En los últimos seis años, los bolivianos asistieron en promedio a un proceso electoral por año. Miguel Serrano López, experto informático y asesor internacional de procesos electorales, basado en el Informe Final de la Organización de Estados Americanos (OEA) a la situación de Bolivia, alerta que el Sistema de Registro Biométrico no tiene una relación directa con el Padrón Electoral Biométrico, el cual no ha sido sometido desde el año 2009 a una auditoría externa.
Para ANF no fue sencillo dar con el asesor internacional contratado por el GUZRAL para coadyuvar al Tribunal Supremo Electoral de Guatemala la segunda vuelta de las elecciones generales de ese país, tras haber participado en cinco procesos electorales de Presidente y Vicepresidente, Diputados Congresales, Diputados Distritales, Corporación Municipal y Parlamento Centroamericano, así como observador invitado por la Organización de Estados Americanos (OEA) y el Instituto Interamericano de Derechos Humanos (IIDH) del Centro de Asesoría y Promoción Electoral (CAPEL).
ANF.- El Informe Confidencial elaborado este año por el Departamento de Cooperación y Observación Electoral (Deaco) de la Secretaría de Asuntos Políticos de la OEA revela que el Padrón Electoral Biométrico (PEB) del país es vulnerable al hackeo informático y al manipuleo de la información. Esto se debería a la caducidad del sistema operativo en el que está guardado. Sin embargo desde el Tribunal Supremo Electoral, se señala que es imposible un hackeo, porque la red del sistema informático no está conectado con redes externas y niega que se pueda hacer manipulaciones internas. ¿Cuál es su análisis al respecto?
MS: La vulnerabilidad en sistemas informáticos está latente siempre. Si bien existe el riesgo de ataques de hackers, éstos se realizan por conexiones externas como señala el TSE; sin embargo, el peligro no siempre proviene de fuera. El mayor riesgo está en ataques internos, puertas abiertas que no se cierran adecuadamente. Entiéndase puertas abiertas a descuidos en el manejo de la información, por ejemplo, contraseñas fáciles, correos electrónicos que introducen a la entidad programas ocultos (caballos de Troya) sin un plan de riesgos, un mapa de fuego o un Sistema de Gestión de Seguridad de Información que permita anticipar o prevenir posibles errores, fallas o deficiencias.
Por otro lado, una red de computadoras es como una red caminera que conecta todos los equipos de una forma u otra, por lo que se deben poner trancas o barreras con dispositivos de control (firewalls, switches o routers) que controlen el flujo de información. Entonces, si bien los servidores están aislados de una conexión directa al internet, pero un usuario que tiene acceso a estos servidores para su trabajo rutinario tiene acceso a correo o a internet, entonces el riesgo está presente. Es por eso que se debe tener un Sistema de Gestión de Seguridad de Información que prevenga posibles intrusiones no autorizadas o robos de información.
Asimismo, el dejar a los usuarios con sistemas operativos antiguos, que han dejado de ser soportados por los proveedores, no sería un caso aislado. Ocurre en algunas instituciones con sistemas de gestión de información que funcionan adecuadamente y no requieren hacer cambios porque la información que manejan no crece y se mantiene estática. También puede ser atribuible a que no tienen la capacidad de desarrollo o los programas fuente de sus sistemas principales de funcionamiento, o no conocen cómo hacer actualizaciones o modificaciones a estos programas informáticos. Si fuera el caso, se tendría que adquirir un soporte privado personalizado o los programas fuente de estos sistemas operativos (v.g. Windows XP) de manera institucional, para tener el soporte de estos sistemas antiguos. Para este fin debería haber un buen sistema de gestión de actualizaciones o parches y una sólida y profesional Unidad de Desarrollo de Sistemas.
Lo que debería averiguarse ahora es sí el TSE cuenta con Sistemas de Gestión de Seguridad de Información y el sistema de gestión de actualizaciones o parches, y si tiene personal de seguridad de la información capacitado y disponible. ¿Se tienen informes y reportes de alerta a la sala plena señalando las desactualizaciones, riesgos, necesidades, etc.?
Al haber adquirido los sistemas informáticos principales el 2009, deberían existir en archivo los informes anuales de requerimiento y plan de renovación tecnológica dentro de los POA (planes operativos anuales). Recordemos que el Windows XP sale al mercado el 24 de agosto de 2001 y el Windows Server 2003 el 24 de abril de 2003; por lo tanto, los informáticos del TSE que autorizaron la compra de los sistemas, los que implementaron, realizaron pruebas y pusieron en producción el sistema, debieron haber planificado el tiempo de soporte de los sistemas, elaborar un plan estratégico de renovación de licencias o firmar convenios con los proveedores para tener una actualización y soporte serio y garantizado. Toda migración debe ser planificada en etapas ya que existen pasos previos de cambio y capacitación sin mencionar el desarrollo y cambios en los sistemas. Este servicio estaba contratado en las gestiones del ingeniero Iván Guzmán de Rojas y Salvador Romero.
Si hablamos de las licencias señaladas después del XP apareció el Windows Vista, Windows 7, Windows 8, Windows 8.1 y hace unos meses salió al mercado el Windows 10. En relación a Windows server 2003 aparecieron el 2008, 2012 y estamos en pruebas con el 2016.
ANF: Se ha observado que en el país no se hizo una auditoría externa al Padrón Electoral Biométrico desde el 2009, el informe de la OEA señala claramente que en la valoración realizada por su equipo técnico se identificó que el engine o motor biométrico ABIS es de una sola vía, es decir se identifica al ciudadano por huellas dactilares o por reconocimiento facial. En otros términos, no es y sino o como debería ser a fin de asegurar que no existía un registro parecido. Sin embargo se alerta que la plataforma de recepción SIMS o Sistema de Registro Biométrico, contiene los datos de los registros realizados en campo, sin embargo, este no tiene una correspondencia directa con el padrón electoral para un proceso electoral, y de ahí que se realiza una exportación de todos los datos biográficos e imágenes asociadas a un servidor exclusivo. ¿Eso quiere decir que el padrón biométrico se reduce a una base de datos transferibles?
M.S: Lo primero que llama la atención es que la empresa venezolana SMARTMATIC es la que hizo el proceso de biometrización en Bolivia, y no la NEC como se pensaba. ¿El informe de la OEA menciona a esta última empresa? ¿Cuánto tiempo tuvieron vigencia las licencias del SIMS y del ABIS?
Segundo aspecto importante a tomar en cuenta es que el sistema biométrico ABIS es de una sola vía, si bien se tiene el sistema de reconocimiento facial (FACE) y el dactilar(AFIS), estos no intervienen simultáneamente en el proceso de identificación, claramente la OEA señala o y no y el uso de ambos datos. Cabe preguntar al TSE, ¿por qué no se diseñó un sistema completo para el uso de ambos sistemas adquiridos y comprados por el Estado? ¿Alguna vez se utilizó el sistema de depuración biométrico en los procesos de Bolivia? ¿Tenemos prueba documentada de aquello?
Tercer aspecto importante es la aparición del término biográfico, además del biométrico, y la exportación de estos datos a otro administrador de base de datos (SQL2005), manejar dos bases de datos diferentes con migraciones genera errores y sobre todo inconsistencias ya que los cambios en una base pueden no ser replicadas en la otra, por lo que cabe preguntar al TSE ¿la depuración se la hace en el sistema de SMARTMATIC o se migran los datos al SQL2005 para hacer el uso de los algoritmos tradicionales que se tenían en las gestiones pasadas?¿El sistema biométrico es útil para la depuración o solo se lo utiliza como un repositorio de firmas, fotos y huellas? ¿Para qué sirve el sistema biométrico y para qué el sistema SQL2005? ¿Al no existir manuales de procedimientos, cómo se hace la depuración biométrica? Hay muchas preguntas que surgen y que para ser respondidas habrá que exigir al TSE una auditoría integral.