En un sorprendente artículo publicado en el blog “Freedom to Tinker”, Jeremy Epstein analiza el caso de las máquinas de votar AVS WinVote utilizadas en varias elecciones en el estado de Virginia, en los EEUU.
Epstein expresa que si se hizo una elección con estas máquinas, y no fueron manipuladas, es porque nadie lo intentó, ya que violar la seguridad de las máquinas es tan fácil y trivial que cualquier persona con mínimos conocimientos y herramientas rudimentarias podría haberlo hecho sin que queden huellas. Cualquiera, desde el estacionamiento del establecimiento de votación, con una antena hecha con una lata de papas pringles podría haber corrompido las elecciones.
El sistema AVS WinVote es una máquina que corre un sistema operativo Windows XP largamente desactualizado y ya había sido retirado del uso en los estados de Mississippi y Pennsylvania.
Entre los problemas encontrados en las máquinas, Epstein, un experto con más de 30 años de actividad en el campo de la seguridad de sistemas, indicó que:
* la máquina usa una conexión wireless basada en seguridad WEP. Unos minutos de monitoreo de la red inalámbrica demostró que la clave de cifrado para ingresar a la misma era “abcde” y que no se podía cambiar.
* el sistema no había recibido actualizaciones de software desde 2004 y tenía una enorme cantidad de puertos abiertos por los que se podria ingresar sin demasiado esfuerzo.
* el sistema tiene controles muy débiles y es fácil de reconfigurar. Lo que se descubrió en la última revisión es que la clave de administrador era “admin”.
* la base de datos era una versión obsoleta de Microsoft Access que usa un cifrado muy débil cuya clave era “shoup” y tampoco se podía cambiar. Con este dato, se podía cambiar toda la base de datos sin que nadie pudiera notarlo.
Si la elección no fue manipulada (cosa imposible de saber), es simplemente porque nadie lo intentó, expresa Epstein. Estas máquinas se iban a utilizar en las próximas primarias para las elecciones de los EEUU. Reemplazarlas no será fácil, pero su uso ya ha sido cancelado por carecer de elementos mínimos de seguridad.