Web de la JCE sufrió ataques cibernéticos el día de las elecciones

La página de la Junta Central Electoral (JCE) sufrió el día de las elecciones presidenciales y congresuales una serie de ataques cibernéticos que procuraban impedir la divulgación de los resultados al público.

La información salió a relucir en el informe preliminar de la misión de observadores electorales de la Organización de los Estados Americanos (OEA), que indica que alrededor de las 9:30 de la noche el sitio web de la JCE presentó inconvenientes para mostrar los datos, al punto de emitir un mensaje de error.

Aduce que la misión acudió ante los técnicos de informática de la JCE para advertir dicha situación, quienes indicaron que la página estaba siendo afectada por una serie de ataques, comúnmente conocidos como de denegación de servicios (DDos), cuyo fin es impedir el acceso a la consulta de datos.

“La infraestructura tecnológica de la JCE dispone de un conjunto de medidas para la mitigación de ataques cibernéticos. Dichas medidas y acciones directas por parte de los técnicos permitieron normalizar la situación al cabo de dos horas y 30 minutos, cuando se restableció el funcionamiento estable de la página”, sostiene.

Detalla que la misión pudo observar que el envío y transmisión de relaciones de votación (actas) desde los centros, así como también el proceso de digitación dispuesto en las juntas electorales y en la JCE, no se vieron afectados por el incidente de seguridad sufrido por el sitio web de divulgación al público.

Aseguran que en todo momento se mantuvo la divulgación de resultados a los partidos políticos y a la prensa, a través de la infraestructura de red interna de la JCE.

También se mantuvo la difusión de resultados en la modalidad de streaming en redes sociales y en la página de la junta, sin que dicha transmisión se viera afectada por el incidente de seguridad, afirman.

Sin embargo, alertan que durante el incidente de seguridad se pudo advertir la ausencia de un mecanismo formal de gestión de incidentes.

Recomendaciones de la OEA
 
 
 
 
 
  1. -Disponer de un cronograma de trabajo del área informática de la JCE que incluya la totalidad de las actividades técnicas y tecnológicas (tales como pruebas, simulacros y cierre de cada uno de los módulos de software), y se acople al de la Dirección de Elecciones.
  2. -Implementar un sistema de gestión de incidentes, que permita de manera eficiente atender ataques y toda clase de incidentes que pudieran poner en riesgo el proceso.
  3. -Formalizar la estructura de desarrolladores y estandarizar la modalidad de desarrollo, a fin de garantizar la continuidad del proyecto ante eventualidades.
  4. -Implementar un mecanismo formal de versionado de software.
  5. -Implementar un mecanismo formal de documentación de adecuaciones, modificaciones y correcciones (change management) que se integre al mecanismo de versionado de software.
  6. -Implementar un mecanismo formal de pruebas de código fuente (testing de caja blanca) y de funcionalidad de software.
  7. -Implementar un mecanismo de congelamiento de software, previo a su puesta en producción, clonado y/o inseminación.
  8. .Implementar un mecanismo de control de calidad y funcionamiento sobre el 100% de los componentes que integran la maleta tecnológica.
  9. -Implementar un sistema de inventario de los componentes que conforman la maleta tecnológica, cuya identificación por diversos factores permita conocer en cuál maleta se encuentran y de ese modo identificar los componentes que tuvieran falla.
  10. -Llevar a cabo al menos un simulacro del 100% de las funcionalidades dispuestas para las próximas elecciones, con todas las JEM y al menos el 80% de los recintos, con una carga de trabajo del 100% de los colegios electorales. Esta acción debe ser realizada al menos 15 días previos a las elecciones, con la finalidad de poder llevar a cabo las adecuaciones que correspondan.
  11. -La página prevista por la JCE para divulgación de resultados, al igual que el ecosistema tecnológico que se emplee, deben formar parte de los simulacros, a fin de poner a prueba las barreras de seguridad y mitigación ante ataques.
  12. -En el caso de disponer de paneles de consultas para la divulgación de resultados, también deben formar parte de los simulacros.
  13. -Formalizar el procedimiento de puesta en cero de las bases de datos y backup de las mismas, antes y al finalizar el proceso electoral.

FUENTE DIARIO LIBRE