Getty Images Los sistemas de registros públicos en los que confían los tribunales y los gobiernos para gestionar los registros de votantes y las presentaciones legales han estado plagados de vulnerabilidades que hicieron posible que los atacantes falsificaran bases de datos de registro y agregaran, eliminaran o modificaran documentos oficiales. Durante el año pasado, el desarrollador de software convertido en investigador de seguridad Jason Parker encontró e informó docenas de vulnerabilidades críticas en no menos de 19 plataformas comerciales utilizadas por cientos de tribunales, agencias gubernamentales y departamentos de policía en todo el país. La mayoría de las vulnerabilidades eran críticas. Una falla que descubrió en el portal de cancelación de registro de votantes para el estado de Georgia, por ejemplo, permitía a cualquiera que lo visitara cancelar el registro de cualquier votante en ese estado cuando el visitante conocía el nombre, la fecha de nacimiento y el condado de residencia del votante. En otro caso, los sistemas de gestión de documentos utilizados en los juzgados locales de todo el país contenían múltiples fallas que permitían a personas no autorizadas acceder a archivos confidenciales, como evaluaciones psiquiátricas, que estaban sellados. Y en un caso, personas no autorizadas podrían asignarse privilegios que se supone están disponibles sólo para los secretarios del tribunal y, desde allí, crear, eliminar o modificar presentaciones. Fallos en el nivel más fundamental Es difícil exagerar el papel crítico que desempeñan estos sistemas en la administración de justicia, los derechos de voto y otras funciones gubernamentales integrales. La cantidad de vulnerabilidades, en su mayoría derivadas de controles de permisos débiles, validación deficiente de las entradas de los usuarios y procesos de autenticación defectuosos, demuestra una falta de cuidado adecuado para garantizar la confiabilidad de los sistemas en los que millones de ciudadanos confían todos los días. “Se supone que estas plataformas deben garantizar la transparencia y la equidad, pero están fallando en el nivel más fundamental de ciberseguridad”, escribió Parker recientemente en una publicación que escribió en un intento de crear conciencia. “Si el registro de un votante puede cancelarse con poco esfuerzo y usuarios no autorizados pueden acceder a archivos legales confidenciales, ¿qué significa esto para la integridad de estos sistemas?” La vulnerabilidad en la base de datos de registro de votantes de Georgia, por ejemplo, carecía de cualquier forma automatizada para rechazar solicitudes de cancelación que omitieran la información requerida de los votantes. En lugar de marcar dichas solicitudes, el sistema las procesó sin siquiera marcarlas. De manera similar, la plataforma Granicus GovQA que cientos de agencias gubernamentales utilizan para administrar registros públicos podría piratearse para restablecer contraseñas y obtener acceso a nombres de usuario y direcciones de correo electrónico simplemente modificando ligeramente la dirección web que se muestra en una ventana del navegador. Y una vulnerabilidad en el sistema C-Track eFiling de Thomson Reuters permitió a los atacantes elevar su estatus de usuario al de administrador judicial. La explotación no requería más que manipular ciertos campos durante el proceso de registro. No hay indicios de que alguna de las vulnerabilidades haya sido explotada activamente. La noticia de las vulnerabilidades llega cuatro meses después del descubrimiento de una puerta trasera maliciosa colocada subrepticiamente en un componente de JAVS Suite 8, un paquete de aplicaciones que utilizan 10.000 tribunales de todo el mundo para grabar, reproducir y gestionar audio y vídeo de procedimientos legales. Un representante de la compañía dijo el lunes que una investigación realizada en cooperación con la Agencia de Seguridad de Infraestructura y Ciberseguridad concluyó que el malware se instaló solo en dos computadoras y no comprometió ninguna información. El representante dijo que el malware estaba disponible a través de un archivo que un actor de amenazas publicó en el sitio web de marketing público de JAVS. Parker comenzó a examinar los sistemas el año pasado como desarrollador de software de forma puramente voluntaria. Ha trabajado con Electronic Frontier Foundation para ponerse en contacto con los proveedores de sistemas y otras partes responsables de las plataformas que ha encontrado vulnerables. Hasta la fecha, todas las vulnerabilidades que ha informado se han solucionado, en algunos casos sólo en el último mes. Más recientemente, Parker aceptó un trabajo como investigador de seguridad centrándose en este tipo de plataformas. «Solucionar estos problemas requiere algo más que corregir algunos errores», escribió Parker. “Requiere una revisión completa de cómo se maneja la seguridad en los sistemas judiciales y de registros públicos. Para evitar que los atacantes se apropien de cuentas o alteren datos confidenciales, se deben implementar de inmediato controles de permisos sólidos y aplicar una validación más estricta de las entradas de los usuarios. Las auditorías de seguridad periódicas y las pruebas de penetración deberían ser una práctica estándar, no una ocurrencia tardía, y seguir los principios de Secure by Design debería ser una parte integral de cualquier ciclo de vida de desarrollo de software”. Las 19 plataformas afectadas son: Parker insta a proveedores y clientes a reforzar la seguridad de sus sistemas realizando pruebas de penetración y auditorías de software y capacitando a los empleados, particularmente aquellos en los departamentos de TI. También dijo que la autenticación multifactor debería estar disponible universalmente para todos estos sistemas. «Esta serie de divulgaciones es una llamada de atención para todas las organizaciones que gestionan datos públicos confidenciales», escribió Parker. “Si no actúan rápidamente, las consecuencias podrían ser devastadoras, no sólo para las propias instituciones sino también para las personas cuya privacidad han jurado proteger. Por ahora, la responsabilidad recae en las agencias y proveedores detrás de estas plataformas para tomar medidas inmediatas, reforzar sus defensas y restaurar la confianza en los sistemas de los que depende tanta gente”.