SANTO DOMINGO.-Aunque la Junta Central Electoral (JCE) ha dado por concluidas las pesquisas a los equipos de digitalización, escaneo, impresión y transmisión (EDET) con el inicio de los trabajos de clonación y tras haber aplicado medidas compensatorias en algunos de los puntos no resueltos de la auditoría realizada por el Centro de Asesoría y Promoción Electoral (CAPEL), persisten las dudas sobre la efectividad del sistema.

Los EDET son una respuesta digital que implementará la JCE en las elecciones con el fin de transmitir los resultados electorales con celeridad y que vienen a sustituir los tradicionales escáneres que se usaban para ese mismo fin.

Pero, a las advertencias y/o recomendaciones de CAPEL, se han sumado cuestionantes formuladas por el Partido de la Liberación Dominicana (PLD), que mantiene una actitud crítica al sistema.

Detalles
Entre las interrogantes se cita que los encargados de instalar y configurar los equipos “no dominan fluidamente el paso a paso a ejecutar”.

El software permite hacer múltiples acciones, lo que abre la posibilidad de que los usuarios aborten el proceso, retrocedan o avancen algunos pasos y que el sistema no obliga a realizar los pasos en un orden sucesivo.

Igualmente, no existe un protocolo definido ante fallas simples, como un apagado de los equipos, falla del aplicativo a mitad del proceso, pérdida del USB, ingreso de USB no autorizado o un no reconocimiento de firmas en el escaneo de las actas firmadas.

Según la Secretaría Electoral del PLD, las laptops no están endurecidas en cuanto al sistema operativo, por lo que personas con cierto nivel de conocimiento puede acceder a alterar configuraciones del sistema operativo, alterar datos, alterar aplicaciones y tomar control del computador mismo.

Cada colegio electoral contará con una EDET.

Solicitud
Como solución se solicitó una mejora en el software a utilizar a fin de que tenga un flujo de operación paso a paso que evite que los usuarios cometan errores de uso y que los elementos de detección de firmas en las actas funcionen adecuadamente.

Otra medida solicitada fue endurecer los dispositivos tecnológicos involucrados en todo el proceso deshabilitando puertos, configuraciones por defecto, contraseñas débiles e instalando las actualizaciones más recientes del software. El problema de dicha solicitud es que ya la JCE descartó, tras algunas recomendaciones de CAPEL, alterar el diseño del software debido a su complejidad y la falta de tiempo.

“Si bien se implementaron medidas compensatorias que limitan la conexión a la base de datos, la solución definitiva es el cambio de arquitectura de la aplicación lo cual por tema de tiempo y complejidad no es posible hacerlo por el momento”, dice un informe presentado por la JCE.

Esta salvedad se hizo en uno de los hallazgos detectados en la auditoría, que evidenciaban que el puerto del servidor de base de datos estaba expuesto para lo que se recomendó crear una arquitectura basada en APls, así los clientes solo interactúan con el API y no directamente con el motor de la base de datos.

Lo que se hizo fue aplicar medidas que mitigan este riesgo como el control para la autenticación de equipos mediante una lista blanca; sin embargo, queda un riesgo residual que sería aceptado por la limitante de tiempo.

No resueltas
La exposición de las credenciales de la base de datos local del EDET y del usuario que operará el sistema fue otra de las fallas no resueltas.

En estos casos se recomendó implementar técnicas de cifrado en memoria y realizar una revisión de los procesos que puedan acceder a la memoria para identificar y mitigar la exposición de claves.

En respuesta, la JCE implementó un control de validación de conexión que únicamente autoriza la interacción a la base de datos local y, según los técnicos de la JCE, ante el escenario de que un atacante obtuviera las credenciales esas credenciales serían totalmente inútiles.

Trabajos técnicos

19 Hallazgos solucionados.
De un total de 24 encontrados por CAPEL a los fines de lograr la idoneidad del sistema.

Confianza JCE

—1— Calidad
Cada uno de los 18,000 EDET que estarán siendo habilitados para las elecciones será evaluado individualmente en su totalidad.
—2— No vuelta atrás
La JCE ha iniciado el proceso de clonado de los equipos a los fines de cargarles la data y dicho proceso se extenderá hasta el día doce del mes en curso.

PLD se queja por acceso de técnicos
Elecciones. La JCE realizó una primera prueba de los equipos el 13 de enero pasado, incluyendo 32 provincias, 50 municipios, 90 demarcaciones electorales, 200 recintos electorales para un total de 1,700 colegios electorales.

Un segundo proceso evaluativo se realizó siete días después en la que, según detalla el PLD, fue reducida la cantidad de provincias en un 53 % y se limitó la participación de los delegados de los partidos políticos a los fines de que pudieran hacer evaluaciones.

“Hubo un estricto control de acceso evitando que nuestros técnicos observaran”.