Crónica de una cuestionada auditoría electoral en Perú
Para el proceso electoral, la ONPE usa desarrollos propios:
- la Solución Tecnológica de Apoyo al Escrutinio (STAE),
- el Sistema de Cómputo Electoral (SCE) y
- el Sistema de Presentación de Resultados (PR).
Entre noviembre de 2025 y abril de 2026, sometió sus sistemas STAE, SCE y PR a una auditoría informática integral contratada con M&T International, bajo estándares como ISO/IEC 19011, ISO/IEC 27007, NIST y OWASP. El monto del contrato fue de S/ 944 mil (unos US$272 mil dólares).
La empresa señaló que destinó un equipo multidisciplinario de 11 especialistas a la labor. La prensa local publicó que M&T International había recibido una sanción en 2016 que la inhabilitó por 11 meses, que tenía una capacidad operativa limitada (solo dos trabajadores en planilla) y que operaba desde una oficina virtual.
El informe ejecutivo reportó 708 casos de prueba y más de 6.000 hallazgos en funcionalidades, vulnerabilidades, amenazas y código fuente, incluidos hallazgos críticos y mayores. Según la ONPE, estos últimos fueron subsanados antes de la jornada electoral, por lo cual las funcionalidades clave operaban con normalidad y no se detectaron afectaciones a la integridad del sistema.
Según precisaron, se ejecutaron 549 pruebas, identificando 104 hallazgos: 12 críticos, 22 mayores, 66 menores y 4 informativos. En cuanto al código fuente, fueron 147 casos de prueba y se identificó 5.970 hallazgos: 608 críticos, 1.168 mayores, 2.978 menores y 1.216 informativos. El informe detalló que, del total de hallazgos de seguridad y del código fuente, la ONPE subsanó todos los críticos y mayores.