Los atacantes en línea pueden comprar, por tan solo unos pocos miles de dólares, suficiente información personal para alterar potencialmente la información de registro de votantes en hasta 35 estados y el Distrito de Columbia, según un nuevo estudio de Harvard.
Apodado "robo de identidad del votante" por los autores del estudio Latanya Sweeney, profesora de Gobierno y Tecnología en Residencia, analista de investigación Ji Su Yoo y estudiante graduado Jinyan Zang, la vulnerabilidad podría ser explotada por los atacantes para intentar privar a muchos votantes de la información de registro de votantesse puede cambiar en línea. Armados con información personal obtenida a través de fuentes legítimas o ilegítimas, los piratas informáticos podrían saber lo suficiente para hacerse pasar por los votantes y cambiar la información clave utilizando los sistemas de registro de votantes en línea.
Una táctica, dijeron los investigadores, sería simplemente cambiar las direcciones de los votantes, haciendo que parezca, al menos para votar a los trabajadores, como si estuvieran votando en el lugar equivocado. Esos votantes podrían verse obligados a emitir boletas provisionales, lo queen muchas circunstancias no se cuentan. El estudio se describe en un artículo del 6 de septiembre publicado en el Revista de Ciencia Tecnológica .
Aunque los investigadores no reportan evidencia de atacantes que exploten la vulnerabilidad, Sweeney, Yoo y Zang dijeron que el temor es que podría usarse para socavar la confianza en las elecciones o incluso para cambiar el resultado a favor de un candidato en particular.
"Si el objetivo es socavar cualquier creencia en el sistema electoral, es muy posible que quieran atacar a una comunidad en particular ... porque eso podría causar una especie de histeria", dijo Sweeney.¿Qué tipo de sistema es este? No tuvimos la oportunidad de votar, toda nuestra comunidad no tuvo la oportunidad de votar "
"Si nos fijamos en el resultado de las elecciones de 2016 ... hubo varios estados donde el margen de victoria estaba dentro del uno o dos o cinco por ciento", continuó. "Si desea cambiar el resultado en un estado quefue determinado por menos del uno por ciento de los votos, ¿cuál es el menor número de cambios que puede hacer y dónde los hace? "
Con la esperanza de evitar que los atacantes exploten la vulnerabilidad, Sweeney, Yoo y Zang notificaron a los funcionarios electorales de los estados vulnerables sobre sus hallazgos antes de la publicación, asistieron a una convención nacional de dichos funcionarios para discutir los hallazgos y organizarán un taller,a los cuales los funcionarios electorales han sido invitados.
"La mayoría de los estados tienen procesos administrativos y prácticas electorales que podrían detectar o limitar un ataque, pero hay margen de mejora", dijo Sweeney.
La obtención de la información necesaria para hacer esos cambios, dijo Sweeney, es mucho más fácil de lo que la mayoría cree, porque a diferencia de la opinión popular, la información de los votantes no es privada.
Los conjuntos de datos que contienen nombres de votantes e información demográfica, como direcciones, afiliación de partidos e incluso género, se pueden comprar o descargar, a menudo de los propios sitios del gobierno, por solo unos pocos dólares. Por solo $ 18,000, los investigadores pudieron comprar listas de votantes delos 35 estados y Washington DC que permiten el registro en línea.
Sin embargo, esas listas no contienen la información personal, como el Seguro Social o los números de licencia de conducir, la mayoría de los estados utilizan para confirmar la identidad de un votante en línea. Descubrir que, dijo Sweeney, era tan simple como desembolsar más de $ 40 por mespara acceder a un sitio comercial de intermediario de datos.
"La ley dice que solo las personas en ciertas situaciones pueden comprar estos datos; una opción es si desea buscar sus propios datos o realizar investigaciones de fraude, pero se basa en un autoafirmación", dijo Sweeney."Eso les da cobertura a los corredores, así que si el gobierno dice que no debiste haber vendido los datos a esa persona, pueden decir que no es nuestra culpa, dijeron que los estaban usando para este propósito".
Si bien es posible encontrar la información necesaria para alterar la información de los votantes a través de medios legales, Sweeney dijo que la Web oscura ofrecía una gran ventaja: el costo.
Por solo $ 1,002, un atacante podría comprar dos conjuntos de datos, uno que se cree que proviene de una violación masiva de datos del buró de crédito Experian, que contenía los nombres, la dirección, las fechas de nacimiento, el género y los números de Seguro Social de la mayoría de los adultosEstadounidenses
Armados con esa información, dijeron Sweeney, Yoo y Zang, los atacantes podrían acceder y alterar teóricamente la información de votación de miles de personas. En algunos estados, descubrieron que costaría solo $ 1 cambiar el uno por ciento de los registros de votantes, mientras queel costo promedio fue de solo $ 41.
"El dinero, creo que es una verdadera sorpresa", dijo Sweeney. "Cuando hablamos por primera vez de este proyecto con un miembro de Washington, nos dijo que estábamos perdiendo el tiempo, porque los datos de los votantes son muy caros. Su predicción fue quesolo tendríamos éxito en unos pocos sitios ... y eso fue porque pensó que la única forma de obtener los datos era del estado.
"Pero resulta que puedes obtenerlo de muchos estados, y solo unos pocos cobran un costo por votante, lo que aumenta dramáticamente el costo", agregó. "En Ohio, los datos son gratuitos; puedes descargarlosde la Web. Y otros que compraron los datos lo pusieron a disposición de forma gratuita en un intento de agregar transparencia al proceso electoral. Incluso los corredores de datos que se especializan en listas de votantes, $ 2,000 fue el máximo, y cubrieron los 50 estados ".
Sweeney admitió, sin embargo, que alterar la información del votante puede no ser tan simple como encontrar los datos correctos.
Aunque puede ser relativamente fácil obtener acceso a la Seguridad Social y los números de licencia de conducir necesarios para realizar cambios en la información de los votantes, Sweeney dijo que los estados pueden tener seguridad adicional, como hacer que los funcionarios revisen y confirmen los cambios de dirección que podrían detenerun ataque antes de que se produzca un daño importante.
Si bien esos esfuerzos pueden haber tenido éxito hasta ahora, Sweeney, Yoo y Zang, exhortan a los estados a tomar medidas adicionales para protegerse contra posibles ataques. "Un ser humano puede notar si aparece un número de cambios mayor que el habitual, pero qué pasa sinúmero es solo unos pocos más al día? Un programa de computadora podría mejorar ", dijo Sweeney.
"Nuestro documento no está tratando de ser crítico con el gobierno o sugerir que el gobierno no invirtió suficiente dinero o recursos en seguridad", dijo Yoo. "Pero es solo la naturaleza del gobierno que se mueve a un ritmo diferente alla tecnología comercial lo hace "
Entre los pasos clave que los investigadores instan a los estados a tomar, si aún no lo están haciendo, está el registro de todos los visitantes del sitio, lo que podría permitir a los funcionarios rastrear si un solo visitante es responsable de múltiples cambios en la información de los votantes y rastrear dóndevino un posible ataque.
"También recomendamos que los estados mantengan registros de los cambios realizados", agregó Sweeney. "Eso les permitiría retroceder a través de los cambios y ver qué cambios se hicieron y cómo se cambiaron. Algunos estados han estado haciendo esto. Recomendamos que todos los estados lo hagan "
En última instancia, la pregunta que plantea el estudio es cómo puede el gobierno asegurarse de que realmente está tratando con los ciudadanos cuando realiza negocios en línea. Esa pregunta es importante, dijo Sweeney, porque aunque el fraude comercial es un problema, los riesgos son mucho mayores para el gobierno.
"Si un sitio comercial se ve comprometido, las desventajas no son las mismas, porque no compromete todo nuestro proceso democrático", dijo Sweeney. "Cuando la gente habla de fraude electoral, lo que generalmente quieren decir es que los votos adicionales son emitidos porun partido, pero esto es diferente. Se trata de personas que deberían haber podido votar, pero no pueden. Esto encaja en el discurso más amplio de la seguridad electoral de una manera única ... porque podría permitir que un grupo particular seaprivado de sus derechos "
Encuentre más información en: http://techscience.org/a/2017090601/
Fuente de la historia :
Materiales proporcionado por Universidad de Harvard . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :