Papelón salteño: El código de las máquinas de voto electrónico filtrado en la web es el oficial, y carece de buena calidad y seguridad según confirmaron especialistas

Los técnicos ejecutaron una función conocida como "hash", un algoritmo "que se le puede correr a cualquier tipo de archivo, ya sea un formato de texto, una imagen o un ejecutable para garantizar la integridad de ese archivo", explicaron.

El código fuente de las máquinas de voto electrónico de Salta que fue filtrado en la web tras las PASO es el mismo código oficial que contienen los CDs con los que corren esas computadoras, constataron expertos informáticos que advirtieron del riesgo de emplear en octubre un software cuyos detalles se conocen y puede ser adulterado, mientras la Justicia salteña adelantó que denunciará penalmente el robo del CD.

Durante un encuentro realizado el viernes en la redacción de Télam, el administrador de sistemas Javier Smaldone comparó el código fuente filtrado de una máquina de votación de la empresa MSA con el de los CDs que usaron esos mismos equipos en las últimas PASO salteñas, y llegó a la conclusión de que se trata del mismo software.

El 18 de agosto, Télam había informado sobre la filtración del código fuente realizada por un hacker llamado Prometheus a través de una cuenta de Twitter, en la que se anunciaba que los archivos de la máquina de MSA se encontraban disponibles en el sitio https://github.com/prometheus-ar/vot.ar.

Esa versión fue negada de forma rotunda por el Poder Judicial de Salta, que respondió ‘que no se trata del código fuente de las máquinas de voto electrónico que se emplea en la provincia‘.

Este código ‘no serviría por ejemplo para activar una máquina de votación‘ y que ‘una sola modificación a ese código ya implica que la máquina no arranque‘, afirmaron a Télam fuentes judiciales.

Smaldone refutó ambas cuestiones al señalar que el sistema fue programado con lenguaje Phyton, en el que el código fuente y la aplicación van juntas, lo que permitiría que teniendo uno de estos CDs sí se puedan hacer modificaciones así como activar una máquina.

El proceso fue supervisado en el lugar por Alfredo Ortega, doctor en Informática e investigador de la firma checa Avast, y por Patricia Delbono, perito forense informática y miembro del Consejo Profesional de Ingeniería de Telecomunicaciones, Electrónica y Computación (Copitec).

‘Cuando vos no preparás un código fuente para ser liberado, es de menos calidad porque no te imaginás la cantidad de gente que lo va a ver, no lo documentás bien. Por lo que pudimos ver (desde el momento que fue filtrado) no tiene la mejor calidad de código, casi no fue auditado o lo fue por un grupo muy pequeño de personas‘, sostuvo Ortega.

En ese sentido, el especialista estimó que en este caso se está usando ‘seguridad por oscuridad, que no funciona nunca o casos muy acotados‘, porque supone que la seguridad del sistema descansa en el secretismo del mismo.

Según relató Smaldone, el día de las PASO se comunicó con él ‘una persona a través de Twitter‘ que le dijo que ‘al estar limpiando las aulas encontró material de la votación tirado‘, y le envió ‘una foto donde se veían boletas de votación y dos CDs con el software‘ que usan las máquinas.

Días después el informático recibió por correo un paquete con las copias oficiales del software, las boletas y otros implementos de votación, todos rotulados con la inscripción correspondiente a las PASO de este año.

‘El día jueves 17 aparece, en el mismo sitio donde aparecían las anteriores filtraciones, un código que se anuncia como el utilizado el domingo anterior en la provincia de Salta. Lo que hago es tomar los CD y verifico que el código fuente es idéntico a lo que se había publicado‘, explicó Smaldone al describir el mismo proceso que se realizó en Télam.

En este caso se analizó ‘el CD que recibió Smaldone y la información de github, se corrieron los hashes y muchos digestos dieron iguales, de manera que llegamos a la conclusión que los archivos son iguales‘, enmarcó Delbono.

Durante la prueba solo algunos archivos difirieron entre las versiones, pero los tres especialistas coincidieron en que se tratan de archivos no esenciales al funcionamiento del sistema sino ‘de estilo‘.