ST16-001 | Seguridad en los Datos de Registros de Electores

El US-CERT, a través del National Cyber Awareness System, difundió ayer jueves 15 de septiembre, el documento ST16-001 Securing Voter Registration Data, que contiene varios consejos a tener en cuenta para garantizar la seguridad en Bases de Datos de Registro de Electores y en los Sistemas de Elecciones. Para nadie es un secreto que las elecciones más mediáticas del planeta se llevarán a cabo dentro de dos meses y en el documento se destaca que la concientización (awareness) es una de las claves para mantener una adecuada ciberseguridad.

En la primera parte, el ST16-001 alertar sobre las principales amenazas que pueden poner los datos de los votantes en riesgo:

  • Correos de Phishing: Tratan de manipular a los usuarios para que realicen clic en enlaces maliciosos o descarguen archivos con malware, ambas acciones persiguen el objetivo de infectar las computadoras personales de los empleados. Si se logra esto, los equipos infectados comienzan a funcionan como punto de entrada para que los delincuentes puedan expandir sus ataques a través de la red interna de la organización, robar información de los votantes o irrumpir en los procesos de votaciones.
  • Inyecciones SQL: Una técnica que persigue subvertir la relación entre una aplicación web y su base de datos. Su objetivo en este caso es obtener información de los votantes.
  • Vulnerabilidades ante ataques XSS: Permite a los atacantes insertar y ejecutar código no autorizado en la aplicación web. Los ataques exitosos de XSS en los sistemas de registro de votantes pueden proveer acceso no autorizado a la información de estos.
  • Ataques de Denegación de Servicios: Tienes como objetivo impedir el acceso de los votantes a su información personal y la utilización de servicios. De esta forma, un votante puede ser impedido de registrarse en el sistema o una aplicación web de votación puede ver colapsados sus procesos.
  • Vulnerabilidades en los servidores: Pueden ser explotadas para permitir acceso no autorizado a información sensible. Un ataque contra un servidor pobremente configurado, sobre el que está funcionando una aplicación web de registro de votantes, puede permitir el acceso de los ciberdelincuentes a componentes críticos que pueden afectar al sistema y la información de la base de datos en sí misma.
  • Ransomware: Es un tipo de software malicioso que infecta las computadoras e impide el acceso de los usuarios legítimos hasta que este paga para que se desbloquee. No se recomienda que las organizaciones afectadas le paguen a los delincuentes, pues no hay garantías de que sea restaurado el acceso a las bases de datos de votantes.

A continuación,  el ST16-001 plantea un grupo de medidas preventivas para proteger los datos y aplicaciones informáticas contra esas amenazas:

  • Lista blanca de software: Es uno de las mejores estrategias de seguridad pues permite que solamente ciertos programas puedan ser ejecutados mientras bloquean a todos los demás, incluyendo los malware.
  • Parchear aplicaciones y sistemas operativos: Las aplicaciones vulnerables y los sistemas operativos son blanco de la mayoría de los ataques. Asegurar que estos estén parcheados con las últimas actualizaciones, reduce grandemente el número de puntos de entrada disponibles para ser explotados por los ciberatacantes.
  • Restringir los privilegios administrativos: Limitar los permisos de usuarios a solamente las funciones necesarias puede prevenir la ejecución de malware o limitar su capacidad de infección.
  • Aplicar cortafuegos: Cuando alguien o algo puede acceder su red en cualquier momento, esta es más susceptible a ser atacada. Los cortafuegos (firewall) pueden ser configurados para bloquear peticiones desde ciertas localizaciones o aplicaciones mientras permite el acceso a datos relevantes y necesarios a través de él.

Posteriormente, en el ST16-001 se expresa que es vital organizar un comité de ciberseguridad que se encargue de gestionar la implantación de las medidas necesarias, para ello propone las siguientes preguntas de autocontrol:

  • Copias de respaldo: ¿Hacemos copias de respaldo de toda la información crítica? ¿Las copias se almacenan offline? ¿Hemos probado nuestras habilidades para recuperar la información desde una copia de respaldo durante un incidente?
  • Análisis de riesgo: ¿Se ha conducido un análisis de riesgo de ciberseguridad de la organización?
  • Entrenamiento del personal: ¿Hemos entrenado al personal en las mejores prácticas de ciberseguridad?
  • Parcheo de vulnerabilidades: ¿Se han aplicado los parches adecuados para contrarrestar las vulnerabilidades conocidas?
  • Lista blanca de software: ¿Hemos permitido que solamente las aplicaciones aprobadas (lista blanca) se ejecuten en nuestra red?
  • Continuidad del negocio: ¿Somos capaces de mantener los procesos de negocio sin tener acceso a ciertos sistemas? ¿Por cuánto tiempo? ¿Hemos probado esto?
  • Pruebas de penetración: ¿Hemos intentado penetrar nuestros propios sistemas para probar la seguridad de los sistemas y nuestra habilidad para defendernos contra ataques?

Por último, en el ST16-001, se explica que ante un ataque, la mejor respuesta consiste en disponer de planes regulares de copias de respaldo de la información, planes de recuperación ante desastres y procedimientos para mantener la continuidad del negocio.

Sí, es verdad que el ST16-001 está dirigido al proceso de elección de un escenario específico pero en la actualidad, muchas regiones y países cuentan con bases de datos y sistemas de elecciones y estas recomendaciones son útiles siempre tenerlas en cuenta. Cuba por ejemplo cuenta con un Sistema de Gestión e Información del Proceso Electoral Cubano, desarrollado por la Universidad de las Ciencias Informáticas.

Deseo que te haya sido provecho este artículo, trate de ser lo más fiel posible al texto en inglés. No obstante, siempre puedes consultar el documento original en el siguiente enlace: Security Tip (ST16-001) Securing Voter Registration Data.

Espero que te haya gustado la entrada, yo por mi parte he aprendido bastante escribiéndola.

S4lud0s y h4st4 el próx1m0 p0st!!!

Anuncios

2 comentarios en “ST16-001 | Seguridad en los Datos de Registros de Electores

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s