Necesario elevar nivel de blindaje.
Un ataque cibernético al proceso electoral es un asunto que no puede descartarse, toda vez que las autoridades electorales aún presentan niveles de blindaje insuficiente y existen «áreas de oportunidad» e incluso retrasos en los mecanismos de ciberseguridad que el Instituto Nacional Electoral (INE) debe ejecutar.
«La operación del INE en su conjunto debería estar considerada como una actividad de Seguridad Nacional, y toda la información digital que genere el proceso electoral, debería resguardarse bajo esos parámetros, lo cual no sucede, sin contar con las mejoras que pueden aplicarse a cierto tipo de tecnología de seguridad del instituto», precisó Jorge Osorio, director de servicios de Consultoría CSI.
Al participar en el anuncio de Infosecurity Summit, el especialista dijo que la seguridad de las elecciones está relacionada con garantizar al menos tres aspectos importantes: herramientas tecnológicas, Gestión de Políticas y Procedimientos de seguridad de la información y Mecanismos de Sensibilización hacia el Electorado, un eslabón importante y principal usuario de la tecnología que pondrá en marcha el instituto.
Explicó que en los últimos años el INE ha integrado mecanismos de seguridad importantes; en noviembre de 2017 licitó la adquisición de tecnología suficiente para robustecer su infraestructura; sin embargo, aún presenta algunos parámetros o cierto tipo de tecnología que podría mejorarse.
En materia de gestión de políticas y procedimientos, la autoridad electoral lanzó una convocatoria para contratar los servicios de una auditoría en materia de seguridad de la información, la cual está relacionada con una certificación ISO-27001, un sistema de gestión en materia de seguridad de la información.
«No se trata de un software, sino de procedimientos y metodología que determinada organización debe observar para llevar algún proceso operativo. Consideramos que el INE tiene un avance de 60 o 70 por ciento, pero la auditoria empezaría un poco tarde, incluso ya debería haberse realizado pues estamos a semanas de la elección».
Sólo en su anexo A, esta auditoría contiene 114 controles por revisar, es un proceso que exige al menos tres a seis meses para realizarlo a profundidad y es una certificación que también deberá aplicar al Programa de Resultados Electorales Preliminares (PREP).
«Los resultados preliminares en las elecciones son un elemento que ofrece certidumbre a la sociedad, si hay errores a la hora de operar este sistema, sería algo muy preocupante, por ello el INE ya debería de haber concluido esta auditoria y haber obtenido la certificación, pero van un poco tarde con este tema».
Osorio detalló que otra ausencia importante es lo relacionado con la comunicación que tendrá el INE de afuera hacia adentro y viceversa, es decir, la relación con el electorado y la forma en que podrán consultar los resultados preliminares lo cual es muy importante que ya debería de existir.
En opinión del experto, si bien el INE tiene un apoyo relevante del IPN y de la UNAM en materia de seguridad informática, lo idóneo sería que además de estos apoyos, la autoridad contara con servicios de consultoras y organismos del sector privado, que le ayuden a ejercer las mejores prácticas en materia de ciberseguridad.
Jorge Osorio también habló de los riesgos que ya enfrenta el proceso electoral como es la denominada Ingeniería Social o el «arte del engaño», la cual se genera a través de una llamada telefónica, un correo electrónico, o una plática donde una persona busca persuadir o manipular la mente de otra, para lograr ciertos objetivos, mecanismo que también es utilizado en forma masiva, para generar tendencias o incluso llegar afectar los resultados de las elecciones.
Las fake news, el uso intensivo de bots, correos electrónicos son recursos de la ingeniería social que viralizan lo mismo videos que información que incida en favor de determinado grupo u organización, recursos muy utilizados en las elecciones 2012, pero que en ese momento la mayor parte de la población mexicana no podía identificar.
El uso de boots entre los partidos políticos son herramientas tecnológicas que se usan con mucha naturalidad, lo cual no significa que sean prácticas sanas o positivas en la tarea de captar la atención de los votantes».
Ello explica el surgimiento de iniciativas ciudadanas como Verificado2018, que se ha dado a la tarea de verificar toda la información que se publica en las redes sociales y particularmente la generada por los partidos políticos, entre las que se han detectado una cantidad importante de noticias falsas.
Philippe Surman, Country Manager de Reed Exhibitions México destacó que Infosecurity México 2018, será el punto de encuentro donde estos temas serán abordados como mayor amplitud, además de tratar el conocimiento, las tendencias y soluciones para proteger la información corporativa e institucional.
El evento se llevará a cabo el 23 y 24 de mayo en el Centro Banamex, Ciudad de México, al que se espera una asistencia de casi tres mil personas, 70 expositores que tratarán diferentes tópicos del interés de México, un mercado ubicado como el segundo con el mayor incidencia de ciberataques, así como el de mayor generación y envío de SPAM en Latinoamérica.
C$T-EVP