Los riesgos de seguridad de la aplicación Blockchain para las elecciones estadounidenses están en la mira

La empresa Voatz, con sede en Massachusetts, la aplicación blockchain que plantea riesgos de seguridad para las elecciones estadounidenses, ha sido descubierta recientemente y está generando críticas de todos lados.

Voatz ha estado promocionando una aplicación de votación móvil basada en blockchain que ha sido investigada por tener muchas lagunas de seguridad y, por lo tanto, ha generado muchas críticas públicas; las lagunas de seguridad son particularmente graves en lo que respecta a la seguridad de los datos.

La importancia de controlar estos problemas de seguridad se agudiza aún más a medida que se acercan las elecciones en Estados Unidos. El informe de auditoría sobre la seguridad de la aplicación electoral estadounidense incluye una revisión de seguridad de 122 páginas, con 78 páginas adicionales que destacan las consideraciones sobre el modelado de amenazas.

Riesgos de seguridad de la aplicación electoral de EE.UU.: ¿Voatz no necesita blockchain?

La cadena de bloques que utiliza Voatz no se extiende al cliente móvil, lo que a su vez crea riesgos de seguridad para la aplicación electoral de EE. UU.

Eltracde esta aplicación blockchain reside en que no requiere que los votantes confíen en nadie, ya que se trata de un sistema descentralizado; sin embargo, Voatz no extiende esta funcionalidad al público. Voatz utiliza una blockchain Hyperledger como registro de auditoría. No se trata de una tecnología blockchain de vanguardia, ya que esto se puede lograr fácilmente con una base de datos que incluya un registro de auditoría.

El informe de auditoría reveló que el sistema Voatz no cuenta con ningún mecanismo para desanonimizar a los votantes según el momento en que emitieron su voto en la aplicación. Voatz afirma que existe una "red mixta" que transfiere la información a la cadena de bloques una vez anonimizada.

Riesgos de seguridad de las aplicaciones electorales en EE. UU.: confirman los hallazgos del MIT 

del Instituto Tecnológico de Massachusetts (MIT) publicaron un informe el 13 de febrero en el que afirmaban que la cadena de bloques de Voatz tenía importantes problemas de seguridad, a lo que Voatz respondió ese mismo día refutando las afirmaciones del MIT.

Resulta que la respuesta de Voatz fue escrita tres días después de que el rastro de Bits verificara las vulnerabilidades de seguridad de ubicuidad al MIT luego de recibir un resumen de los problemas por parte del Departamento de Seguridad Nacional de los Estados Unidos.

¿Los proyectos anteriores sobre riesgos de seguridad de las aplicaciones para las elecciones estadounidenses no se completaron?

Este fue el primer informe que llevó a cabo una investigación de caja blanca que condujo a estos hallazgos; antes de este, se realizaron muchos informes, pero no fueron lo suficientemente exhaustivos. Trail of Bits resumió los informes anteriores de la siguiente manera.

realizó una revisión de seguridad en 2019 , pero como era una empresa privada, no contrató a ningún experto en seguridad técnica.

En octubre de 2018, ShiftState llevó a cabo una revisión exhaustiva de la arquitectura de la cadena de bloques, el flujo de datos y las decisiones de mitigación de amenazas; sin embargo, esta revisión no incluyó la búsqueda de errores en la propia aplicación.

La última revisión de seguridad se realizó en octubre de 2019 y se limitó a evaluar los recursos en la nube y si la aplicación era vulnerable a ataques informáticos. Los informes anteriores no incluyeron evaluaciones de problemas de seguridad del servidor ni del backend, lo que los convirtió en informes incompletos.

Por un lado, varios estados de EE. UU. están considerando la votación basada en blockchain. Por otro lado, el informe de Trail of Bits afirma que estos informes eran meros documentos técnicos, y que el hecho de pasar por alto estas lagunas en la evaluación plantea la cuestión de si los funcionarios electos están suficientemente cualificados para leerlos.