La organización política italiana Movimiento 5 Estrellas (M5E) ha atravesado una semana tormentosa, pues el pasado martes 1 de agosto sufrieron un ataque perpetrado por un hacker de sombrero blanco que tuvo acceso a su base de datos a través de una vulnerabilidad en el sistema informático para votaciones en línea. Pero la tempestad no se detuvo, pues tan solo dos días después sufrieron un segundo ataque y esta vez, pidieron 0.3 bitcoins para recuperar toda la data de los votantes del partido.
De un dolor de cabeza a otro, luego de superar una primera crisis en la que la información del voto de todos los suscritos en su plataforma de votación pudo revelarse y modificar el sistema Rousseau, en menos de 48 horas un nuevo hacker comenzó a revelar datos confidenciales robados de la plataforma web del M5E, a través de una cuenta en la red social Twitter bajo el usuario @r0gue0, según informó el diario local La República.
El hacker, luego de varias horas revelando listas con nombres, correo electrónico, códigos fiscales y las cantidades de impuestos pagados por los donantes individuales y hasta datos de los activistas del movimiento, entre los que se incluye uno de sus 35 senadores, Vito Crimi y el eurodiputado David Borrelli, decidió hacerle una oferta al actor y político fundador del M5E, Beppe Grillo: le entregaría la base de datos completa del partido por 0.3 bitcoins. Diferenciándose así, por completo del primer atacante.
now for greedy big discount & Lower price at #Rousseau Market! The whole users database at the low price of 0,3 BTC ->PM me 😉 #Hack5Stelle
— rogue0 (@r0gue_0) 5 de agosto de 2017
+++ In vendita i dati di Rousseau. Anagrafiche, votazioni, candidature. Tutto. https://t.co/0dop4IruAY
— Marco Canestrari (@marcocanestrari) 5 de agosto de 2017
El primer ataque
El pasado martes la página web del movimiento político anti-euro, tuvo un ataque de inyección SQL, que le permitió al hacker de sombrero blanco Evariste Gal0is tener acceso a la base de datos del partido. Aún no se sabe por cuánto tiempo el hacker tuvo acceso a nombres, correos electrónicos, contraseñas, números de teléfono y votos e información de donaciones.
Sin embargo, según palabras del mismo Gal0is, su objetivo no era político. El hackeo a rousseau.movimento5stelle.it solo fue una forma de advertir a los miembros y a la dirigencia del M5E sobre “el riesgo de pérdida de datos”.
Todo esto fue dado a conocer por el hacker a través de un microblog que creó con su posición y sugerencias para aumentar la seguridad dentro de la página web. Y de hecho, intentó ponerse en contacto con los propietarios del sitio web de M5E, Davide Casaleggio y el comediante y actor Beppe Grillo; pero recibió como respuesta de Grillo sus intenciones de iniciar acciones legales contra Glal0is.
Es importante aclarar que en las comunicaciones sostenidas del hacker con medios de comunicación, este jamás mencionó interés en hacer pública la información de la base de datos. Es decir, ambos hackers tuvieron acceso a la misma información y por el momento no se tiene mayor rastro de ninguno, por lo que no se pueden negar posibles vinculaciones entre ellos.
El sistema informático Rousseau es vulnerable
El sistema Rousseau no ha sido atacado solo por cibercriminales, pues ha recibido duras críticas de la opinión pública durante meses, pues muchos italianos no se fian de la plataforma privada del M5E.
Es importante tener en cuenta que el Movimiento 5 Estrellas está ubicado entre las primeras fuerzas políticas de Italia desde hace poco más de un año, y actualmente se encuentran exigiendo la realización de elecciones generales. Su posición política está orientada hacia el escepticismo contra la unión europea, la lucha contra la elevada corrupción gubernamental en Italia, así como la defensa del medio ambiente (ecologismo), el uso libre de internet y el apoyo al financiamiento privado vía donaciones para las actividades políticas y gubernamentales.
M5E utiliza Rousseau para elegir a los candidatos del partido de cara a futuras elecciones, sistema informático que también gestiona su página web.
Rousseau fue diseñado por Gianroberto Casaleggio con el objetivo de hacerlo funcionar como una forma de democracia “directa y participativa”; y está siendo manejado actualmente por la firma tecnológica Casaleggio Associati.
Con respecto a los recientes problemas de seguridad aprovechados en dos ocasiones por hackers, Canestrari David Puente, extrabajador de la compañía, dice que ya el primer hacker había demostrado que la votación en la plataforma no es secreta.
El código de la plataforma habría sido corregido para eliminar las vulnerabilidades señaladas por el primer hacker, conocido como Gal0is, pero según el diputado expulsado del M5E, Massimo Artini, el código es básicamente igual al anterior.
El código de la nueva Rousseau es prácticamente idéntica a la antigua plataforma. Ellos sólo cambiaron los gráficos. El fallo dado a conocer desde el primer hacker es una cosa enorme.
Massimo Artini
Diputado
Hay que tener en cuenta que las vulnerabilidades de los sistemas siempre acarrean grandes riesgos para los desarrolladores, y el riesgo se eleva al construir una plataforma que almacena las voluntades secretas de cientos de personas sobre una elección política, pues puede permitir la manipulación de resultados y la filtración de información sensible.
Para confiar datos y respuestas que brindan poder a quien es elegido es fundamental contar con un sistema que no permita modificaciones y que posea los más altos niveles de seguridad, una tarea para la que cada día más empresas y gobiernos confían en la tecnología blockchain. La tecnología que soporta a las criptomonedas, podría evitar eventos como estos.
Además, blockchain es propicia para realizar procesos de votación porque asegura resultados inmediatos e inmutables, ya que no se puede reescribir el contenido de los bloques sin autorización de todos los participantes de la red.
La democracia tecnológica y directa del movimiento político italiano podría evitarse este tipo de dolores de cabeza si apostara a la integración de cadenas de bloques a su sistema Rousseau. Por el momento, se desconoce si Grillo pagará al hacker los bitcoins o si emprenderá acciones legales, pues no ha ofrecido declaraciones al respecto, pero sin duda este hacker sombrero blanco pudo haber prevenido ataques a futuro en la plataforma, una labor altruista que contribuye a reforzar la seguridad de sistemas informáticos.