El pasado 28 de junio de 2022 se abrió el proceso para decidir el pedido que hizo la bancada correísta de Unión por la Esperanza (Unes) para la destitución del Presidente de la República. La sesión se realizó por medios telemáticos, a causa de las protestas que se registraban en los sectores aledaños a la Asamblea Nacional, en Quito. Ese día cuatro legisladores presentaron inconvenientes a la hora de votar. Luego se conocería que sus computadoras fueron vulneradas por una misma IP.
El presidente de la Asamblea, Virgilio Saquicela, presentó el 6 de julio de 2022 una denuncia ante la Fiscalía General del Estado para que se investigue los presuntos inconvenientes en el sistema de votación electrónica. Sin embargo, el titular del Parlamento en días anteriores aseguró que la plataforma no fue vulnerada.
Luis Enríquez, experto en ciberseguridad, habla de cuatro formas en las que se pudo realizar la alteración. Los escenarios se plantean en función de las fallas registradas en el sistema de votación de los asambleístas. No obstante, aclara, que cada una de estas posibilidades son solo suposiciones de lo que pudo pasar. Para tener certeza de la irregularidad, se requiere un peritaje al proceso en el sistema y así conocer la realidad.
El primero sería un ataque al servidor, por ejemplo, una manipulación de un funcionario con privilegios, es decir que tenía acceso de administrador. En este caso, personas que manejan la plataforma de la Asamblea. Esta sería una de las opciones en las cuales el atacante entra al sistema con los permisos adecuados para manipular el software.
En el segundo caso podría ser un atacante externo, no uno interno que haya hecho las operaciones. En este caso, una persona atacó el servidor para tener un acceso con permisos a través de un malware y manipular el sistema. Para Enríquez esta podría ser la posibilidad más remota, aunque no se descarta.
Para el tercer caso serían ataques al cliente que tenía las claves de los cuatro asambleístas implicados. Con ello podían ingresar a través de sus cuentas, aunque es difícil, pero se podía suplantar la conexión real o hacer un secuestro de sesión.
Y la final es que los cuatro asambleístas hayan tenido troyanizados sus dispositivos. Es difícil ya que el hacker no sabía desde dónde se iban a conectar los funcionarios, ya que podían ingresar desde diferentes dispositivos.
“En este caso sobre la manipulación apunta a que las probabilidades son más de servidor y no de cliente. Seguramente alguien con beneficios haga una conexión desde otro punto del país”, explicó Enríquez.
Para el experto, lo principal sería hacer un peritaje informático forense. El estudio permitirá para determinar varias examinaciones forenses. Esas revisiones ayudarán a identificar lo que en realidad sucedió. Después de que se presentan las denuncias, se debe hacer una investigación amplia para conocer la realidad en torno a este supuesto hackeo en el sistema.
Según Enríquez, lo clave en estas investigaciones es que un equipo de respuesta de incidentes saca una copia forense de la memoria dinámica que corre en el servidor. Es como hacer un examen a una persona para saber todos los problemas que no se ven. Lo segundo sería que deben tener una firma para saber que no se cambió eso, hacer un análisis forense de la red y luego un aplicativo de cómo los errores que se produjeron en varios exámenes forenses.
Enríquez comenta que se debería investigar el origen de la IP consultando a quién pertenece e investigar si existió una anomalía antes. El protocolo con el que se trabaja de modo remoto también ha presentado algunos inconvenientes, por ello, no es 100% seguro.
La búsqueda de la IP es fácil, sostiene. Se debe identificar y ver la procedencia para ubicarlo. Un hacker profesional usa una VPN u otras formas para acceder. Una vez solicitado desde dónde se conectaron con esa IP se debe encontrar un nexo causal para hacer una memoria dinámica del dispositivo.
«Esto debe hacerlo un perito informático forense en unos cuatro peritajes para contrastar la información sobre la verdad de los hechos”, finaliza Enríquez.