Empresa: 12 hechos viciaron de nulidad las elecciones
La empresa auditora del sistema de Transmisión de Resultados Electorales Preliminares (TREP) y del cómputo final, Ethical Hacking, contratada por el Tribunal Supremo Electoral (TSE), en un informe de más de 60 páginas concluyó que el proceso electoral de Bolivia “está viciado de nulidad” por la cantidad de incidentes, alteraciones e inconsistencias en la TREP y el conteo.
El gerente de Ethical Hacking, Álvaro Andrade, reveló estos y otros detalles en una entrevista a TVU de la UMSA. El TSE rechazó el reporte y señaló que la empresa auditora “contradice” su mismo informe oficial.
La consultora fue contratada un mes antes de las elecciones generales de octubre de este año. Específicamente fue contactada por el TSE el 19 de septiembre. El 26 de ese mes, realizó una presentación de su propuesta ante el organismo electoral y, dos horas más tarde, le comunicaron que había sido elegida por su seriedad.
El requerimiento del TSE era realizar un “Pentesting a base de datos, aplicaciones y un Red Team para las elecciones de 2019”, además de “registrar cambios en los servidores”, se lee en el informe. Andrade manifestó que, efectivamente trabajaron contra tiempo, porque para los requerimientos que hicieron por lo menos se necesitaban tres meses.
El reporte de la empresa señala que se encontraron 12 incidentes (ver recuadro) entre el 19 de octubre y el 25 del mismo mes, tanto en la TREP como en el sistema de cómputo oficial. Además, la auditoría cita al menos ocho consideraciones de relevancia hasta concluir que el proceso está viciado de nulidad.
Precisamente, en la última conclusión señala que, tras realizar una extensa exposición de los hechos y de los reportes técnicos durante la ejecución de su trabajo, “no podemos dar fe de la integridad de los resultados electorales, ya que todo el proceso está viciado de nulidad por la cantidad de alteraciones al código fuente de la TREP, la cantidad de accesos y modificaciones de forma manual y con máximos privilegios a las bases de datos y las inconsistencias que fueron apareciendo entre TREP y Sistema de Cómputo durante el proceso electoral”.
Andrade aseguró que se “violó la integridad de la base de datos” en las elecciones generales, lo que pone en “duda la validez del cómputo electoral”.
El gerente hizo ocho revelaciones. En primer lugar, la empresa Ethical Hacking advirtió al TSE que el software era inseguro, tras haber reportado todas las “vulnerabilidades críticas” identificadas en la TREP. Segundo, revela que de las recomendaciones y remediaciones a Neotec para realizar en la TREP y el Sistema de Cómputo, sólo se aplicaron a la TREP y no al 100%, debido a que los tiempos eran cortos.
Como tercer punto, concluye que después de que se generó el “hash de integridad” ante la Sala Plena y los observadores de la OEA, “el código fuente sufrió varias alteraciones en diferentes fechas”. También se revela a propósito del corte de la TREP, que si bien se concluyó que hubo un error de omisión del protocolo y no debió realizarse el cambio sin autorización.
Como quinto punto, se señaló que “al no tener registros de la información enviada desde un servidor fuera de nuestro monitoreo, no podemos dar fe de la integridad de los datos que se registraron durante el pico de peticiones de registro de actas”.
Como sexta revelación, se observó que respecto al error del algoritmo del sistema TREP que Neotec llama “Flat de cómputo”, el que se estaría produciendo en todas las elecciones hace más de cuatro años, demuestra que la “TREP es un sistema falible”.
Como séptimo elemento, la empresa también revela que hubo una “alteración manual de las bases de datos de la TREP y de Cómputo, durante el proceso de votación, sea cual sea el motivo y desde el punto de vista técnico y forense, vicia de nulidad todo el proceso electoral y pierde credibilidad al violar integridad de las bases de datos”.
Finalmente, por todos estos elementos, la empresa manifestó que no puede “dar fe de la integridad de los resultados electorales, ya que todo el proceso está viciado de nulidad por la cantidad de alteraciones al código fuente de la TREP, la cantidad de accesos y modificaciones de forma manual y con máximos privilegios a las bases de datos y las inconsistencias que fueron apareciendo entre TREP y Sistema de Cómputo durante el proceso electoral”.
8 fallas en el sistema. La empresa auditora informó que hubo ocho irregularidades y 12 incidentes que viciaron de nulidad el sistema TREP y el cómputo.
DETALLES
La empresa Ethical Hacking reveló en su informe final que hay varias irregularidades identificadas
La empresa auditora del sistema de la TREP, Ethical Hacking, contratada por el TSE, en un informe de más de 60 páginas concluyó que el proceso electoral de Bolivia “está viciado de nulidad”.
23:20 del 19/10. Se enciende una alerta de acceso por SSH al Servidor TREP.
05:30 del 20/10. Se desconectan los Agentes de Monitoreo del Servidor de la TREP.
07:33 del 20/10. Se recibe un email de Marcel Guzmán indicando que se hicieron nuevos cambios en la Base de Datos y el Código Fuente.
12:22 del 20/10. Se recibe un email de Marcel Guzmán indicando que se hicieron cambios en el Servidor Web Ngnix.
19:30 del 20/10. Se detecta acceso no autorizado y sin supervisión, además tráfico excesivo desde una dirección IP desconocida. Se corta TREP.
17:02 del 21/10. Llega una notificación de DNTIC autorizando un cambio que debía hacerse directamente sobre la Base de Datos.
17:22 del 21/10. Neotec indica que problema de Código genera un error que debe ser corregido. Se alteran 41 mesas direc-tamente en la Base de Datos.
12:25 del 22/10. Se hicieron nuevos cambios sobre la Base de Datos. Ambos cambios fueron realizados sin la supervisión de la DNTIC ni EHC Group.
22:45 del 22/10. Se recibe una notificación de falla de Visualización de municipios de Potosí.
18:15 del 24/10. A solicitud del vocal de Potosí, se solicita la “desanulación” de actas. Hay inconsistencias en la TREP y cómputo.
25/10. Neotec recibe la tabla del padrón incluyendo inhabilitados y actualiza el padrón.
25/10. EHC Group informa a Neotec que detecta una gran cantidad de peticiones de descarga de imágenes de actas.
TSE DICE QUE ETHICAL HACKING SE CONTRADICE
REDACCIÓN CENTRAL
El Tribunal Supremo Electoral (TSE) afirmó que el informe de la empresa Ethical Hacking contradice un anterior reporte que presentó el 30 de octubre, en el que certificó que “no existió ningún tipo de alteración de datos”.
El TSE señaló que la empresa, en un informe anterior, señaló que “ejecutado el protocolo de revisión y validación de integridad junto con el desarrollador de Neotec, la presencia de DNTIC y nosotros, se verificó que no existió ningún tipo de alteración de datos ni de ataque cibernético, se verificó que el problema fue causado por falta de comunicación por parte de la empresa Neotec, al saltarse el protocolo de comunicación para cambios en la infraestructura”.
El Órgano Electoral reiteró que están a la espera de los resultados de la auditoría que está realizando un equipo de la Secretaría General de la Organización de los Estados Americanos (OEA) a las elecciones generales del 20 de octubre.
En respuesta, el gerente general de Ethical Hacking, Álvaro Andrade, pidió al TSE que publique el informe completo que entregaron y no sólo dos párrafos, porque en el resto del documento se reportan los “malos procedimientos” del cómputo de las elecciones.
La Presidenta del TSE dijo, antes de las elecciones, que la auditoría de Ethical Hacking iba a ser la garante de la transparencia de la elecciones generales.