A principios de octubre, un historia publicado por CNN afirmó que un estudiante afiliado a la Universidad de Michigan intentó piratear el sistema de votación basado en blockchain de Virginia Occidental llamado Voatz. Según el informe, el FBI ahora está investigando activamente el asunto y está buscando autenticar la veracidad de estos reclamos.
Voatz es una aplicación para teléfonos inteligentes que fue utilizada por el gobierno de Virginia Occidental el año pasado para recolectar boletas de sus ciudadanos que vivían en el extranjero en ese momento o que estaban estacionados en el extranjero con fines militares. La revelación mencionada anteriormente fue realizada por el Secretario de Estado de West Virginia, Mac Warner, quien afirmó haber identificado cierta actividad que él cree que está orientada a obtener acceso ilegal al módulo operativo de la unidad central de la aplicación de votación. En este sentido, la aplicación Voatz utiliza una gran cantidad de capas de verificación de identificación personal, como reconocimiento facial, huellas digitales y recibos de boletas verificados por los votantes.
Como resultado de estos desarrollos, Warner recientemente entró en modo de control de daños y fijado que todas las salvaguardas digitales (que habían sido creadas para la aplicación Voatz) habían funcionado según lo diseñado y que ningún voto había sido alterado, impactado, visto o alterado de ninguna manera.
Sin embargo, para comprender mejor las debilidades de los sistemas de votación basados en blockchain, Cointelegraph contactó a Barry Gitarts, uno de los desarrolladores implementadores de la aplicación descentralizada de votación (DApp) para la red Status. Dijo que recientemente se ha vuelto popular intentar implementar la votación basada en la ecuación cuadrática, a pesar de que tiene algunos defectos:
“El mayor problema no resuelto con este tipo de votos es que para que el voto no sea propenso a la manipulación, debe haber una identidad vinculada a los votantes, de lo contrario, algunos votantes pueden obtener una cantidad desproporcionada de poder de voto dividiendo sus fichas entre múltiples direcciones y votando con ellos ".
Otro punto de vista interesante fue presentado por John Lloyd, el director de tecnología de la firma de seguridad cibernética Casaba Security. En su opinión, la pregunta no es realmente sobre la confiabilidad de los sistemas de votación basados en blockchain en general, sino más bien sobre la transparencia de la aplicación Voatz en sí. Cointelegraph habló con Ivan Ivanitskiy, director de análisis de la firma de soluciones de software SmartDec, quien dijo en una conversación por correo electrónico:
“El hecho mismo de que el desarrollador del sistema no pueda probar públicamente que no se robó ningún voto (si este es el caso) significa que toda la idea de usar blockchain es errónea. La característica principal de una cadena de bloques para votar es la publicidad: en un sistema correctamente construido, cualquiera debería poder verificar que los resultados se calcularon correctamente ".
Lloyd le dijo a Cointelegraph que varios investigadores han encontrado anomalías en el programa y que la compañía responsable de ejecutar la plataforma no ha compartido públicamente ninguno de los documentos de certificación o resúmenes de auditoría de Voatz. Además, señaló que la cadena de bloques Voatz es esencialmente una red privada hiperledger que tiene menos de 10 nodos, lo que lo llevó a creer que el sistema no es más útil que una base de datos tradicional. Lloyd luego agregó:
“Una cadena de bloques que solo ejecuta nodos aprovisionados todavía necesita que esos nodos estén expuestos a Internet para que las personas puedan votar. Las personas que intentan comprometer las aplicaciones públicas son rutinarias para cualquier aplicación web. El FBI está involucrado por el objetivo. No puede "cambiar los votos" después del hecho. El objetivo tendría que ser el teléfono móvil del votante y luego solo cuando se hayan autenticado y estén listos para votar ".
Ivanitskiy también mencionó que en septiembre pasado se utilizó un sistema de votación blockchain para las elecciones parlamentarias de la ciudad de Moscú. Los resultados difieren estadísticamente del recuento de votos en persona, lo que significa que el resultado general fue un poco distorsionado. Ivanitskiy luego agregó:
“La parte de blockchain funcionó bien, el problema estaba en la parte de identificación. Blockchain es genial para votar; Sin embargo, la identificación es un problema complicado. No debemos usar ningún sistema de votación electrónica a menos que estemos seguros de que la identificación funciona correctamente ".
Blockchain en sistemas de votación
Es importante distinguir entre la tecnología blockchain y las aplicaciones que hacen uso de este marco. En pocas palabras, blockchain permite la creación de un almacén de datos que es a prueba de manipulación, y al distribuir múltiples copias de este almacén de datos a prueba de manipulación, la información se vuelve altamente resistente a las actividades nefastas de terceros.
Relacionado: ¿Blockchain detendrá las fugas de datos personales?
Esto se debe a que si se modifica una copia del almacén de datos (en cualquier forma o forma), el cambio se hace visible de inmediato para todos los demás participantes de la red. No solo eso, una vez que se detecta una alteración, se puede sobrescribir con una de las muchas copias que no están dañadas para que la información vuelva a su estado original. Para profundizar en el tema, Jeff Stollman, consultor principal de Rocky Mountain Technical Marketing, proporcionó a Cointelegraph algunas ideas:
“El problema con la votación de blockchain es la aplicación front-end que gestiona los nuevos datos que se agregan a blockchain. La tecnología Blockchain no impide que alguien piratee la aplicación front-end y altere los datos (por ejemplo, votos) antes de que se agregue a la cadena de bloques. Por ejemplo, si un estafador puede hacerse pasar por un votante legítimo (porque ha robado las credenciales del votante), puede votar en lugar del votante legítimo. Esto no tiene nada que ver con la cadena de bloques ".
En relación con Voatz, dado que no ha habido evidencia sólida que demuestre que el intento de infiltración en cuestión fue exitoso, podría ser seguro suponer que el pirata informático estaba tratando de acceder a ciertas áreas de entrada de datos asociadas con la aplicación en lugar de la cadena de bloques en sí .
Además, dado que, según los informes, Voatz hace uso de una cadena de bloques autorizada que consiste en un número relativamente pequeño de nodos de verificación en lugar de un ecosistema sin permiso, John Wagster, el copresidente del equipo legal de blockchain Frost Brown Todd, cree que este último sería más adecuado para votar actividades relacionadas, ya que cada transacción necesitaría ser verificada por un número mayor de participantes, agregando que:
"Ningún sistema es infalible, pero la seguridad en la aplicación Voatz parece haberse mantenido bien a pesar de que fue diseñada para una cadena de bloques autorizada". Esto se parece más a un intento de intrusión que a una intrusión real ".
¿Fue el incidente de Voatz algo único?
Una pregunta pertinente que seguramente surgirá como resultado del incidente antes mencionado es si más sistemas de votación basados en blockchain podrían verse comprometidos o no en el futuro cercano. Prácticamente todos los llamados hacks relacionados con este dominio no son fallas de seguridad de las cadenas de bloques. En cambio, son hacks de los datos o retransmisores de datos que se conectan al ecosistema central de blockchain. Sobre el tema, Wagster le dijo a Cointelegraph:
"Las aplicaciones de votación son en realidad un excelente caso de uso para la tecnología blockchain porque permiten interacciones transparentes y verificables entre las partes que no confían".
Henry Ly, gerente de proyectos de la empresa de tecnología y seguridad cibernética OccamSec, hizo eco de un sentimiento similar. En una conversación con Cointelegraph, dijo que a pesar de que los sistemas de votación basados en blockchain necesitan protocolos de verificación adicionales en términos de una evaluación desde un punto de vista de vulnerabilidad de seguridad (como es destacado por algunos de los hacks de blockchain que han ocurrido recientemente), incidentes como estos no son nada nuevo. En su opinión, cada nueva tecnología pasa regularmente por ofertas de infiltración.
Ly señaló además que los intentos de piratería son algo cotidiano en las aplicaciones blockchain, pero eso no significa que tales ofertas no posean ninguna promesa a largo plazo. Luego agregó:
"Es muy imposible construir" sistemas infalibles ". Con suficiente tiempo y recursos, todo y cualquier cosa se puede dividir. La votación electrónica y la votación de blockchain tienen muchos problemas, pero son prometedoras ”.
Los casos de uso de blockchain relacionados con el gobierno continúan aumentando
A pesar de que los críticos continúan insistiendo en las vulnerabilidades relacionadas con la tecnología blockchain, sus casos de uso global continúan creciendo de manera constante. Por ejemplo, Æternity, una empresa de blockchain descentralizada centrada en aplicaciones, recientemente firmó un acuerdo con el Partido Digital de Uruguay para crear una nueva plataforma que permitirá a los uruguayos participar en una variedad de decisiones políticas locales de manera transparente y descentralizada.
Del mismo modo, la Agencia de Normas Alimentarias del Reino Unido (FSA) anunció el año pasado que había completado con éxito un programa piloto utilizando blockchain para rastrear la distribución de carne dentro de la región.
Relacionado: EE. UU. Se acerca a aceptar Blockchain, aún incierto sobre Crypto
En los Estados Unidos, un total de 18 estados tienen, de una forma u otra, legislación introducida relacionado con la tecnología blockchain. Nueve de estos proyectos de ley ya se han convertido en leyes, por ejemplo, las personas que viven en Tennesse están autorizados a usar la tecnología blockchain y los contratos inteligentes para facilitar sus transacciones electrónicas. En la misma línea, un reciente Ley de Wyoming permite a las entidades corporativas hacer uso de blockchain para mantener sus registros internos.