Estados Unidos se prepara para nuevos ciberataques en las elecciones

Se trata de un juego de guerra con una variante. En lugar de oficiales del ejército, los responsables son funcionarios electorales. En lugar de luchar contra un enemigo armado con misiles, se montan defensas contra hackers ocultos en computadoras extranjeras. Dada la inminencia de las elecciones estadounidenses de mitad de período, a más de 160 funcionarios electorales de todo el país les quedan solo meses para aprender a defender la democracia.

Estos funcionarios públicos suman entre sí varios siglos de experiencia en manejo de mesas electorales y recuentos de votos en 38 estados. Son expertos en lidiar con inclemencias del tiempo, votantes furiosos y peleas entre candidatos opositores. Pero ninguno jamás se imaginó estar en la línea de fuego de una batalla contra hackers rusos. Las responsabilidades de hoy incluyen la de reparar vulnerabilidades de urnas electrónicas, evitar la manipulación de los archivos electrónicos y detener la difusión de información falsa en las redes sociales.

Para aprender a hacer esto, los funcionarios asisten a una capacitación de dos días sobre seguridad cibernética en Cambridge, Massachusetts, en la que participan de un simulacro de elecciones asumiendo diferentes roles, entre ellos el de secretario del estado (el funcionario de estado responsable de las elecciones), administradores de IT, directores de comunicaciones, jefes de campaña y activistas. Yo también participo, interpreto el papel de periodista entrometido, y se me permite observar el caos que se produce con la condición de que no mencione a los funcionarios ni a sus estados.

En este simulacro (el tercero de este tipo, y al que algunos funcionarios asistieron más de una vez), la principal amenaza proviene de un grupo llamado Kompromat, una expresión política rusa para aludir a material comprometedor, a menudo utilizado para extorsionar. Se trata de una referencia poco sutil a los piratas informáticos rusos que sorprendieron a Estados Unidos cuando lanzaron ataques en la vida real contra su sistema electoral en 2016.

Según el gobierno de este país, intentaron hackear los sistemas electorales de al menos 21 estados. Los rusos también se infiltraron en correos electrónicos que robaron del Comité Nacional Demócrata, mientras que la Agencia de Investigación de Internet, una fábrica de trolls vinculada al Kremlin, difundió información falsa en las redes sociales.

Estados Unidos tiene una larga trayectoria de fraude electoral, que se remonta al Tammany Hall de la ciudad de Nueva York en el siglo XIX, cuando los simpatizantes del Partido Demócrata contrataron personas para que emitan múltiples sufragios e intimiden a los votantes de la oposición, además de llevar votantes ilegales de otras ciudades. Pero las oleadas de votantes extra son más fáciles de detectar que los cambios repentinos en los recuentos electrónicos de hoy o, quizás en forma más notoria, las noticias falsas.

Heather Adkins, directora de seguridad informática y privacidad de Google, que participa en la capacitación asesorando a los funcionarios, contó que ahora que los rusos mostraron lo que se puede hacer, otros estados e incluso ciberdelincuentes probablemente se tienten. "En general, lo que sucede en ciberseguridad es una especie de momento bisagra, un punto de inflexión. Y luego todos los malhechores se dan cuenta y dicen: "Yo puedo hacer eso".

Este punto de inflexión es obra de Eric Rosenbach, ex jefe de gabinete de Ash Carter, secretario de Defensa de Barack Obama. Rosenbach inició el proyecto Defensa de la Democracia Digital del Centro Belfer de Ciencia y Asuntos Internacionales de la Universidad de Harvard en 2017 con la misión de mejorar las defensas estadounidenses contra el hackeo electoral. Su manera de ser sencilla disimula su trayectoria profesional: fue supervisor de ciberseguridad para el departamento de Defensa, con un presupuesto de u$s 30.000 millones y 15.000 empleados.

Rosenbach se asoció a jefes de campaña política que sufrieron ataques cibernéticos en carne propia. Robby Mook, jefe de campaña de Hillary Clinton en 2016, y Matt Rhoades, que era jefe cuando los chinos hackearon la campaña de Romney en 2012. Rosenbach también convocó a compañías tecnológicas, entre ellas Facebook y Google, que aportaron dinero y el know-how de sus principales expertos en seguridad. Todos ellos están desesperados por garantizar que las elecciones de 2016 no terminen siendo un ensayo general de ataques más desastrosos en noviembre de este año y más adelante.

La capacitación es una versión elaborada al estilo "elige tu propia aventura de hackeo electoral".

Cada una de las decisiones de los funcionarios sobre qué tecnologías comprar y qué políticas implementar afectará la forma en que los ataquen. Hay mucho en juego, pero el ánimo es excelente: todos están muy interesados en mejorar su preparación.

El reloj digital proyectado en una pantalla gigante empieza a correr. A los dos minutos de la hora asignada, aparece el titular "Hackers atacan los sistemas electorales de 21 estados". Se trata de un titular real del New York Times de septiembre de 2017, cuando el gobierno federal informó a los estados que piratas informáticos habían intentado hackear sus sistemas antes de las elecciones de 2016.

Mientras tanto, un ex empleado ficticio tuitea que el estado no está preparado para celebrar elecciones legítimas, y el hombre que representa a la organización American Civil Liberties Union se dirige a la cámara de televisión para quejarse de que no pudo plantear sus preocupaciones a los funcionarios.

Los moderadores bombardean en simultáneo a los equipos con actualizaciones técnicas. Se cree que Kompromat recurrió al spear-phishing (correos electrónicos falsos con archivos adjuntos o enlaces infectados) para hackear sus sistemas. Un virus aprovechó una vulnerabilidad de las impresoras para penetrar en los dispositivos del gobierno.

En la primavera de 2016, Rosenbach estaba en el Pentágono. Funcionarios de inteligencia le avisaron que los rusos estaban tratando de debilitar la confianza en las elecciones estadounidenses. "Realmente me sacudió", les comentó a los funcionarios al dar inicio a la capacitación. "Me quedé con la sensación de que no hice lo suficiente. Como gobierno no hicimos lo suficiente. Y que realmente todavía somos vulnerables. Mi pesadilla era que todos los demás delincuentes y los rusos verían que no habíamos hecho suficiente para defender nuestro país. El próximo adversario en atacarnos podría ser Kim Jong Un, o los iraníes, si fracasa el acuerdo nuclear".

Poco después, Rosenbach inició el proyecto Defensa de la Democracia Digital con el objetivo de crear un manual de estrategias de ciberseguridad, algo que los funcionarios y jefes de campaña deseaban haber tenido en 2016. Pronto, tiene previsto lanzar un cuerpo de voluntarios de Defensa de la Democracia Digital que viajará a los estados para brindar asesoramiento en materia de seguridad.

Las palabras de apertura de Rosenbach apuntan a uno de los mayores obstáculos que enfrenta la seguridad electoral: la política. Algunos evitan discutir el tema por temor a que implique que los rusos ganaron las elecciones para Trump. "Esto no tiene nada que ver con política, no se trata del actual presidente, haya sido electo en forma legítima o no". Esto no tiene nada que ver con eso y quería aclararlo explícitamente, señaló el funcionario. Este proyecto es una herramienta práctica para proteger la parte más valiosa de la democracia estadounidense.

Los funcionarios recibieron algo de ayuda del gobierno. El proyecto de ley de asignación de fondos, aprobado en marzo, adjudicó u$s 380 millones para que los estados mejoren la tecnología y la seguridad en las elecciones. Por casualidad, los funcionarios descubren cuánto debe gastar su estado un promedio de u$s 7,6 millones durante la capacitación. La última vez que recibieron un beneficio tan grande fue después del caos causado por las boletas alteradas de las elecciones presidenciales de Bush versus Gore del 2000.

Las amenazas de hoy son aún más complejas. Antes del simulacro electoral, Michael Sulmeyer, un optimista profesor de Harvard que dirige un programa de investigación sobre ciberconflictos, enumera los detractores de la democracia: Rusia, China, Irán y Corea del Norte. Luego siguen los hackers de sombrero negro, que son mercenarios contratados, los ciberdelincuentes armados con ransomware el software malicioso que, a cambio de dinero, descifra computadoras y los terroristas.

Las elecciones tradicionalmente dependían de los partidos opositores que aseguraban que sus rivales se comportaran de manera justa, pero esto no sirve cuando los verdaderos adversarios podrían estar ocultos detrás de computadoras en el exterior. Muchas herramientas de seguridad hoy ya no sirven porque se basan en registros de auditoría, que con la votación anónima no existen. Es por eso que las boletas en papel gozan de tanto apoyo: si todo lo demás falla, se pueden volver a contar los votos.

La confianza es el mayor problema. El sistema electoral estadounidense tiene reglas, sistemas y tecnologías diferentes en cada estado. Esto hace que sea difícil protegerlo, pero también debería dificultar el cambio del resultado de una elección nacional. Cualquier adversario debería tener un profundo conocimiento de los condados pendulares a los que apuntar y de qué manera hacerlo, además de detectar las fallas de cada sistema.

Es mucho más probable aunque no menos preocupante que los hackers intenten sembrar dudas sobre si confiar en los resultados. "Realmente no me preocupa tanto que los rusos, los iraníes o los norcoreanos penetren en tantos sistemas de votación y que literalmente cambien el resultado de una elección", me dice Rosenbach. "Pero hay una gran diferencia entre eso y atacar a tres o cuatro distritos locales y dejar muy claro que la votación allí no es confiable. Y luego llevar a cabo operaciones de información en el resto del país para decir: Esto es apenas algo que realmente sucedió, los comicios en su totalidad no son confiables, como la democracia".

Lori Augino tiene pelo largo y castaño, y sonríe con facilidad. Empezó su carrera electoral a los 20 años como miembro de la planta de personal temporario, y siguió trabajando hasta llegar a ser directora electoral del estado de Washington. Es la segunda vez que participa en un simulacro de elecciones organizado por el proyecto Defensa de la Democracia Digital. "Les aseguro que no estaba pensando en los piratas informáticos rusos en 1995. Pero siempre tuvimos problemas de continuidad de operaciones", contó la funcionaria. "Independientemente de quién sea el atacante, si no tienes acceso a tus sistemas el día de los comicios: ¿cuál es tu plan B? ¿Cuál es tu plan C? ¿Cuál es tu plan D?

Augino es una de las oficiales del ejército a la que se le encomendó una tarea extraordinaria: mantener la democracia en funcionamiento. Están acostumbrados a ser invisibles... uno bromeó que la gente piensa que solo trabajan dos días al año. Pero ahora, además de sus trabajos habituales, tienen que desempeñar un papel más público como última línea de defensa contra las amenazas en su propio territorio.

Desde la iniciativa Defensa de la Democracia Digital también se está tratando de preparar a los jefes de campaña. Y las campañas políticas son especialmente vulnerables. Mook, jefe de campaña de Hillary Clinton, afirma que no tenían un manual de estrategias para gestionar respuestas, comprender las obligaciones legales y seguir las mejores prácticas de comunicaciones públicas. "Ni siquiera contaba con un marco que me permitiese entender el problema", me contó.