Cyber Responsabilidad
Inédito manual de ciberseguridad para evitar hackeos en campañas electorales

(Buenos Aires).- El ejemplo utilizado no podría ser peor o contagiar mayor miedo: un mes antes de unas elecciones el jefe de campaña de un partido ingresa a su computadora. Aparece una pantalla negra, seguida por una espantosa caricatura de su candidato y un mensaje. Los discos duros han sido borrados. Toda la información digital que reunió el partido (memos, listas de focalización, hojas de balance) no está. Se lee en la pantalla que recuperar esa información valiosa costará miles de millones o la renuncia a un importante cargo político.

Inmediatamente, los especialistas en informática del partido político determinan que un grupo no identificado hackeó la computadora hace meses y ha estado sigilosamente robando correos electrónicos, memos de estrategia, direcciones de los donantes y los números del seguro social y de identidad personal. El grupo se ha pasado semanas revisando el botín en busca de trapos sucios y ha estado distribuyendo lo más destacado en las redes sociales y a través de una página web fácil de usar, dedicada únicamente a esto.

Todo esto y mucho más puede suceder o de hecho ocurrió en varios lugares del mundo a la hora de avanzar en una campaña. Y sobre este tipo de catástrofes es que se sustentó el "Manual de Ciberseguridad para Campañas Electorales". Se trata de un proyecto diseñado por el Centro de Ciencias y Asuntos Internacionales Belfer de la Facultad Kennedy de Harvard, el Instituto Nacional para la Democracia y el Instituto Republicano Internacional (IRI) de Estados Unidos.

Matt Rhoades, director de campaña de Mitt Romney, y Robby Mook, director de campaña de Hillary Clinton, llevaron adelante este proyecto. En la Argentina Antonio Garrastazu y Humberto Collado, directivos del IRI, llevaron adelante en las últimas semanas capacitaciones sobre ciberseguridad a dirigentes políticos de todos los partidos y legisladores.

En la Cámara de Diputados que preside Emilio Monzó alcanzaron un acuerdo para realizar una jornada de debates y capacitación en torno a este manual de Ciberseguridad en campañas electorales. Circularon por allí dirigentes de Cambiemos, el Frente de Todos, la izquierda, Consenso Federal y otras fuerzas. Todos coincidieron en un punto: las fake news, los hackeos o ataques masivos en cuentas privadas afectan a todos por igual sin importar ideologías o tendencias.

"La intención del manual de buenas practicas de ciberseguridad para campaña electorales es que sea accessible y que el contenido sirva como herramienta a esos que están en las primeras líneas en defensa de la democracia", explicó a Infobae Garrastazu. Se trata de una herramienta inédita en la Argentina que se desarrolló con éxito en India, Indonesia y varios países de Europa además de Estados Unidos.

A la vez, este directivo del IRI que lleva muchos años implantando estas capacitaciones en países de Asia, África y Europa remarcó también que "la idea es que se hace necesario fortalecer cada vez más las campañas seguras y empoderar o educar al personal ser consciente de los riesgos cibernético. Por este medio, las campañas se protegen de ataques de actores no democráticos".

Entre algunas recomendaciones existe la idea de que las campañas almacenen archivos en la nube, usen autenticación de dos factores y contraseñas seguras o un administrador de contraseñas para cuentas importantes y que la comunicación sensible se realice a través de mensajes cifrados."Esto, al final, es una manera mas segura de garantizar que las elecciones sean menos vulnerables a ataques, y esto fortalece la democracia imprescindible para países no solo como Argentina, pero al nivel global", dijo Garrastazu.

Los grupos de espionaje rusos conocidos como "Fancy Bear" (APT 28) y "Cozy Bear" (APT 29) estuvieron implicados en el hackeo de las campañas de Estados Unidos en 2016. "Los chinos, aseguran los diseñadores de este manual, se han concentrado mucho más en recopilar información. Se cree que estuvieron activos en las campañas presidenciales de Estados Unidos de 2008 y 2012, pero no hay ninguna evidencia de que hayan publicado algún material hurtado".

En algunos países, las campañas de oposición pueden asimismo tener que enfrentar las amenazas de su propio gobierno. La intensificación de las tensiones internacionales (especialmente en torno a elecciones en las que hay mucho en juego) podrían en el futuro promover más ataques.

En el Manual de Ciberseguidad en campañas al que accedió Infobae figuran las siguientes herramientas a tener en cuenta:

  1. Estar preparados. La idea es crear "una cultura de vigilancia" de la seguridad que minimice los eslabones débiles. Esto significa establecer reglas básicas claras que se hagan cumplir de manera descendente y a las que se adopte de manera ascendente
  2. Proteger. La protección es crucial. "Cuando descubra que tiene un problema de seguridad será ya demasiado tarde. Levantar las defensas más fuertes que el tiempo y el dinero permitan es clave para reducir los riesgos. La seguridad de la Internet y de los datos funciona mejor en niveles: no hay una sola tecnología o producto a prueba de balas. Unas cuantas medidas básicas usadas conjuntamente podrían hacer que la arquitectura digital de una campaña sea más difícil de filtrar, y más resiliente de quedar comprometida, lo que en última instancia le ahorrará tiempo y dinero a su campaña en el futuro", dice el Manual
  3. Persistir. Las campañas ahora enfrentan adversarios con niveles mayores en recursos y de pericia; en la actualidad, ni la cultura más vigilante ni la infraestructura más fuerte podrían prevenir una violación de la seguridad. Las campañas necesitan desarrollar un plan con anticipación para hacer frente a una posible violación de seguridad
  4. Capacitación. El Manual recomienda asumir la responsabilidad por la reducción del riesgo, capacitar al personal y voluntarios. Los errores humanos son la causa número uno de las violaciones de seguridad
  5. Usar la nube. Uno de los grandes servicios comerciales en la nube será mucho más seguro que cualquier sistema que pueda armar con sus limitados recursos. Consideran así que usar un paquete de oficina con base en la nube, como GSuite o Microsoft365, que le brindarán todas sus funciones básicas de oficina y un lugar seguro en donde guardar información
  6. Usar autenticación. Esto implica exigir autenticación de dos factores (A2F) para así agregar un segundo nivel de protección a todas las cuentas importantes, entre ellas su paquete de oficina, todo servicio de correo o de almacenaje y las cuentas de redes sociales. Para su segundo factor se recomienda usar una aplicación móvil o llave física, no mensajería de texto
  7. Mensajería cifrada. Esto es para conversaciones y materiales delicados mensajería tipo Signal o Wickr, con los mensajes y documentos confidenciales significa que los adversarios no podrán conseguirlos incluso si hackean la cuenta de correo electrónico. La codificación cifra los datos y reduce drásticamente la posibilidad de que alguien pueda leer sus mensajes incluso en caso de interceptar los datos
  8. Planificación. El manual recomienda tener listo un plan en caso de que su seguridad quede comprometida. Así pedir ayuda técnica, extender las obligaciones legales y preparar una comunicación interna y externa tan rápido y eficazmente como sea posible
  9. Servicios de mensajería cifrados de extremo a extremo. Esto para enviar mensajes, compartir documentos y hacer llamadas telefónicas. Muchas campañas exigen que la información sensible solo se transmita mediante mensajería cifrada, y para el personal a menudo es más fácil acostumbrarse a emplear estas aplicaciones en toda comunicación de rutina (esto es especialmente útil en el caso de personas de alto riesgo, como el candidato). Signal y Wickr publican su código fuente para que se le examine y brindan funcionalidades que reducen los riesgos, como permitirle borrar los mensajes automáticamente
  10. Archivos. También se recomienda desactivar el archivado en servicios de mensajería como Google Chat y Slack, de modo tal que los chats viejos no puedan robarse posteriormente. Esto requiere entrar a "configuración" y ajustar las líneas de tiempo de la "política de retención"
  11. Cuentas personales. El Manual recomienda que los asuntos de campaña jamás deben ir a cuentas personales. Sin embargo, los adversarios pondrán la mira en ellas para hackearlas, así que propone que el personal también emplee contraseñas fuertes y de dos factores en sus cuentas personales .

Collado está convencido que "la seguridad cibernética de las campañas tiene que ver tanto con la cultura organizacional como con las medidas técnicas".
De esta manera, el referente del IRI que estuvo dando capacitaciones en la Argentina dijo que "todo el personal de la campaña, desde el candidato a un interno, debe conocer y practicar la higiene básica de ciberseguridad, desde dónde se almacenan los archivos hasta si el personal se conecta a WiFi público y cómo detectar correos electrónicos de phishing".

Corrado fue tajante: "La naturaleza de las campañas políticas es que se amplían rápidamente y tienen recursos limitados; es importante crear conciencia de ciberseguridad en la incorporación, capacitación y dando el ejemplo".

>Fuente: i Profesional