Serias vulnerabilidades en ciberseguridad detectadas en auditoría inicial de equipos de la JCE
Santo Domingo, 16 de enero – La Junta Central Electoral (JCE) informó que los errores descubiertos durante la primera auditoría a los equipos de digitalización, escaneo y transmisión de datos (EDET) han sido subsanados. No obstante, la evaluación inicial reveló serias deficiencias en términos de ciberseguridad. ¿Cuáles fueron los puntos destacados de esta evaluación?
El informe preliminar de la auditoría, realizado por el Centro de Asesoría y Promoción Electoral (CAPEL) en diciembre pasado, identificó carencias significativas en restricciones y medidas de seguridad.
Uno de los hallazgos principales destaca la necesidad de fortalecer el software contra programas maliciosos o malware en el sistema operativo de los equipos de cómputo electoral destinados a las elecciones municipales de febrero.
Según las pruebas realizadas, se recomienda «instalar y configurar una solución antimalware avanzada que brinde protección más allá de las capacidades del antivirus por defecto de Windows».
El análisis también reveló que la red informática de los EDET carecía de medidas de seguridad suficientes. Durante la inspección, el CAPEL logró acceder a la red utilizando equipo no autorizado y realizó un escaneo a la base de datos central sin ser detectado ni bloqueado, lo que podría representar una oportunidad para actividades maliciosas.
Además, se destacó que el hardware utilizado no requiere autenticación para acceder a la configuración del sistema básico de entrada/salida (BIOS).
La auditoría advierte que «la posibilidad de acceder a la BIOS sin restricciones representa un riesgo de seguridad», ya que el acceso no autorizado podría alterar la secuencia de arranque o la configuración de dispositivos, impactando el funcionamiento del sistema.
El tema de las credenciales de la base de datos de la JCE representa la mayor preocupación. El informe señala que las credenciales de la base de datos local de los EDET son visibles, lo que podría ser explotado para obtener acceso no autorizado. El sistema de administración de la base de datos también está expuesto a «múltiples vulnerabilidades críticas».
El servidor de la base de datos central del EDET permite conexiones prácticamente sin restricciones, facilitando el acceso a la base de datos con las credenciales adecuadas.
En cuanto al sistema operativo de los EDET, se identificaron múltiples vulnerabilidades que podrían comprometer la seguridad y estabilidad de los equipos utilizados en las elecciones.
La falta de restricciones para la conexión de dispositivos USB en los equipos de cómputo también representa una amenaza para la fiabilidad y transparencia del proceso electoral, ya que estos dispositivos podrían introducir software malicioso o extraer datos confidenciales.
El CAPEL resalta la importancia de garantizar que los usuarios tengan solo los permisos necesarios para realizar sus tareas, sin la posibilidad de acceder o modificar aspectos críticos del sistema operativo.
El director de Informática de la JCE, Johnny Rivera, informó que la auditoría a los dispositivos EDET concluyó la semana pasada. Según la JCE, los hallazgos iniciales eran importantes pero han sido corregidos. «Eran hallazgos importantes, pero no eran hallazgos que no pudieran corregirse en un tiempo prudente», precisó Rivera. Además, señaló que la auditoría coincidió con la llegada de los equipos tecnológicos, lo que no permitió prepararse para la entrega a los auditores.