No hubo ciberataque en elecciones; la Registraduría no estaba preparada

El registrador Alexánder Vega habló de un ciberataque cuando se le preguntó sobre las fallas en la página web y la aplicación de la Registraduría. La Fiscalía desmintió esta información y aseguró que se trató de una falla de capacidad.

Durante toda la campaña política se habló de la posibilidad de un ‘ciberataque’ durante la jornada electoral. Incluso, el mismo presidente Iván Duque afirmó, frente al Parlamento Europeo, que desde el exterior querían “hacer experimentos de ‘hackers’ en los procesos electorales” de Colombia. 

El mensaje se repitió tanto que para muchos se convirtió en una realidad. Esta narrativa, a su vez, esparció la idea de que el ataque tendría como fin cambiar los resultados de las elecciones. 

En la mañana de las elecciones, las palabras del registrador Alexánder Vega parecían confirman lo que muchos esperaban. “Lo que nos reportan los técnicos es que desde la madrugada el día de hoy se presentó una actividad inusual de los ingresos a la aplicación y a la página”, dijo el funcionario al explicar las razones por las que, según él, la página web de la Registraduría y la aplicación InfoVotantes estaban fuera de línea. 

La noticia se extendió inmediatamente por distintos medios del país: “Confirmaron ciberataque contra página web de la Registraduría”, “Registraduría confirma grave ataque cibernético a su página web” y “Registraduría confirma que fue la caída de su página fue un ataque cibernético”, fueron algunos de los titulares. 

Pero este lunes la Fiscalía aclaró que las investigaciones de la Policía y cuatro fiscales especializados no arrojaron evidencia de algún tipo de ciberataque en contra de las páginas de la Registraduría y el Consejo Nacional Electoral. “Hubo una falla en la capacidad de esa página y por ende no podemos hablar de un ataque (…) Para nosotros no hubo tal acción”, explicó la Fiscalía. 

Es decir, la infraestructura de la Registraduría no aguantó el flujo masivo de personas que se esperaba para ese día. Este hecho dejó un sinsabor, ya que se invirtieron más de 14.000 millones de pesos en tecnología para la página web y la aplicación de la entidad con el fin de que soportaran el alto tráfico de usuarios y que fuera eficientes frente a cualquier amenaza, según reveló la periodista Paola Herrera.

La situación hizo que muchas personas tuvieran que recurrir a las carteleras habilitadas en los diferentes puestos de votación para consultar sus mesas de sufragio.

Según explicó a Diario Criterio Felipe Guerrero, especialista en ciberseguridad, lo que experimentó la página de la Registraduría fue un fallo de petición de servicio. “Muchos usuarios entraron a la página a consultar a tiempo. Ese fue el problema, pero probablemente la Registraduría lo vio como si fuera un ataque de degeneración de servicios (cuando desde diferentes lugares intentan ingresar a la página web con la intención de saturarla). Fue como un falso positivo. Ahora, cuando se compra un software, deben hacerse distintas pruebas y justamente una de las primeras que se hacen son las de petición de servicio”, dijo. 

Puede leer: Ciberataques en elecciones: ¿amenaza real o desinformación?

¿Manipular los resultados con ciberataques?

Ahora bien, un ataque a la Registraduría no serviría para alterar los resultados de las elecciones, ya que su página web “trabaja con copias de los repositorios principales de información”, y un ataque a los sistemas en línea no afectaría “el núcleo de los sistemas de identificación o electorales, ya que esos sistemas principales están totalmente aislados de redes públicas”, explicó a Diario Criterio Erick Rincón, experto en ciberseguridad de la Universidad del Rosario.

Es decir, la Registraduría no maneja esa labor en su página web. La información de los escrutinios la tienen dos empresas: la unión temporal Disproel, para el conteo departamental, e Indra, para el recuento nacional. De esta forma, para afectar los resultados, habría que atacar las estructuras de esas dos firmas.

Pilar Sáenz, coordinadora del Laboratorio de Seguridad digital y privacidad de la Fundación Karisma, explicó que Disproel trabajó directamente con las comisiones escrutadoras que se encuentran en todo el país y que no están conectadas “formalmente a internet”. Así, para atacar la información,”habría que intervenir de alguna forma los computadores que están en las comisiones escrutadoras”, aseguró. 

Para el caso de Indra, el software de escrutinio fue utilizado por los nueve magistrados que reciben el conteo y funciona en la nube. En este sentido, para alterar los resultados, “habría que meterse a uno de los computadores de los magistrados y que los otros aprueben los cambios. También habría que afectar el sistema de seguimiento y control que tiene la empresa”, aseguró Sáenz.

Le puede interesar: Así quedaría el tarjetón para las elecciones presidenciales

¿Y los ‘autoataques’?

Desde que la Fundación para la Libertad de Prensa (FLIP) denunció, a finales del año pasado, que el Ministerio de Defensa fingió un ciberataque durante las protestas, surgió la pregunta de si es posible determinar si un ataque es más bien un ‘autoataque’. El interrogante se avivó aún más con las elecciones del domingo.

De acuerdo con la experta Sáenz, es posible tratar de determinar de dónde se produjo el ataque, pero no quién lo hizo. “Si es un ataque de degeneración de servicios, podrías tratar de rastrear desde dónde vino, pero esto no es determinante para saber quién lo hizo. Uno podría tener evidencias de que los ataques vienen de China, Rusia u otro país porque hay organizaciones a las que contratan para hacer estos ataques”, aseguró.

No obstante, sí se podría determinar cuando hay evidencias muy claras. Por ejemplo, que una entidad concierte un ataque a su propia infraestructura y deje como evidencia algún tipo de correlación o conexión que permita evidenciar que provino desde el interior. “Eso sería un ataque muy torpe, dejaría una huella muy clara de que el ataque viene desde esa misma dirección”, añadió.

Esto para el caso de que la empresa involucrada permita hacer una revisión a los sistemas involucrados, pero la situación cambia cuando se trata de entidades del Gobierno. Nahúm Deavila, consultor en ciberseguridad, explicó a Diario Criterio que, para el caso del Ministerio de Defensa, “al ser una institución tan hermética, sería imposible comprobar sí hubo o no un ataque. Sería complicado hacer un peritaje técnico a los sistemas involucrados. En ese caso, uno queda a la especulación y eso conlleva a la desinformación. La gente queda a la expectativa”.

Le puede interesar: Francia Márquez consigue más votos que Sergio Fajardo, Álex Char, Juan Manuel Galán, Enrique Peñalosa…

Foto de portada: Registraduría