Qué horror el fraude electoral que se pretendía llevar a cabo en el Valle. La información aparecida en los medios estuvo muy interesante, pero, seguramente por no conocer mucho el tema, no se dijo cómo se iban a usar la informática y los sistemas de información electorales para coronar el delito.

Hilando, aunque no tan delgado, se podría deducir que con los computadores encontrados se iban a penetrar los sistemas informáticos que se estaban usando en las elecciones y modificar los contenidos de las bases de datos en los que reposa la información. Para esto tal vez se iban a usar contraseñas suministradas por los funcionarios de la Registraduría descubiertos operando en este fraude, o unas que se obtuvieron gracias a la falta de políticas de seguridad de esta entidad, o mediante el uso de ingeniería social, que es manipular a las personas para obtener información que permita hacer hacking. No es posible que no usen el aparato que suministra una clave que cambia (security token) y no se repite en un tiempo específico, o tecnologías de seguridad biométrica.

Ante esta problemática, valdría la pena revisar si las entidades estatales tienen políticas de seguridad informática sólidas, si se cumplen y se auditan, y si existen sanciones para aquellos funcionarios displicentes y descuidados en el uso de los sistemas.

¿Cada cuánto se deben cambiar sus claves o contraseñas, qué tan complejas deben ser para que no sean fáciles de adivinar, qué funcionalidad de los computadores se maneja a través del directorio de los servidores? Si un computador no se usa en un tiempo específico, ¿se bloqueará la pantalla para que la contraseña se deba digitar al volverla a usar? Estas son algunas preguntas, para las que se deben tener respuestas claras y concisas.

¿Los puertos USB de los computadores están bloqueados? Si no lo están, cualquier funcionario puede conectarle una memoria USB, que, mediante ingeniería social, puede haber sido contaminada con un software malicioso o malware, que se instala en el disco duro y transmite las claves digitadas al computador del hacker.

Llegó el momento de definir y usar políticas de seguridad informática en todas las entidades estatales y de auditar su uso para tener la certeza de que se están aplicando con rigor. Se les debería exigir certificarse en ISO 27001, que es la norma internacional de medidas y metodologías para mantener segura la información informática.

Guillermo Santos Calderón
guillermo.santos@enter.co