Profesor Víctor Theoktisto: El ataque al sitio web del CNE tuvo un volumen nunca antes visto

Martes, 06/08/2024 11:07 AM

Profesor Víctor Theoktisto.

Muchas teorías han circulado desde el pasado 28 de julio en la noche por parte de personas de oposición, en torno a que el sistema electoral se ha prestado para un supuesto fraude y para (según ellos) robarle las elecciones a Edmundo González, candidato de derecha apoyado por María Corina Machado. Entrevistamos a Víctor Theoktisto, profesor de computación de la Universidad Simón Bolívar, en cuanto a muchas dudas que se han tejido en contra del Sistema Electoral venezolano.

En Venezuela, las elecciones del pasado domingo 28 de julio terminaron con normalidad. El presidente del Consejo Nacional Electoral, Elvis Amoroso, anunció a las 12:13 de la madrugada del 29 de julio los resultados: Nicolás Maduro obtuvo 5.150.092 votos (51,20%) y Edmundo González, el principal candidato opositor, obtuvo 4.445.978 votos (44,2%).

Este anuncio no hubiera sido distinto al de tantas otras elecciones que se realizan en Venezuela, si no fuera por dos cosas:

  1. Amoroso informó que hubo un ataque informático contra el sistema de transmisión de datos, que causó retrasos en ella, y
  2. Durante toda la noche, los factores que apoyan a Edmundo González y María Corina Machado estuvieron publicando en redes sociales fotos de actas de las máquinas de votación alegando que habían ganado, y el que se anunciara la victoria de Maduro fue algo que les cayó muy mal.

Al día siguiente, María Corina Machado y González anunciaron que tenían una gran cantidad de actas (inicialmente el 40% del total, luego el 70%, luego el 80%) y dieron sus propios resultados, que en estos momentos se mantienen en 7.156.462 votos para Edmundo González (67%) y 3.241.461 votos para Nicolás Maduro (30%).

No es la primera vez que la oposición canta fraude; casi en todas las elecciones de importancia en Venezuela han ocurrido alegaciones similares. Pero, en esta ocasión, la oposición levantó no uno, sino tres sitios web en los cuales publicaron 24.000 actas emitidas por las mesas de votación.

En Venezuela las elecciones son automatizadas y cada elector vota ante una máquina, que imprime un papelito o comprobante de voto y el elector coloca en una caja de resguardo. Pero la máquina va llevando la cuenta de cada voto y, al terminar la votación, los miembros de mesa, en compañía de testigos de partidos políticos, hacen un cierre en el cual se imprime un acta en papel.

Fuente: El País (España)

 

Luego, la máquina se conecta a un centro de totalización y le transmite los resultados. Y se imprimen copias del acta para los testigos de cada partido político.

Foto de agencias internacionales de algunas actas de votación. Fuente: SomosNoticiasCol

La oposición asegura que las actas fueron recabadas por sus testigos, y dice que tiene las actas de 24.000 mesas electorales (hubo 30.026 mesas electorales en total). En 48 horas, las actas en papel estaban debidamente escaneadas, fotografiadas y clasificadas en un sitio web por estado, municipio y centro de votación, permitiendo que la gente revisara los resultados. Incluso es posible descargarse una hoja de cálculo CSV con todos los datos de esas 24.000 mesas, y sumando sus resultados daban los números publicados por la gente de María Corina Machado.

El CNE nunca ha publicado actas escaneadas en su sitio web, pero sí publica desde hace casi 20 años los resultados mesa por mesa. Es decir: luego de difundidos los primeros resultados, usted puede ingresar a la página web del CNE y ver los resultados por estado, por municipio, por centro de votación y por mesa electoral, y si usted es testigo de un partido político, puede comparar la copia impresa del acta de esa mesa (que usted como testigo tiene en su poder), con el resultado que publica el CNE en su web, y ambos resultados deben coincidir, lo que brinda transparencia y confiabilidad al proceso.

Captura de pantalla del sitio web del CNE divulgando los resultados de las elecciones de 2018; se difunden por estado, municipio, centro electoral y mesa por mesa

 

La publicación de resultados mesa por mesa se hace pocas horas después de divulgado el primer boletín electoral, de tal forma que debería ser posible ingresar a su sitio web, verificar si las mesas tienen los mismos resultados que las actas de las máquinas de votación, y verificar así quién tiene la razón.

El problema es que la página web del CNE está caída desde antes de las elecciones, y no ha sido posible verificar estos datos. El presidente del organismo, Elvis Amoroso, denunció que fueron sido víctimas de un ataque informático, pero no dio mayores detalles.

Ante estos problemas, el Presidente Nicolás Maduro, quien fue proclamado ganador el lunes por el CNE, acudió el miércoles 30 de julio al Tribunal Supremo de Justicia, concretamente a la Sala Electoral, para interponer un "recurso contencioso electoral" y ponerse él mismo a la orden para ser citado. Solicitó que se cite también a todos los candidatos, así como al Consejo Nacional Electoral, y que se pidan todos los recaudos y documentos legales necesarios, incluyendo las actas. También ofreció llevar allí el 100 % de las actas de los testigos de su partido, para que sean revisadas.

El jueves, la Sala Electoral convocó a los diez candidatos a acudir allí, y el viernes acudieron nueve de los diez candidatos: El único que faltó fue Edmundo González, justamente el que ha hecho las acusaciones de fraude.

 

 

 

 

 

 

 

 

 

Con el CNE (el ente que constitucionalmente está autorizado para dar los resultados) y la oposición ofreciendo dos resultados completamente distintos, es obvio que una de las dos partes está mintiendo. El pueblo venezolano está esperando pruebas y respuestas no sólo para confirmar o conocer quién ganó las elecciones, sino para saber quién está mintiendo y causando desasosiego y caos en un país que ha estado bajo ataque continuo de potencias extranjeras desde al menos 20 años, y a cuyo pueblo parece que se le quiere negar su derecho a vivir en paz.

Es necesario recordar que las afirmaciones de fraude de Machado y Edmundo González, fueron acompañadas de protestas violentas en varias ciudades del país los días lunes 29 y martes 30 de julio, que dejaron varias personas muertas, decenas de heridos, y daños en numerosas instituciones y lugares públicos. El gobierno venezolano ha denunciado que varias de las personas capturadas causando hechos violentos forman parte de bandas criminales, y que muchos han confesado haber sido contratados para crear desórdenes.

Manifestantes el 29 de julio de 2024 destrozando y quemando un anuncio publicitario del Banco de Venezuela con un atleta olímpico. Foto: Getty

El Presidente Maduro ha señalado que hay un golpe de estado en ejecución apoyado por el gobierno de Estados Unidos, pero el secretario de Estado del gobierno de Estados Unidos, Antony Blinken, dio declaraciones para nada sorprendentes, dándole respaldo a Edmundo González como supuesto ganador de las elecciones.

El sistema electoral venezolano ha sido catalogado como uno de los mejores y más seguros del mundo, aunque siempre que ocurren este tipo de incidentes, la propia complejidad del sistema evita que muchas personas que no son expertas en el área técnica comprendan cuán seguro es, y a menudo difundan teorías un tanto disparatadas.

Entrevistamos a Víctor Theoktisto

Por ello, para resolver algunas de las preguntas que se hace la gente en la calle y en las redes sociales desde el punto de vista técnico, consultamos al profesor Víctor Theoktisto.

Víctor Theoktisto es profesor titular del Departamento de Computación y Tecnología de la Información de la Universidad Simón Bolívar (USB), y formó parte, junto a otros docentes, de los auditores expertos de dicha universidad que el CNE convocó en los años 2021 y 2024 para conocer y dar su opinión sobre el sistema electoral venezolano, para lo cual conocieron el sistema a profundidad y elaboraron informes con recomendaciones.

También les acompañaron profesores de computación de otras universidades, como la Universidad Central de Venezuela (UCV), todos con una diversidad de posiciones políticas aunque con gran experiencia en computación y matemáticas.

Este proceso de auditorías también se transmitió en un canal por Youtube que abrió el CNE en ese momento.

 

 

 

 

 

 

 

 

 

 

 

 

 

Hay que recordar que el sistema fue elaborado originalmente por la empresa Smartmatic, y en los últimos años ha intervenido también la empresa argentina Ex-cle. Los profesores revisaron línea por línea el código fuente del sistema, programado en el lenguaje C# (C-Sharp), tanto de los captahuellas, las máquinas de votación y el sistema de transmisión y totalización de las dos sedes del CNE (Plaza Venezuela y Plaza Caracas).

El profesor Theoktisto nos explicó que los esquemas de seguridad son "ridículamente exagerados", sobre todo los que se usan para la transmisión, que incluyen algoritmos como SHA-256 y AES en tres o cuatro capas que, si alguien quisiera decriptar o modificar la información que se transmite a través de ellos, tendrían que usar computadores extremadamente poderosos por unos 400 años.

Por ello, explica que no hay ninguna denuncia de que la data haya sido modificada o alterada durante la transmisión.

Al menos dos ataques

Hasta ahora, se habla de dos ataques distintos:

  1. El ataque al sitio web del Consejo Nacional Electoral (donde deberían publicarse los resultados de las elecciones, incluyendo los resultados mesa por mesa).
  2. El ataque al sistema de totalización, que ralentizó por algunas horas la carga de información desde las máquinas electorales a los centros de totalización (hay dos centros de totalización: uno en la sede de CNE en Plaza Venezuela y el otro en la sede de Plaza Caracas).

Centros de totalización

Le preguntamos sobre el ataque al centro de totalización y cómo pudo haberse realizado, si dicho centro no está conectado a Internet. Nos dice que, hasta los momentos, ni el CNE ni Cantv han dado detalles, por lo que responder esa pregunta es caer en el terreno de la especulación.

Efectivamente, las máquinas de votación hacen la transmisión a los centros de totalización por una red físicamente separada de internet, que además cuenta con protocolos de encriptación y cifrado (que codifican la información y garantizan que no sea modificada en el camino). Pueden transmitir por líneas telefónicas dial-up, por líneas de Movilnet (telefonía celular), o por satélite en las zonas más aisladas.

Sede del Consejo Nacional Electoral en la plaza Diego Ibarra de Caracas. Foto: Victor Bujosa Michelli

Teorizando un poco, Theoktisto recuerda que hay tecnologías de "spoofing" que permiten suplantar la celda de transmisión de una empresa de telefonía celular, para que el teléfono o dispositivo móvil crea que se está conectando a red telefónica cuando en realidad se está conectando a la celda de un enemigo que quiere obtener sus datos. También hay formas de intervenir físicamente la fibra óptica, con aparatos que permitan colocarse "en el medio" entre dos objetivos. Y que las líneas dial-up y la "red muerta" también pueden ser intervenidas físicamente. Todas estas formas requieren personas dentro del país, o incluso podrían ser personas dentro de algunas instituciones, pero eso tiene que investigarse y comprobarse por las autoridades.

Otra teoría es que, tal vez, los atacantes hicieron cientos o miles de llamadas a los números telefónicos de los centros de totalización, ocupando las líneas temporalmente e impidiendo así que las máquinas electorales pudieran conectarse.

Sin embargo, nos dijo que, aún habiéndose usado estas técnicas, eso no significa que la data transmitida hubiera sido alterada, ello por los mecanismos de protección que posee.

No hay que olvidar que estas son especulaciones y teorías; los organismos oficiales aún no han emitido ningún informe oficial, y seguramente hay organismos con expertos en el área en estos momentos, haciendo las investigaciones forenses a nivel informático sobre cómo ocurrió el ataque.

Sitio web del CNE

En torno al sitio web del Consejo Nacional Electoral, él explica que, desde unos días antes de las elecciones, el sitio web recibió ataques por negación de servicio (DDoS, en el que un atacante coordina cientos o miles de computadores en Internet para que envíen tráfico y peticiones a una página web determinada; ésta se pone muy ocupada tratando de atender todas esas solicitudes, y le es imposible atender a las personas que legítimamente quieren entrar a la página web, dándoles un mensaje de error).

Explicó Theoktisto que la página del CNE recibió varios tipos de ataque DDoS (existen unos 25 tipos distintos de DDoS en total), "a un volumen que simplemente no podemos combatir en el país". Y que incluso parte de los atacantes estaban dentro del país.

En un ataque de denegación de servicio distribuido (DDoS), se usan decenas o cientos de computadores para atacar a una página web o servidor específico. Foto: Redes sociales

Señaló el docente de la USB que una parte del ataque hecho desde el exterior tuvo como último punto de salida la República de Macedonia del Norte, pero "sabemos que ese solo fue un puente para VPNs de otros lados", es decir, los atacantes seguramente estaban en otro país, pero usaron redes VPNs o se apoderaron de computadoras de Macedonia del Norte para hacer el ataque.

"Se esperaba el ataque, pero no lo masivo", nos explicó. El profesor cree que "necesariamente hay un actor gubernamental", es decir, un gobierno enemigo que participó en el ataque. O que también se contrató a varios servicios privados de bots para hacer este ataque contra la página del CNE.

Ante estos ataques, el CNE ha decidido simplemente tumbar o apagar su sitio web por completo. Esto ha impedido, entre otras cosas, que el CNE publique los resultados mesa por mesa.

Le preguntamos por qué el CNE no ha evaluado publicar estos resultados de otras maneras (por ejemplo: distribuir entre periodistas y medios una hoja de cálculo con los resultados, firmada electrónicamente para garantizar su procedencia), pero el profesor Theoktisto nos dijo que desconoce las razones.

¿Por qué el PSUV no publica sus actas?

Otra pregunta muy frecuente que hace la gente es: Si la gente de María Corina Machado ha publicado 24 mil actas (9 mil según Jorge Rodríguez), ¿por qué el PSUV no publica sus actas de la misma forma, para defender de esa manera sus números y sus resultados? Hay que recordar que el PSUV lo ha hecho en otras ocasiones, como en el año 2013.

Una persona del PSUV, experta en temas legales pero que nos pidió no compartir su nombre, compartió con nosotros esta información:

Explicó que el PSUV tuvo testigos en todas las mesas del país (que son unas 30 mil), y por tanto tiene todas las actas emitidas. En cambio, la gente de Edmundo González tenían testigos solamente en 30 o 35 por ciento de todas las mesas (la gente de Vente Venezuela dice que tienen las actas del 80% de las mesas, unas 24.000, pero Jorge Rodríguez, en rueda de prensa el pasado viernes, aseguró que sólo tenían 9.000 actas).

El PSUV tiene sospechas de que ellos están falsificando las actas, afirmación que, de hecho, la han hecho públicamente Jorge Rodríguez y Diosdado Cabello en días recientes.

Entonces, según nos explicaron privadamente, el PSUV va a ir ante la Sala Electoral del Tribunal Supremo de Justicia, va a entregar todas las actas y esperará que la oposición también haga lo mismo, y que sea el TSJ, usando los mecanismos de autenticación del CNE, el que determine quién tiene las actas verdaderas.

Activista opositora Delsa Solórzano, del movimiento que apoya a María Corina Machado, con un acta en la mano. Fuente: instagram

Se teme que, si el PSUV publica las actas en un sitio web sin que el TSJ las certifique primero como válidas, la oposición pueda tomarlas (en particular aquellas que ellos no tienen) y usarlas para montar o falsificar actas (hacer facsimiles), con lo cual puedan hacer ruido mediático o sembrar dudas.

El hecho de que Edmundo González no se haya presentado el viernes pasado ante la Sala Electoral pone a muchos a pensar. Si tienes las pruebas, ¿por qué no impugna las elecciones ante el órgano debido? ¿Estarán dispuestos a que sus actas electorales sean verificadas?

Por otro lado, el profesor Theoktisto sí nos recordó que, legalmente hablando, el acta que tiene validez legal es el acta electrónica transmitida por la máquina de votación al centro de totalización. "El acta por ley es el paquete digital, debidamente firmado electrónicamente con los diferentes esquemas de cifrado usados tanto para resguardar la seguridad y autenticidad de la data, como de la transmisión".

También es importante la primera acta que se imprime, que se coloca en un sobre y se envía al CNE, aunque esta es un respaldo en físico o papel del acta electrónica. Las copias que tienen los partidos políticos son resguardos, y no tienen sustento legal a menos que haya una impugnación de la elección.

¿Pueden falsificarse las actas?

Alguien que tenga acceso a una impresora idéntica a las que usan las máquinas de votación, y que consiga el mismo tipo de papel especial (con mecanismos anti-falsificación, marcas y protecciones del CNE), podría imprimir un acta que en apariencia sea idéntica a las de las máquinas de votación, colocándole sus datos propios. Incluso puede generar su propio código QR, lo que tampoco es difícil.

El detalle es que toda acta tiene un código o "hash" impreso abajo al final, el cual es único para cada acta de cada mesa.

El código hash en una acta de votación

El hash es generado a partir de una gran cantidad de datos, como el código del centro de votación, el número de mesa, los votos de cada candidato y la hora en la que se hizo el cierre, así como determinadas claves criptográficas de la máquina, creadas con anterioridad. La hora se toma con una precisión de nanosegundos. Además, se crea un número aleatorio, cuya semilla se forma con variables de estado de la máquina (temperatura de los componentes, velocidad del ventilador, estado de frecuencia del CPU, entre otros). Esto hace que el hash tome unos valores únicos e imposibles de duplicar.

Con esos datos se alimenta un algoritmo o "función hash", que genera un código. Esa función hash es un "algoritmo de una sola vía", es decir: colocando los mismos datos se generará el mismo código hash, pero no hay forma de que, a partir del código hash, se pueda "ir hacia atrás" y obtener los datos originales. Matemáticamente no hay forma de tomar el código hash, "decodificarlo" y saber el centro de votación, la hora de cierre o los votos de un candidato.

A partir de un mismo texto, la función hash devolverá siempre el mismo código hash. Si usted modifica el texto en lo más mínimo, la función hash devolverá un código hash completamente distinto, lo que probará que hubo una modificación.

El profesor Theoktisto nos recuerda: "Aún poniendo los mismos datos (centro de votación, número de votos, etc.) no vas a obtener el mismo hash" por las variables de seguridad usadas para crear el número aleatorio, explicó el profesor. De tal forma que el hash es único e imposible de duplicar, matemáticamente hablando.

Si llegaran a aparecer dos actas para una misma mesa, cada una con datos distintos, el acta auténtica será aquella que tenga el mismo hash almacenado en el acta electrónica.

¿Dónde están las actas?

Las actas no sólo están almacenadas de forma electrónica en los servidores de los centros de totalización. Theoktisto nos recordó que el contenido y la memoria de las máquinas de votación no se puede borrar durante una cantidad de días después de la votación por razones legales; que, además, los datos de cada máquina y sus resultados también se almacenan en un pendrive (memoria USB) con la encriptación debida; que el CNE también tiene una copia impresa del acta, y que, una vez las máquinas y el material electoral salen del centro de votación, están sellados, precintados y se almacenan en los almacenes del CNE.

Son tantas y tantas las medidas de seguridad, que no hay forma de hacer lo que algunos rumorearon o insinuaron: que supuestamente en estos momentos un grupo de personas están manipulando secretamente las máquinas, para reimprimir las actas con números que le convengan al gobierno.

Clave se genera por partes

Una de las razones por lo que esto no se puede hacer, es porque todas las máquinas de votación y el sistema de totalización funcionan con una clave que se genera por porciones o partes. Esas partes las tienen por separado: los diferentes partidos políticos, el propio CNE, la empresa Ex-cle y otros participantes. Cada participante tiene un fragmento o trozo de la clave, y no conoce los fragmentos de los demás. Con esa clave se generan las firmas electrónicas, y si por alguna razón hubiera que repetir o rehacerse el proceso, hay que volver a generar la firma eléctronica y para eso se requiere la presencia de todos los actores, que reintroduzcan todas las porciones de su clave.

Con la información que nos dio el profesor Theoktisto pudimos entender que, en el supuesto negado de que el CNE, por su cuenta, quisiera hacer un fraude e intentara repetir el proceso (por ejemplo, para generar actas falsificadas con números falsos), ellos tendrían que hacerlo con una clave nueva o distinta, que generaría firmas electrónicas totalmente diferentes a las que ya tienen los testigos de los partidos políticos, y eso dejaría trazas y evidencias en todos lados.

Sin embargo, el profesor nos advierte que la oposición también tiene precedentes en hacer shows, y que es muy probable que no quieran reconocer a la Sala Electoral del TSJ, como se deja entrever luego de que Edmundo González no se haya presentado este viernes a la citación establecida.

"La oposición debe impugnar ante el TSJ, no en la opinión pública o en los medios internacionales", sentenció el profesor.

¿Repetir elecciones?

También le preguntamos al profesor Theoktisto si el repetir las elecciones sería una solución viable; él nos recuerda que en todas las mesas también se preservan los votos físicos de forma sellada y precintada y que, de hecho, ya se hizo una auditoría ciudadana (con presencia de los votantes) en el 54% de las mesas el mismo 28 de julio en la noche. Quedaría realizarse la auditoría voto por voto en el 46% restante o incluso, en un caso muy extremo, repetirla en el 100% de las mesas, pero no ve necesario repetir el proceso electoral.

Esperamos que estos datos puedan ayudar a las personas a formarse una idea de si el sistema electoral fue vulnerado o no.

Nota leída aproximadamente 8544 veces.

Las noticias más leídas: