Spain Brazil Russia France Germany China Korea Japan

Artificial Intelligence driven Marketing Communications

 
Feb 23, 2020 11:50 PM ET

Blockchain aplicación de votación es peligrosamente vulnerable, los investigadores dicen


iCrowd Newswire - Feb 23, 2020

Una nueva investigación de un equipo de ingenieros del MIT ha encontrado una alarmante cadena de vulnerabilidades en un sistema de votación líder en blockchain llamado Voatz. Después de la ingeniería inversa de la aplicación para Android de Voatz, los investigadores concluyeron que un atacante que comprometía el teléfono de un votante sería capaz de observar, suprimir y alterar los votos casi a voluntad. Los ataques de red también podrían revelar dónde votaba un usuario determinado y potencialmente suprimir los votos en el proceso, afirma el documento.

Lo más preocupante es que los investigadores dicen que un atacante que comprometió los servidores que administran la API de Voatz podría incluso ser capaz de alterar las papeletas a medida que llegan, una amenaza alarmante contra la que los libros de contabilidad distribuidos deberían proteger teóricamente.

“Dada la gravedad de los fallos discutidos en este artículo, la falta de transparencia, los riesgos para la privacidad de los votantes y la naturaleza trivial de los ataques, sugerimos que cualquier plan de futuro cercano para usar esta aplicación para elecciones de alto riesgo sea abandonada”, los investigadores Concluir.

Diseñado como un reemplazo para las papeletas en ausencia, el proyecto de votación basado en blockchain de Voatz ha sido recibido con escepticismo de los investigadores de seguridad, pero el entusiasmo de muchos en el mundo de la tecnología, recibiendo más de $9 millones en financiamiento de empresas. Bajo el sistema Voatz, los usuarios emitirían papeletas de forma remota a través de una aplicación, con identidades verificadas a través de los sistemas de reconocimiento facial del teléfono.

Voatz ya ha sido utilizado en una serie de elecciones menores en los Estados Unidos, recaudando más de 150 votos en las elecciones generales de 2018 en Virginia Occidental.

Un estudio de posibles ataques al sistema Voatz, resumido por los investigadores del MIT.

Voatz disputó los hallazgos del MIT en una entrada de blog, llamando a los métodos de investigación “erróneos”. La principal queja de la compañía es que los investigadores estaban probando una versión obsoleta del software cliente Voatz y no intentaron conectarse al propio servidor Voatz.

“Este enfoque defectuoso invalida cualquier afirmación sobre su capacidad para comprometer el sistema general”, se lee en la entrada del blog.

En una llamada con los periodistas, los ejecutivos de Voatz argumentaron que las protecciones del lado del servidor impedirían que los dispositivos comprometidos se autenticaran en el sistema más amplio. “Todas sus afirmaciones se basan en la idea de que, debido a que eran capaces de comprometer el dispositivo, serían capaces de comprometer el servidor”, dijo Nimit Sawhney, CEO de Voatz. “Y esa suposición es completamente errónea.”

El Verge compartió esta crítica con los investigadores del MIT que no respondieron inmediatamente.

Voatz también hizo hincapié en medidas que permiten a los electores y funcionarios electorales verificar sus votos después del hecho. “Cada papeleta enviada con Voatz produce una papeleta”, dijo hilary Braseth, jefa del producto, “y cada votante que usa Voatz recibe un recibo de la boleta una vez que se envía”.

Hasta ahora, los expertos en seguridad no han quedado impresionados por esas explicaciones. “El dispositivo sólo envía votos a un servidor”, observó el criptógrafo de Johns Hopkins Matthew Green en Twitter. “El servidor podría ponerlos en una cadena de bloques, pero esto no ayuda si el dispositivo o el servidor se ve comprometido. Voatz necesita explicar cómo se ocupan de esto”.

En el post, Voatz también señala a su programa de recompensa de errores en curso y revisiones regulares de código como evidencia de la seguridad robusta de la aplicación, pero algunos investigadores podrían no estar de acuerdo. En octubre, la compañía fue incendiada por hacer una referencia del FBI sobre un incidente que fuentes dijeron que CNN fue originada en un curso de seguridad electoral de la Universidad de Michigan. Otros han criticado el programa de recompensas de Voatz como oneroso y hostil para los investigadores, lo que podría explicar por qué los investigadores del MIT no participaron.

Aún así, no es la primera vez que se plantean preocupaciones de seguridad sobre Voatz o el voto blockchain, en general. En noviembre, el sen. Ron Wyden (D-OR) escribió al Pentágono para plantear preocupaciones sobre la seguridad de Voatz y pedir una auditoría completa de la aplicación. La solicitud fue finalmente diferida al Departamento de Seguridad Nacional.

En respuesta al informe del MIT, Wyden ofreció duras críticas. “Los expertos en ciberseguridad han dejado claro que el voto por Internet no es seguro”, dijo en un comunicado. “Ya hace mucho tiempo que los republicanos terminen su embargo de seguridad electoral y den que el Congreso apruebe normas de seguridad obligatorias para todo el sistema electoral”.

Contact Information:

Russel Brandom



Tags:    Spanish, United States, Wire