Ha salido a la luz una serie de posibles vulnerabilidades en el sistema de voto electrónico suizo, las cuales podrían comprometer los resultados. Dos equipos de investigadores de seguridad y académicos de Universidades de Australia y Suiza han descubierto problemas en el sistema de votación que la Comisión de Sufragio de Suiza planea implementar para futuras votaciones. Dichas fallas residen en el sistema criptográfico empleado, permitiendo la manipulación de los votos emitidos.
El sistema de voto electrónico suizo podría no ser tan seguro
La investigación de la Universidad de Melbourne reveló que una de las potenciales vulnerabilidades permitiría a un atacante con acceso a la máquina de votación manipulase los votos emitidos. Nuevamente, este problema tiene su origen en el sistema criptográfico encargado de verificar que los votos emitidos sean los mismos que están siendo registrados.
De acuerdo con el equipo de investigación, este sistema no es tan fiable como aparenta y da lugar a un cambio de votos.
El problema se deriva del uso de una puerta trasera en el proceso de compromiso. Si una autoridad maliciosa conoce la puerta trasera para los compromisos criptográficos, puede proporcionar una prueba aparentemente válida, que pasa la verificación, mientras que en realidad ha manipulado los votos. Por su parte, el proceso de auditoría es incapaz de detectar si ha ocurrido una manipulación en esta etapa de la votación.
Una explicación técnica detallada conteniendo una segunda vulnerabilidad puede ser encontrada en el documento publicado por la Universidad de Melbourne.
En este orden de ideas, las fallas le fueron comunicadas a Swiss Post, la organización sueca a cargo del sistema de votación electrónico y a Scytl, la compañía española que ha desarrollado el sistema. Ambas entidades han expresado su agradecimiento y anunciado que se solventarán dichas vulnerabilidades.
Vale la pena acotar, que a mediados de febrero ambas firmas iniciaron un concurso de caza de bugs con recompensas en efectivo de hasta $50.000 para los participantes, y parece que ya alguien ha reclamado su premio.
Vía | Zdnet