Informe de OEA - Auditoria en las elecciones de Bolivia 2019 Informe de OEA - Auditoria en las elecciones de Bo | Page 6

Análisis de Integridad electoral
Estado Plurinacional de Bolivia


contacto sin su autorización. Esto está reñido con las buenas prácticas en tratamiento de
incidentes y se viola la cadena de custodia.
No existe preservación formal de los datos de la elección ante una ulterior judicialización.
Las aplicaciones por las que acceden a las Bases de Datos los que operan desde Bolivia
adolecen de las debilidades de autenticación descriptas anteriormente (tomar control de la
misma con rol de administrador, sin necesidad de autenticarse).
11) Falla en un algoritmo de cálculos denominado “flat computado”:

Se presentó una falla en el algoritmo “flat computado”, lo que evidencia la falta de testing.
Además de ello, entre los efectos podría registrar un acta incompleta. Esta falla no se
resolvió por parte de la aplicación. El responsable de la empresa debió acceder con máximos
privilegios (mediante sentencias SQL) a resolver la situación. Esto resulta un hecho de alto
riesgo para la integridad de los datos.
12) Se accedió directamente a la Base de Datos sin pasar por la aplicación:


Se accedió durante el proceso directamente a modificar datos de la Base de Datos mediante
sentencias SQL (que permiten cambiar datos sin utilizar la aplicación). Esto es algo
inaceptable en un proceso electoral y pone en riesgo la integridad de los datos.
Una de las razones por las que accedieron de esta forma, fue la necesidad de “desanular”
actas (según sus palabras).
13) Una misma persona (el responsable de la proveedora del software) reunió los siguientes roles:


Diseño, desarrollo, prueba e implementación del software.
Ya durante el proceso:
o Recompiló el software;
o No se aplicó gestión de cambio, testing o procedimientos de seguridad;
o Accedió a las Bases de Datos con máximos privilegios para modificar datos;
o Mantiene bajo su exclusivo control los servidores, bases de datos y la aplicación.
o Por lo anterior, se ha roto la cadena de custodia desde el incidente.
14) La empresa auditora no controlaba integridad de los datos:

La empresa auditora no tenía a su cargo el control de integridad.
Conclusiones:
Por lo descripto previamente, el proceso estuvo reñido con las buenas prácticas y no se han
respetado los estándares de seguridad.
La empresa auditora, reconoció públicamente las vulnerabilidades e irregularidades. Sin embargo,
no describió la redirección al servidor situado en la nube (BO20).
Atento al cúmulo de irregularidades observadas, no es posible garantizar la integridad de los datos y
dar certeza de los resultados.
6