Return to Video

J. Alex Halderman: Análisis de Seguridad del Sistema de Voto por Internet de Estonia

  • 0:02 - 0:08
    Análisis de Seguridad del Sistema de
    Votación por Internet de Estonia
  • 0:09 - 0:15
    Gracias. En particular, gracias por
    estar aquí tan temprano a la mañana.
  • 0:15 - 0:20
    Yo sé que, para el estándar
    del CCC, es el amanecer.
  • 0:24 - 0:28
    Soy Alex Halderman, soy profesor
    de Ciencias de la Computación
  • 0:28 - 0:33
    en la Universidad de Michigan en
    los EE.UU., y el trabajo sobre el que
  • 0:33 - 0:39
    les voy a estar contando hoy es principalmente
    un trabajo colaborativo con otros.
  • 0:39 - 0:43
    Tengo que agradecer, en particular,
    a mis estudiantes Drew Springall,
  • 0:43 - 0:47
    Travis Finkenauer, Zakir Durumeric
    y nuestros colaboradores
  • 0:47 - 0:50
    Jason Kitcat, Harri Hursti y
    Maggie MacAlpine.
  • 0:50 - 0:54
    Este trabajo no sería posible sin ellos.
    De hecho, tres de mis estudiantes,
  • 0:54 - 0:57
    que han trabajado en investigación de sistemas
    de voto electrónico (e-voting) conmigo,
  • 0:57 - 1:01
    están aquí hoy: Eric Wustrow,
    Zakir Durumeric y Drew Springall.
  • 1:01 - 1:04
    ¿Podrían ponerse de pie?
  • 1:05 - 1:08
    Bien, aplausos para estos estudiantes.
    Realmente, ellos hicieron el trabajo.
  • 1:14 - 1:20
    Bien. E-voting es algo que me ha
    interesado los últimos diez años.
  • 1:20 - 1:27
    Y me ha interesado, particularmente, porque
    suena como algo que sería maravilloso,
  • 1:27 - 1:31
    ser capaces de usar computadoras
    para contar votos de manera segura.
  • 1:31 - 1:36
    Ser capaces de votar por Internet, con todas
    las ventajas que trae la tecnología.
  • 1:36 - 1:41
    Quizás podamos reducir costos, quizás
    podamos incrementar la participación.
  • 1:41 - 1:46
    Al mismo tiempo, el e-voting trae
    los desafíos más difíciles
  • 1:46 - 1:49
    en el campo de seguridad informática.
  • 1:49 - 1:55
    Lo veo como un ejemplo motivador,
    un problema motivador para avances
  • 1:55 - 1:59
    de todo tipo: en criptografía, en
    construcción de sistemas y en usabilidad.
  • 1:59 - 2:02
    E-voting es un problema
    de seguridad realmente difícil
  • 2:02 - 2:05
    por sus requerimientos inusuales.
  • 2:05 - 2:08
    Necesitamos dos cosas a la hora de
    asegurar sistemas de e-voting,
  • 2:08 - 2:09
    por encima de todo.
  • 2:09 - 2:13
    Una de ellas es integridad,
    y por integridad me refiero a
  • 2:13 - 2:17
    que el resultado de la elección coincida
    con la intención del votante.
  • 2:17 - 2:20
    Esta es una definición de integridad
    relativamente débil.
  • 2:20 - 2:23
    Sólo digamos que el candidato correcto
    sea el que gane.
  • 2:23 - 2:27
    Esto significa, por supuesto, los votos deben
    ser emitidos según la intención del votante,
  • 2:27 - 2:31
    y el resultado de la elección debe ser
    contado según los votos fueron emitidos.
  • 2:31 - 2:33
    Pero el segundo requerimiento,
  • 2:33 - 2:36
    y el motivo por el que este es más
    complicado que otros problemas
  • 2:36 - 2:40
    que solucionamos a diario,
    como sistemas bancarios en línea,
  • 2:40 - 2:45
    compras en comercio electrónico,
    es que también tenemos el requerimiento
  • 2:45 - 2:49
    del secreto del voto. ¿Correcto?
    El secreto del voto, que es uno de los
  • 2:49 - 2:54
    avances tecnológicos más importantes,
    en la historia de la tecnología electoral.
  • 2:54 - 2:59
    El secreto del voto, eso que te protege de
    ser coercionado para votar de cierta manera
  • 2:59 - 3:02
    y nos protege a nosotros de que
    puedas vender tu voto.
  • 3:03 - 3:06
    El secreto del voto es que nadie
    pueda saber cómo votaste
  • 3:06 - 3:10
    aún si tú intentas demostrarle
    cómo votaste.
  • 3:10 - 3:13
    Esto es por lo que queremos impedir
    que la gente sea coercionada
  • 3:13 - 3:15
    e impedirles vender su voto.
  • 3:15 - 3:19
    La razón por la que el e-voting es un
    problema difícil es principalmente
  • 3:19 - 3:25
    porque estas dos propiedades, integridad
    y secreto del voto, están en tensión.
  • 3:25 - 3:29
    Muchas defensas que normalmente
    podríamos tratar de usar
  • 3:29 - 3:31
    para incrementar integridad,
    cosas como las que hacemos en
  • 3:31 - 3:34
    comercio electrónico, darle
    a las personas un recibo
  • 3:34 - 3:40
    o un extracto de cuenta. O hacer
    contabilidad, donde tenemos una gran tabla
  • 3:40 - 3:46
    con ingresos y egresos de dinero
    totalizados y nos aseguramos que coincidan.
  • 3:46 - 3:50
    Estas cosas son muy muy difíciles,
    o imposibles de implementar
  • 3:50 - 3:55
    si queremos mantener el secreto del voto
    fuertemente al mismo tiempo que
  • 3:55 - 3:57
    intentamos preservar la integridad.
  • 3:57 - 4:00
    Por eso necesitamos mecanismos muy
    diferentes para lograr que
  • 4:00 - 4:03
    los sistemas de e-voting aseguren
    estas propiedades críticas.
  • 4:04 - 4:07
    Ahora bien, eso no ha impedido
    que personas construyan sistemas
  • 4:07 - 4:10
    de voto electrónico y muchos países
    alrededor del mundo usan
  • 4:10 - 4:14
    e-voting o están empezando a
    intentar elecciones por Internet.
  • 4:14 - 4:18
    Y he sido muy afortunado,
    durante los últimos años
  • 4:18 - 4:23
    de haber estado involucrado directamente
    en estudios de distintos sistemas.
  • 4:23 - 4:28
    Por ejemplo, en 2007, fui parte de un
    equipo en Princeton que hizo
  • 4:28 - 4:32
    el primer análisis práctico de seguridad
    por parte de un partido independiente
  • 4:32 - 4:34
    de un sistema de e-voting
    utilizado en los EE.UU.
  • 4:34 - 4:39
    Esta, la Diebold AccuVote-TS,
    fue la máquina de e-voting más utilizada
  • 4:39 - 4:41
    en los EE.UU. por ese entonces.
  • 4:42 - 4:46
    Los fabricantes fueron muy reservados
    acerca de la tecnología.
  • 4:46 - 4:50
    Ellos le aseguraban a la gente que
    por supuesto eran perfectamente seguras
  • 4:50 - 4:54
    pero cómo funcionaban era un secreto,
    no podías saberlo.
  • 4:54 - 4:58
    Ahora, por supuesto, eso rara vez
    es un buen síntoma.
  • 4:59 - 5:03
    Después de varios años de debates
    sin conocer los hechos,
  • 5:03 - 5:10
    un delator nos dio una de estas máquinas a
    nuestro grupo de investigación de Princeton.
  • 5:10 - 5:14
    Para algunas de estas historias,
    no puedes hacer el mapa,
  • 5:14 - 5:18
    quiero decir, después de ver
    "Citizenfour" anoche
  • 5:18 - 5:20
    esto se siente como algo salido
    de la película.
  • 5:20 - 5:25
    Tuve que ir y recoger la máquina
    y recibirla de la fuente.
  • 5:25 - 5:28
    Y es tan ridículo, tuve que manejar
    hasta la ciudad de Nueva York
  • 5:28 - 5:32
    y estacionar mi auto en doble fila
    afuera de un hotel en Times Square
  • 5:32 - 5:35
    entonces fui a un callejón
    detrás del hotel
  • 5:35 - 5:37
    donde un hombre con
    un abrigo impermeable
  • 5:37 - 5:41
    me dio un maletín negro que
    contenía la máquina de e-voting.
  • 5:46 - 5:50
    En fin, pasamos un verano trabajando
    en secreto haciendo ingeniería inversa.
  • 5:50 - 5:53
    No sé cuál es el gran secreto,
    es básicamente una PC
  • 5:53 - 5:55
    dentro de una caja vistosa
    con una pantalla táctil
  • 5:55 - 5:58
    y una tarjeta de memoria removible
    para cargar el diseño de la boleta
  • 5:58 - 6:00
    y descargar los votos.
  • 6:00 - 6:04
    En fin, vimos algunas cosas
    interesantes sobre su seguridad
  • 6:04 - 6:08
    Resulta que era el kernel de
    un sistema operativo normal
  • 6:08 - 6:12
    y una aplicación que leía y
    totalizaba los votos.
  • 6:12 - 6:16
    Y haciendo algunas cosas divertidas
    con la tarjeta de memoria,
  • 6:16 - 6:20
    podías reemplazar el software de e-voting,
    sin ninguna verificación criptográfica,
  • 6:20 - 6:23
    con cualquier software que quisieras.
  • 6:23 - 6:28
    Así que desarrollamos una aplicación
    llamada "the stuffer" que podías cargar
  • 6:28 - 6:32
    en la máquina, te presentaba una linda
    interfaz gráfica en la pantalla
  • 6:32 - 6:35
    que te permitía elegir a quién votar
    y con cuántos votos.
  • 6:35 - 6:38
    Entonces procedía a cambiar
    todo registro de la votación
  • 6:38 - 6:42
    porque esta máquina sólo mantenía
    los votos en su memoria electrónica.
  • 6:42 - 6:46
    De esa forma, podías configurar una
    elección entre George Washington y
  • 6:46 - 6:50
    Benedict Arnold, el famoso traidor
    de la Revolución Estadounidense,
  • 6:50 - 6:54
    y cuando fuera que hiciéramos esta
    elección Benedict Arnold siempre ganaría
  • 6:54 - 6:56
    porque habíamos manipulado la máquina.
  • 6:56 - 7:01
    Esto es tan fácil de hacer
    que aún un montón de —en mi caso—
  • 7:01 - 7:05
    ingenuos estudiantes de grado
    podían sacarlo en pocas semanas
  • 7:05 - 7:08
    gracias a la informatización del voto.
  • 7:08 - 7:13
    También descubrimos que gracias
    a la informatización de la tecnología
  • 7:13 - 7:16
    podíamos crear un virus para máquinas
    de e-voting que se desparramara
  • 7:16 - 7:20
    en esas tarjetas de memoria,
    de máquina a máquina, a máquina,
  • 7:20 - 7:22
    en el curso de un ciclo normal de elección.
  • 7:22 - 7:25
    Así que alguien que fuera dejado unos
    pocos minutos a solas,
  • 7:25 - 7:28
    con una máquina de e-voting,
    podría cambiar el resultado
  • 7:28 - 7:30
    de una elección en todo un estado.
  • 7:30 - 7:34
    Ese es realmente el peligro
    del e-voting para mí.
  • 7:34 - 7:37
    No es sólo que la manipulación es posible
  • 7:37 - 7:40
    —la manipulación es posible también
    con boletas de papel—
  • 7:40 - 7:44
    la manipulación, debido
    al poder de la informatización,
  • 7:44 - 7:47
    puede ser a una escala mucho mayor
    con una conspiración muy pequeña
  • 7:47 - 7:50
    y también muy difícil de detectar.
  • 7:50 - 7:54
    Pero este no es el único estudio que
    mostró problemas en máquinas de e-voting.
  • 7:54 - 7:57
    Fui parte de un estudio encargado por
    la Secretaria de Estado de California,
  • 7:57 - 8:02
    Debra Bowen, también en 2007,
    que relevó cada tecnología de
  • 8:02 - 8:05
    voto electrónico en uso
    en California.
  • 8:05 - 8:08
    Y estudiamos máquinas de e-voting
    de tres fabricantes:
  • 8:08 - 8:10
    Hart, Sequoia y Diebold.
  • 8:10 - 8:13
    Créase o no, cada una de estas
    máquinas está basada
  • 8:13 - 8:17
    en código fuente, en cientos de miles
    de líneas de código.
  • 8:17 - 8:21
    Demasiado complicado para que
    sea posible que sean seguras.
  • 8:21 - 8:23
    Así que no fue una sorpresa que
    todas estas máquinas
  • 8:23 - 8:26
    fueran vulnerables a código "roba votos"
  • 8:26 - 8:28
    y también a ataques que permitirían
    a los funcionarios de la elección
  • 8:28 - 8:32
    violar el secreto del voto y averiguar
    a quién votó cada uno.
  • 8:32 - 8:35
    Como resultado, todas estas máquinas
    fueron descertificadas y prohibidas
  • 8:35 - 8:38
    para ser usadas en el Estado
    de California.
  • 8:44 - 8:48
    Pero no es sólo un problema de
    los EE.UU., en Europa también
  • 8:48 - 8:50
    la gente ha estado experimentado
    con e-voting,
  • 8:50 - 8:52
    y uno de los estudios seminales
    en Europa fue
  • 8:52 - 8:55
    conducido por mi amigo, Rop Gonggrijp,
    quien está sentado aquí,
  • 8:55 - 8:58
    en la fila del frente.
    Ronda de aplausos para Rop.
  • 9:01 - 9:06
    Así que Rop y sus colaboradores
    estudiaron la máquina Nedap ES3B
  • 9:06 - 9:09
    que fue introducida en los Países Bajos.
  • 9:09 - 9:14
    Ellos descubrieron que cambiando
    fácilmente un chip EPROM, cosa
  • 9:14 - 9:18
    que pudieron hacer en —creo que lo ellos
    demostraron en menos de un minuto—
  • 9:18 - 9:21
    pudieron hacer que la máquina robara votos,
  • 9:21 - 9:24
    que fuera deshonesta,
    incluso que jugara al ajedrez.
  • 9:27 - 9:32
    Inspirado por Rop, el colega
    Ariel Feldman y yo
  • 9:32 - 9:34
    tomamos una máquina, que
    aún está en uso en muchas partes
  • 9:34 - 9:39
    de los EE.UU., y que unos pocos años
    más tarde fue convertida en una
  • 9:39 - 9:42
    muy buena máquina de Pac-Man.
  • 9:45 - 9:48
    Pero no sólo son los EE.UU. y Europa,
  • 9:48 - 9:50
    India también usa máquinas
    de voto electrónico.
  • 9:50 - 9:53
    Es una de las democracias
    más grandes del mundo,
  • 9:53 - 9:55
    y el mayor usuario mundial de e-voting.
  • 9:55 - 9:59
    Ellos tienen sus propios,
    hermosos y muy simples,
  • 9:59 - 10:01
    sistemas embebidos de voto electrónico.
  • 10:02 - 10:06
    Es una historia muy larga para
    contarla completa hoy,
  • 10:06 - 10:14
    pero hace casi cuatros
    una fuente anónima, un delator,
  • 10:14 - 10:17
    le dio una de estas máquinas
    secretas hechas por el Gobierno
  • 10:17 - 10:20
    a este hombre, el del medio,
    Hari Prasad para estudiarla
  • 10:20 - 10:25
    y él nos llamó a mi y a Rop,
    y fuimos a India y la investigamos.
  • 10:25 - 10:29
    Como dije, es una larga historia,
    pero resumiendo termina
  • 10:29 - 10:32
    con Hari en la cárcel por un tiempo.
  • 10:32 - 10:36
    Rop y yo casi fuimos deportados del país
  • 10:36 - 10:39
    y sólo recientemente, la Corte Suprema
    de India sentenció que
  • 10:39 - 10:43
    había que introducir un respaldo en papel
    para que los votantes indios
  • 10:43 - 10:45
    pudieran tener una seguridad razonable
  • 10:45 - 10:48
    de que sus votos eran contados
    de forma segura.
  • 10:56 - 10:59
    Pero la votación por Internet
    es aún más difícil
  • 10:59 - 11:05
    que votar en una máquina
    aislada en un lugar de votación
  • 11:05 - 11:06
    ¿Si? Porque en la votación por Internet
  • 11:06 - 11:10
    tienes el problema de que el votante
    está usando su propia máquina
  • 11:10 - 11:12
    fuera de un entorno protegido
  • 11:12 - 11:15
    donde puede ser vulnerable de ser
    coercionado, de que se roben
  • 11:15 - 11:18
    su nombre de usuario y contraseña,
  • 11:18 - 11:21
    o de sitios impostores que declaren
    ser el sistema real de votación,
  • 11:21 - 11:26
    de malware en sus máquinas, incluso
    de botnets que ya han infectado
  • 11:26 - 11:28
    una gran cantidad de máquinas,
  • 11:28 - 11:31
    comprometiendo el resultado de la elección.
  • 11:31 - 11:35
    Y no es sólo eso. El servidor también
    tiene que ser capaz de resistir
  • 11:35 - 11:39
    denegación de servicio. Recuerden que una
    elección tiene lugar en un periodo fijo
  • 11:39 - 11:42
    así que no puedes decir "bueno, nuestro
    sistema está caído esta semana,
  • 11:42 - 11:45
    así que pospondremos la votación por
    Internet hasta el próximo mes".
  • 11:45 - 11:47
    Eso no va a funcionar.
  • 11:47 - 11:49
    Tienes que preocuparte de
    ataques internos al servidor,
  • 11:49 - 11:53
    intrusión remota, aún de ataques
    más avanzados,
  • 11:53 - 11:55
    como amenazas patrocinadas
    por estados.
  • 11:55 - 12:00
    ¿Cuántos países creen ustedes que
    pueden querer afectar el resultado
  • 12:00 - 12:02
    de la elección nacional
    más importante del país?
  • 12:02 - 12:04
    Probablemente hay una cantidad creciente
  • 12:04 - 12:07
    de estados sofisticados con ese
    deseo y capacidad.
  • 12:07 - 12:10
    Pero al mismo tiempo, los sistemas
    de votación por Internet
  • 12:10 - 12:12
    son más difíciles de estudiar.
  • 12:12 - 12:14
    No puedes simplemente
    confiar en alguien que
  • 12:14 - 12:17
    te traiga una máquina
    en el medio de la noche
  • 12:17 - 12:19
    cuando las cosas se ponen difíciles.
  • 12:19 - 12:22
    Tampoco puedes hackear
    el servidor durante la elección.
  • 12:22 - 12:24
    No puedes, éticamente, hacer eso.
  • 12:24 - 12:29
    Porque como investigador, como alguien
    que intenta mejorar el estado
  • 12:29 - 12:31
    de la tecnología democrática.
  • 12:32 - 12:36
    Yo no puedo justificar nada
    que pueda arriesgarse a interferir
  • 12:36 - 12:39
    con el desarrollo o el resultado
    de la elección.
  • 12:40 - 12:42
    Así que tuvimos que buscar otras
    oportunidades para estudiar
  • 12:42 - 12:46
    estas cosas de otra forma, y
    uno de los mejores ejemplos
  • 12:46 - 12:48
    que pude encontrar hasta ahora
  • 12:48 - 12:52
    ha sido un incidente en 2010,
    cuando Washington DC
  • 12:52 - 12:55
    decidió introducir un sistema
    de votación por Internet.
  • 12:55 - 12:58
    Consiguieron un importante subsidio
    del Gobierno para construir esto.
  • 12:58 - 13:02
    Y fue para uso por parte de militares
    y votantes de ultramar
  • 13:02 - 13:04
    enviando votos a distancia.
  • 13:04 - 13:06
    Ellos hicieron muchas cosas bien:
  • 13:06 - 13:08
    lo hicieron como sistema
    de código abierto,
  • 13:08 - 13:13
    contrataron algunos desarrolladores
    web realmente experimentados.
  • 13:13 - 13:15
    Incluso llamaron a investigadores
    de seguridad
  • 13:15 - 13:17
    y nos preguntaron cómo deberían construir
  • 13:17 - 13:19
    el nuevo sistema de votación por Internet.
  • 13:19 - 13:22
    Y todos los investigadores dijeron:
    "¡No, no, los sistemas de votación
  • 13:22 - 13:24
    por Internet son muy peligrosos!
    ¡No sabemos! ¡No lo hagan!"
  • 13:24 - 13:27
    Pero el DC lo hizo de todas formas.
  • 13:27 - 13:31
    Pero por compromiso,
    o tal vez para decirnos que
  • 13:31 - 13:34
    "ponían su dinero
    donde ponían la boca",
  • 13:34 - 13:36
    decidieron un ensayo público
  • 13:36 - 13:39
    y dijeron: la semana antes de las
    elecciones
  • 13:39 - 13:42
    vamos a tener una elección
    de prueba y cualquiera en el mundo
  • 13:42 - 13:44
    que quiera, podrá intentar
    hackear el sistema
  • 13:44 - 13:47
    y mostrarnos cuán vulnerable podría ser.
  • 13:49 - 13:52
    Bueno, no todos los días eres
    invitado a hackear una computadora
  • 13:52 - 13:54
    del gobierno sin ir a la cárcel,
  • 13:54 - 13:57
    así que armé un equipo con mis estudiantes
  • 13:57 - 13:59
    y decidimos participar.
  • 13:59 - 14:01
    Así que, así es como se veía su sistema.
  • 14:01 - 14:03
    Iniciabas sesión en una
    agradable interfaz web,
  • 14:03 - 14:06
    descargabas la boleta,
    la llenabas en un lector PDF,
  • 14:06 - 14:08
    la subías de nuevo y eso era todo.
  • 14:08 - 14:12
    Gracias por votar, dile a tus amigos
    en Facebook y Twitter.
  • 14:12 - 14:14
    Agradable y brillante.
  • 14:21 - 14:24
    De todos modos, la semana
    anterior a las elecciones,
  • 14:24 - 14:29
    Eric Wustrow, Scott Wolchok y yo
    nos reunimos en mi oficina
  • 14:29 - 14:32
    nos quedamos una noche, hasta muy
    tarde, leyendo el código fuente
  • 14:32 - 14:35
    que habían publicado en un
    repositorio GitHub para nosotros.
  • 14:35 - 14:38
    Y leímos el código fuente del DC
  • 14:38 - 14:43
    y fue, tal vez a las tres
    o cuatro de la mañana,
  • 14:43 - 14:45
    que estábamos mirando en este
    procedimiento aquí.
  • 14:45 - 14:49
    Esto es Ruby on Rails, que
    ninguno de nosotros había visto antes
  • 14:49 - 14:52
    pero fuimos capaces de
    entender cómo funcionaba.
  • 14:52 - 14:55
    Esta línea resaltada aquí:
    el sistema de e-voting
  • 14:55 - 14:59
    está usando GPG para
    encriptar la boleta subida,
  • 14:59 - 15:04
    con lo que permanecería secreta hasta
    que fuera tiempo de contar los votos,
  • 15:04 - 15:07
    cuando sería movida a otra máquina
    y desencriptada con la clave privada
  • 15:07 - 15:09
    almacenada allí.
  • 15:09 - 15:13
    El problema resulta estar aquí.
    Ellos usan comillas dobles
  • 15:13 - 15:14
    en vez de comillas simples.
  • 15:14 - 15:17
    Eso fue suficiente para permitirnos
    hackear y robar todos los votos.
  • 15:19 - 15:22
    El problema es que esto permite
    un ataque por inyección de script
  • 15:22 - 15:27
    porque esta biblioteca particular
    que usaron, la versión que usaron,
  • 15:27 - 15:31
    sólo arma la cadena de texto y usa una
    llamada al sistema para pasarlo a Bash,
  • 15:31 - 15:38
    y fue bueno que sanitizaran el nombre del
    archivo, pero no sanitizaron la extensión.
  • 15:38 - 15:43
    Así que si usabas una extensión
    que tuviera algunos comandos Bash,
  • 15:43 - 15:45
    éstos serían ejecutados en el shell,
  • 15:45 - 15:49
    con los permisos del usuario
    del proceso del servidor web
  • 15:49 - 15:54
    que estaba aceptando boletas
    y llevando adelante la elección.
  • 15:55 - 15:59
    Este fue el primer ejemplo
    que probamos y funcionó.
  • 15:59 - 16:01
    De todas formas…
  • 16:04 - 16:07
    También encontramos en la misma red
  • 16:07 - 16:09
    algunos otros dispositivos interesantes,
  • 16:09 - 16:13
    incluyendo una serie de webcams
    que no tenían usuario ni contraseña,
  • 16:13 - 16:15
    que estaban en el data center.
  • 16:15 - 16:17
    Así que aquí están las máquinas que
    estaban llevando a cabo la elección,
  • 16:17 - 16:20
    aquí están los trabajadores,
  • 16:20 - 16:21
    aquí está el guardia de seguridad
  • 16:21 - 16:26
    que no sabe que estamos
    hackeando el servidor.
  • 16:26 - 16:30
    Pero esto fue realmente útil,
    porque pudimos saber,
  • 16:30 - 16:35
    monitoreando a estas personas,
    si sospechaban que algo andaba mal.
  • 16:35 - 16:40
    De hecho, vimos un cambio en
    su comportamiento,
  • 16:40 - 16:43
    en su postura, después que eventualmente,
  • 16:43 - 16:46
    descubrieron que habíamos
    conseguido el control del sistema.
  • 16:46 - 16:50
    No estaban muy felices.
  • 16:58 - 16:59
    En fin…
  • 17:00 - 17:02
    Me estoy adelantando un poco.
  • 17:02 - 17:05
    Finalmente fue tiempo en DC
    de atacar el sistema,
  • 17:05 - 17:07
    así que esperamos hasta las 5 en punto
  • 17:07 - 17:09
    cuando supe, por los vídeos de vigilancia,
  • 17:09 - 17:13
    que el personal normalmente
    se iba a sus casas por la noche.
  • 17:13 - 17:15
    En ese momento,
  • 17:15 - 17:19
    empezamos a usar la vulnerabilidad de
    inyección para ejecutar comandos remotos.
  • 17:19 - 17:25
    De hecho, construimos una especie
    de "shell simulado" que
  • 17:25 - 17:30
    haría las cosas correctas para compilar
    algo en una boleta, subir la boleta,
  • 17:30 - 17:34
    ejecutar el comando, filtrarlo nuevamente
    poniendo algo en la carpeta pública
  • 17:34 - 17:37
    del servidor, y básicamente,
    hacer que se viera como si
  • 17:37 - 17:39
    tuviéramos una línea de comandos.
  • 17:39 - 17:42
    En fin, desde ahí procedimos
    a atacar el sistema,
  • 17:42 - 17:45
    jugando el rol de un
    verdadero atacante.
  • 17:45 - 17:48
    Si eres un verdadero atacante,
    has ingresado al sistema de votación,
  • 17:48 - 17:50
    ¿qué sería lo primero que harías?
  • 17:51 - 17:53
    ¿Robar otros votos?
  • 17:54 - 17:56
    ¡No! De hecho, lo primero que harías
    sería robar cualquier otra cosa
  • 17:56 - 17:58
    a la que puedas echar mano
  • 17:58 - 18:02
    que pudiera permitirte volver a entrar al
    sistema atacado. Estableces persistencia.
  • 18:03 - 18:06
    La segunda cosa que hicimos
    fue robar otros votos.
  • 18:08 - 18:10
    Y los reemplazamos con nuestras
    propias boletas
  • 18:10 - 18:14
    donde cada candidato era un robot
    malvado o inteligencia artificial
  • 18:14 - 18:16
    de sci-fi o las películas.
  • 18:16 - 18:19
    ¿A quién votarían las computadoras
    si ellas estuvieran al mando?
  • 18:20 - 18:24
    En ese punto, arreglamos el sistema
    para reemplazar cualquier voto nuevo
  • 18:24 - 18:25
    con votos de nuestra elección,
  • 18:25 - 18:31
    agregamos una puerta trasera, que rompiera
    el secreto del voto de otros votantes
  • 18:31 - 18:34
    y limpiamos los registros
    para ocultar los rastros.
  • 18:35 - 18:37
    Sólo tuvimos un dilema más.
  • 18:37 - 18:40
    Obtuvimos el control total del sistema,
  • 18:40 - 18:43
    pero la verdadera elección
    sería dentro de una semana.
  • 18:44 - 18:48
    Y queríamos que el DC supiera lo que pasó.
  • 18:48 - 18:50
    Pero no quisimos sólo
    llamarlos por teléfono,
  • 18:50 - 18:53
    porque pensamos que sería
    realmente interesante
  • 18:53 - 18:56
    probar qué tan bien podrían
    los funcionarios electorales
  • 18:56 - 19:00
    detectar y responder a un ataque
    durante una elección simulada.
  • 19:00 - 19:04
    Y nunca hubo un buen ejemplo,
    un buen estudio
  • 19:04 - 19:06
    acerca de cómo funcionaría.
  • 19:06 - 19:10
    Así que en lugar de llamarlos,
    decidimos dejar, lo que se nos ocurrió
  • 19:10 - 19:13
    como una no tan sutil
    "tarjeta de presentación".
  • 19:13 - 19:15
    Lo que hicimos fue
    cambiar el código fuente
  • 19:15 - 19:17
    de la página de agradecimientos
    al final,
  • 19:17 - 19:21
    eso que dice "Dile a tus amigos
    en Facebook y Twitter que votaste",
  • 19:21 - 19:24
    y agregamos algunas líneas, justo aquí.
  • 19:24 - 19:26
    Esto sucedería tras unos
    segundos de demora
  • 19:26 - 19:28
    haciendo en que la computadora
    de los votantes empezara a sonar
  • 19:28 - 19:33
    la canción de fútbol de la Universidad
    de Michigan, "Saludo a los vencedores".
  • 19:39 - 19:43
    Pasaron casi dos días antes que los
    funcionarios electorales lo notaran,
  • 19:43 - 19:45
    y fue sólo cuando alguien llamó
  • 19:45 - 19:47
    y les dijo "el sistema me parece bien,
  • 19:47 - 19:51
    pero no me gusta la música del final,
    me distrae".
  • 19:52 - 19:54
    Así que, en ese punto, creo
    que miraron a su alrededor
  • 19:54 - 19:57
    y se dieron cuenta que eran todos
    fanáticos de un equipo rival de fútbol
  • 19:57 - 19:59
    y tuvieron una terrible
    sensación de hundimiento.
  • 19:59 - 20:03
    En fin, el DC terminó haciendo
    algo inteligente:
  • 20:03 - 20:07
    no usaron el sistema de votación
    por Internet para recibir votos.
  • 20:07 - 20:10
    En lugar de eso, para ayudar
    a votantes remotos
  • 20:10 - 20:15
    a sufragar a tiempo, les permitían
    descargar la boleta,
  • 20:15 - 20:18
    imprimirla y enviarla por correo.
  • 20:18 - 20:21
    Haciendo eso, eliminaron
    la mayor parte del riesgo
  • 20:21 - 20:25
    y cumplieron con los votantes que
    necesitaban tener sus votos a tiempo.
  • 20:26 - 20:31
    Bien. Este es el mejor estudio
    que tenemos hasta ahora
  • 20:34 - 20:40
    y nos trae al tema principal de hoy:
    Votación por Internet en Estonia.
  • 20:40 - 20:43
    Estonia es un caso realmente interesante
  • 20:43 - 20:45
    que he estado siguiendo por años.
  • 20:45 - 20:48
    ¿Qué ha estado sucediendo con el sistema
    de votación por Internet de Estonia?
  • 20:48 - 20:52
    Porque Estonia, más que
    cualquier otro país en el mundo,
  • 20:52 - 20:56
    ha desplegado y utilizado
    votación por Internet.
  • 20:56 - 20:59
    Para los que nos saben
    dónde está Estonia,
  • 20:59 - 21:02
    incluyendo la mayoría de los
    estadounidenses en la audiencia,
  • 21:02 - 21:05
    está justo aquí. Como pueden ver
    limita con Rusia,
  • 21:05 - 21:07
    también es miembro de la Unión Europea,
  • 21:07 - 21:10
    para ustedes, estadounidenses.
    También es miembro de la OTAN.
  • 21:10 - 21:14
    Estonia es, de hecho, un país bastante
    desarrollado tecnológicamente.
  • 21:14 - 21:16
    Son líderes en gobierno electrónico,
  • 21:16 - 21:18
    están haciendo un montón de
    experimentos interesantes
  • 21:18 - 21:21
    con formas de proveer servicios
    a la gente a través de Internet.
  • 21:23 - 21:27
    En ese contexto, no resulta
    sorpresivo que un país como Estonia
  • 21:28 - 21:32
    haya experimentado con
    la votación por Internet.
  • 21:32 - 21:36
    Y en Estonia han hecho más
    que unas pocas pruebas.
  • 21:36 - 21:44
    En la década pasada han conducido
    creo que 7 elecciones por Internet.
  • 21:44 - 21:48
    Incluyendo la más reciente elección,
    en mayo de este año (2014)
  • 21:48 - 21:52
    para el Parlamento Europeo, más del
    30% de todos los votos fueron emitidos
  • 21:52 - 21:53
    a través de Internet.
  • 21:53 - 21:57
    Eso es increíble.
    No hay otro país ni por cerca
  • 21:57 - 22:03
    que confíe tanto en Internet para votar
    en elecciones nacionales. 30 % y más.
  • 22:04 - 22:09
    Aún así, si el sistema
    de Estonia es seguro,
  • 22:10 - 22:14
    es una pregunta que no ha sido
    respondida adecuadamente.
  • 22:14 - 22:22
    De hecho, no había —hasta que llegamos ahí—,
    un estudio internacional independiente
  • 22:23 - 22:28
    que hubiera examinado en detalle la
    tecnología y sus implicaciones de seguridad.
  • 22:28 - 22:31
    A causa de esto en muchos países,
    incluyendo el mío,
  • 22:31 - 22:35
    había gente diciendo: "¡Guau Estonia,
    miren, ellos votan online!
  • 22:35 - 22:36
    ¿por qué no podemos hacerlo nosotros?
  • 22:36 - 22:39
    ¿No sería genial si pudiéramos
    votar por Internet?"
  • 22:39 - 22:42
    Así que yo quiero saber,
    y mis estudiantes quieren saber
  • 22:42 - 22:44
    y muchos de mis amigos:
  • 22:44 - 22:49
    ¿Ha solucionado Estonia el problema
    de votar por Internet con seguridad?
  • 22:50 - 22:53
    ¿Han definido su sistema
    de forma que responda
  • 22:53 - 22:56
    al tipo de amenazas reales
    que los países importantes enfrentan
  • 22:56 - 22:58
    mientras se llevan a cabo elecciones?
  • 22:58 - 23:04
    ¿Y qué pueden aprender mi país,
    u otros países, del ejemplo de Estonia?
  • 23:04 - 23:09
    Estuve buscando por muchos años
    una oportunidad para ir a Estonia,
  • 23:09 - 23:12
    conocer la gente ahí,
    para estudiar el sistema
  • 23:12 - 23:14
    y tratar de responder estas
    preguntas en el contexto
  • 23:14 - 23:17
    de la investigación sobre e-voting.
  • 23:19 - 23:23
    Finalmente tuve esta oportunidad
    en octubre del año pasado (2013),
  • 23:23 - 23:28
    cuando fui invitado junto con un equipo
    de otros investigadores internacionales,
  • 23:28 - 23:30
    por el Gobierno de la ciudad de Tallinn,
  • 23:30 - 23:34
    para ir a Estonia para hablar de
    nuestra experiencia con e-voting,
  • 23:34 - 23:37
    y para ser un observador
    en la elección nacional.
  • 23:37 - 23:43
    Ver realmente el proceso del sistema
    de e-voting siendo administrado.
  • 23:44 - 23:47
    Así que fuimos acreditados oficialmente
    como observadores de la elección.
  • 23:48 - 23:51
    Nos dieron un tour por el data center,
  • 23:51 - 23:56
    donde estaban alojados los
    servidores que llevaban la elección.
  • 23:57 - 23:59
    Nos reunimos con varios
    desarrolladores del sistema
  • 23:59 - 24:03
    y los entrevisté extensivamente,
    incluyendo gente como Tarvi Martens,
  • 24:03 - 24:10
    el padre del sistema, quien dio
    una charla en el 25° C3 años atrás.
  • 24:10 - 24:15
    Tarvi es uno de los desarrolladores
    líderes y este es su bebé.
  • 24:15 - 24:18
    Así que fue un gran placer
    poder hablar frente a frente
  • 24:18 - 24:23
    por largo tiempo, pasar el día con él,
    y aprender cómo funciona el sistema.
  • 24:23 - 24:25
    También pudimos examinar
    el código fuente
  • 24:25 - 24:30
    porque Estonia, el año pasado,
    liberó por primera vez,
  • 24:30 - 24:32
    código fuente parcial
    del sistema de e-voting.
  • 24:32 - 24:37
    Ellos liberaron código del servidor.
    El código del cliente todavía está cerrado.
  • 24:37 - 24:40
    Te piden que instales un programa
    de código cerrado en tu computadora.
  • 24:40 - 24:45
    Ellos dicen que es para impedir que alguien
    construya software deshonesto o algo así,
  • 24:45 - 24:48
    o al menos hacer que sea más difícil.
  • 24:48 - 24:52
    También pudimos revisar, y esto es algo
    realmente interesante que hicieron,
  • 24:52 - 24:55
    pudimos revisar docenas de horas de vídeo
  • 24:55 - 24:58
    del Correo de Estonia durante la elección,
  • 24:58 - 25:01
    de ellos haciendo la configuración
    del servidor antes de las elecciones,
  • 25:01 - 25:04
    haciendo la copia de seguridad diaria,
    en el data center.
  • 25:04 - 25:06
    Fue realmente interesante que nos
    proveyeran esto.
  • 25:06 - 25:10
    Y nos dieron la posibilidad de llenar
    un montón de huecos, los vacíos
  • 25:10 - 25:13
    y cómo el sistema estaba siendo
    ejecutado realmente.
  • 25:18 - 25:20
    Lo próximo que quiero mostrarles
  • 25:20 - 25:23
    es cómo se veía el sistema desde
    la perspectiva del votante.
  • 25:23 - 25:26
    Digamos que eres un votante en Estonia,
  • 25:26 - 25:28
    y vas a emitir tu voto.
  • 25:28 - 25:30
    Tienes cerca de una semana para hacerlo
  • 25:30 - 25:34
    antes del día de
    la votación presencial.
  • 25:35 - 25:38
    Inicias sesión en tu computadora,
    descargas la aplicación.
  • 25:38 - 25:42
    Hay una sola cosa en este escenario que
    puede lucir inusual para otras personas.
  • 25:42 - 25:44
    Es esto, ¿qué esto?
  • 25:44 - 25:47
    Bueno, Estonia, una de las cosas
    realmente interesantes
  • 25:47 - 25:49
    que hicieron con tecnología informática
  • 25:49 - 25:51
    es que sus documentos
    nacionales de identificación
  • 25:51 - 25:53
    son también tarjetas inteligentes.
  • 25:53 - 25:57
    De hecho, todo ciudadano en el país,
    tiene uno de estos documentos
  • 25:57 - 26:01
    que tienen un par de claves RSA
    embebidas en su chip.
  • 26:01 - 26:06
    Y puedes usar ambas para autenticarte
    en un servidor web
  • 26:06 - 26:10
    usando un cliente con
    autenticación HTTPS/TLS.
  • 26:10 - 26:13
    Son de los pocos países en los que
    ha sido ampliamente adoptado.
  • 26:14 - 26:16
    O para firmar documentos.
  • 26:16 - 26:18
    Y tienen un formato
    de documento electrónico
  • 26:18 - 26:21
    reconocido por el gobierno que acepta
    firmas de estas tarjetas
  • 26:21 - 26:23
    con carácter jurídicamente vinculante.
  • 26:24 - 26:28
    Así que muchos países han intentado
    hacer cosas como estas,
  • 26:28 - 26:32
    pero Estonia es única. De hecho,
    esto es ampliamente utilizado.
  • 26:32 - 26:35
    Muchas personas, una gran
    fracción de estonios,
  • 26:35 - 26:38
    usa estas tarjetas para bancos online,
  • 26:38 - 26:40
    las usan para llenar sus
    declaraciones de impuestos,
  • 26:40 - 26:45
    las usan para acceder a
    servicios de salud online.
  • 26:45 - 26:48
    Es ampliamente utilizado.
  • 26:48 - 26:52
    Pienso que es fantástico que
    hayan sido capaces de desplegar
  • 26:52 - 26:54
    una PKI nacional, y ver
    que la hayan adoptado.
  • 26:54 - 26:56
    Así que realmente no sorprende
  • 26:56 - 26:59
    que hayan basado el diseño completo
    del sistema de votación
  • 26:59 - 27:03
    en las capacidades y funciones
    que proveen estas tarjetas.
  • 27:04 - 27:07
    Así que, como un estonio que va a votar,
    la primera cosa que haces
  • 27:07 - 27:12
    es ir a un sitio web oficial
    y descargar la aplicación cliente
  • 27:12 - 27:15
    y está disponible para
    Windows, Mac y Linux.
  • 27:15 - 27:18
    Entonces instalas el cliente
    en tu computadora,
  • 27:18 - 27:21
    y procedes a interactuar con él
    usando tu tarjeta inteligente,
  • 27:21 - 27:24
    tu documento nacional de identidad,
    para emitir tu voto.
  • 27:24 - 27:26
    Así es como funciona:
  • 27:26 - 27:33
    Lo primero que haces es correr la aplicación
    y esta te pide un pin de 4 dígitos.
  • 27:33 - 27:36
    Este pin es requerido
    por la tarjeta inteligente,
  • 27:36 - 27:41
    para poder activar las funciones
    de autenticación y firmado,
  • 27:41 - 27:44
    y permitirte usar las claves.
  • 27:44 - 27:46
    Después de eso, se conecta al
    servidor de la elección,
  • 27:46 - 27:49
    se autentica usando el cliente
    con autenticación TLS,
  • 27:49 - 27:52
    determina dónde vives
    y envía la boleta a la aplicación.
  • 27:52 - 27:56
    Tu seleccionas por quién
    quieres votar, en la aplicación.
  • 27:57 - 28:00
    Hay una nueva aplicación
    para cada elección, por cierto.
  • 28:02 - 28:04
    En ese punto, cliqueas para emitir tu voto
  • 28:04 - 28:09
    y el software de la elección
    realiza algún tipo de encripción.
  • 28:09 - 28:11
    Así que aquí está lo que hace.
    Hace dos cosas:
  • 28:11 - 28:16
    Primero, va a encriptar tu voto usando RSA
  • 28:17 - 28:23
    y usando algún padding aleatorio
    que ha sido generado por el cliente.
  • 28:23 - 28:26
    Entonces, toma esa boleta encriptada,
  • 28:26 - 28:32
    y la firma digitalmente usando
    tu tarjeta nacional de identidad.
  • 28:33 - 28:37
    Del segundo paso, donde firma digitalmente,
    resulta en una boleta firmada
  • 28:37 - 28:41
    y la boleta firmada y encriptada
    va al servidor de la elección
  • 28:41 - 28:44
    donde es almacenada hasta que
    sea tiempo de contar los votos.
  • 28:44 - 28:47
    Así que ese es el proceso de votación,
    en pocas palabras. Muy simple.
  • 28:48 - 28:51
    Luego, Estonia tiene una
    funcionalidad que ha sido
  • 28:51 - 28:53
    introducida en los últimos años
  • 28:53 - 28:57
    que te permite hacer algo
    que ellos llaman "verificación".
  • 28:57 - 29:00
    Así que la última cosa que hace
    la aplicación cliente
  • 29:00 - 29:05
    es mostrarte este código QR.
    Y el código QR contiene dos cosas:
  • 29:05 - 29:10
    un identificador de boleta y los
    valores aleatorios que fueron usados
  • 29:10 - 29:14
    como padding de la boleta antes
    de la encripción RSA.
  • 29:15 - 29:19
    Usando estas cosas, puedes utilizar
    una aplicación para smartphones
  • 29:19 - 29:24
    —y están disponibles para iOS y Android—
    para escanear el código QR,
  • 29:24 - 29:29
    la aplicación luego consulta
    a los servidores de la elección,
  • 29:29 - 29:33
    y los servidores retornan una boleta
    encriptada con las firmas removidas.
  • 29:33 - 29:39
    Este es el servidor diciendo que
    esta fue la boleta que recibió de ti.
  • 29:39 - 29:43
    OK. En ese punto, usando
    los valores aleatorios,
  • 29:43 - 29:46
    que obtienen del código QR,
    el smartphone puede intentar,
  • 29:46 - 29:51
    por fuerza bruta, conocer tu voto.
    Puede tratar cada opción posible,
  • 29:51 - 29:55
    hasta conseguir una que resulte
    en la misma encripción.
  • 29:55 - 30:00
    Si encuentra una que coincide,
    muestra el candidato resultante.
  • 30:01 - 30:04
    Como medida de seguridad
    contra la coerción,
  • 30:04 - 30:08
    este procedimiento de validación
    sólo puede ser realizado hasta 3 veces,
  • 30:08 - 30:10
    y sólo puede ser realizado dentro
    de los 30 minutos siguientes
  • 30:10 - 30:14
    a la emisión del voto. De otra forma,
    alguien que quisiera coercionarte
  • 30:14 - 30:17
    podría decir: "muéstrame tu verificación".
  • 30:18 - 30:21
    Como otra salvaguarda interesante
    contra la coerción,
  • 30:21 - 30:25
    tienes la posibilidad de reemplazar
    tu voto, tantas veces como quieras,
  • 30:25 - 30:28
    hasta la votación presencial.
  • 30:28 - 30:33
    Así que haces el proceso nuevamente,
    y tu nuevo voto, reemplaza al anterior.
  • 30:33 - 30:36
    Sólo cuenta el voto más reciente.
  • 30:37 - 30:41
    Bien, ese es el proceso de verificación.
    Ahora, ¿cómo funciona el conteo?
  • 30:41 - 30:44
    El conteo es interesante
    en el sistema estonio
  • 30:44 - 30:48
    porque es, básicamente, tratar
    de hacer la analogía criptográfica
  • 30:48 - 30:54
    de los sobres dobles de voto a distancia
    que son utilizados en muchos países.
  • 30:54 - 30:57
    Básicamente, con el sobre doble
    de voto a distancia,
  • 30:57 - 31:01
    tienes un sobre interno seguro
    que contiene tu boleta,
  • 31:01 - 31:06
    y un sobre externo que contiene
    tu nombre y firma.
  • 31:06 - 31:11
    Al momento de contar, quitan tu
    nombre y firma luego de verificar que
  • 31:11 - 31:13
    has votado una sola vez y que
    tienes el derecho a votar.
  • 31:13 - 31:18
    Luego separan el sobre interno,
    los mezclan, así no pueden
  • 31:18 - 31:22
    correlacionarse con los nombres,
    los abren y cuentan los votos.
  • 31:22 - 31:25
    Bueno, en el sistema estonio
    están haciendo algo similar.
  • 31:25 - 31:27
    Los servidores de la elección
    almacenan los votos
  • 31:27 - 31:30
    hasta que es tiempo de contar.
  • 31:30 - 31:34
    Y luego toman esas boletas
    encriptadas y firmadas,
  • 31:34 - 31:39
    remueven las firmas,
    y las graban en un DVD.
  • 31:40 - 31:44
    Luego toman este DVD y lo usan
    para llevar las boletas encriptadas
  • 31:44 - 31:49
    a una máquina físicamente separada y sin
    conectividad llamada "servidor de conteo".
  • 31:49 - 31:53
    Y sólo el servidor de conteo
    tiene acceso a la clave privada
  • 31:53 - 31:56
    que es usada para desencriptar las boletas.
  • 31:56 - 31:59
    Así que encriptan todo el camino desde
    el cliente hasta el servidor de conteo.
  • 31:59 - 32:03
    Y el servidor de conteo puede
    desencriptar y ver los votos,
  • 32:03 - 32:07
    pero nunca ve las firmas
    que las identifican.
  • 32:07 - 32:11
    Así que de esa manera intentan
    mantener el secreto del voto.
  • 32:12 - 32:15
    El resultado producido por el servidor
    de conteo es, simplemente,
  • 32:15 - 32:17
    el resultado de la elección.
  • 32:17 - 32:21
    Suman los votos presenciales
    y se declara el ganador.
  • 32:21 - 32:23
    Así que ese es el proceso estonio.
  • 32:23 - 32:27
    Y fue realmente interesante
    entender cómo funciona.
  • 32:27 - 32:29
    No hay descripciones publicadas
    en inglés
  • 32:29 - 32:33
    que cubran todo el proceso,
    anteriores a nuestro estudio.
  • 32:33 - 32:37
    Tuvimos que preguntarle a la gente
    y revisar el código fuente
  • 32:37 - 32:40
    para tener una buena idea de lo que
    estaba sucediendo realmente.
  • 32:41 - 32:44
    La próxima pregunta luego de entender
    cómo funciona el sistema es:
  • 32:44 - 32:46
    ¿A qué amenazas se enfrenta?
  • 32:48 - 32:53
    Ya hemos revisado algunos de los
    problemas de la votación por Internet.
  • 32:53 - 32:56
    Ataques internos por parte de
    autoridades electorales deshonestas,
  • 32:56 - 32:59
    coerción para con los votantes,
    malware en el cliente.
  • 32:59 - 33:02
    ¿Pero quién más quiere
    atacar un sistema así?
  • 33:02 - 33:08
    Bueno, Estonia nos trae un ejemplo
    particular a la mente.
  • 33:08 - 33:13
    Porque, antes que nada, Estonia,
    muy notablemente fue alcanzada en 2007
  • 33:13 - 33:18
    por algunos de los primeros ejemplos
  • 33:18 - 33:22
    de lo que muchos observadores consideran
    como una ciber-guerra entre estados.
  • 33:22 - 33:26
    Ellos sufrieron ataques de denegación
    de servicio a gran escala
  • 33:26 - 33:32
    contra la infraestructura nacional,
    de grupos asociados con Moscú.
  • 33:33 - 33:42
    En segundo lugar, el verano pasado
    Ucrania tuvo una elección post-revolución.
  • 33:42 - 33:46
    Y durante esas elecciones,
    hubo ataques extendidos contra
  • 33:46 - 33:49
    la infraestructura de la
    elección en sí misma.
  • 33:49 - 33:53
    Ahora, esa elección
    no fue realizada online,
  • 33:53 - 33:56
    pero el proceso de tabulación,
    el proceso que reunir
  • 33:56 - 33:59
    todos los resultados a través del país
  • 33:59 - 34:02
    se apoyaba en redes de computadoras
    para recibir votos
  • 34:02 - 34:05
    y publicar los totales online.
  • 34:05 - 34:09
    Se reportó que ese proceso
    fue atacado por grupos
  • 34:09 - 34:11
    que se cree que están
    vinculados a Rusia también,
  • 34:11 - 34:14
    quienes intentaron desacreditar
    la elección
  • 34:14 - 34:18
    e incluso intentaron, según leí,
    difundir resultados incorrectos.
  • 34:19 - 34:22
    Esto se hizo público el verano pasado.
  • 34:22 - 34:25
    Esto me lleva a pensar que
    el modelo correcto de amenazas,
  • 34:25 - 34:28
    para sistemas de votación
    por Internet, tiene que incluir
  • 34:28 - 34:30
    atacantes sofisticados a nivel estatal,
  • 34:30 - 34:32
    que pueden querer influenciar
    el resultado nacional.
  • 34:32 - 34:34
    Y para un país como Estonia,
  • 34:34 - 34:38
    ya saben, un miembro de la UE
    y la OTAN, que limita con Rusia,
  • 34:38 - 34:42
    hay posiblemente muchos atacantes
    sofisticados a nivel estatal,
  • 34:42 - 34:45
    que podrían querer inmiscuirse
    en sus futuras alineaciones.
  • 34:47 - 34:50
    Así que, con ese modelo
    de amenazas en mente,
  • 34:50 - 34:53
    evaluemos el diseño del
    sistema de Estonia.
  • 34:53 - 35:00
    Y hay dos componentes del diseño de
    Estonia que —sólo revisando el diseño—
  • 35:00 - 35:03
    pueden decir son componentes
    implícitamente de confianza.
  • 35:03 - 35:06
    Y ya saben, en seguridad, cuando
    decimos que algo es "de confianza",
  • 35:06 - 35:10
    básicamente queremos decir que si es
    hackeado, entonces estamos cagados.
  • 35:11 - 35:13
    Así que eso queremos decir
    con "de confianza".
  • 35:13 - 35:16
    Estos dos componentes son la
    aplicación cliente del votante,
  • 35:16 - 35:19
    y el servidor de conteo.
    Y déjenme decirles por qué
  • 35:19 - 35:24
    estos dos son puntos potenciales
    de vulnerabilidad,
  • 35:24 - 35:28
    o puntos serios de vulnerabilidad
    en el diseño de Estonia.
  • 35:28 - 35:30
    Empecemos con la aplicación cliente.
  • 35:30 - 35:33
    La aplicación cliente
    del votante en Estonia
  • 35:33 - 35:36
    podría ser potencialmente comprometida
    por malware del lado del cliente.
  • 35:36 - 35:40
    Así que aquí hay un diseño simple
    de malware, algo que de hecho
  • 35:40 - 35:42
    implementamos en el laboratorio.
  • 35:42 - 35:44
    Para implementar estos ataques,
    por cierto,
  • 35:44 - 35:47
    hemos reproducido el sistema
    completo de Estonia
  • 35:47 - 35:49
    en nuestro laboratorio
  • 35:49 - 35:50
    usando su código fuente
    del lado del servidor,
  • 35:50 - 35:54
    sus procedimientos documentados, y
    haciendo ingeniería inversa en el cliente
  • 35:54 - 35:58
    para hacer que hable con nuestro servidor y
    use nuestras claves en vez de las oficiales.
  • 35:58 - 36:01
    Así que montamos una elección simulada
    completa en el laboratorio.
  • 36:01 - 36:04
    Y tenemos imágenes de las máquinas
    virtuales en nuestro sitio web
  • 36:04 - 36:07
    si alguien desea probar
    jugando con ellas en sus laboratorios.
  • 36:07 - 36:10
    Imaginen que tienen la aplicación
    cliente del votante
  • 36:10 - 36:12
    y son capaces de meter malware
    en ella.
  • 36:12 - 36:14
    Ese malware podría, básicamente,
  • 36:14 - 36:17
    espiar el proceso de elección
    en el cliente
  • 36:17 - 36:21
    y robar el pin del votante,
    mientras lo escribe,
  • 36:21 - 36:23
    durante la elección real.
  • 36:23 - 36:27
    Entonces, luego, la próxima vez
    que el votante ponga
  • 36:27 - 36:31
    su tarjeta de identificación, digamos
    para operar con el banco online,
  • 36:31 - 36:33
    ese malware puede, invisiblemente
    en segundo plano,
  • 36:33 - 36:37
    usar ese pin robado para
    emitir el voto de reemplazo.
  • 36:38 - 36:41
    El votante nunca se entera,
    el voto es cambiado
  • 36:41 - 36:47
    y el atacante es capaz de
    robar un voto con este procedimiento.
  • 36:47 - 36:49
    Ahora, hay dos grandes preguntas aquí:
  • 36:49 - 36:53
    ¿Cómo infectar la aplicación cliente y
    cómo vencer la aplicación de verificación?
  • 36:54 - 36:57
    ¿Cómo infectar los clientes?
    Bueno, tuvimos que dejar esto
  • 36:57 - 37:01
    un poco a la imaginación,
    porque no teníamos una
  • 37:01 - 37:06
    botnet preexistente infectando miles de
    computadoras en Estonia para jugar con ella.
  • 37:06 - 37:09
    Pero otra gente sí la tiene.
  • 37:10 - 37:12
    Así que una forma… esa es una forma,
    que puedes imaginar fácilmente,
  • 37:12 - 37:14
    de cambiar miles de votos.
  • 37:14 - 37:20
    Otra forma sería, digamos eres la NSA,
    tienes tu montón de ataques 0-day,
  • 37:20 - 37:26
    simplemente puedes atacar algún sitio web
    o aplicación popular usada en Estonia,
  • 37:26 - 37:28
    y así infectar la aplicación cliente
    de las personas con el malware.
  • 37:28 - 37:31
    Una tercera forma puede ser
    meter código malicioso
  • 37:31 - 37:33
    dentro de la aplicación
    oficial de votación.
  • 37:33 - 37:37
    La que sabemos es algo que todos
    los que votan online en Estonia
  • 37:37 - 37:40
    instalan antes de la elección.
  • 37:40 - 37:43
    De cualquier manera, hay varias formas
    en las que podrían infectar los clientes.
  • 37:43 - 37:46
    Luego ¿cómo ganarle a la aplicación
    de verificación?
  • 37:46 - 37:49
    Bueno, resulta que esto no es algo
    tan complicado.
  • 37:49 - 37:53
    Gracias a sus esquemas de anti-coerción
  • 37:53 - 37:56
    —recuerden la tensión entre
    integridad y secreto del voto.
  • 37:57 - 37:58
    Gracias a los esquemas de anti-coerción,
  • 37:58 - 38:03
    La aplicación de verificación
    puede ser solamente usada
  • 38:03 - 38:05
    por 30 minutos luego de que
    la elección se ha realizado,
  • 38:05 - 38:07
    luego de que el voto es emitido.
  • 38:07 - 38:09
    Así que todo lo que tenemos
    que hacer es esperar.
  • 38:10 - 38:13
    Si eso no funciona, si eso
    es muy sospechoso
  • 38:13 - 38:15
    también podríamos intentar
    un ataque híbrido
  • 38:15 - 38:17
    involucrando una aplicación de
    Android maliciosa
  • 38:17 - 38:20
    y comprometiendo la aplicación
    cliente de los votantes.
  • 38:20 - 38:22
    Gracias a la convergencia
    de estas plataformas
  • 38:22 - 38:25
    ya no es tan difícil de creer
  • 38:25 - 38:29
    que alguien podría, simultáneamente,
    y de manera correlativa, atacar ambas.
  • 38:29 - 38:33
    De cualquier manera, hay varias formas
    de hacer estas dos cosas.
  • 38:33 - 38:36
    Podemos continuar y mirar el lado
    del servidor también.
  • 38:36 - 38:40
    Ahora, del lado del servidor,
    el "talón de Aquiles" del sistema
  • 38:40 - 38:41
    es el servidor de conteo.
  • 38:41 - 38:46
    Es la única cosa que manipula
    los votos desencriptados.
  • 38:46 - 38:49
    Y nadie ve esos votos,
    sólo ven el resultado.
  • 38:49 - 38:52
    Así que si el servidor de conteo
    miente… ¿si?
  • 38:52 - 38:55
    Si el servidor de conteo miente,
    entonces simplemente puede
  • 38:55 - 38:58
    arbitrariamente decir cuál es
    el resultado de la elección.
  • 38:58 - 39:00
    Pero ellos trataron que
    el servidor de conteo
  • 39:00 - 39:02
    fuera bastante difícil de manipular.
  • 39:02 - 39:04
    Está sin conexión, es montado
    antes de la elección,
  • 39:04 - 39:07
    está sellado, está en algún
    lugar seguro.
  • 39:07 - 39:10
    Tenemos que imaginar
    que es bastante difícil.
  • 39:10 - 39:12
    Así que, de alguna forma,
    necesitas una manera
  • 39:12 - 39:16
    de alterar el comportamiento
    del código en esa máquina.
  • 39:16 - 39:21
    Ahora, hemos experimentado y hasta
    construimos una toolchain para hacerlo
  • 39:21 - 39:26
    y comprometer esa máquina, incluso con los
    procedimientos de seguridad que montaron.
  • 39:27 - 39:34
    Nuestra toolchain se basa en la ideas
    de "Reflections on Trusting Trust"
  • 39:34 - 39:38
    de Ken Thompson, que dice que aún
    si un sistema es seguro,
  • 39:38 - 39:41
    necesitas otro sistema para construirlo.
  • 39:41 - 39:44
    ¿Si? Y necesitas algún otro sistema
    para hacer aquel.
  • 39:44 - 39:46
    Así que si sigues esa cadena,
  • 39:46 - 39:50
    eventualmente llegarás a un lugar
    al que el atacante tiene acceso.
  • 39:50 - 39:54
    Así que, en nuestra investigación,
    descubrimos que la forma
  • 39:54 - 39:57
    en la que montaron esa máquina
    para el servidor de conteo,
  • 39:57 - 40:03
    que corre, creo, una variante de Debian
    que es instalada desde un DVD,
  • 40:03 - 40:06
    ese DVD es quemado en una máquina
    de desarrollo separada,
  • 40:06 - 40:09
    que es montada antes de la elección,
  • 40:09 - 40:15
    y de hecho, descarga una copia fresca
    de Debian de la web y quema el DVD.
  • 40:15 - 40:18
    Así que, asumamos que podemos
    retroceder algunos…
  • 40:18 - 40:21
    algunos niveles desde el
    servidor de conteo
  • 40:21 - 40:25
    y comprometer ese servidor de desarrollo,
    que está conectado a Internet, que es
  • 40:25 - 40:29
    montado antes de iniciar la grabación
    de vídeo al comienzo de la elección.
  • 40:29 - 40:31
    Digamos que podemos meter
    algún malware ahí.
  • 40:31 - 40:35
    Así que construimos una demostración
    en donde ese malware
  • 40:35 - 40:39
    infecta el CD de instalación
    que es quemado,
  • 40:39 - 40:46
    usa un rootkit para mentir acerca
    del hash SHA-1 de esa imagen ISO,
  • 40:46 - 40:51
    porque ellos la verifican.
    Y entonces ese DVD comprometido
  • 40:51 - 40:55
    procede a instalar algún código backdoor
    en el servidor de conteo cuando es montado.
  • 40:56 - 40:59
    En ese punto, cambiar votos
    es realmente fácil.
  • 40:59 - 41:01
    Todo lo que tenemos que hacer
  • 41:01 - 41:04
    es interceptar algún código en
    el servidor de conteo,
  • 41:04 - 41:09
    que usa un HSM conectado, para hacer
    la desencripción de cada voto
  • 41:09 - 41:12
    y básicamente mira lo que
    vuelve del HSM
  • 41:12 - 41:15
    y lo reemplaza con el voto que elijamos.
  • 41:15 - 41:17
    De esta forma, toma aproximadamente
    el tiempo correcto,
  • 41:17 - 41:20
    el HSM desencripta los votos reales,
  • 41:20 - 41:23
    pero los resultados son fraudulentos.
  • 41:24 - 41:26
    OK. Estos son dos ataques
  • 41:26 - 41:30
    que se basan un poco en
    capacidades que no tenemos.
  • 41:31 - 41:34
    Acceso a 0-day, o a una botnet,
    o acceso privilegiado.
  • 41:34 - 41:37
    Todas cosas que los atacantes
    reales sí tienen.
  • 41:37 - 41:39
    Pero aún puede ser posible
  • 41:39 - 41:42
    que la seguridad operacional
    de Estonia sea tan buena
  • 41:42 - 41:47
    que estos atacantes avanzados tendrían
    problemas comprometiendo las máquinas.
  • 41:47 - 41:50
    Así que, ¿qué tan buena es su
    seguridad operacional?
  • 41:50 - 41:52
    Esta fue una gran pregunta
    en nuestro trabajo, y es algo
  • 41:52 - 41:56
    a lo que dedicamos bastante tiempo
    revisando los vídeos,
  • 41:56 - 41:58
    haciendo las entrevistas
    para averiguarlo.
  • 42:00 - 42:02
    El presidente de Estonia,
    este hombre,
  • 42:02 - 42:05
    dice que su seguridad es
    mejor que la de Google.
  • 42:06 - 42:09
    Este es el estándar que
    se han puesto a ellos mismos.
  • 42:09 - 42:12
    Es bueno, es algo a lo que aspirar.
  • 42:12 - 42:14
    Veamos qué tan buena es su seguridad,
  • 42:14 - 42:18
    basados en los vídeos oficiales, que
    ellos publicaron durante la elección.
  • 42:20 - 42:22
    Aquí está Tarvi Martens.
  • 42:22 - 42:28
    Sobre su cabeza, está el SSID del Wi-Fi
    y contraseña para el terrorismo de la red.
  • 42:35 - 42:39
    Aquí están montando algo
    del software y los servidores
  • 42:39 - 42:42
    y la configuración para las
    máquinas reales.
  • 42:42 - 42:46
    Hagamos zoom sobre
    la pizarra blanca aquí…
  • 42:46 - 42:48
    Oh, ellos están usando
    algún shareware para Windows
  • 42:48 - 42:51
    que están descargando por HTTP
  • 42:51 - 42:54
    para escribir los archivos
    de configuración para los servidores.
  • 42:54 - 42:56
    Esto no luce bien.
  • 42:57 - 43:01
    Sigamos adelante. Aquí hay otra
    computadora en la que están probando
  • 43:01 - 43:04
    el software cliente,
    en esta captura de aquí.
  • 43:04 - 43:05
    Hagamos zoom…
  • 43:05 - 43:07
    Pueden ver el escritorio bastante bien.
  • 43:07 - 43:11
    Oh, esperen un minuto. ¿Qué son
    todos esos íconos en el escritorio?
  • 43:11 - 43:15
    Aquí hay algún sitio de poker,
    un cliente de BitTorrent,
  • 43:15 - 43:18
    creo que esto es música pirateada.
  • 43:19 - 43:23
    Esto no es una máquina limpia y segura.
  • 43:23 - 43:26
    Espero que no estén haciendo
    nada importante.
  • 43:27 - 43:32
    Oh, aquí están firmando digitalmente
    el cliente oficial de votación
  • 43:32 - 43:38
    que van a pedir que cada uno en el país
    descargue e instale en sus computadoras.
  • 43:38 - 43:41
    ¡Dios mío! Esto es
    lo más peligroso posible,
  • 43:41 - 43:45
    tener el binario real del cliente en
    una máquina potencialmente comprometida.
  • 43:45 - 43:47
    Así que si alguien compromete esta máquina
  • 43:47 - 43:50
    pueden meter el malware en el
    cliente oficial de votación
  • 43:50 - 43:53
    y distribuirlo a todo votante estonio.
  • 43:56 - 44:00
    Luego, en la misma máquina
    está el nombre de Tarvi.
  • 44:00 - 44:03
    Creo que esta es la laptop
    personal de Tarvi.
  • 44:05 - 44:09
    Aquí están configurando
    uno de los servidores.
  • 44:09 - 44:13
    Están ingresando como "root".
    Puedes ver sus pulsaciones de teclas.
  • 44:16 - 44:19
    Aquí hay alguien ingresando su PIN
    de su tarjeta nacional de identificación.
  • 44:19 - 44:23
    Y aquí, en el data center
    —esto es realmente útil—,
  • 44:23 - 44:29
    esta gran llave aquí, la llave grande
    es la que abre la puerta del data center.
  • 44:31 - 44:33
    ¿Alguien tiene una impresora 3D?
  • 44:35 - 44:42
    Esto no parecer ser el nivel de
    seguridad operacional que necesitaríamos
  • 44:42 - 44:45
    para defendernos de atacantes
    de nivel estatal.
  • 44:45 - 44:46
    Pero no quiero ser demasiado
    severo con ellos.
  • 44:46 - 44:49
    Este es el nivel de seguridad
    operacional que es típico
  • 44:49 - 44:52
    en un sistema de TI gubernamental.
  • 44:52 - 44:54
    Pero esto no es sólo
    un sistema de TI gubernamental,
  • 44:54 - 44:57
    esto está determinando
    cuál será el próximo liderazgo.
  • 44:57 - 45:00
    Esto es un sistema de seguridad
    nacional crítico.
  • 45:01 - 45:04
    Aquí hay algo más que pasó,
    tenían algunas cosas que andaban mal
  • 45:04 - 45:08
    después de… en la elección,
    en la última elección,
  • 45:08 - 45:15
    al final, cuando era hora de copiar los
    resultados oficiales del servidor de conteo
  • 45:15 - 45:18
    la grabadora de DVD no funcionaba.
  • 45:18 - 45:21
    Así que miraron alrededor,
    "¿cómo vamos a hacer esto?"
  • 45:21 - 45:25
    "Tenemos que copiarlos
    y traerlos a otro sistema
  • 45:25 - 45:27
    para firmarlos digitalmente y publicarlos"
  • 45:27 - 45:31
    Así que Tarvi Martens sacó
    el pen drive de su bolsillo
  • 45:31 - 45:34
    y lo puso en ese servidor de conteo
  • 45:34 - 45:37
    —la única que cosa que sabe
    cuáles fueron los votos reales—
  • 45:37 - 45:41
    y lo conectó a su laptop con Windows,
    y firmó los votos y los publicó.
  • 45:41 - 45:44
    Así que aquí está lo que apareció
    en su laptop con Windows
  • 45:44 - 45:46
    cuando conectó el pen drive.
  • 45:46 - 45:48
    Ustedes pueden ver lo que había,
  • 45:48 - 45:52
    tenía una charla que él dio
    sobre votación por Internet.
  • 45:52 - 45:56
    Este no es un pen drive limpio.
    Así que otro camino potencial
  • 45:56 - 45:59
    para meter malware
    en el servidor de conteo.
  • 46:00 - 46:03
    Esta fue nuestra evaluación,
    que el sistema de Estonia
  • 46:03 - 46:06
    tenía serias vulnerabilidades potenciales
  • 46:06 - 46:08
    especialmente contra adversarios
    de nivel estatal.
  • 46:08 - 46:15
    Y no había forma de que la seguridad
    operacional que tenían fuera a resistirlo.
  • 46:15 - 46:17
    Y estábamos en una situación difícil,
  • 46:17 - 46:21
    porque habíamos estado en Estonia
    en octubre pasado
  • 46:21 - 46:24
    y les dijimos a las autoridades
    electorales, básicamente,
  • 46:24 - 46:25
    que teníamos esas preocupaciones.
  • 46:25 - 46:28
    Entonces fuimos y las confirmamos
    en el laboratorio.
  • 46:29 - 46:34
    Estonia tenía otra elección cerca,
    en mayo de 2014.
  • 46:34 - 46:37
    Sabíamos esta información,
    ¿qué haríamos con ella?
  • 46:37 - 46:40
    Sabíamos que las autoridades electorales
    estaban convencidas de que el sistema
  • 46:40 - 46:42
    simplemente, estaba bien.
  • 46:42 - 46:46
    Así que decidimos hacer pública la
    información, y desafortunadamente
  • 46:46 - 46:50
    —porque todos tenemos un montón
    de otros proyectos en curso—
  • 46:50 - 46:54
    fue llevado más cerca de las elecciones
    de lo que me resultaba cómodo.
  • 46:54 - 46:59
    Y fuimos a Estonia unos 10 días
    antes de la siguiente elección
  • 46:59 - 47:03
    a decirle al público
    lo que habíamos descubierto.
  • 47:03 - 47:07
    Así que volamos, fuimos a ver
    a Tallinn, hermosa ciudad.
  • 47:07 - 47:10
    Establecimos un campamento base
    de hackers,
  • 47:10 - 47:17
    en un amplio y lindo lugar de Airbnb,
    con el equipo completo.
  • 47:17 - 47:19
    Y procedimos a llamar
    a una conferencia de prensa
  • 47:19 - 47:21
    y anunciar nuestros hallazgos.
  • 47:21 - 47:24
    Montamos un sitio web, que lo resumía,
    como lo tengo ahora,
  • 47:24 - 47:30
    para que la gente común pueda entender
    y publicamos un reporte técnico detallado
  • 47:30 - 47:34
    que luego fue publicado en la
    conferencia ACM CCS.
  • 47:35 - 47:37
    Así que la reacción,
    y entender la reacción,
  • 47:37 - 47:41
    requiere entender sólo dos cosas
    acerca de la política en Estonia.
  • 47:42 - 47:44
    Una, que hay dos grandes
    partidos políticos:
  • 47:44 - 47:48
    El Partido de la Reforma Estonio
    y el Partido del Centro de Estonia.
  • 47:48 - 47:52
    El Partido de la Reforma, que está
    actualmente en el gobierno nacional,
  • 47:52 - 47:55
    ama al sistema de e-voting,
    es su perrito mascota,
  • 47:55 - 47:58
    es una de las fuentes de
    orgullo nacional.
  • 47:58 - 48:00
    Quieren comercializarlo
    al resto de Europa
  • 48:00 - 48:03
    y mostrar cuán sobresaliente
    y moderna es Estonia.
  • 48:03 - 48:05
    El Partido del Centro de Estonia
  • 48:05 - 48:09
    —que estaba previamente
    a cargo del gobierno nacional—
  • 48:09 - 48:10
    es actualmente el partido minoritario,
  • 48:10 - 48:13
    pero ellos controlan
    la ciudad de Tallinn,
  • 48:13 - 48:16
    que es, básicamente,
    la ciudad-estado dentro del país.
  • 48:16 - 48:18
    Ellos odian el sistema de e-voting.
  • 48:18 - 48:21
    Posiblemente porque siguen
    perdiendo elecciones.
  • 48:22 - 48:23
    El partido que está fuera del poder
  • 48:23 - 48:26
    siempre odia, o está dispuesto
    a criticar la tecnología
  • 48:26 - 48:29
    y los partidos en el poder
    nunca lo están.
  • 48:29 - 48:32
    El Partido del Centro ha criticado
    el sistema por un largo tiempo
  • 48:32 - 48:35
    y el Partido de la Reforma, lo ama.
  • 48:35 - 48:38
    Desafortunadamente, cada medio de
    comunicación en Estonia
  • 48:38 - 48:42
    parece estar cercanamente afiliado
    con uno u otro partido.
  • 48:42 - 48:46
    Así que todos cubrieron
    los resultados potenciales,
  • 48:46 - 48:48
    los ataques potenciales
    que descubrimos.
  • 48:48 - 48:50
    Pero los cubrieron ya sea diciendo
  • 48:50 - 48:52
    que esto probaba que las elecciones
    eran fraudulentas,
  • 48:52 - 48:55
    o que había gente atacando
    el sistema de e-voting
  • 48:55 - 48:59
    porque estaban trabajando
    para el partido rival.
  • 48:59 - 49:01
    Así que nosotros aterrizamos
    en el medio de todo esto.
  • 49:01 - 49:05
    Y fue bastante increíble,
    pero no tan divertido.
  • 49:06 - 49:09
    Así que fue noticia principal
    por una semana
  • 49:09 - 49:11
    y estuvo al inicio de cada
    noticiero nocturno.
  • 49:11 - 49:15
    Volé a casa en avión,
    con gente, en las filas cercanas,
  • 49:15 - 49:17
    leyendo diarios con historias
    acerca de esto.
  • 49:17 - 49:20
    Fue la experiencia más rara.
  • 49:20 - 49:23
    También nos reunimos con
    las autoridades electorales
  • 49:23 - 49:25
    en una reunión muy formal
    con ellos y sus abogados.
  • 49:25 - 49:27
    Y Tarvi Martens nos agradeció mucho
  • 49:27 - 49:32
    y nos dijo que ellos habían tomado nota
    de todo estoy y que no había problemas.
  • 49:35 - 49:37
    También bebimos unos tragos
  • 49:37 - 49:41
    con la gente de seguridad
    que trabajaba para la elección.
  • 49:41 - 49:44
    Quienes estaban muy convencidos
    de que todo estaba bien,
  • 49:44 - 49:48
    porque la gente correcta seguía ganando.
  • 49:49 - 49:54
    Bueno, les pregunté qué pasaría
    si por algún error horrible
  • 49:54 - 49:56
    ganaba la gente incorrecta,
  • 49:56 - 50:00
    los despedía a todos ellos y seguía
    corriendo el sistema tal como está.
  • 50:01 - 50:06
    Con expresión algo triste dijeron
    que eso sería muy malo.
  • 50:08 - 50:12
    Más tarde, Harri Hursti,
    un miembro de nuestro equipo,
  • 50:12 - 50:15
    que es un finlandés muy corpulento,
  • 50:15 - 50:18
    y conocido como un prodigioso bebedor,
  • 50:18 - 50:21
    salió a beber con este agradable
    compañero ruso,
  • 50:21 - 50:25
    que es el jefe de la seguridad
    del equipo de operaciones electorales.
  • 50:26 - 50:32
    Durante la cena —me dijeron— cada uno
    consumió dos botellas de vodka.
  • 50:32 - 50:37
    Después de lo cual,
    ninguna verdad puede ocultarse.
  • 50:38 - 50:41
    Harri cuenta que, al final de esa noche,
  • 50:41 - 50:46
    él le había sacado la contraseña
    de root al jefe de seguridad.
  • 50:47 - 50:50
    Y aquí está, de regreso.
  • 50:56 - 50:58
    Una última cosa, para terminar.
  • 50:58 - 51:02
    El Primer Ministro de Estonia fue a la TV
  • 51:02 - 51:04
    y dijo que nos había buscado en Facebook
  • 51:04 - 51:07
    y que trabajábamos para su oponente
    para desacreditar el sistema,
  • 51:07 - 51:09
    porque aparentemente Jason Kitkat,
  • 51:09 - 51:11
    tenía como amigo a alguien de
    la oficina del alcalde.
  • 51:11 - 51:14
    También tenía como amigo al Ministro
    de Finanzas del Primer Ministro
  • 51:14 - 51:17
    y tenía una solicitud pendiente
    de amistad del Primer Ministro,
  • 51:17 - 51:21
    pero aparentemente nunca lo aceptó.
  • 51:22 - 51:24
    Finalmente, tenemos algo
    muy interesante.
  • 51:24 - 51:28
    Nunca antes había sido atacado
    en TV por un ministro de la OTAN,
  • 51:28 - 51:31
    especialmente por quienes
    fueran mis amigos.
  • 51:31 - 51:35
    Finalmente, tuvimos algunas respuestas
    oficiales interesantes, online,
  • 51:35 - 51:38
    de las autoridades electorales
    de Estonia.
  • 51:38 - 51:41
    Dijeron que la aplicación de verificación
    detecta los malos comportamientos.
  • 51:41 - 51:45
    Sí, correcto, hemos hablado acerca
    de la aplicación de verificación.
  • 51:45 - 51:48
    También dijeron: ¿por qué robar
    votos cuando podrías robar dinero?
  • 51:48 - 51:53
    Si pudieras hacer todo esto…
    Bueno, realmente no compro eso tampoco.
  • 51:53 - 51:58
    Pero la cosa más sorprendente
    fue que el CERT de Estonia
  • 51:58 - 52:01
    puso un post en un blog, que pueden
    encontrar online, también en inglés.
  • 52:03 - 52:07
    El título del post es
    "E-voting es (demasiado) seguro".
  • 52:08 - 52:13
    "La gente a la que le importa la higiene
    de su computadora no tiene virus", dicen.
  • 52:13 - 52:18
    "En la práctica, los riesgos informáticos
    fueron eliminados" en el sistema de e-voting
  • 52:18 - 52:22
    "Ellos (mi equipo) están aquí no
    por ser expertos informáticos sino
  • 52:22 - 52:26
    por su mensaje políticamente apropiado
    pero técnicamente incompetente".
  • 52:28 - 52:30
    No creo que vayamos a tener
    mucha suerte
  • 52:30 - 52:37
    convenciendo a Estonia para
    que cambie su sistema de votación.
  • 52:37 - 52:41
    Sin embargo, podemos extraer algunas
    lecciones para otros países.
  • 52:41 - 52:44
    El sistema de e-voting es,
    de hecho, inseguro
  • 52:44 - 52:48
    contra la clase de amenazas nacionales,
    actores a nivel de Estados,
  • 52:48 - 52:50
    que podrían potencialmente,
    tener como objetivo
  • 52:50 - 52:53
    a países modernos conduciendo elecciones
    a nivel nacional con e-voting.
  • 52:54 - 52:57
    Es un asunto de seguridad nacional,
    no un problema de TI.
  • 52:57 - 53:00
    Y si todavía piensan implementar
    un sistema como este
  • 53:00 - 53:05
    necesitan tener un modelo de amenazas y
    un nivel de defensa totalmente distintos.
  • 53:05 - 53:11
    La política, desafortunadamente como vimos,
    puede ocultar problemas técnicos importantes
  • 53:11 - 53:15
    Y si su país está considerando
    adoptar tales sistemas,
  • 53:15 - 53:17
    por favor, preocúpense por ello.
  • 53:17 - 53:20
    Nuestra recomendación es
    que Estonia debería discontinuar
  • 53:20 - 53:21
    su sistema de votación por Internet
  • 53:21 - 53:24
    hasta que tenga mejoras de
    seguridad fundamentales.
  • 53:24 - 53:32
    Pero espero… No tengo mucha
    esperanza con ellos.
  • 53:32 - 53:37
    Pero, sólo para concluir, esto es
    lo que vi como problema fundamental
  • 53:37 - 53:39
    con la votación por Internet.
  • 53:39 - 53:45
    Que queremos sistemas de votación a
    los que ustedes, o yo, o nuestros amigos,
  • 53:45 - 53:50
    o Tarvi Martens, o Vladimir Putin,
    o la NSA no puedan hackear
  • 53:50 - 53:53
    y cambiar el resultado de la elección.
    Es tan simple como eso.
  • 53:53 - 53:55
    ¡Queremos democracia!
  • 54:04 - 54:09
    Fraudes importantes tienen que ser al
    menos tan difíciles como son con papel.
  • 54:09 - 54:12
    Y ninguna tecnología, hasta ahora,
    puede asegurar eso.
  • 54:12 - 54:15
    Por este motivo, mi opinión,
    aún sabiendo que no conozco
  • 54:15 - 54:17
    todas las líneas de
    investigaciones prometedoras,
  • 54:17 - 54:21
    es que pasarán décadas,
    si es que alguna vez,
  • 54:21 - 54:23
    la votación por Internet
    pueda ser lo suficientemente segura
  • 54:23 - 54:25
    para su uso en elecciones nacionales
    importantes.
  • 54:25 - 54:29
    Y no sin avances fundamentales en
    seguridad informática. Muchas gracias.
  • 54:46 - 54:48
    —Muchas gracias, profesor,
  • 54:48 - 54:52
    por esta muy aterradora
    y muy entretenida charla.
  • 54:53 - 54:55
    Estamos un poco pasados de tiempo
  • 54:55 - 54:57
    pero afortunadamente tenemos
    un descanso
  • 54:57 - 54:59
    en sala 1, después de esta charla,
  • 54:59 - 55:02
    así que si hay algunas preguntas
  • 55:02 - 55:06
    por favor hagan cola detrás
    de uno de los ocho micrófonos.
  • 55:07 - 55:08
    Sí, número 4, por favor.
  • 55:08 - 55:13
    —Gracias por la charla. Usted exploró
  • 55:13 - 55:17
    cómo cambiar, atacar el servidor de conteo,
  • 55:17 - 55:23
    pero ¿ha analizado si puede hacer esto
  • 55:23 - 55:27
    si puede atacar este otro servidor?
  • 55:27 - 55:32
    Porque las firmas son removidas,
    si recuerdo correctamente,
  • 55:32 - 55:36
    así que el otro servidor,
    simplemente, podría
  • 55:36 - 55:41
    grabar votos arbitrariamente encriptados
    en el DVD, ¿no es eso correcto?
  • 55:41 - 55:44
    —Sí, de hecho eso es otra vulnerabilidad,
  • 55:44 - 55:46
    nos concentramos sólo en
    el servidor de conteo
  • 55:46 - 55:51
    porque eso fue, quizás,
    lo que consideramos que era
  • 55:51 - 55:53
    la versión más interesante
    de este ataque
  • 55:53 - 55:56
    pero hay otros lugares en
    los que podrías, potencialmente,
  • 55:56 - 55:57
    estar tentado de hacerlo también.
  • 55:57 - 56:00
    Creo que tendríamos más
    evidencia forense.
  • 56:00 - 56:04
    También sabemos, en términos
    de servidores frontend,
  • 56:04 - 56:09
    sabemos que los servidores
    utilizados en 2013
  • 56:09 - 56:13
    eran vulnerables a Heartbleed, por
    supuesto, descubierto meses más tarde.
  • 56:13 - 56:17
    Sospecho que eran vulnerables
    a Shellshock también.
  • 56:18 - 56:22
    Es realmente un problema
    si implementas un sistema como este
  • 56:22 - 56:24
    no importa lo cuidadoso que seas.
  • 56:27 - 56:30
    —Pregunta desde el número 3, por favor.
  • 56:32 - 56:36
    —Mi pregunta es si hubo algún
    testeo del servidor de conteo.
  • 56:36 - 56:38
    Podría imaginar, por ejemplo,
  • 56:38 - 56:42
    que simplemente podrías
    producir una gran pila
  • 56:42 - 56:45
    de DVDs grabados, en
    los que conoces los votos,
  • 56:45 - 56:50
    y correrlos en el sistema,
    quizás el día de la elección,
  • 56:50 - 56:54
    es decir: aquí hay 10 DVDs de muestra
    aquí están los votos reales
  • 56:54 - 56:59
    y lo hacemos en orden aleatorio,
    y correrlos varias veces,
  • 56:59 - 57:03
    y ver si todos los DVDs de prueba
  • 57:03 - 57:07
    están bien, en cualquier orden,
    el voto también estará bien.
  • 57:08 - 57:11
    —Sí, ellos no tienen
    procedimientos como ese.
  • 57:11 - 57:14
    Pienso que están agregando tales cosas.
  • 57:14 - 57:16
    Pero eso involucra algunas sutilezas.
  • 57:16 - 57:19
    Si montas algo así, debes asegurarte
    de que no hay forma de que el malware
  • 57:19 - 57:24
    pueda detectar cuándo es una auditoría
    o cuando se está contando un voto real.
  • 57:25 - 57:29
    Por decir, canales laterales
    o "secret knots",
  • 57:29 - 57:32
    podrías plantar alguna señal
    en los archivo de prueba
  • 57:32 - 57:35
    que podría causar que sean
    contados correctamente.
  • 57:35 - 57:39
    Así que tienes que ser muy muy cuidadoso
    cuando diseñas tales sistemas.
  • 57:39 - 57:42
    Mi preocupación no es tanto que
  • 57:43 - 57:45
    ninguno de estos problemas
    pueda ser corregido,
  • 57:45 - 57:49
    sino que corregirlos a todos
    perfectamente, resulte en
  • 57:49 - 57:53
    un sistema demasiado complejo
    de dirigir y administrar.
  • 57:53 - 57:56
    Es que vaya a resultar en
    un sistema "Rube Goldberg".
  • 57:56 - 57:58
    Pienso que es por eso
    que el sistema es como es
  • 57:58 - 58:00
    porque ellos tenían que
    tomar decisiones de compromiso
  • 58:00 - 58:02
    para construir un sistema que fuera
    lo suficientemente barato
  • 58:02 - 58:04
    y lo suficientemente fácil de ejecutar.
  • 58:04 - 58:08
    Y sí, podemos pensar en algunas
    mejoras para cada componente
  • 58:08 - 58:13
    pero tapar todos los huecos suena
    extremadamente difícil, al menos para mí.
  • 58:14 - 58:16
    —Pregunta desde número 4, por favor.
  • 58:17 - 58:20
    —Muchas gracias por su charla,
    fue realmente inspiradora.
  • 58:21 - 58:25
    Quería preguntar qué
    piensa sobre la pregunta
  • 58:25 - 58:28
    de si tales sistemas podrían
    alguna vez evolucionar
  • 58:28 - 58:31
    para ser lo suficientemente
    seguros, ya que veo
  • 58:31 - 58:35
    los desarrollos que suceden
    en seguridad
  • 58:35 - 58:40
    siempre disparados por hackers.
  • 58:41 - 58:43
    No solamente, pero cómo
  • 58:43 - 58:47
    los huecos en seguridad se van
    tapando según son detectados
  • 58:47 - 58:49
    es como una carrera entre los dos
  • 58:49 - 58:52
    que hacen que los sistemas evolucionen,
  • 58:52 - 58:55
    me pregunto si podrán alguna vez…
    —Es una gran pregunta,
  • 58:55 - 58:58
    y hay un área de investigación
    prometedora en esto.
  • 58:58 - 59:02
    Algo llamado "Verificabilidad por el
    votante de extremo a extremo".
  • 59:02 - 59:05
    Está basado en criptografía avanzada.
  • 59:05 - 59:07
    La idea aquí es, básicamente,
  • 59:07 - 59:11
    que quieres un sistema que asegure
    que tu voto es emitido como pretendes,
  • 59:11 - 59:13
    que es contado como se emite,
  • 59:13 - 59:14
    que todos los votos
    son contados como se emiten
  • 59:14 - 59:17
    y que cada votante pueda confirmar esto.
  • 59:17 - 59:18
    Una forma de lograr esto
  • 59:18 - 59:23
    es publicando el nombre de cada uno
    y cómo votaron en un diario, ¿si?
  • 59:23 - 59:27
    Pero por supuesto, no queremos eso.
    No es voto secreto.
  • 59:27 - 59:30
    Pero usando algunas versiones
    más avanzadas de criptografía
  • 59:30 - 59:31
    podemos obtener eso también.
  • 59:31 - 59:35
    Créase o no, es realmente poco intuitivo
    que puedas tener todas esas propiedades.
  • 59:36 - 59:38
    Hay tales sistemas en desarrollo
  • 59:38 - 59:42
    y si están interesados en intentar
    hackearlos y hacerlos mejores,
  • 59:42 - 59:45
    mirar en estos sistemas
    es un gran lugar para empezar.
  • 59:45 - 59:47
    Pero no están preparados
    para el "prime time",
  • 59:47 - 59:50
    hay un montón de preguntas
    acerca de la usabilidad,
  • 59:50 - 59:52
    acerca de la seguridad
    de los protocolos,
  • 59:52 - 59:54
    acerca de la complejidad
    de la implementación,
  • 59:54 - 59:58
    acerca de si podrían correr de forma
    apropiada a escala nacional.
  • 59:58 - 60:01
    Así que hay esperanza, hay esperanza
    viniendo de la investigación,
  • 60:01 - 60:04
    pero aún pienso que estamos,
    al menos a una década de distancia,
  • 60:04 - 60:07
    y eso si todo va bien, antes de que
    estén listos para el "prime time".
  • 60:07 - 60:10
    Aunque es una gran pregunta.
    —¿Puedo hacer otra pregunta corta?
  • 60:10 - 60:16
    ¿Cómo piensa que los usuarios finales
    serán capaces de confiar en estos sistemas
  • 60:16 - 60:20
    si no son desarrolladores
    como los que estamos aquí?
  • 60:20 - 60:24
    No tienen medios para verificar
    que no está habiendo fraude.
  • 60:24 - 60:26
    —Realmente, esa es una pregunta abierta,
  • 60:26 - 60:29
    quiero decir, sólo pensando
    en el contexto estadounidense,
  • 60:29 - 60:35
    no sé cómo reaccionarán los votantes
    cuando su gurú de radio favorito
  • 60:35 - 60:41
    salga al aire y diga el voto fue…
    la elección es un fraude
  • 60:41 - 60:43
    y algún nerd criptógrafo vaya y diga:
  • 60:43 - 60:47
    "No, puedo probarlo porque esta
    propiedad y esta, ya sabes,
  • 60:47 - 60:49
    esta mix net muestra
    que esto y aquello".
  • 60:49 - 60:52
    Sabes, creo que no sabemos
    cómo solucionar ese problema aún.
  • 60:52 - 60:55
    Y obtener confianza,
    —y confianza racional—
  • 60:55 - 60:59
    es uno de los grandes desafíos
    en cualquier tecnología electoral.
  • 60:59 - 61:01
    —Muchas gracias.
    —Gracias a ti.
  • 61:01 - 61:02
    —Número 1 tiene una pregunta.
  • 61:02 - 61:05
    —Si esas tarjetas inteligentes
    firman las transcripciones
  • 61:05 - 61:09
    y documentos bajo demanda,
    ¿se puede confiar en que
  • 61:09 - 61:13
    ningún handshake TLS o documento pueda
    pasar como una boleta encriptada?
  • 61:14 - 61:18
    —Hay claves separadas para
    autenticación y firma.
  • 61:22 - 61:25
    Espero que ellos hayan
    pensado en ese ataque.
  • 61:25 - 61:30
    Pero es una pregunta interesante, Adam.
    No es algo que hayamos mirado.
  • 61:30 - 61:31
    De hecho, dijimos que la seguridad
  • 61:31 - 61:38
    de esta PKI estaba fuera
    del alcance de nuestro estudio.
  • 61:38 - 61:42
    Pero Tarvi Martens es también
    el padre de la PKI nacional.
  • 61:42 - 61:48
    Así que podrías preguntarle sobre la
    seguridad de implementación y operaciones.
  • 61:48 - 61:51
    —Parece que puede no estar enteramente
    abierto a la pregunta. Pero gracias.
  • 61:53 - 61:55
    —Número 5 tiene una pregunta.
  • 61:55 - 62:01
    —Es como que, aún si hubo avances
    significativos en criptografía y…
  • 62:02 - 62:07
    ¿cómo un ciudadano confiaría
    en el sistema,
  • 62:07 - 62:11
    si esa persona no es un criptógrafo y
    no puede probarlo? Y la otra cosa es,
  • 62:11 - 62:14
    de niño te dicen que estamos en
    democracia, pero cuando creces
  • 62:14 - 62:17
    te das cuenta de que hay un montón
    de resultados sesgados,
  • 62:17 - 62:20
    y algunos votos cuentan
    más que otros y así sucesivamente.
  • 62:20 - 62:24
    Tienes que ser un cientista político
    para entender cómo se cuentan los votos,
  • 62:24 - 62:27
    y tienes que ser un criptógrafo para
    entender que el conteo es preciso.
  • 62:28 - 62:32
    ¿Hay alguna persona que tenga
    todo ese conocimiento y…
  • 62:33 - 62:39
    —Lo sé, lo sé. Son preguntas muy
    difíciles y no tengo las respuestas.
  • 62:39 - 62:42
    Puedo decir que mi creencia,
  • 62:42 - 62:45
    lo que personalmente pienso
    que debería ser el caso
  • 62:45 - 62:49
    es que los votantes deberían ser capaces
    de confiar en el resultado de la elección
  • 62:49 - 62:52
    sin tener que confiar en
    las autoridades electorales
  • 62:52 - 62:54
    o en cualquier casta
    especializada de gente.
  • 62:54 - 62:58
    Incluyendo los nerds, los criptógrafos,
    los cientistas políticos.
  • 62:58 - 63:04
    Debería ser posible. Tiene
    que ser posible para alguien
  • 63:04 - 63:08
    ir con sus amigos, con su grupo,
    con su club, con su partido
  • 63:08 - 63:12
    y observar el proceso electoral
    y establecer una confianza racional.
  • 63:12 - 63:15
    Debería ser diseñado así.
    Sé que eso es un problema.
  • 63:16 - 63:19
    De hecho, hay muchas maneras en las
    que podemos tratar de usar la tecnología
  • 63:19 - 63:21
    para dar a la gente formas de
    incrementar la confianza
  • 63:21 - 63:28
    incluyendo medios electrónicos para
    auditar elecciones con boletas de papel.
  • 63:28 - 63:31
    Ha habido una significativa cantidad
    de investigación en eso,
  • 63:31 - 63:36
    que te permitiría, sin
    criptografía avanzada,
  • 63:36 - 63:39
    sólo con alguna estadística básica,
    obtener confianza adicional
  • 63:39 - 63:41
    de que el resultado de la
    elección fue correcto.
  • 63:41 - 63:43
    Así que hay cosas que podemos
    hacer con tecnología.
  • 63:43 - 63:46
    Pero no tengo todas las respuestas.
  • 63:46 - 63:47
    —Número 2, por favor.
  • 63:48 - 63:54
    —Me gustaría preguntar si está
    familiarizado con el workflow de Bitcoin.
  • 63:55 - 64:01
    ¿Considera que mecanismos de encripción
    y desencripción como estos
  • 64:01 - 64:04
    pueden funcionar en
    elecciones electrónicas?
  • 64:05 - 64:08
    —Algunas personas han hablado
    de construir esquemas de votación
  • 64:08 - 64:13
    basados en algunas variantes
    del protocolo Bitcoin.
  • 64:13 - 64:17
    Pienso que es una idea interesante.
  • 64:17 - 64:21
    No sé si queremos confiar
    el resultado de una elección nacional
  • 64:21 - 64:24
    incluso al ecosistema Bitcoin
    porque podría ser que digan
  • 64:24 - 64:26
    que el resultado de la elección
    de un presidente de los EE.UU.
  • 64:26 - 64:30
    vale más que la economía de Bitcoin.
    No sé si eso es verdad o no aún.
  • 64:30 - 64:33
    Pero es algo para pensarlo.
  • 64:33 - 64:37
    De cualquier manera, pienso que
    la idea de un libro mayor distribuido
  • 64:37 - 64:40
    como el que se usa en Bitcoin es
    potencialmente una idea muy interesante
  • 64:40 - 64:44
    para futuros esquemas de votación.
    Pero, nuevamente, parece algo lejano
  • 64:44 - 64:47
    comparado a donde está
    el estado del arte hoy.
  • 64:50 - 64:52
    —Una más, número 2 por favor.
  • 64:53 - 64:59
    —Bueno, ha encontrado varios problemas
    diferentes con el sistema de votación.
  • 64:59 - 65:05
    ¿Podría evaluar qué proporción
    podría ser fácilmente corregida
  • 65:05 - 65:10
    y cuáles son inherentes al
    sistema en sí
  • 65:10 - 65:14
    y necesitan una re-ingeniería
    mayor completa?
  • 65:14 - 65:17
    —Bueno, la cuestión inherente
    a todos estos sistemas
  • 65:17 - 65:21
    es que confían en la operación
    correcta y segura
  • 65:21 - 65:24
    de cierto código que está
    corriendo en una máquina
  • 65:24 - 65:26
    donde la gente no puede ver los votos.
  • 65:26 - 65:29
    Tú no puedes verificar los votos
    con tus ojos, con tus manos.
  • 65:29 - 65:32
    Porque tienen que ser procesados
    en secreto por una computadora.
  • 65:32 - 65:37
    Y esa clase de propiedad de caja negra
    nos lleva directo a la preposición
  • 65:37 - 65:40
    de que si la computadora es
    comprometida de algún modo,
  • 65:40 - 65:44
    digamos a través de ataques
    supply-chain o ingresando malware,
  • 65:44 - 65:47
    o uno de estos ataques del estilo de
    "Reflections on Trusting Trust",
  • 65:47 - 65:50
    entonces eso puede llevar a comprometer
    los resultados de la elección.
  • 65:50 - 65:51
    Y eso es algo difícil de arreglar.
  • 65:51 - 65:55
    Es lo que el cifrado de verificabilidad
    por el votante de extremo a extremo
  • 65:55 - 65:58
    eventualmente intentará corregir.
  • 65:58 - 66:01
    Las pequeñas cosas, los fallos,
    el shell-injection, sí, por supuesto
  • 66:01 - 66:04
    esos son problemas fáciles de arreglar,
    pero, en la realidad
  • 66:04 - 66:08
    cuando estás operando una elección
    y hay una gran vulnerabilidad
  • 66:08 - 66:10
    en uno de los paquetes en los que
    se basan tus cosas,
  • 66:10 - 66:13
    que fue emparchado la noche anterior
    y no tienes tiempo de repetir pruebas
  • 66:13 - 66:15
    y reauditar todo el código,
  • 66:15 - 66:19
    estás ante la opción de, ya sea
    entregar algo que no fue probado
  • 66:19 - 66:23
    o entregar algo que tiene
    vulnerabilidades conocidas.
  • 66:23 - 66:26
    Así que no sé cómo, en nuestro
    mundo de seguridad basada
  • 66:26 - 66:30
    en liberación de parches podemos
    tratar con problemas como este.
  • 66:30 - 66:33
    Pienso que es algo donde realmente
    necesitamos avances fundamentales
  • 66:33 - 66:36
    en la forma en la que
    nos manejamos nosotros mismos
  • 66:36 - 66:40
    con la seguridad informática, antes de que
    podamos tener una buena solución a eso.
  • 66:41 - 66:44
    —Así que, sobre todo,
    lo que está diciendo
  • 66:44 - 66:50
    es que no hay esperanza
    de que pudiera haber tales sistemas
  • 66:50 - 66:56
    y que el lápiz y papel
    todavía prevalecen
  • 66:56 - 67:01
    de acuerdo a las propiedades
    que nos preocupan en una elección.
  • 67:01 - 67:03
    —El papel y el lápiz tienen
    una propiedad muy buena:
  • 67:03 - 67:07
    que tú, como votante, puedes decir
    cómo ha sido registrado tu voto
  • 67:07 - 67:09
    y que otra gente puede observar
    el proceso de escrutinio.
  • 67:09 - 67:14
    Ahora, tenemos cientos de años de
    experiencia con fraude boletas de papel.
  • 67:14 - 67:17
    Así que no estoy diciendo que no haya
    nada que la tecnología pueda hacer
  • 67:17 - 67:20
    para mejorar eso. Podemos hacer cosas.
  • 67:20 - 67:25
    Pero pienso que la manera más prometedora
    de mejorar las elecciones con papel
  • 67:25 - 67:29
    no empiezan tirando el papel.
    Empiezan con el papel, agregando luego
  • 67:29 - 67:34
    alguna otra tecnología que sea capaz
    de seguir, de registrar,
  • 67:34 - 67:37
    de ayudar a auditar ese registro en papel
  • 67:37 - 67:41
    para asegurarnos de que podemos
    confiar en el resultado.
  • 67:43 - 67:44
    —Gracias.
  • 67:45 - 67:50
    —Quizás dos o tres preguntas más…
    Número 6 por favor.
  • 67:52 - 67:54
    —¿Usted cree que es posible
    diseñar un sistema que
  • 67:54 - 67:59
    pueda garantizar ambos, la integridad
    del voto y el anonimato del voto?
  • 67:59 - 68:04
    Porque creo que esas dos cosas
    no van completamente juntas.
  • 68:05 - 68:07
    —Ciertamente, están en tensión.
  • 68:07 - 68:12
    Estos criptosistemas verificables de
    extremo a extremo intentan hacer eso.
  • 68:12 - 68:16
    Pero, como dije, tienen otros problemas
    con usabilidad, con la implementación
  • 68:16 - 68:19
    que no han sido resueltos.
    Ese es ciertamente el objetivo,
  • 68:19 - 68:21
    pero eso lo hace un problema difícil.
  • 68:21 - 68:27
    Y creo que eso es lo que a todos
    nos gustaría ser capaces de construir.
  • 68:27 - 68:31
    No sabemos cómo hacer eso a gran
    escala en la práctica todavía.
  • 68:31 - 68:32
    Estamos trabajando en eso.
  • 68:32 - 68:36
    Pero no hay garantía de que seamos
    capaces alguna vez de resolver
  • 68:36 - 68:38
    esos problemas de manera adecuada.
  • 68:39 - 68:41
    Quiero rápidamente mostrar como
    una auto-promoción
  • 68:41 - 68:44
    las charlas de mis estudiantes
    y charlas de mis colegas
  • 68:44 - 68:46
    sobre otros trabajos que
    estamos haciendo, que por cierto,
  • 68:46 - 68:49
    puede que ustedes también disfruten,
    escuchando cómo estamos usando
  • 68:49 - 68:53
    nuestra herramienta de escaneo zmap,
    que construimos para estudiar Heartbleed,
  • 68:53 - 68:56
    cómo compramos un escáner TSA
    para desnudar en eBay y encontramos
  • 68:56 - 68:59
    todos esos ataques contra él,
    y cómo hemos estado desarrollando
  • 68:59 - 69:02
    con la EFF y Mozilla una autoridad
    de certificación gratuita
  • 69:02 - 69:06
    que será nuestro intento de hacer
    que se encripte toda la web,
  • 69:06 - 69:09
    así que, auto-promoción.
    Gracias por quedarse.
  • 69:15 - 69:17
    —Número 1 por favor.
  • 69:18 - 69:21
    —Gracias por la charla, pero también
    por compartir su investigación
  • 69:21 - 69:25
    en formato de curso gratuito
    online en Coursera,
  • 69:25 - 69:27
    "Asegurando la Democracia Digital".
  • 69:27 - 69:31
    Así que, sé que usted no quiere alardear,
    yo lo estoy haciendo por usted.
  • 69:31 - 69:35
    Ahora, para hacer finalmente una
    pregunta, ¿habrá una siguiente edición?
  • 69:35 - 69:39
    —Bueno, muchas gracias. Sí, la habrá.
    Si están interesados en aprender más,
  • 69:39 - 69:44
    tengo un curso gratuito online
    de 5 semanas
  • 69:44 - 69:48
    sobre tecnología de voto digital
    disponible en Coursera.
  • 69:49 - 69:55
    Es gratuito, volverá a empezar pronto.
    De hecho, estoy en el proceso de
  • 69:55 - 70:00
    liberarlo esencialmente en forma
    de libro de texto online.
  • 70:00 - 70:03
    Donde pueden ir y ver las vídeo clases
    a su propio ritmo.
  • 70:03 - 70:08
    Si quisieran ver la versión
    de 10 clases de esta charla
  • 70:08 - 70:15
    pueden encontrarla en Coursera o
    encontrar un enlace a ella en mi página.
  • 70:15 - 70:18
    Muchísimas gracias por mencionarlo.
  • 70:19 - 70:20
    Gracias a todos.
  • 70:23 - 70:26
    —Antes de que vayamos a la última
    pregunta de número 4,
  • 70:26 - 70:29
    quisiera recordarles que si se van,
  • 70:29 - 70:31
    por favor, se lleven
    los desechos con ustedes
  • 70:31 - 70:37
    y que pueden venir y consultar al
    disertante después de la charla.
  • 70:38 - 70:39
    Por favor, número cuatro.
  • 70:39 - 70:41
    —Mi entendimiento sobre
    elecciones democráticas
  • 70:41 - 70:44
    es que deben ser libres y privadas.
  • 70:44 - 70:50
    Así que, aún si todos los problemas
    que usted mencionó fueran resueltos,
  • 70:50 - 70:59
    ¿no quedaría aún el problema de que
    votar en casa no asegura esos principios?
  • 71:00 - 71:05
    Imagine que algún miembro de la familia
    fuerza a los otros miembros a votar
  • 71:05 - 71:12
    lo que él desea… porque ellos no pueden
    votar en sus propias cabinas.
  • 71:12 - 71:16
    —Estoy completamente de acuerdo contigo
    en que es un problema muy difícil,
  • 71:16 - 71:19
    asegurar al votante un entorno
    seguro y libre de coerción
  • 71:19 - 71:23
    cuando votan remotamente por Internet.
  • 71:23 - 71:28
    Sí, pueden fácilmente imaginar un cónyuge
    o un empleador coercionando a alguien
  • 71:28 - 71:30
    para votar de cierta forma.
  • 71:30 - 71:34
    Un enfoque estonio a eso es interesante
    esta idea de que ellos permiten
  • 71:34 - 71:39
    a la persona emitir un voto de reemplazo.
    Esto hace a la coerción más difícil,
  • 71:39 - 71:43
    pero no la descarta.
    Quien coerciona puede tomar
  • 71:43 - 71:46
    la tarjeta nacional de identificación
    hasta que la elección haya terminado
  • 71:46 - 71:48
    para impedir que emitan
    el voto de reemplazo.
  • 71:48 - 71:51
    Ellos podrían esperar hasta el último
    minuto y entonces forzarlos
  • 71:51 - 71:55
    justo antes de que la votación cierre
    a emitir el voto de reemplazo.
  • 71:55 - 71:58
    Yo creo que este es uno de los
    problemas difíciles
  • 71:58 - 72:04
    y es una de las concesiones que se hacen
    a nuestros principios democráticos
  • 72:04 - 72:09
    cuando decidimos que la votación por
    Internet es el camino que queremos seguir.
  • 72:09 - 72:16
    Tal vez haya enfoques tecnológicos
    que puedan tratar de mejorar eso,
  • 72:16 - 72:19
    pero no estoy muy confiado
    en que los haya.
  • 72:19 - 72:23
    Creo que es un problema abierto
    donde la respuesta probablemente
  • 72:23 - 72:27
    sea que la coerción es parte
    de lo que obtienes a cambio
  • 72:27 - 72:30
    de la potencial ventaja de votar online.
  • 72:31 - 72:32
    —Gracias.
  • 72:34 - 72:38
    —Muchas gracias. Un aplauso por favor.
  • 72:39 - 72:42
    —Gracias. Gracias.
  • 72:42 - 72:58
    subtitles created by c3subtitles.de
    Join, and help us!
Title:
J. Alex Halderman: Análisis de Seguridad del Sistema de Voto por Internet de Estonia
Description:

Conferencia de J. Alex Halderman en el CCC sobre el sistema de voto por Internet de Estonia y los sistemas de voto electrónico en general.
31st Chaos Communication Congress (31C3), Hamburgo, Alemania. Diciembre de 2014.

https://media.ccc.de/v/31c3_-_6344_-_en_-_saal_1_-_201412281400_-_security_analysis_of_estonia_s_internet_voting_system_-_j_alex_halderman

more » « less
Video Language:
English
Duration:
01:12:58

Spanish subtitles

Revisions Compare revisions