La Organización de Estados Americanos (OEA) rindió un informe preliminar este domingo sobre la auditoría realizada a los resultados de las elecciones de Bolivia, la cual llevó a que el presidente Evo Morales convocara a nuevos comicios.
En el informe se detallan algunas debilidades del proceso, entre las que el organismo cita que se detectó que el flujo de la información de transcripción, tras una interrupción fue redirigido a un servidor (BO20) que no pertenecía a los previstos para el TREP en la nube, ni a los equipos físicos de la Dirección Nacional de Tecnología de la Información (DNTIC).
Además, detalla el fallo de un algoritmo de cálculo.
«Se presentó una falla en el algoritmo “flat computado”, lo que evidencia la falta de testing. Además de ello, entre los efectos podría registrar un acta incompleta. Esta falla no se resolvió por parte de la aplicación. El responsable de la empresa debió acceder con máximos privilegios (mediante sentencias SQL) a resolver la situación. Esto resulta un hecho de alto riesgo para la integridad de los datos», se dice en el informe.
Una misma persona (el responsable de la proveedora del software) reunió los siguientes roles:
-Diseño, desarrollo, prueba e implementación del software.
Ya durante el proceso:
-Recompiló el software;
-No se aplicó gestión de cambio, testing o procedimientos de seguridad;
-Accedió a las Bases de Datos con máximos privilegios para modificar datos;
-Mantiene bajo su exclusivo control los servidores, bases de datos y la aplicación.
-Por lo anterior, se ha roto la cadena de custodia desde el incidente.
Sobre el proceso, según lo observado por los auditores OEA:
-No estuvo monitoreado el 100 % flujo de datos del TREP
– La infraestructura no estuvo bajo control y conocimiento del responsable técnico del SERECI
-Se omitió detallar componentes vitales de la infraestructura
-Se operó con un servidor que no estaban en la infraestructura del TREP “BO1 o “BO”
-Se redirigió tráfico hacia una red de servidores ajena al TREP y Cómputo Oficial “BO20”
-No se emplearon adecuadamente los perimetrales del TREP, ya que fueron salteados.
Redirección de datos
“Resulta extraño que se redirija el flujo de datos a una red foránea, no prevista ni documentada. Tampoco hay explicación técnica válida de porque no se utilizaron los servidores perimetrales controlados por la empresa auditora. Esto resulta extremadamente grave y afecta a la transparencia del proceso”, indica la OEA.
El informe precisa que para la redirección del flujo de información generada en el SERECI hacia el servidor (BO20), se modificó la IP a la que direccionaban las 350 máquinas utilizadas en el SERECI. Esto, a pesar de que en la red del TREP contaban con servidores preparados y bajo el control de la empresa auditora dentro de la red.
Indica que conforme a la información provista por el organismo, se contaba con un servidor principal BO2, uno para publicar BO3 y la respectiva contingencia. “Extrañamente no se empleó el servidor BO3 para la publicación como estaba previsto. La auditoría de la OEA logró determinar que el servidor de contingencia BO3 no tiene la misma cantidad de registros que el principal BO2. Es decir, no cuentan con la misma información en sus bases de datos como es de esperar”.
Dice que se hallaron residuales de Bases de Datos desactualizadas y otras versiones de la aplicación en servidores perimetrales, lo que según la OEA está reñido con las buenas prácticas.
“No se preservó la META DATA (datos de las imágenes recibidas desde teléfonos celulares), elemento vital para la transparencia de un proceso de estas características y que conforme lo relevado por la auditoría, no se registró el valor de HASH en el acta de congelamiento de software, lo que considera como una mala práctica.
Be the first to comment