Fue una garantía diseñada para reforzar la confianza del público en la forma en que Estados Unidos vota: las máquinas de votación "no están conectadas a Internet".
La subsecretaria interina de Seguridad Cibernética y Comunicaciones del Departamento de Seguridad Nacional, Jeanette Manfra, dijo esas palabras en 2017, testificando ante el Congreso mientras era responsable de la seguridad del sistema de votación de la nación.
Tantos funcionarios gubernamentales como Manfra han dicho lo mismo en los últimos años que la mayoría de los estadounidenses lo aceptan comúnmente como evangelio. Detrás está la noción de que si los sistemas de votación no están en línea, los piratas informáticos tendrán más dificultades para comprometerlos.
Cynthia McFadden tendrá esta historia esta noche en "NBC Nightly News With Lester Holt" a las 6:30 p.m. ET / 5:30 p.m. CONNECTICUT.
Pero eso es una exageración, según un equipo de 10 expertos independientes en seguridad cibernética que se especializan en sistemas de votación y elecciones. Si bien las máquinas de votación en sí no están diseñadas para estar en línea, los sistemas de votación más grandes en muchos estados terminan allí, poniendo en riesgo el proceso de votación.
Ese equipo de expertos en seguridad electoral dice que el verano pasado descubrieron que algunos sistemas están, de hecho, en línea.
"Descubrimos que más de 35 [sistemas de votación] se habían dejado en línea y todavía seguimos encontrando más", dijo a NBC News Kevin Skoglund, asesor técnico principal del grupo de defensa de la seguridad electoral National Election Defense Coalition.
"Seguimos escuchando de los funcionarios electorales que las máquinas de votación nunca estuvieron en Internet", dijo. "Y sabíamos que eso no era cierto. Así que nos propusimos tratar de encontrar las máquinas de votación para ver si podíamos encontrarlas en Internet, y especialmente los sistemas de back-end a los que se conectaban las máquinas de votación en el recinto. informar sus resultados ".
Skoglund y su equipo desarrollaron una herramienta que recorrió Internet para ver si las computadoras centrales que programan las máquinas de votación y ejecutan todo el proceso electoral en el recinto electoral estaban en línea. Una vez que identificaron dichos sistemas, se comunicaron con los funcionarios electorales relevantes y también proporcionaron la información al periodista Kim Zetter, quien publicó los hallazgos en Vice's tarjeta madre en agosto.
Las tres empresas de fabricación de votos más grandes, Election Systems & Software, Dominion Voting Systems y Hart InterCivic, han reconocido que todas pusieron módems en algunos de sus tabuladores y escáneres. ¿La razón? Para que los resultados electorales no oficiales puedan transmitirse más rápidamente al público. Esos módems se conectan a las redes de teléfonos celulares, que, a su vez, están conectados a Internet.
El mayor fabricante de máquinas de votación, ES&S, dijo a NBC News que sus sistemas están protegidos por firewalls y no están en la "Internet pública". Pero tanto Skoglund como Andrew Appel, profesor de informática de Princeton y experto en elecciones, dijeron que tales firewalls pueden y han sido violados.
"AT&T y Verizon y demás intentan y protegen lo mejor que pueden la seguridad de su red telefónica desde el resto de Internet, pero sigue siendo parte de Internet", explicó Appel. "Todavía puede haber agujeros de seguridad que permitan a los piratas informáticos acceder a la red telefónica".
Los 35 sistemas que el equipo de Skoglund encontró representan una fracción del total de los sistemas de votación en todo el país, aunque él cree que solo capturaron una parte de los sistemas que están o han estado en línea. A principios de esta semana, Skoglund mostró que NBC tres sistemas electorales todavía estaban en línea, incluso después de que se les había dicho a los funcionarios que eran vulnerables.
Según Appel, los sistemas electorales en línea, incluso momentáneamente, presentan un problema grave.
"Una vez que un pirata informático comienza a hablar con la máquina de votación a través del módem, el pirata informático no puede simplemente cambiar estos resultados electorales no oficiales, puede piratear el software en la máquina de votación y hacer trampa en futuras elecciones", dijo.
El Instituto Nacional de Estándares y Tecnología, que proporciona marcos de ciberseguridad para los gobiernos estatales y locales y otras organizaciones, recomienda que los sistemas de votación no deben tener conexiones de red inalámbricas.
Todos los sistemas que el grupo de Skoglund encontró en línea fueron fabricados por ES&S. Los sistemas en línea se encontraron en 11 estados, en al menos algunos recintos, así como en el Distrito de Columbia. Los estados fueron: Florida, Wisconsin, Michigan, Rhode Island, Illinois, Indiana. Kentucky, Minnesota, Massachusetts, Nebraska y Mississippi.
Mientras que la empresasitio web afirma que "cero" de sus tabuladores de votación están conectados a Internet, ES&S dijo a NBC News que 14,000 de sus tabuladores DS200 con módems en línea están actualmente en uso en todo el país.
NBC News preguntó a los otros dos fabricantes importantes cuántos de sus tabuladores con módems estaban actualmente en uso. Hart dijo que tiene aproximadamente 1,600 de estos tabuladores en uso en 11 condados en Michigan. Dominion no respondió a numerosas solicitudes de NBC News por sus números de ventas.
'Vulnerable a la piratería'
Con las elecciones presidenciales de 2020 a solo diez meses de distancia, Appel y Skoglund creen que todos los módems pueden y deben eliminarse de los sistemas electorales.
"Los módems en las máquinas de votación son una mala idea", dijo Appel. "Los módems que ES&S [y otros fabricantes] están poniendo en sus máquinas de votación son conexiones de red, y eso los hace vulnerables a la piratería por cualquiera que pueda conectarse a esa red".
El estado de Michigan actualmente está lidiando con este problema. Desde las elecciones de 2016, Michigan autorizó $ 82 millones de dólares para actualizar sus sistemas electorales. Parte de ese dinero se gastó en tabuladores con módems inalámbricos. Pero ahora, algunos funcionarios estatales temen que las máquinas puedan representar un riesgo de seguridad y están presionando para que se retiren los módems.
Otros no están tan seguros, y el estado ha establecido un comité asesor.
Jake Rollow, director de comunicaciones del Departamento de Estado de Michigan, dijo en un comunicado a NBC News: "Aunque los resultados no son oficiales, si estos resultados no oficiales se alteran o manipulan, aún podría causar confusión el día de las elecciones".
"El departamento considerará las recomendaciones de la comisión asesora para mejorar la seguridad del proceso", continuó Rollow. "Los pasos específicos que se tomen dependerán de la recomendación y del cronograma requerido para realizar cambios de manera efectiva".
El otoño pasado, cuando ES&S dioNBC News un recorrido exclusivo En su sede en Omaha, Neb., el Director Ejecutivo Tom Burt defendió el uso de módems cuando se le preguntó acerca de los módems Sprint y Verizon vistos en el área de pruebas de ES&S.
"Hay un pequeño porcentaje de jurisdicciones en el país, muchas de ellas en Florida, que han decidido querer moderar resultados no oficiales a la oficina electoral", dijo. "En términos generales, los medios en esos lugares claman un poco para obtener resultados no oficiales lo más rápido posible".
Cuando se le preguntó si el deseo de velocidad estaba en desacuerdo con la precisión y la seguridad, Burt dijo: "No es mi lugar juzgar eso".
NBC News contactó al Departamento de Seguridad Nacional, que se negó a comentar sobre el tema de la seguridad moderna en tabuladores y escáneres de máquinas de votación.
'Problemas de invitación'
Los críticos también argumentan que ES&S ha engañado a las jurisdicciones para que piensen que sus tabuladores DS200 con módems están certificados por la Comisión de Asistencia Electoral de EE. UU., Un reclamo que dicen es motivo para una investigación.
En una carta obtenido por NBC News enviado al EAC el martes, la reforma financiera de la campaña Free Speech for People y la National Election Defense Coalition le pidieron a la agencia que investigue si ES&S violó las regulaciones de la agencia al implicar que las máquinas de votación DS200 con módems tienen certificación EAC.
"ES&S ha anunciado repetidamente su DS200 con módem interno, un componente crítico para los sistemas de votación de ES&S, como certificado EAC cuando, de hecho, no lo es", decía la carta. "Por lo tanto, nuevamente solicitamos respetuosamente que EAC investigue y tome medidas para corregir este grave problema".
"Una vez que agrega ese módem, lo está descertificando", dijo Skoglund. "Ya no tiene certificación federal. Y no sé si todas estas jurisdicciones lo saben porque ES&S está anunciando lo contrario".
Pero Skogland señala algunas buenas noticias. Él cree que hay tiempo para hacer un cambio real antes de las elecciones de 2020.
"Deberíamos estar desconectando todas estas máquinas de Internet", dijo Skoglund. "Incluso para las noches de elecciones".
Appel estuvo de acuerdo. "No podemos hacer que nuestras computadoras sean perfectamente seguras", dijo. "Lo que debemos hacer es eliminar todas las vías innecesarias y pirateables, como los módems. No debemos conectar nuestras máquinas de votación directamente a las redes de computadoras. Eso es solo un problema".
Estos dos expertos en tecnología también están de acuerdo en el camino a seguir, diciendo que se sienten reconfortados por el hecho de que la mayoría de los estadounidenses votarán este año por boletas de papel marcadas a mano que se cuentan por máquina y se pueden contar a mano si la situación lo amerita.
Las máquinas en las que Estados Unidos vota parecen captar el interés de algunos en el Congreso. El Comité de Administración de la Cámara celebró un audiencia en el congreso ayer, que fue la primera vez que los jefes de los tres proveedores principales, que representan al menos el 80 por ciento de las máquinas de votación de los Estados Unidos, aparecieron juntos para ser interrogados. Si bien los legisladores les preguntaron sobre la influencia extranjera en sus cadenas de suministro y si cumplirían con más requisitos federales de información, se mencionó la presencia de módems en algunos de sus tabuladores, pero no se persiguió.