Navegando los riesgos digitales durante la pandemia COVID-19
Elecciones en EE. UU. en riesgo. No otra vez…
Las elecciones presidenciales estadounidenses de 2020 podrían terminar siendo las más divisivas en la historia del país. La campaña se está llevando a cabo en medio de una crisis de salud sin precedentes, la pérdida histórica de puestos de trabajo, las protestas a nivel nacional, el controvertido despliegue de las fuerzas de seguridad federales hacia las ciudades, la profundización de la ansiedad por el liderazgo mundial estadounidense, y el aumento de las tensiones geopolíticas con China. El presidente Trump insinuó que podría no aceptar el resultado de la elección (si pierde). Aventajado por su oponente por dos dígitos en las encuestas, está doblando la a puesta por la división, convencido de que el camino más seguro hacia un segundo mandato es radicalizando a sus partidarios principales.
Las implicaciones geopolíticas de las elecciones de noviembre son exageradas. Todas las miradas están puestas en lo que puede suceder a continuación. Sin embargo, la elección en sí misma está amenazada por una amplia variedad de actores nacionales y extranjeros. Esto no es nuevo. En 2016, el electorado estadounidense tuvo una muestra de campañas de desinformación digital y ciberataques en los sistemas de registro de votantes. A pesar de los esfuerzos para asegurar la infraestructura electoral, las máquinas electorales, las bases de datos de registro de votantes y los sistemas de notificación de resultados electorales son enormemente vulnerables a los ataques cibernéticos, incluido el ransomware. Las campañas de manipulación digital dirigidas a los votantes oscilantes son ampliamente esperables, de hecho, hay señales de que ya están en marcha.
A pesar de estos peligros claros y presentes, los Estados Unidos siguen estando muy mal preparados para enfrentar los peligros en el horizonte cercano. Las medidas para apuntalar la seguridad de la infraestructura digital electoral están gravemente infrafinanciadas, en un monto de hasta 2.000 millones de dólares, según algunos expertos. También hay desacuerdo sobre cómo regular los anuncios electorales en las plataformas de redes sociales, y mucho más sobre cómo reducir la amenaza de las campañas maliciosas de desinformación. Mientras que los especialistas han sonado la alarma durante meses, la mayoría de los estadounidenses están distraídos. La pandemia COVID-19 está agravando claramente estos desafíos, sobre todo la forma en que el presidente de los Estados Unidos y sus partidarios han politizado la respuesta COVID-19, incluidos los esfuerzos para contenerla.
El efecto COVID-19
Estados Unidos lidera actualmente el mundo en casos COVID-19 con más de 4,3 millones de infecciones registradas y al menos 150.000 muertes. A instancias del presidente y su séquito, muchos estados abrieron prematuramente. Como resultado, Estados Unidos se enfrenta a la segunda fase de su primera ola en un momento en que la mayoría de los países europeos y asiáticos han aplanado al menos parcialmente sus rebrotes. Las últimas estimaciones sugieren que la cifra de muertos en Estados Unidos podría superar las 200.000 víctimas mortales mucho antes de noviembre de 2020.
El aumento de las tasas de infección y muerte casi con toda seguridad interrumpirá las elecciones estadounidenses. Interrumpirá el voto físico, especialmente en ciudades y comunidades con poblaciones de adultos mayores y minorías, y donde los centros de votación generalmente están abarrotados de gente. Es probable que desaliente a los votantes de ir a votar, incluso en las zonas urbanas que se inclinan por el partido Demócrata. El COVID-19 también amenaza a los funcionarios electorales, especialmente a los voluntarios de edad avanzada, lo que podría afectar el procesamiento de votos y aumentar el voto anticipado (en persona) y el voto por correo o ausente.
Mucho antes del inicio del COVID-19, el presidente de los Estados Unidos y su Fiscal General expresaron una visión tenue del voto por correo y ausente. En repetidas ocasiones ridiculizaron estos enfoques con el argumento (erróneo) de que facilitaron el fraude electoral. Aunque el Servicio Postal de los Estados Unidos aplica directrices estrictas sobre el voto por correo, la agencia está bajo una creciente presión financiera de los republicanos. Intrigantemente, el presidente cambió recientemente su humor sobre el voto ausente y ahora afirma que es seguro. ¿Por qué el cambio de humor en este sentido? En 2018, aproximadamente el 30 por ciento de todos los estadounidenses por encima de 65 años enviaron por correo en su voto. Dado que muchos de ellos se inclinan hacia la derecha (y pueden verse obligados a enviar su voto por correo debido a la pandemia), el cambio de opinión del presidente no debería sorprender.
La otra amenaza importante que se avecina en las elecciones de 2020 es de las disrupciones digitales. Una encuesta de NPR realizada antes de la irrupción del COVID-19 encontró que la mayor amenaza para las elecciones estadounidenses era la información engañosa (35% de los encuestados), seguido de fraude electoral (24%) y la supresión de votantes (16%). A pesar de las pruebas presentadas por la mayoría de los servicios de inteligencia del país, la investigación de Mueller, los rumores de impeachment, y el furor de informar sobre el tema, las intervenciones extranjeras tales como Rusia o China fueron vistas como una preocupación menor (15%). Si bien hay grandes diferencias sobre la naturaleza de los riesgos digitales, dependiendo de si los encuestados son de izquierda o de derecha, tienden a estar de acuerdo en que la amenaza “on-line” más urgente es la nacional. Cada vez más personas están convencidas de que las propias plataformas de redes sociales son parte del problema. Esto se debe a la forma en que reproducen silos ideológicos y burbujas de sesgo al enviar información unilateral en un intento de amplificar la participación de los usuarios y los ingresos por anuncios.
El análisis de SecDev de más de 280.000 Tweets entre enero y julio de 2020 sobre las próximas elecciones presidenciales detecta un nivel extremadamente alto de negatividad (ver infografía sobre Análisis emocional). Los tweets que expresan desesperación, cinismo, ira, animosidad y desconfianza también alcanzan su punto máximo en respuesta a acontecimientos como los rumores de impeachment, las elecciones primarias en Estados Unidos, la pandemia COVID-19 y las protestas masivas tras el asesinato de George Floyd y el incremento del movimiento Black Lives Matter. Vale la pena señalar que COVID-19 generó un efecto de amortiguación significativo en los tweets relacionados con las elecciones entre mayo y junio de 2020.
Redes sociales: Mentiroso, mentiroso…
Uno de los riesgos digitales más graves a los que se enfrentan los votantes estadounidenses son las campañas de desinformación, que implican conspiraciones e información engañosa, a menudo unidas con noticias genuinas con el fin de propagar medias verdades y confundir a las audiencias. Las tecnologías de “machine learning” (aprendizaje automático), incluidos los “deepfakes” (audio y/o vídeo alterados) han hecho que la desinformación sea más difícil de detectar. Sin embargo, incluso las conspiraciones que son manifiestamente falsas, como el rumor del PizzaGate, también tienen una vida útil notablemente larga y alcance de la audiencia. Las plataformas de redes sociales – incluidos los servicios de mensajería encriptada -, desempeñan un papel decisivo para permitir la difusión de información falsa.
Por el momento, las empresas de redes sociales están divididas sobre cómo moderar la desinformación (la difusión de información falsa o manipulada con intención maliciosa) y la mal información (la difusión de información falsa sin intención maliciosa). Twitter está tomando una posición más dura contra la desinformación política y los contenidos manipulados comprometiéndose a prohibir los anuncios políticos, agregando una herramienta de informes a su plataforma y agregando etiquetas de verificación dehechos. Otros como Reddit, Twitch y Pinterest han comenzado a prohibir las comunidades que promueven discursos de odio. Mientras tanto, YouTube está haciendo su política de publicidad más transparente mediante la publicación de directrices de monetización claras, y la prohibición / eliminación de canales que promueven el contenido extremista.
Por el contrario, Facebook está bajo una intensa presión de los anunciantes, los líderes de los derechos civiles, e incluso su propio consejo interno para hacer más al respecto. A pesar de un boicot creciente que involucra a más de 400 empresas, no está claro cómo responderá la compañía. El CEO de Facebook, Mark Zuckerberg, señaló recientemente que los boicots son estacionales y transitorios y que sus seguidores volverán más pronto que tarde. Hay razones para creer que tiene razón.
Hackeable
La mayoría de las elecciones democráticas consisten en cuatro fases: registro de votantes, proceso de votación, conteo de votos y agregación de votos, certificación e informes. En cada etapa, hay una interacción compleja entre los dominios físicos y digitales. No es de extrañar que existan riesgos de posible infiltración y manipulación de software y hardware relacionados con las elecciones que podrían socavar cada etapa del proceso.
En un mundo interconectado, todas las bases de datos “back-end”, los dispositivos “front-end” y redes inalámbricas están en riesgo. No se trata sólo de los equipos informáticos (que a menudo está bien regulado por las autoridades electorales), sino también de los proveedores privados involucrados en las diversas etapas del proceso que están expuestos. Un caso ejemplo en este punto es ByteGrid, una firma que acogió el sistema de registro de votantes y administración electoral durante las elecciones de 2018 en Maryland.ByteGrid era propiedad de un grupo de capital privado llamado AltPoint Capital Partners, en el que un oligarca ruso (con supuestos vínculos con Vladimir Putin) tenía una participación. Aunque no había evidencia de que se cometiera ningún fraude electoral, hubo llamados a una mejor supervisión federal de todos los contratistas externos involucrados en el proceso electoral.
Un número creciente de países han introducido sistemas electrónicos de votación para complementar los procesos electorales convencionales. En 2017, Venezuela, un país donde el voto electrónico supuestamente está fuertemente auditado, experimentó recientemente denuncias de falsa participación electoral. Este reclamo fue hecho por Smartmatic, una empresa que suministraba máquinas de votación electrónica. No es de extrañar que las observaciones de la compañía fueran rechazadas rápidamente por el gobierno. En 2019, las elecciones en Argentina también experimentaron críticas similares sobre el mecanismo de elecciones electrónicas. Las elecciones en India de 2019 se vieron empañadas por las denuncias de manipulación de las máquinas de votación electrónica (EVM por sus siglas en inglés). Denuncias similares fueron hechas sobre las elecciones generales indias de 2014.
Las primarias estadounidenses ofrecen un triste indicio de lo que podríamos esperar durante las elecciones presidenciales estadounidenses de 2020. Las tres primarias en Georgia, Nevada y Carolina del Sur registraron votos ausentes que llegaban tarde,máquinas de votación descompuestas y de largas filas para votar. También se registraron campañas de desinformación, como el envío de información falsa sobre el día de la elección, el estado de registro de los electores y las reglas de votación para los votantes sin preferencia de partidos. Además, hubo un amplio uso de “bots” para difundir y amplificar la mal/desinformación. Mientras tanto, el presidente de los Estados Unidos hizo varias afirmaciones anticipadas de fraude en relación con el voto por correo, una de las razones por las que fue censurado en Twitter.
¿Quién, yo…?
Los ataques digitales a las elecciones de 2020 vendrán de múltiples direcciones. La comunidad nacional de inteligencia de Estados Unidos cree que la mayor parte de los ataques probablemente provendrán de Rusia y China. Por supuesto, Rusia tiene un historial de intromisión en las elecciones estadounidenses de 2016. Un análisis post mortem de las elecciones de 2016 encontró que los ataques cibernéticos llevados a cabo por atacantes rusos en los sistemas de votación electrónica y las bases de datos fueron más generalizados de lo que se creía originalmente. Al menos 13 ciudadanos rusos y 3 entidades rusas fueron acusados de llevar a cabo una guerra de información ilegal para alterar las elecciones en apoyo de Trump.
Mientras tanto, China ha indicado que no tiene ningún interés en inmiscuirse en las elecciones presidenciales estadounidenses de 2020, aunque hay razones para dudar de esta afirmación. Las relaciones chino-estadounidenses están cada vez más a la deriva hacia una “nueva guerra fría“. Basándose en las afirmaciones recientes de que Trump solicitó asistencia china para su candidatura a la reelección, las acusaciones de intromisión china en las elecciones de 2020 se presentarán en gran medida en los meses venideros.
La comunidad de inteligencia estadounidense tiene claro que la mayor amenaza a largo plazo para la supremacía estadounidense es China. Esto no es sólo retórica. La respuesta de la administración Trump a la imposición por parte de China de una nueva ley de seguridad nacional a Hong Kong, incluyó nuevas restricciones a la venta de equipos de alta tecnología a Hong Kong, y una reciente orden ejecutiva que declaró las acciones de China en Hong Kong como una “amenaza inusual y extraordinaria … a la seguridad nacional, la política exterior y la economía de los Estados Unidos.”
Empresas chinas como Huawei han llegado a encarnar los temores del gobierno estadounidense sobre las ambiciones geopolíticas de China. Hasta la fecha, Huawei ha soportado la peor parte de este tipo de ataques. Ha sido etiquetado como una marioneta técnica del Partido Comunista Chino por muchos, incluyendo senadores estadounidenses, y ha sido excluida del mercado de redes 5G de Estados Unidos. La decisión del Reino Unido de impedir que Huawei participe de su mercado 5G ha aumentado aún más las tensiones.
Empresas tecnológicas como Zoom y TikTok, que aunque tienen su sede en Estados Unidos tienen vínculos con China, han estado ansiosas por comunicar que son independientes de China. Fueron las primeras entre las principales empresas tecnológicas mundiales en suspender las solicitudes de datos del gobierno de Hong Kong, y el uso de sus aplicaciones a raíz de la nueva ley de seguridad de China. TikTok también está considerando cambiar su estructura de propiedad para distanciarse aún más de China. Sin embargo, es probable que estas empresas se van a ver sometidas a una presión cada vez mayor para desvincularse de China a medida que se acerquen las elecciones.
Futuro perfecto
¿Qué podemos esperar que sea diferente en términos de amenazas cibernéticas a la integridad electoral en 2020 que no vimosen 2016?
Si bien en 2016 se hizo foco inicialmente en los controles y riesgos de ciberseguridad para los sistemas clave, el acceso a la red y la protección de datos confidenciales, la historia real fue la vulnerabilidad de los usuarios -ciudadanos- a la manipulación por parte de aquellos que apuntan a las percepciones y las preferencias de los votantes. Estas preferencias afectan quién vota, y gobierna la participación de comunidades particularesque han sufrido un acceso deteriorado a proceso electoral. Las preferencias de los votantes son los objetivos, utilizados por los atacantes para lograr resultados específicos y centrados. Es posible que estemos ya en la fase de intentos aleatorios de manipulación a campañas más matizadas contra comunidades bien entendidas. Las actividades documentadas de Cambridge Analytica se ajustan a este patrón.
Las revelaciones de julio de 2020 de la pirateríaa usuarios verificados de Twitter de “tilde azul” es una evolución inquietante de una preocupación en curso con la mensajería y la manipulación de la información en las redes sociales. No sólo es perturbadora la irrupción en Twitter por parte de actores aún desconocidos, sino que la forma de la irrupción – el aparente secuestro de los privilegios de la cuenta de administrador – apunta al impacto de las prácticas administrativas de las redes sociales en el público. Si las cuentas de los políticos de alto rango, sus partidarios y sus campañas pueden ser tan fácilmente comprometidas – con esto, ¿cómo queda la capacidad de las campañas para defenderse de la desinformación liberada desde fuentes “de confianza”? Y el momento del descubrimiento frente a la mitigación también es significativo: ¿cuándo se identificó esta situación y por quién? ¿Qué transparencia existe sobre cómo se gestionan los incidentes? ¿Y cuáles son los protocolos para involucrar a las fuerzas del orden en el caso?
¿Cuáles cree que son los principales riesgos digitales a los que se enfrentan las elecciones estadounidenses?
Creo que los riesgos de preocupación este año se dividen en tres: recurrir a las tecnologías de votación digital debido a los riesgos percibidos para el voto presencial (COVID-19); mala administración de los sistemas antiguos; y finalmente, los avances adversarios no detectados en la manipulación de las redes sociales y la supresión del comportamiento.
Tecnologías de votación digital en riesgo
Las propuestas para el voto por Internet o desde teléfonos inteligentes han surgido desde 2016 y pueden parecer atractivas para aquellos enfocados en evitar los riesgos de COVID-19. La descentralización de las elecciones estadounidenses implica que los estados y condados, en lugar del gobierno federal, pueden tomar decisiones para adoptar tecnologías inseguras sin una supervisión o investigación adecuadas. Contrariamente, los sistemas digitales pueden proteger el registro de electores y verificar los resultados en busca de fraude. Su uso está igualmente limitado por el costo, la jurisdicción y el tiempo. Por lo tanto, la tecnología se utiliza para abordar un problema, pero de diferentes maneras – introduciendo de esta manera un campo de ataque adicional utilizable para los oponentes disruptivos.
Administración de Sistemas Electorales en Transición
Los sistemas de votación antiguos están siendo reemplazados por tecnologías más nuevas y protegibles. Desde 2016, varios sistemas devotación RDE (Registro Directo – Electrónico) han sido reemplazados por plataformas de votación de escaneo óptico y basadas en papel. En sí mismo esto es una mejora. Dicho esto, los sistemas operativos comerciales (Microsoft Windows 10, Linux, etc.) todavía se son la base de estas aplicaciones. Las vulnerabilidades todavía existen, pero su impacto puede estar oculto por el todavía bastante bajo nivel de perspicacia técnica que poseen los funcionarios electorales y los políticos.
Actividad adversaria no detectada
Las revelaciones de hackeo de la cuenta de Twitter durante el mes de julio plantean la última gran preocupación – la de la actividad adversaria oculta que tiene un impacto prolongado en el contenido y la frecuencia de la manipulación de mensajes sufrida por el público. En ausencia de detección, estos ataques podrían tener impactos estratégicos. Reforzado por apelaciones a opiniones intolerantes o sectarias, e incertidumbres sobre las amenazas existenciales (por ejemplo, COVID-19) – las campañas de desinformación pueden hacerse más efectivas – y arraigadas en las operaciones de las redes sociales. Este envenenamiento de plataformas donde millones de votantes interactúan constituye una amenaza de integridad para la democracia.
Amenazas emergentes
Ataques sobre los datos y ataques de phishing
● Cosmic Lynx, un sofisticado grupo de hacking, que se cree que proviene de Rusia, están utilizando campañas de compromiso de sistemas de correo electrónico de negocios (BEC) para atacar a las empresas más importantes. Según investigadores de Agari, una empresa de seguridad de correo electrónico, el grupo llevó a cabo más de 200 campañas de BEC desde julio de 2019 dirigidas a altos ejecutivos y profesionales de 46 países de todos los continentes. Además, se especializan en estafas tópicas y personalizadas y desde marzo de 2020 han capitalizado el tema de la pandemia COVID-19. Los esquemas de suplantación de identidad han generado grandes pagos, como se refleja en una reciente extorsión de $2.7 millones. Para empeorar las cosas, solo el 15% de todas las empresas de Fortune 500 han tomado medidas para reducir este tipo de ataques.
● Piratas informáticos egipcios pertenecientes al Grupo Cyber_Horus lanzaron una serie de ataques cibernéticoscontra sitios web del gobierno etíope. Esto puede constituir una represalia a la decisión de Etiopía de construir una Gran Presa renacentista etíope respaldada por China de 4.800mn en el río Nilo. Esta creciente disputa y la crisis económica derivada de COVID19 podrían haber contribuido a la reciente violencia étnica en Etiopía que mató a unas 160 personas, incluido un músico icónico, Haacaalu Hundessa.
Malware y ransomware
● TheifQuest oEvilQuest, un nuevo malware con capacidades de spyware, fue diseñado para atacar específicamente los ordenadores Mac de Apple. Los ataques de ransomware en los ordenadores Mac, después de su aparición en 2016, son muy raros. Sin embargo, este nuevo ransomware es más siniestro de lo que pareció inicialmente, ya que tiene la capacidad de infectar el sistema y también descargar contraseñas, detalles de tarjetas de crédito y otra información financiera. El ransomware tiene altas capacidades de persistencia e incluso puede lanzar ataques de segunda etapa.
Vulnerabilidades
● Routers domésticos defectuosos. Un estudio del Instituto alemán Fraunhofer para las Comunicaciones (FKIE) encontró varias vulnerabilidades en 127 routers vendidos por proveedores reconocidos incluyendo, Netgear, Linksys, D-Link, TP-Link, ASUS, AVM, Zyxel. El estudio señaló que estos proveedores no lograron corregir las vulnerabilidades a pesar de tener acceso a parches de seguridad, dejando a muchos hogares vulnerables a una amplia variedad de ataques. Esto es hoy aún más preocupante, dado que más personas trabajan desde casa debido a la actual pandemia.
● La Vulnerabilidad F5 BIG-IP mega-bug en equipos de red está siendo explotada por los piratas informáticos para robar las contraseñas de administrador de los dispositivos. Esta vulnerabilidad está registrada en CVE-2020-5902 y podría permitir a los atacantes el control total de los sistemas desactualizados (sin parches de seguridad) que son accesibles en Internet. Estos dispositivos de red son multipropósos y fabricados por la marca F5 Networks. Hoy soportan algunas de las redes más grandes y sensitivas del mundo, incluidos sistemas gubernamentales, centros de datos de computación en la nube y redes empresariales. Al menos 48 de las 50 empresas de Fortune 50 utilizan estos sistemas BIG-IP. El equipo de F5 trabajó el 4 de julio para parchear esta vulnerabilidad que tiene una puntuación de gravedad máxima de 10 en una escala de gravedad CVSS.