Un señalamiento del año 2013 sobre falta o fallas en políticas de contraseñas y control de acceso a sistemas digitales de la Comisión Estatal de Elecciones (CEE) persiste una década después, según el informe de autoría más reciente de la Oficina de la Contralora sobre el ente electoral que este año ya está en pleno proceso de primarias y elecciones generales.
La auditoría fue específicamente a la Oficina de Sistemas de Información y Procesamiento Electrónico. Se emitió una opinión cualificada que apunta a fallas de seguridad sobre el acceso a los sistemas de la CEE y que, por ejemplo, 27 exempleados del organismo aún contaban con cuentas activas que podían acceder los sistemas del organismo electoral.
PUBLICIDAD
“El examen efectuado el 8 de marzo de 2023 sobre los parámetros de seguridad (account policies, password policies, y account lockout policies) establecidos en el sistema operativo del servidor principal, reveló que en este: no se habían definido las políticas de contraseñas para establecer la cantidad de veces que una contraseña podía ser reutilizada, el período de tiempo (en días) en que debe utilizarse la contraseña antes de que el usuario pueda cambiarla, el mínimo de caracteres requeridos para establecer las contraseñas de las cuentas de acceso de los usuarios, la opción de complejidad para la contraseña (password must meet complexity requirements), ni se habían definido las políticas de control de cuentas para limitar la cantidad máxima de intentos de acceso fallidos antes de desactivarlas (account lockout threshold), y evitar que las contraseñas sean descifradas”, establece el informe de auditoría.
De un examen a 664 cuentas de usuarios activas en la red de comunicación, encontraron que 138 estaban configuradas para que sus contraseñas no expiraran. Estos señalamientos ya se habían realizado en el año 2013.
Los señalamientos provocan que aumente el riesgo de que las contraseñas sea descifradas y utilizadas por personas no autorizadas para acceder a los sistemas de la CEE, según la Oficina de la Contralora.
Además se encontró que exempleados mantienen activos los accesos a los sistemas de la CEE. Según el comentario del director de la Oficina de Sistemas de Información y Procesamiento Electrónico, cuando las personas dejan de ser empleados de la CEE, el formulario Certificación de Separación y Liquidación de Servicio es circulado solo a discreción del exempleado una vez se separa del servicio. “Esto provoca que, en ocasiones, la Oficina de Sistemas no advenga en conocimiento de la separación y por consiguiente no pueda desactivar las cuentas concernidas. Además, la Oficina de Recursos Humanos no notifica a la Oficina de Sistemas cuando un empleado cesa en sus funciones ni esto es requerido en la Normas de la Comisión”, lee el comentario del funcionario incluido en el informe de auditoría.
Este señalamiento ya también se había incluido en la auditoría de hace más de una década. Según los comentarios de la gerencia, en el proceso de auditoría tomaron medidas para comenzar a notificar sobre personal que cesa sus funciones y desactivar sus cuentas.
PUBLICIDAD
También hay señalamientos de deficiencias al crear cuentas de acceso a la red de la CEE.
La auditoría cubrió del 6 de octubre de 2022 al 31 de mayo de 2023. Actualmente el manejo de la información en los sistemas de la CEE para fines no electorales ha estado bajo escrutinio público.