Informe de OEA - Auditoria en las elecciones de Bolivia 2019 Informe de OEA - Auditoria en las elecciones de Bo

Análisis de Integridad electoral Estado Plurinacional de Bolivia    Test unitario Test de integración Test de regresión 3) Las pruebas carecieron de un proceso formal de aceptación de software:  Casos de uso del software  Casos de test formales para las pruebas de software 4) La autenticación era débil y permitía a alguien tomar control con roles de administración debido a:  Deficiente implementación del múltiple factor de autenticación (con un mismo código se pueden abrir varias sesiones)  Se podía abrir una nueva pestaña del navegador antes de cerrar la anterior (sin autenticarse)  Al retirarse quien estaba trabajando, pese a haber cerrado la aplicación, se podría acceder con su usuario sin autenticarse (incluyendo roles que permiten validar actas) 5) El procedimiento de cereo de los datos no adoptó medidas de seguridad básicas:  Se llevó adelante un procedimiento formal de cereo;  Más tarde el responsable de la empresa accedió con máximo privilegio a las bases de datos;  Con la base de datos única ya en cero, desde los TEDs ejecutaron un nuevo cereo. 6) No se respetó la integridad del software:  Se hizo un congelamiento del software pero no figuran en acta los valores de hash  Se recompiló el software en pleno proceso con lo que se pierde la integridad  El cambio viola los principios esenciales de la seguridad al ingresar directo a productivo 7) No se quitaron los datos de prueba que contaminan el ambiente de producción:  El ambiente estéril para el inicio del proceso no fue contemplado, en los computadores del TED de La Paz se pudo observar la existencia de datos de prueba (por ejemplo, actas) mezcladas con actas del día de la elección. 8) Se ingresaron actas del TREP al CÓMPUTO OFICIAL:    Actas del TREP (en un ambiente cuya red fue vulnerada y manipulada), se incluyeron en el Cómputo Oficial. Desde un servidor en una red vulnerada (servidor BO2 – TREP) se estableció comunicación con la red del Cómputo Oficial para transferir datos. La cantidad de actas del TREP que forman parte del cómputo oficial (directamente) son 1.575. 9) El proveedor de la aplicación ingresó directamente al servidor remotamente:  Se permitió acceso mediante VPN a servidores del Cómputo Oficial. 10) No se preservó la evidencia sobre la elección:  Hasta la fecha, el proveedor y principal actor en una investigación de los incidentes por una elección cuestionada, posee dominio absoluto sobre los datos y nadie más puede tomar 5

Informe de OEA - Auditoria en las elecciones de Bolivia 2019 Informe de OEA - Auditoria en las elecciones de Bo | Page 5