Ciberseguridad electoral y neutralidad tecnológica: garantizando elecciones confiables ante una sociedad digital

La tecnología frente a un procedimiento electoral puede tener una doble aproximación: de un lado, podemos verla como un riesgo o una amenaza a los sistemas democráticos; de otro lado, podemos verla como una aliada frente a sistemas autoritarios, dictatoriales.

En la actualidad la tecnología es mayoritariamente percibida como un factor de amenaza o riesgo a los sistemas democráticos por cuanto se relaciona con técnicas como las deepfakes (la conocida suplantación con IA en 2017 de Obama), y deepvoices (los audios del candidato a la presidencia de Eslovaquia en 2023 Michal Šimečka, o los del Presidente norteamericano Biden en 2024), spear phishing (ataques de phishing personalizados y dirigidos contra una persona, como el hackeo a la cuenta de X del candidato a la presidencia dominicana Abinader en 2024, previamente en 2017 el hackeo a Macron: en la jornada de reflexión), dirigidas contra los candidatos, contra magistrados de Tribunales Electorales e incluso contra miembros del personal con accesos a información relevante (crítica) o a sistemas, de estas instituciones de justicia electoral o de los partidos políticos; también se relaciona con ataques contra las instituciones electorales o estatales, contra sus sistemas informáticos. Pensemos en ataques de denegación de servicios (Ddos) a las webs de las instituciones que retransmiten o comunican los resultados electorales, esta práctica consiste, de forma muy simplificada, en acceder a un mismo sitio un gran número de “usuarios” de manera que se bloquea el acceso a todos generando un error, en otras palabras se produce una sobrecarga de peticiones de acceso que termina por inhabilitarlo, (por ejemplo, la web del ministerio del interior de España en las elecciones generales de 2023 ); ataques a los sistemas en los que se desarrolla la votación (por ejemplo, ataque a los sistemas de votación en el exterior de las elecciones en Ecuador 2023). También se relaciona desde este ámbito más negativo de la tecnología con la creación (IA generativa), aceleración y difusión (bots) de desinformación, en ocasiones se produce un uso combinado de desinformación con los mencionados ataques a webs, a sistemas institucionales o a máquinas de votación lo que nos conduce a las comúnmente conocidas como amenazas híbridas.

No obstante, existe una aproximación más amable a la tecnología que la percibe como una herramienta útil en la defensa del sistema democrático, por ejemplo, cuando estas tecnologías nos ayudan a la verificación de usuarios, a la realización de resúmenes de incidentes, a la supervisión de anomalías en accesos a datos, en la creación de alertas ante esos accesos o patrones que no responden a lo común, en el monitoreo de desinformación. Igualmente, cuando contribuye a enfrentar las censuras (primavera árabe en 2011), la manipulación informativa, los bloqueos de información (corte de internet en Ucrania), en regímenes totalitarios, autoritarios, o iliberales (verificación de contenidos, implementación de canales alternativos de comunicación, etc.).

Para entender esta cuestión mejor, pongamos por caso de estudio las elecciones de Venezuela de 2024 en las cuales el gobierno de Nicolás Maduro sostuvo que habían sufrido un hackeo a los sistemas del Consejo Nacional Electoral de Venezuela qué consistía en un ataque de denegación de servicios (Ddos) que tenía por objeto el sistema de transmisión de datos. Me gustaría en este momento llamar la atención que la transmisión de datos electorales es un proceso que no tiene porqué comprometer la integridad del procedimiento, máxime cuando un ataque Ddos se centra en interrumpir la comunicación/ el servicio, y no en modificar lo comunicado.

En esta ocasión la comunidad de la ciberseguridad y los observadores electorales respondieron a esas acusaciones apuntando una ausencia de evidencia científica sobre ese ataque, y afirmando que no constaba un tráfico anómalo desde terceros Estados a Venezuela; tampoco existen informes de auditorías al respecto.

Ante un eventual ataque de denegación de servicios e incluso ante un hackeo a los propios sistemas de votación venezolanos, que debemos decir tendrían que estar aislados de la red o con una red dedicada específicamente a las elecciones, se podría responder con evidencia científica mediante auditorías independientes y transparentes en seguridad de la información, en ciberseguridad. Este tipo de medidas que, conviene señalar, deben estar previstas en los distintos planes de seguridad de la información de ciberseguridad, de recuperación ante incidentes, que deben implementarse conforme a las Estrategias Nacionales de Seguridad/ o a los Planes Nacionales de Seguridad siguiendo las pautas internacionalmente conocidas en este ámbito. Permítanme señalar en este momento la importancia que tiene el proceso comunicativo ante un evento de ciberseguridad electoral.

Continuando con el ejemplo venezolano y, ahora, desde la visión más amable de la tecnología implementada en el proceso electoral, podemos señalar la creación de un sistema de recepción y transmisión de actas de resultados creada por la oposición venezolana para evitar la manipulación electoral y evidenciar con la publicación de las actas el sumatorio de los votos reales obtenidos.

Si nos centramos en el papel de los canales de comunicación, en este caso de las redes sociales en el marco electoral venezolano, podemos ver nuevamente estas dos facetas: de un lado, desde la vertiente negativa, tenemos el uso que se realiza para diseminar la desinformación. Cabe decir que inteligencias artificiales, tecnologías de análisis, pueden servir de ayuda ante la recolección y estudio de narrativas y otras piezas desinformativas en el contexto electoral. No obstante, tampoco hemos de obviar que las IAs generativas pueden contribuir, y de hecho lo hacen, a crear esas manipulaciones conocidas como Deep fakes y Deep voices.

De otro lado, desde la vertiente positiva, hay que señalar que la ciberseguridad contribuye a dar visibilidad a situaciones de manipulaciones, fraudes electorales, abusos de autoridades, al ayudar a movilizar a la población cuando presuntamente se produce un ataque a la democracia. Esta situación se evidencia con la confrontación de Nicolas Maduro con la red social X en el territorio venezolano, con esa llamada a no usar WhatsApp.

El caso venezolano nos ayuda a situarnos en la importancia que tiene la ciberseguridad en los procesos electorales. Una ciberseguridad que debe estudiarse desde distintos enfoques (técnicos, jurídico-normativos, etc.) dada su transversalidad.

Se trata de una ciberseguridad que en el proceso electoral puede considerarse desde un enfoque centrado en las infraestructuras, un enfoque más físico -como puedan ser los cables de red o suministros, harware utilizado-, hasta un enfoque de tipo lógico, centrado en el software que se implementa tanto para el desarrollo del procedimiento electoral (máquinas de votación, sistemas de transmisión de resultados, etc.) como en las propias instituciones estatales (en las herramientas que implementan los CERT/CESIRT- Computer Emergency Response Team, equipo especializado en gestionar y responder a incidentes de ciberseguridad proporcionando análisis, mitigación y prevención de amenazas.; y los SOC-Security Operations Center, centro de operaciones de seguridad que monitoriza, detecta y responde a amenazas en tiempo real, protegiendo la infraestructura y los datos de una organización). Finalmente, hasta alcanzar al enfoque humano (educación/cultura y concienciación en ciberseguridad) tendente a evitar que el eslabón más débil en la cadena de seguridad de la información sea quien caiga en phishing (en sus diferentes modalidades), facilitando contraseñas u otros datos relevantes a los ciberdelincuentes.

Además, esta ciberseguridad puede y debe estudiarse desde distintos niveles: un nivel más institucionalizado, en el cual los propios Estados recojan la ciberseguridad electoral dentro de sus estrategias de seguridad nacional y lo vayan desarrollando a nivel de planes (estatales e institucionales) y políticas, y con la creación de un Comité Superior de coordinación electoral, (un comité ad-hoc sito en el war rome durante el desarrollo de la jornada electoral). En este nivel, también debe permear en el propio marco normativo electoral, por ejemplo, con la tipificación de delitos especiales electorales, dando seguridad jurídica. Y un nivel, si queremos, más particularizado o dirigido a las propias instituciones, que como los Tribunales Electorales o los CERT/CESIRT, participan en asegurar la integridad del proceso electoral. Aquí sugerimos crear dentro de los Tribunales o Juntas Electorales de cada Esatdo, un grupo de trabajo interdepartamental que se reúna periódicamente y que vaya generando experiencia y confianza, que son necesarios ante revisiones e implementación de los distintos planes y protocolos y que ayudarían a responder de forma eficaz y eficiente ante un incidente. Son, en este punto, conceptos claves: el Sistema de Gestión de Seguridad de la Información (SGSI) que representa el marco de referencia a la hora de implementar las políticas de seguridad de la información; el Plan de Ciberseguridad, que se centra específicamente en las medidas y estrategias para proteger los sistemas y redes informáticas contra amenazas; y el Plan de Respuestas ante incidentes, centrado en responder y recuperarse ante un evento de ciberseguridad. En este orden de ideas se recomienda la certificación de las ISO relacionadas con la seguridad de la información, como la ISO 27000 y dentro de estas especialmente la ISO 27001- SGSI, estas normas se centran en la gestión de la seguridad de la información, ayudando a proteger datos confidenciales y garantizar procesos seguros frente a amenazas cibernéticas; y la electoral ISO/TS 54001:2019 basada en la ISO 9001:2015(es), esta norma asegura la gestión de calidad en procesos electorales, promoviendo transparencia, confianza y eficiencia en la organización de elecciones. El disponer de ambas certificaciones ayuda a fortalecer la confianza de la ciudadanía en los sistemas, procesos y tecnologías utilizadas.

En definitiva, aunque la ciberseguridad suele pasar desapercibida en los procedimientos electorales, su papel es fundamental para garantizar la integridad y la confianza que la ciudadanía deposita en el sistema democrático. Sin un enfoque adecuado en ciberseguridad, los procesos electorales serían vulnerables a los riesgos y amenazas que podrían comprometer no solo la validez de los resultados, sino también la legitimidad misma de las instituciones democráticas. Es por ello por lo que debemos realizar un esfuerzo y contribuir, en la medida de lo posible, a crear una cultura democrática de ciberseguridad.

Cita recomendada: Tamara Álvarez Robles, «Ciberseguridad electoral y neutralidad tecnológica: Garantizando elecciones confiables ante una sociedad digital», IberICONnect, 12 de diciembre de 2024. Disponible en: https://www.ibericonnect.blog/2024/12/ciberseguridad-electoral-y-neutralidad-tecnologica-garantizando-elecciones-confiables-ante-una-sociedad-digital