Crónica de una cuestionada auditoría electoral en Perú
Antes de que la cuestionada auditoría de M&T International se hiciera pública, Erick Iriarte, experto en derecho informático, había remarcado la necesidad de una auditoría profunda con acceso al código fuente. Iriarte fue uno de los más críticos respecto a que una auditoría posterior al proceso debía tener un amplio alcance, porque no es lo mismo auditar procesos que revisar el código fuente y los sistemas de seguridad.
Desde Computerweekly se solicitó el acceso al informe de la auditoría y al código fuente, pero solo brindaron el informe ejecutivo de los resultados. Ragi Burhum, científico en computación (California State University), revisó dicho informe y estimó que no es suficiente subsanar el 100 % de los hallazgos críticos y mayores, pues eso no garantiza que el sistema funcione adecuadamente y sea seguro. Siempre se requiere volver a hacer pruebas de forma independiente para confirmar que todo quedó corregido.
“Una auditoría es como la inspección de un edificio: revisa lo que alcanza a revisar, en el tiempo y con el acceso disponibles. Que se hayan corregido todas las fallas graves que el inspector anotó no equivale a certificar que el edificio no tiene ninguna falla grave. En software esto es aún más marcado”, señaló Burhum.
El experto destacó que hacer correcciones críticas al código hasta dos días antes de la votación fue algo apresurado que no daba garantías, porque al parchar se pueden cometer nuevos errores. Alguien más, de forma independiente, debe verificar que cada subsanación quedó bien y ninguna otra cosa quedó afectada. Que las funcionalidades operen y los flujos se ejecuten bien es una prueba funcional, pero se necesita verificar que los resultados no puedan alterarse. Sin eso, no se puede asegurar que el sistema esté libre de problemas.
|
Herramientas recomendadas para realizar auditorías |
|||
|
Tipo de herramienta |
Para qué sirve |
Qué revisa |
Ejemplos |
|
Análisis de código (SAST) |
Detectar errores y vulnerabilidades |
Código fuente, lógica interna |
SonarQube, Fortify, Checkmarx |
|
Pruebas de seguridad (Pentesting) |
Simular ataques al sistema |
Accesos no autorizados, fallas de seguridad |
Metasploit, Burp Suite, OWASP ZAP |
|
Auditoría de datos |
Verificar integridad de la información |
Bases de datos, registros de votos |
SQL tools, Python (pandas), R |
|
Análisis estadístico |
Detectar patrones sospechosos |
Distribución de resultados |
R, Python (NumPy, SciPy), Excel |
|
Logs y trazabilidad
|
Reconstruir lo que hizo el sistema. Análisis y gestión de registros. |
Accesos, cambios, actividades |
Splunk, ELK Stack (Elastic, Kibana) |
|
Pruebas de funcionamiento |
Evaluar desempeño real de forma complementaria. |
Respuesta del sistema bajo carga |
JMeter, Selenium |
|
Revisión experta |
Interpretar hallazgos según contexto. |
Resultados técnicos |
Equipos de auditores e ingenieros |