Tras más de un año de reuniones virtuales, Bill Ekblad se presentó la semana pasada en ocho oficinas electorales del sur de Minnesota para transmitir un sencillo mensaje a los jefes electorales y directores de tecnología de la información de los condados: No tienen que enfrentarse solos a la enorme amenaza de ciberseguridad.
Ekblad, veterano de la Armada que prestó servicio 26 años como estratega de ciberseguridad, es el primer cibernavegador de Minnesota, encargado de ayudar a las oficinas electorales locales a defenderse de la continua amenaza de los enemigos extranjeros.
"Los adversarios astutos están encontrando nuevas formas de causar estragos, y eso podría aprovecharse en el mundo de las elecciones", dijo desde la carretera. "Los condados no tienen que enfrentarse a estos retos por sí solos".
Si un intento de phishing se dirigió a un funcionario electoral de un condado, es probable que los funcionarios de uno de los otros 87 condados recibieran un correo electrónico similar, dijo Ekblad. Adelantarse a esa amenaza comunicándose con todos los funcionarios electorales del estado es esencial, añadió.
Los funcionarios electorales locales están en la primera fila de defensa de las elecciones, pero a menudo carecen de fondos o de conocimientos técnicos para proteger los sistemas de las ciberamenazas. Al ver esta vulnerabilidad, al menos siete estados (Florida, Illinois, Iowa, Massachusetts, Michigan, Minnesota y Ohio) han puesto en marcha en los últimos años programas de navegación cibernética que ofrecen a los funcionarios electorales locales contactos respaldados por el Estado para hacer frente al desafío. Otros Estados están considerando seguir su ejemplo.
Mark Lindeman, codirector en funciones de Verified Voting, una organización sin ánimo de lucro dedicada a la seguridad electoral, dijo que los cibernavegadores son similares a los entrenadores personales o a los asesores financieros.
"Reconoce que los funcionarios electorales locales simplemente no tienen tiempo para convertirse en expertos en ciberseguridad junto con todas las otras cosas en las que se espera que sean expertos", dijo. "Realmente necesitan personas que puedan desglosar el conocimiento profundo de los problemas de ciberseguridad en los siguientes pasos que realmente pueden dar".
En el sistema electoral descentralizado de Estados Unidos, el proceso de votación es administrado por 10 mil oficinas electorales distintas, lo que hace imposible montar una defensa nacional coordinada. Las disparidades entre los condados en cuanto a recursos y personal son inmensas. Y aunque los estados tienen agencias de ciberseguridad, muchos no emplean a expertos especializados en la administración electoral.
El proceso de votación moderno depende en gran medida de los sitios web gestionados por los funcionarios electorales locales. Los estadounidenses que quieren registrarse para votar, verificar el estado de su registro, averiguar dónde votar o buscar información fidedigna sobre quién ha ganado las elecciones acuden a sitios web que a menudo son administrados por condados o ciudades.
Al mismo tiempo, los funcionarios electorales locales se encargan de configurar las máquinas de votación, tabular los resultados y publicarlos de alguna manera. Todas estas responsabilidades requieren conocimientos de ciberseguridad o personal de apoyo técnico, ambos difíciles de conseguir cuando los funcionarios electorales se enfrentan a una escasez crónica de fondos.
Illinois fue el primer estado en afrontar este reto con cibernautas.
Agentes rusos atacaron el sistema de registro de votantes del Estado antes de las elecciones presidenciales de 2016, robando la información personal de más de 70 mil votantes. Dos años después, el Estado de la Pradera contrató a nueve cibernautas para ayudar a las 108 oficinas electorales del estado y evitar otra brecha de esa magnitud.
El programa cuesta entre 5 y 5.5 millones de dólares anuales. Fue creado en el presupuesto estatal de 2018 y promulgado por el exgobernador Bruce Rauner, un republicano. El programa se financia a través de subvenciones federales de la Help America Vote Act y opera en asociación con el Department of Innovation & Technology del Estado, que supervisa ampliamente el aparato de ciberseguridad de Illinois.
"Si esto pudiera ocurrir a nivel estatal, donde tenemos más recursos disponibles, ¿qué podemos hacer para reforzar su infraestructura, su conciencia de cómo ocurren estos ataques?", dijo Amy Kelly, la gerente del programa de navegadores cibernéticos de la Illinois State Board of Elections
"Realmente, se trataba de educar a personas que no eran expertas en ciberseguridad", añadió, "dándoles las herramientas para tomar decisiones informadas y hacer que su infraestructura electoral sea más segura".
Illinois está dividido en cuatro regiones, con dos navegadores asignados a cada una y un gerente con sede en Springfield, la capital del estado. Todos los condados participan en el programa voluntario, reuniéndose mensualmente con su cibernavegador asignado e informando de cualquier comportamiento sospechoso, como un intento de suplantación de identidad o información errónea en redes sociales.
Los cibernautas enseñan a los funcionarios locales a prevenir y responder a las violaciones de ciberseguridad. En un escenario, un actor malicioso con acceso a la cuenta de redes sociales o al sitio web de una oficina electoral pudiera difundir información falsa sobre las fechas, horarios, procedimientos o resultados de la votación, lo que provocaría una crisis de confianza entre los votantes. Los funcionarios también vigilan la desinformación en línea.
El secretario del Condado Sangamon, el republicano Don Gray, dijo que el programa ha proporcionado los recursos básicos que todos los condados necesitan para asegurar las elecciones. Aunque el suyo es un condado de tamaño medio que rodea a Springfield, Gray dijo que él y otros funcionarios locales se han beneficiado de los conocimientos metódicos de los cibernautas.
"No creo que ninguna oficina electoral pensara que estaría en primera línea de la ciberseguridad", dijo. "Estamos a un solo teclazo de erosionar la confianza en el sistema electoral".
Aunque las asociaciones entre los funcionarios electorales locales, estatales y federales han crecido en los últimos cinco años, todavía existen inmensos desafíos en materia de seguridad electoral, dicen los funcionarios. La amenaza de adversarios extranjeros inteligentes, como Rusia, no ha desaparecido.
"Está claro que cada vez hay más naciones interesadas en interferir en nuestro proceso electoral", dijo Jen Easterly, directora de la Agencia de Ciberseguridad y Seguridad de Infraestructura del Departamento de Seguridad Interior, en una conferencia de la National Association of State Election Directors celebrada este mes. "Sabemos que hay que trabajar más para apuntalar nuestros sistemas".
Desde los ataques de hacking y desinformación a gran escala de las elecciones presidenciales de 2016, el gobierno federal ha lanzado varias iniciativas para reforzar la ciberseguridad y mejorar la "higiene digital" entre los funcionarios electorales.
Este año, la agencia de ciberseguridad está ofreciendo a las oficinas electorales locales un dominio “.gov” para mayor seguridad. Dado que la administración electoral está descentralizada y a veces carece de normas específicas sobre los sitios web de los condados, muchas oficinas electorales locales de todo el país tienen dominios “.com” o “.org”. La agencia también ofrece pruebas y capacitación para las oficinas electorales locales.
Los actores extranjeros tienen como objetivo tanto las jurisdicciones grandes como las pequeñas, dijo Easterly. Incluso un ataque a una pequeña oficina electoral pudiera socavar la fe en el proceso de votación nacional, advirtió.
En el Condado Steele, Minnesota, una comunidad rural de 36 mil habitantes, el director de tecnologías de la información, Dave Purscell, sabe que su región no dispone de recursos ni de personal a la altura de Minneapolis, St. Paul o Rochester. Contar con un cibernavegador que vigile los grandes compromisos de seguridad y las amenazas de phishing en todo el estado ha sido un gran recurso sin costo alguno, dijo.
"Tenemos menos gente, tenemos menos ingresos, menos ... dólares disponibles para lograr cosas", dijo. "Pero tenemos las mismas amenazas, el mismo riesgo, potencialmente incluso más. Realmente tenemos que asociarnos con las agencias y otros condados para trabajar juntos".
Eso no significa que todas las oficinas electorales locales estén dispuestas a colaborar en estos programas.
En Minnesota, Ekblad dijo que tuvo que convencer a algunos funcionarios del condado para que participaran en el programa voluntario. Algunas comunidades son ferozmente independientes y no quieren que el Estado interfiera en el gobierno local.
"Realmente creo que puedo añadir valor a todos ellos", dijo Ekblad. "Hay algunos que realmente no están adoptando todo lo que podemos ayudarles, y tengo que vivir con eso".
En Massachusetts, ha sido un reto para los navegadores cibernéticos conectarse y coordinarse con los funcionarios electorales de las 351 localidades del estado y el personal local de TI, dijo Michelle Tassinari, directora y asesora legal de la Elections Division de la oficina del secretario de la mancomunidad.
El Estado de la Bahía está dividido en cinco regiones, cada una de las cuales consta de unos 65 o 70 municipios. A cada región se le asigna un cibernavegador. En total, el 80 por ciento de las ciudades de Massachusetts participan en el programa voluntario.
Antes del programa, muchas oficinas locales no se daban cuenta de que tenían que considerar la amplia amenaza de la ciberseguridad como un problema local, dijo Tassinari. Inspirado por los programas de cibernavegadores de otros estados, Massachusetts intenta ahora salvar la brecha de comunicación y establecer relaciones.
"Al dar a los funcionarios electorales locales un contacto específico, han podido establecer relaciones más sólidas que creemos que seguirán beneficiando a la comunidad electoral en general", escribió en un correo electrónico.
Otro reto ha sido el exceso de comunicación, dicen varios funcionarios estatales. Era fácil reenviar un montón de correos electrónicos técnicos que la mayoría de los funcionarios no querían ver o no podían entender. Los navegadores cibernéticos han tenido que encontrar un punto óptimo sin sobrecargar a los funcionarios con detalles que eran demasiado meticulosos.
El futuro de estos programas puede depender de su financiación, gran parte de la cual proviene del gobierno federal. Tanto en 2018 como en 2020, el Congreso asignó cientos de millones de dólares para la seguridad electoral estatal y local a través de la Help America Vote Act. Pero los funcionarios electorales y los expertos coinciden en que el dinero fue insuficiente. La amenaza está evolucionando, y los funcionarios estatales y locales deben estar preparados, dicen.
"La naturaleza de esto es que nunca se sabe lo que está a la vuelta de la esquina", dijo Ekblad. "Los estados que no están haciendo esto pueden hacerlo fácilmente. Si fueran más los que adoptaran este enfoque, podríamos cosechar más frutos al alcance y hacer que nuestro panorama de seguridad electoral fuera más saludable y seguro".
