“Lamentablemente debemos señalar que, a pesar de la insistencia en el pedido, no pudimos tener acceso a toda la información antes indicada, lo cual limitó en una gran medida el desarrollo y los objetivos” de dos misiones enviadas.
La primera misión, cuyo técnico estuvo ubicado en el Centro Nacional de Procesamiento de Resultados (CNPRE) por 14 días, pretendía apoyar en las pruebas de carga y estrés que debía realizar CGTS, revisar informes sobre “pruebas expertas de penetración a sistemas informáticos” que debía realizar CGTS.
El objetivo de realizar estas tareas de penetración a sistemas informáticos, explica en su informe, era evaluar el estado de salud en ciberseguridad y acompañar a la USI para “aumentar el nivel de madurez y eficacia”.
(Las pruebas de penetración) es como intentar vulnerar (o hackear) el sistema en un ambiente controlado para ver si se puede y, si se vulnera el sistema, aplicar las correcciones.
Carlos Palomo,
especialista informático.
¿Qué información solicitó la misión electoral de IFES a la unidad informática del TSE sin haberla obtenido?
- Diagramas de arquitectura de los sistemas y plataformas implementadas para el Sistema de Transmisión de Resultados y para la página de divulgación de resultados web.
- Diagramas de funcionalidad o flujo de datos, que mostraran la interacción de estos sistemas.
- Planes de contingencia o continuidad de la operación desarrollados en caso de incidente las plataformas pudieran seguir funcionando.
- Informes de pruebas de penetración (pruebas de seguridad informática) a plataformas, al sistema del STR y a la página de divulgación de resultados.
- Estatus de las pruebas de carga y de estrés a los sistemas.
- Las fechas de realización de las pruebas de carga y estrés para acompañar al personal de la USI junto al "proveedor seleccionado" para realizar dichas pruebas.
De acuerdo al informático Carlos Palomo, los diagrama de arquitectura no proveídos por la USI vienen a ser como "los planos de un conjunto de edificios" que explican los componentes y funciones de un sistema informático; y los diagramas o flujo de datos permiten que cualquier observador externo pueda ver cómo fluye la información entre los componentes de un sistema informático. "Es una representación de dónde salen los datos y hacia dónde van", explica.
"Toda la información antes mencionada son elementos imprescindibles y altamente relevantes para el desarrollo de las tareas que esta misión de acompañamiento tenía definidas", manifestó la misión en su informe.
El técnico aseguró que son posibles dos escenario: uno, que la USI no haya tenido la documentación, que sería una "deficiencia técnica muy grave porque es lo mínimo que deben equipos de desarrollo o arquitectos de software deben hacer", sobre todo "porque se están utilizando recursos públicos". Otro escenario no descartado es que no se entregó pese a lo que tenían. El primer escenario sería una "negligencia grave" según Palomo.
Para las elecciones del domingo 3 de marzo, las pruebas de estrés y de carga se realizaron tres días después del evento electoral, situación que la misión de IFES consideró "muy riesgosa" ya que no se disponía de tiempo suficiente para hacer las correcciones. Un informe preliminar de pruebas de rendimiento de la empresa CGTS remitido a la misión no tuvo mayores hallazgos.
IFES desplegó dos misiones técnicas, la primera misión presencial de asistencia técnica llegó el 21 de enero a El Salvador y uno consultor de la misma se instaló en el Centro Nacional de Procesamiento de Resultados Electorales (CNPRE) en la Cooperativa de la Fuerza Armada; la segunda llegó el 24 de febrero.
En el informe, menciona también que hubo problemas en la totalización de resultados de voto electrónico y que la misión no vio pantallas con el monitoreo de los componentes de ciberseguridad para los sistemas de voto por internet administrados por la empresa española INDRA, que diseñó y ejecutó el voto electrónico de salvadoreños en el extranjero.