¿A quién le sirve la narrativa del fraude electoral?
Se ha instalado una narrativa confusa de fraude electoral en el software de escrutinios que se solapa con elementos como ataques cibercriminales posiblemente patrocinados por otro Estado. Peligrosamente, sin que nos preocupemos por entender lo que hay detrás de las alertas, la narrativa es amplificada buscando sacar provecho político incluso desde el Gobierno (!), que debería defender el proceso junto con la Registraduría.
Para aclarar un poco, empecemos por decir que de la información que circula se pueden identificar tres tipos diferentes de ciberamenazas al acecho:
1. Ataques a los sitios web de la Registraduría
Nada nuevo, ya ha pasado. En 2010, el registrador de entonces indicó que mediante ciberataques se intentó sabotear la entrega de boletines de preconteo a través del sitio web en las elecciones del Congreso, algo que la justicia no pudo comprobar. Pudo ser simplemente que no estaban preparados para el número de consultas, pero la duda está.
En 2018, la Registraduría confirmó que su página web fue atacada, reconocieron que recibieron varios ataques de los cuales solo unos pocos revestían verdadero riesgo, y lo minimizaron indicando que las intenciones del ataque eran robar datos para hacer estafas, y que no había propósitos electorales.
De otra parte, hace unas semanas, el Equipo de Respuesta a Incidentes de Seguridad Informática de la Policía Nacional (CSIRT-PONAL), afirmó que la página web de la Registraduría estaba bajo ataque; pero en realidad no había tal, sino que el improvisado y pésimo diseño del sitio de inscripción de cédulas disparó las alertas y “pareció” una acción de phishing. El CSIRT-PONAL pronto tuvo que rectificar.
Para estas elecciones, el registrador afirma que existe el riesgo de ataque a la página web para afectar la divulgación de resultados, y que esto no impacta el escrutinio porque éste se basa en un proceso manual y deja soporte de papel. Habla de medidas de mitigación que toman con la Policía Nacional y organismos de inteligencia. Pero el Registrador puede ir más allá; reconocer que dar tranquilidad pasa por hablar de escrutinio; explicar el componente informático; e informar, por ejemplo, que su infraestructura no se conecta al sitio web -ni siquiera tendrá conexión a Internet- y que, por tanto, para afectar el escrutinio, habría que hacerlo desde adentro, desde el servidor de Indra o desde los computadores asignados a los consejeros del Consejo Nacional Electoral (CNE). No hay sistemas totalmente seguros. Por eso, dar seguridad supone hablar de los riesgos y saber cómo los enfrentamos.
2. Amenazas de injerencia extranjera en las elecciones a través de campañas de desinformación por “hackers”
Esta amenaza fue avisada hace aproximadamente un mes por Victoria Nuland, la subsecretaria de Estado para asuntos políticos de Estados Unidos, durante su visita a Colombia y, posteriormente, por el Presidente Iván Duque, en su discurso ante el Parlamento Europeo. En ambos casos se referían a ataques que involucran cibercriminales, pero para conseguir, difundir y usar información política en contra de una persona con el fin de manipular a la opinión pública e impactar en el resultado de las elecciones.
Hablan de ciberamenaza porque incluye la participación de ciberdelincuentes que entran en los sistemas informáticos para extraer datos y/o montan estrategias de comunicación artificiales en el espacio público -a través de redes sociales, con bots por ejemplo-, como sucedió en Estados Unidos durante las elecciones en las que Trump le ganó a Hillary Clinton. Pero, a la voz de hackers y elecciones lo que la gente entendió y los medios repitieron fue “hackeo al software”, poniendo a la Registraduría de nuevo en la mira, mientras las preguntas eran para inteligencia, el CNE, el MinTic, y otra cantidad de organizaciones. Ni el gobierno, ni EE. UU. aclararon nada, y así crece la bola de nieve.
3. Sabotaje al software de escrutinios
La amenaza en este tipo de ataques es la de una intromisión al sistema de escrutinio en la que los cibercriminales pueden cambiar los resultados de las elecciones. Hace cuatro años la narrativa era del petrismo y le dieron la razón cuando, por la misma época, el fallo del Consejo de Estado que le devolvió tres curules al partido MIRA, comprobó, entre otras acciones, la de sabotaje a través del software, si bien no llegó a declarar el fraude.
En ese marco, las elecciones de segunda vuelta generaron incertidumbre. El temor era por lo que pudiera suceder si Gustavo Petro perdía por un pequeño margen. Hace cuatro años, Petro reconoció que había perdido y aunque la carta del fraude estaba sobre la mesa no la usó. El temor vuelve: en 2022, si el margen es poco, el que pierda tiene ese comodín.
En esta oportunidad Petro advierte el fraude, pero sobre todo pide garantías e información. Hace eso más que denunciar. Las denuncias sin evidencias provienen ahora sobre todo de la derecha. El expresidente Pastrana lidera los cuestionamientos y, recientemente, la vicepresidenta y canciller le hizo eco.
Sin información que construya confianza, la narrativa del fraude que gira en torno al software de escrutinios, en la práctica, se activa a la voz de cualquier expresión vinculada con tecnología -como “hacker”-, o ante expresiones de moda -como “injerencia extranjera”-, sin que autoridades o medios se esfuercen por entender su naturaleza, ni por decir quién responde o cómo lo hace. Tampoco explican, ofrecen información o educan.
Lo hemos dicho en el pasado: el proceso tiene muchos problemas de transparencia, la Registraduría es opaca sobre los controles ciudadanos y esta tecnología tiene riesgos, como cualquier tecnología. Además, eso se mezcla con hechos reales (como la sentencia del MIRA), hechos confusos (el ataque que alertó el CSIRT), hechos falsos (que Duque se refería al software del escrutinio) y especulaciones (las denuncias de Pastrana), y se alimenta una narrativa que ahora muchos capitalizan, y que puede ser un tiro en el pie para cualquiera.
Proponemos concentrarnos en los problemas reales que tienen el proceso y la Registraduría. No alimentemos escenarios catastróficos sin evidencias. Por ejemplo, no hay elementos para asegurar que la injerencia en las elecciones colombianas será política y desde Rusia. En las actuales circunstancias, de darse, es más posible que sea oportunista y originada por algún actor interno.
Entonces, la Registraduría puede dar más información para entender el mapa de los riesgos de fraude electoral, y el Gobierno puede dar más información sobre las amenazas que conoce. Por nuestra parte, seguiremos explicando. Quizá aportemos en algo para dar claridad en medio de narrativas tan arraigadas.
Se ha instalado una narrativa confusa de fraude electoral en el software de escrutinios que se solapa con elementos como ataques cibercriminales posiblemente patrocinados por otro Estado. Peligrosamente, sin que nos preocupemos por entender lo que hay detrás de las alertas, la narrativa es amplificada buscando sacar provecho político incluso desde el Gobierno (!), que debería defender el proceso junto con la Registraduría.
Para aclarar un poco, empecemos por decir que de la información que circula se pueden identificar tres tipos diferentes de ciberamenazas al acecho:
1. Ataques a los sitios web de la Registraduría
Nada nuevo, ya ha pasado. En 2010, el registrador de entonces indicó que mediante ciberataques se intentó sabotear la entrega de boletines de preconteo a través del sitio web en las elecciones del Congreso, algo que la justicia no pudo comprobar. Pudo ser simplemente que no estaban preparados para el número de consultas, pero la duda está.
En 2018, la Registraduría confirmó que su página web fue atacada, reconocieron que recibieron varios ataques de los cuales solo unos pocos revestían verdadero riesgo, y lo minimizaron indicando que las intenciones del ataque eran robar datos para hacer estafas, y que no había propósitos electorales.
De otra parte, hace unas semanas, el Equipo de Respuesta a Incidentes de Seguridad Informática de la Policía Nacional (CSIRT-PONAL), afirmó que la página web de la Registraduría estaba bajo ataque; pero en realidad no había tal, sino que el improvisado y pésimo diseño del sitio de inscripción de cédulas disparó las alertas y “pareció” una acción de phishing. El CSIRT-PONAL pronto tuvo que rectificar.
Para estas elecciones, el registrador afirma que existe el riesgo de ataque a la página web para afectar la divulgación de resultados, y que esto no impacta el escrutinio porque éste se basa en un proceso manual y deja soporte de papel. Habla de medidas de mitigación que toman con la Policía Nacional y organismos de inteligencia. Pero el Registrador puede ir más allá; reconocer que dar tranquilidad pasa por hablar de escrutinio; explicar el componente informático; e informar, por ejemplo, que su infraestructura no se conecta al sitio web -ni siquiera tendrá conexión a Internet- y que, por tanto, para afectar el escrutinio, habría que hacerlo desde adentro, desde el servidor de Indra o desde los computadores asignados a los consejeros del Consejo Nacional Electoral (CNE). No hay sistemas totalmente seguros. Por eso, dar seguridad supone hablar de los riesgos y saber cómo los enfrentamos.
2. Amenazas de injerencia extranjera en las elecciones a través de campañas de desinformación por “hackers”
Esta amenaza fue avisada hace aproximadamente un mes por Victoria Nuland, la subsecretaria de Estado para asuntos políticos de Estados Unidos, durante su visita a Colombia y, posteriormente, por el Presidente Iván Duque, en su discurso ante el Parlamento Europeo. En ambos casos se referían a ataques que involucran cibercriminales, pero para conseguir, difundir y usar información política en contra de una persona con el fin de manipular a la opinión pública e impactar en el resultado de las elecciones.
Hablan de ciberamenaza porque incluye la participación de ciberdelincuentes que entran en los sistemas informáticos para extraer datos y/o montan estrategias de comunicación artificiales en el espacio público -a través de redes sociales, con bots por ejemplo-, como sucedió en Estados Unidos durante las elecciones en las que Trump le ganó a Hillary Clinton. Pero, a la voz de hackers y elecciones lo que la gente entendió y los medios repitieron fue “hackeo al software”, poniendo a la Registraduría de nuevo en la mira, mientras las preguntas eran para inteligencia, el CNE, el MinTic, y otra cantidad de organizaciones. Ni el gobierno, ni EE. UU. aclararon nada, y así crece la bola de nieve.
3. Sabotaje al software de escrutinios
La amenaza en este tipo de ataques es la de una intromisión al sistema de escrutinio en la que los cibercriminales pueden cambiar los resultados de las elecciones. Hace cuatro años la narrativa era del petrismo y le dieron la razón cuando, por la misma época, el fallo del Consejo de Estado que le devolvió tres curules al partido MIRA, comprobó, entre otras acciones, la de sabotaje a través del software, si bien no llegó a declarar el fraude.
En ese marco, las elecciones de segunda vuelta generaron incertidumbre. El temor era por lo que pudiera suceder si Gustavo Petro perdía por un pequeño margen. Hace cuatro años, Petro reconoció que había perdido y aunque la carta del fraude estaba sobre la mesa no la usó. El temor vuelve: en 2022, si el margen es poco, el que pierda tiene ese comodín.
En esta oportunidad Petro advierte el fraude, pero sobre todo pide garantías e información. Hace eso más que denunciar. Las denuncias sin evidencias provienen ahora sobre todo de la derecha. El expresidente Pastrana lidera los cuestionamientos y, recientemente, la vicepresidenta y canciller le hizo eco.
Sin información que construya confianza, la narrativa del fraude que gira en torno al software de escrutinios, en la práctica, se activa a la voz de cualquier expresión vinculada con tecnología -como “hacker”-, o ante expresiones de moda -como “injerencia extranjera”-, sin que autoridades o medios se esfuercen por entender su naturaleza, ni por decir quién responde o cómo lo hace. Tampoco explican, ofrecen información o educan.
Lo hemos dicho en el pasado: el proceso tiene muchos problemas de transparencia, la Registraduría es opaca sobre los controles ciudadanos y esta tecnología tiene riesgos, como cualquier tecnología. Además, eso se mezcla con hechos reales (como la sentencia del MIRA), hechos confusos (el ataque que alertó el CSIRT), hechos falsos (que Duque se refería al software del escrutinio) y especulaciones (las denuncias de Pastrana), y se alimenta una narrativa que ahora muchos capitalizan, y que puede ser un tiro en el pie para cualquiera.
Proponemos concentrarnos en los problemas reales que tienen el proceso y la Registraduría. No alimentemos escenarios catastróficos sin evidencias. Por ejemplo, no hay elementos para asegurar que la injerencia en las elecciones colombianas será política y desde Rusia. En las actuales circunstancias, de darse, es más posible que sea oportunista y originada por algún actor interno.
Entonces, la Registraduría puede dar más información para entender el mapa de los riesgos de fraude electoral, y el Gobierno puede dar más información sobre las amenazas que conoce. Por nuestra parte, seguiremos explicando. Quizá aportemos en algo para dar claridad en medio de narrativas tan arraigadas.