fotografías de las mismas. Eso era una falla en el desarrollo del software por diseño inseguro".

La quinta anomalía se señaló en la exposición de información sensible. "Se mandaban los datos por la URL y aunque estaban cifrados por lo tanto no era seguro. Era posible interceptar y alterar la comunicación entre la aplicación y el sistema. No se contaba con la protección básica, como el anti-rut y se podía instalar en cualquier celular ruteado para ver el usuario, la contraseña y descargar privilegios.

"Había como siete vulnerabilidades críticas. La empresa Neotec las iba parchando, pero no se llegó a cubrir el 100%. Cada día había más vulnerabilidades, pero Neotec no las podía arreglar, porque necesitaban más tiempo y ya estábamos a pocos días de las elecciones", sostuvo Andrade.

Respecto al corte de la transmisión de conteo rápido, Andrade desveló que antes de que Neotec hiciera conocer de forma pública los datos en horas de la noche, desde el TSE se pidió verlos de manera previa. Entonces la diferencia era de uno 10% entre el primero MAS y el segundo CC.

Pero empezaron a llegar los votos de Santa Cruz y los resultados cambiaron rápidamente apuntando a un balotaje, por lo que surgió una acusación de fraude provocado desde Neotec y se pido paralizar la trasmisión.

Por otro lado dijo que durante el proceso se tuvo acceso a la base de datos de manera irregular, "desde cualquier punto de vista técnico de auditoría, eso es imperdonable", indicó y explicó que "fue crítico porque nosotros ni siquiera estábamos presentes, y se accedió a hacer el cambio".

Acotó que a sola llamada hicieron corregir actas, las "actas que denunciaron que no estaban apareciendo en el sistema del cómputo, entramos a ver y todas las actas eran votos para el CC", después de que la auditora denuncia, recién aparecieron en sistema.