Supuestos ciberataques en la divulgación de información electoral.

@isitreallysafe

Arolen, empresa contratista de UNE que, de acuerdo con la nota publicada por El Tiempo, debía divulgar resultados de las elecciones, en una declaración afirmó que hubo «fallas en el proceso de divulgación de datos» y que algunas empresas habían dirigido un ataque en contra de la Registraduría buscando tumbar el proceso. Indicó que esta semana interpondría las denuncias correspondientes ante la Fiscalía.

Esta declaración tiene mucha importancia por las siguientes razones:

(i) Si hubo ataques, ¿contra quién se dirigieron? ¿Quién los dirigió? Si efectivamente fue contra la Registraduría, habría sido el primer caso en Colombia de ataque a la infraestructura crítica del país y merecería la mayor atención investigativa por parte de las autoridades; sería el primer precedente de gran tamaño, porque, nada más y nada menos, fue entorpecida una jornada electoral y el libre ejercicio de la democracia.

(ii) Si hubo ataques, ¿por qué solamente hasta ahora Arolen acepta que ocurrieron, después de más de 48 horas del término de la jornada electoral, cuando la evidencia digital pudo haberse perdido irremediablemente tanto por el paso del tiempo como por la manipulación de las máquinas correspondientes?

(iii) Si hubo ataques, ¿los detectaron en el momento en el que estaban teniendo lugar o solamente mucho después? Si los detectaron en tiempo real, como ha debido ocurrir, ¿por qué no recurrieron inmediatamente a las autoridades? La unidad de la Dijín nos habría ahorrado muchos interrogantes y problemas. Ahora, aún no sabemos cuántos días después, Arolen interpondrá las denuncias que crea convenientes, buscando más cubrir su espalda torpemente que en realidad actuar de manera diligente y responsable: esas denuncias serán una simple formalidad y muy difícilmente permitirán sacar conclusiones relevantes.

(iv) Si no detectaron los ataques en tiempo real, ¿no estaban contractualmente obligados a hacerlo? No conozco el objeto del contrato suscrito entre UNE y Arolen, pero puedo presumir que una cláusula de su naturaleza habría sido precisamente la exigencia de un nivel de seguridad muy alto, con monitoreos permanentes y un sistema de detección de ataques.

(v) Si hubo ataques, ¿fueron acaso una denegación de servicios? Si sí, ¿cómo es posible que ni Arolen, ni UNE, ni la Registraduría hayan previsto e implementado un plan de continuidad que les permitiera salir adelante ante el escenario que se presentó, salvaguardando la integridad del ejercicio democrático? Prever que en un día así se necesitan muchos servidores de backup no es cosa de grandes genios, es puro y simple sentido común: medio país querrá conectarse al site de la Registraduría cada segundo para conocer la información. Prever que ese site deberá soportar decenas de miles de conexiones no es para grandes expertos en seguridad, es cosa de lógica de redes.

(vi) Si no hubo ataques, ¿las autoridades estarán en capacidad de descubrir que, entonces, Arolen habrá querido cubrir su espalda alegando que todo fue culpa de un tercero, cuando no habrá sido en realidad más que un caso de incumplimiento contractual por las razones que puedan ser?

(vii) Si el ataque fue dirigido contra la Registraduría, ¿por qué el Registrador no lo ha mencionado aún? ¿Acaso no lo detectaron en la Registraduría? ¿O lo detectaron y lo intentan ocultar? ¿Sí ocurrió ese ataque? ¿Contra quién se dirigió en realidad?

En fin, hice un break en algo que tengo entre manos para pensar en estas preguntas pero sé que hay muchas más que quedan pendientes. En la medida en la que surjan más las publicaré acá.

Me queda la enorme tristeza de pensar que este asunto pasará ante los medios como algo aislado sin mayor importancia, cuando en realidad, de haberse presentado esos supuestos ataques, habrá sido la primera vez en que Colombia sufre un ataque en su infraestructura crítica, por haberse tratado del medio usado por el gobierno para difundir los resultados de las elecciones, en plena jornada electoral.

Ojalá le den la dimensión que debe tener y se abran muchos ojos. La próxima vez el target pueden ser el acueducto, el control del tráfico o la energía, vaya uno a saber.

¿Qué otras preguntas se le ocurren a usted?

Actualización (17-Mar, 10:20 PM): hoy finalmente radicaron la denuncia, unas 60 horas después de los ataques. Vaya diligencia. Es clave estar encima de ese proceso. Insisten en que fue un DoS que excedió cualquier posible previsión; pero un DoS de 75.000 hits/segundo no suena a ataque sino a deficiente configuración. ¿Cómo no iban a prever que en el día de elecciones hubieran conexiones masivas al site de la Registraduría? Por Dios! Y los medios, que no entienden del tema, se quedan con el mensaje de que fue un ataque y se dejan deslumbrar, igual que el Registrador, que defendió a Arolen en RCN. Si fue un ataque real, que cuelguen el informe de Adalid para análisis de todo el mundo: no porque haya muchas conexiones por segundo y porque unos ingenieros privados lo digan, se configuró un ataque. ¿Si acaso esto no fue un ataque, es entonces una cortina de humo para deshacer una responsabilidad contractual encadenada–> Registraduría – UNE, UNE – Arolen? Ahí dejo la pregunta. No es una afirmación porque no tengo bases para hacerla, es solamente una pregunta.

Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe