La empresa Voatz, con sede en Massachusetts, la aplicación blockchain que plantea riesgos de seguridad para las elecciones estadounidenses, ha sido descubierta recientemente y está generando críticas de todos lados.
Voatz ha estado promocionando una aplicación de votación móvil basada en blockchain que ha sido investigada por tener muchas lagunas de seguridad y, por lo tanto, ha generado muchas críticas públicas; las lagunas de seguridad son particularmente graves en lo que respecta a la seguridad de los datos.
La importancia de controlar estos problemas de seguridad es aún mayor a medida que se acerca la semana electoral en Estados Unidos. El informe de auditoría sobre la seguridad de la aplicación electoral estadounidense incluye una revisión de seguridad de 122 páginas, con 78 páginas adicionales que destacan consideraciones sobre el modelado de amenazas.
Riesgos de seguridad de la aplicación electoral de EE.UU.: ¿Voatz no necesita blockchain?
La cadena de bloques que utiliza Voatz no se extiende al cliente móvil, lo que a su vez crea riesgos de seguridad para la aplicación electoral de EE. UU.
El trac de esta aplicación blockchain reside en que, al ser un sistema descentralizado, no requiere que los votantes confíen en nadie. Sin embargo, Voatz no extiende esta función al público. Voatz utiliza una blockchain de Hyperledger como registro de auditoría. Esta no es una tecnología blockchain de vanguardia, ya que una base de datos con registro de auditoría puede realizarla fácilmente.
El informe de auditoría concluyó que el sistema Voatz no ofrece ninguna solución para desanonimizar a los votantes según el período en que emitieron su voto en la aplicación. Voatz afirma que existe una "red mixta" que ingresa la información a la blockchain después de anonimizarla.
Riesgos de seguridad de las aplicaciones electorales en EE. UU.: confirman los hallazgos del MIT
del Instituto Tecnológico de Massachusetts (MIT) publicaron un informe el 13 de febrero afirmando que la cadena de bloques de Voatz tenía importantes problemas de seguridad, a lo que Voatz respondió más tarde ese mismo día y refutó las afirmaciones del MIT.
Resulta que la respuesta de Voatz fue escrita tres días después de que el rastro de Bits verificara las vulnerabilidades de seguridad de ubicuidad al MIT luego de recibir un resumen de los problemas por parte del Departamento de Seguridad Nacional de los Estados Unidos.
¿Los proyectos anteriores sobre riesgos de seguridad de las aplicaciones para las elecciones estadounidenses no se completaron?
Este fue el primer informe que realizó una investigación de caja blanca que condujo a estos hallazgos; anteriormente, se habían realizado numerosos informes, pero no fueron lo suficientemente exhaustivos. Trail of Bits resumió los informes anteriores de la siguiente manera.
realizó una revisión de seguridad en 2019 , pero como era privada, no se emplearon expertos técnicos en seguridad.
En octubre de 2018, ShiftState realizó una revisión de higiene generalizada de la arquitectura de la cadena de bloques, el flujo de datos y las decisiones de mitigación de amenazas; sin embargo, esta revisión no contó para buscar errores en la aplicación en sí.
La última revisión de seguridad se realizó en octubre de 2019 y se limitó a evaluar los recursos en la nube y si la aplicación era vulnerable a ataques informáticos. Los informes anteriores no incluyeron evaluaciones de problemas de seguridad del servidor ni del backend, lo que los convirtió en informes incompletos.
Por un lado, varios estados de EE. UU. están considerando la votación basada en blockchain. Por otro lado, el informe de Trail of Bits afirma que estos informes eran meros documentos técnicos, y que el hecho de pasar por alto estas lagunas en la evaluación plantea la cuestión de si los funcionarios electos están suficientemente cualificados para leerlos.
