Bajo el título "Ciberseguridad para su campaña u organización: comprenda las amenazas emergentes e implemente las mejores respuestas", Matt Ashburn, exagente de la CIA y experto en seguridad cibernética presentó su ponencia en la Conferencia Campaign Tech East (abril 2022), organizada por Campaigns & Elections, en el MGM Hotel, cerca de Washington DC.
Ashburn enumeró las principales vulnerabilidades que en materia digital enfrentan las organizaciones electorales, identificó tres tipos de grupos que usualmente atacan las campañas, brindó 8 consejos que toda candidatura tiene que implementar para reducir las amenazas y dio ejemplos con nombres propios de campañas que han fracasado recientemente por fallas en su ciberseguridad. Este artículo presenta un resumen de los puntos descritos y al final se amplían las recomendaciones para el caso de pequeñas campañas en la región.
Las campañas cada vez dependen más de datos y comunicaciones digitales. No es raro que las candidaturas mantengan en sus computadoras información sobre temas sensibles como la lista de donantes, los contactos con los votantes, discusiones sobre las estrategias, datos de las encuestas, estudios de oposición, opiniones personales del candidato sobre políticas públicas, la planificación logística, etc. Toda esta información debe estar a disposición de los funcionarios de la campaña que la necesiten, pero al mismo tiempo se requiere que se conserve resguardada, lejos del alcance de los opositores.
Inclusive conversaciones informales entre colaboradores, de ser filtradas, pueden potencialmente convertirse en un dolor de cabeza para la campaña. Para ilustrar la importancia de cuidar la información, Ashburn mencionó el caso de una candidatura donde los opositores ingresaron a la base de datos de votantes y cambiaron un digito del número de teléfono de muchos de ellos. Esta simple acción incrementó los costos de las llamadas y retrasó por varias horas la posibilidad de comunicarse con los seguidores en un momento clave previo a la elección.
Adicionalmente, para planificar la seguridad cibernética de una candidatura hay que considerar que su "ecosistema" está formado por muchas personas que intercambian constantemente información. Entre ellos se puede mencionar al líder, al gerente de campaña, al director de debate, a los grupos de asesores en diferentes campos (publicidad, encuestas, estrategia, recolección de fondos, contacto directo con votantes, entre otros), al personal administrativo, a los voluntarios, a la familia, amigos, y hasta a los aliados políticos.
Reflexionando sobre este listado de asociados, se recalca que los riesgos de seguridad de una campaña pueden ser aún mayores al de muchas otras organizaciones debido a que la mayoría de sus trabajadores tienen solamente un vínculo temporal con la candidatura. Una vez que ésta termina ellos emigran a otras labores. Además, basta que una sola persona no siga los procedimientos de seguridad necesarios, para que se ponga en riesgo la integridad de todo el proyecto político. Ashburn enfatiza esto recordando el dicho: "la fuerza de una cadena se limita a la del eslabón más débil."
A continuación, se puede ver un organigrama típico de una campaña electoral. La ciberseguridad debe cubrir a cada uno de los participantes, a las comunicaciones entre ellos y con los sujetos externos a la candidatura, como es el caso de los proveedores que precisan tener información sobre ésta.
Tres tipos de grupos que usualmente atacan las campañas
Basándose en su experiencia laboral protegiendo la seguridad de las campañas, Ashburn identifica tres tipos de adversarios. Los primeros son conocidos como los "Hacktivistas". La mayoría de estos se caracterizan por estar políticamente motivados y por tener un bajo nivel de sofisticación tecnológica en sus ataques cibernéticos. La típica amenaza de los Hacktivistas consiste en causar daños en los recursos digitales de una campaña, esto puede ser introducir un virus o bloquear una página web.
Un segundo grupo está conformado por delincuentes que atacan las campañas con fines netamente financieros y que por lo general tienen un nivel de sofisticación tecnológica más alto que los Hacktivistas. Entre sus principales actividades se destaca la de secuestrar datos y aplicaciones con un malware que los encripta ("cyber ransom") y así solicitar dinero para que la campaña recupere esta información y la pueda volver a usar. En otras ocasiones los archivos son robados con el fin de venderlos a opositores.
El tercer tipo de adversarios son los servicios de inteligencia de los gobiernos, agencias que se consideran las más sofisticadas tecnológicamente. Su principal función es recolectar datos sobre los candidatos y sus campañas. Esta información puede ser usada inmediatamente o ser almacenada por décadas esperando que las figuras políticas adquieran una mayor relevancia. No es raro que los datos que se recolecten sobre un candidato o un partido luego se usen para generar desconfianza en la opinión pública. Por esta razón, es importante que cualquier persona que quiera dedicarse a la política, desde un principio adopte medidas para proteger su seguridad en el mundo digital.
Ashburn concluye este punto diciendo que gran parte de los ataques que se efectúan contra las campañas no son sofisticados. La mayoría de ellos consisten en engañar a algún colaborador para que ingrese su clave de acceso en un correo electrónico o en un mensaje de texto falso. Además, agrega que cuando la infraestructura digital de la organización está bien protegida, muchos de estos ataques se redireccionan a las cuentas personales de quienes están vinculados a la candidatura. Debido a esto, cualquier elemento de computación personal (laptops, tabletas, celulares, etc.) debe tener el mismo nivel de protección que los aparatos y cuentas oficiales de la campaña.
8 consejos que toda candidatura debe implementar para reducir estos riesgos
1. La campaña necesita concientizar a todos sus trabajadores sobre la importancia de resguardar la seguridad digital de la misma. Esto significa proteger los datos, los aparatos de computación y las redes de posibles ataques. Con este fin, dentro de cada candidatura se requiere realizar una labor pedagógica permanente para no bajar la guardia ante posibles ataques cibernéticos. Una forma de lograr esto es relatando situaciones previas donde otras campañas han sido blanco de estas acometidas.
Entre los ejemplos presentados durante la ponencia se resaltó el ataque que sufrió la campaña presidencial de Hilary Clinton en el 2016. En este episodio se robaron y publicaron miles de correos internos de sus principales asesores, incluido el gerente de campaña, John Podesta. En ellos se discutían elementos vitales como: la estrategia de la candidata, la relación con importantes donantes y las opiniones confidenciales de la líder respecto a diferentes políticas públicas.
Muchos analistas consideran que la difusión de este material fue uno de los principales factores que influyeron en esta derrota electoral demócrata. La situación se originó cuando uno de los funcionarios de la campaña recibió un supuesto mensaje de Google con una alerta en la que se le solicitaba cambiar su clave de acceso. Para esto debía ingresar la actual contraseña y reemplazarla por una nueva. Aunque en principio el mensaje generó sospechas, luego de evaluarlo rápidamente, fue catalogado como legítimo. Esto permitió que personas ajenas a la campaña conocieran la clave de acceso y pudieran ingresar a robar los archivos de correspondencia de los principales funcionarios de esta candidatura.
Otro caso reciente muy sonado en el mundo de la consultoría en los Estados Unidos fue el robo por parte de Hackers de 2.3 millones de dólares de la campaña Trump en Wisconsin a pocas semanas de las elecciones presidenciales del 2020. En este episodio los ladrones ingresaron al sistema del Partido Republicano de ese Estado y sustrajeron información que les facilitó hacerse pasar por cuatro de sus proveedores de servicios. Esto les permitió reclamar el pago de cuentas pendientes, dinero que por supuesto nunca llego a las firmas que realmente colaboraban con Trump. El resultado final de la elección presidencial en Wisconsin fue la victoria de Biden con 1,630,866 votos contra 1,610,184 de Trump.
Debido a la corta diferencia en la votación, más de un analista piensa que la pérdida de este dinero fue uno de los principales factores que influyo en la derrota Republicana en ese Estado, al quedarse la campaña sin fondos en un momento clave y no poder hacer todas las inversiones necesarias para finalizarla con éxito.
2. Sea cauto con los correos electrónicos y los mensajes de texto. En lo posible: (a) Use claves seguras y cámbielas con frecuencia, (b) No abra archivos adjuntos que sean sospechosos. (c) Chequee la dirección del email y compruebe que sea legitima, (d) Sospeche de mensajes cuya terminación sea .exe o tengan archivos adjuntos muy grandes, (e) Ponga en duda correos que soliciten información personal o que tengan errores de redacción y ortografía, (f) Use antivirus y antispyware para revisar documentos adjuntos antes de abrirlos, (g) No se subscriba a páginas web que parezcan raras o que no le sean conocidas, (h) evite usar el Wi-Fi gratuito de lugares públicos e (i) mantenga actualizada la versión de todos sus programas.
Pensando en situaciones vividas en previas campañas, Ashburn recomienda que si recibe un correo de un colega con el que hace tiempo no se comunica, es buena idea llamarlo por teléfono para verificar la autenticidad del mensaje antes de abrirlo.
3. Utilice autenticación multifactorial (Multi-Factor authentication) para proteger el ingreso a los sistemas de la campaña. Este es un proceso de seguridad cada vez más utilizado en el cual después de que la persona ingresa su contraseña en la computadora, ésta le envía un código de verificación al teléfono celular. La clave recibida debe ser digitada en el sistema para poder utilizarlo. En otras ocasiones la verificación se hace por medio de una huella digital. El objetivo es evitar que personas no autorizadas puedan ingresar para robar y/o dañar información de la campaña.
4. De forma periódica revise qué personas dentro de la campaña tienen acceso a los recursos digitales de la misma. En la medida que las candidaturas avanzan y crecen, gran parte de las funciones que sus trabajadores realizan se vuelven más especializadas. Como resultado de esto, deja de ser necesario que muchos colaboradores tengan acceso a toda la información de la campaña, por lo que su ingreso se debe limitar al área que manejan.
5. Utilice un software para encriptar o cifrar los correos electrónicos cuando estos contengan información sensible. Este es un proceso en el que el contenido de la información es protegido de terceros. Al encriptar un mensaje su texto se convierte en códigos ilegibles a simple vista. Solamente utilizando una clave, la persona que recibe el mensaje puede acceder a la versión original de la comunicación. Existe una gran variedad de proveedores de servicios de encriptación. Más información sobre el tema se encuentra en el artículo: "12 Best Email Encryption Software Solutions", en donde se evalúan algunos de los programas más utilizados para encriptar correos y otros tipos de información digital.
6. Establezca relaciones con un experto en seguridad cibernética antes de que se presente una crisis. Estos consultores pueden ayudar a que la campaña desarrolle estrategias eficientes para proteger la infraestructura de redes, los datos y los sistemas de información contra posibles riesgos cibernéticos. Parte de su trabajo es realizar de forma periódica análisis de amenazas, comprobaciones del sistema y pruebas de seguridad. Ellos establecen y actualizan los criterios de ciberseguridad y los procedimientos de validación para que los diferentes usuarios puedan ingresar sin problemas al espacio cibernético de las campañas. Adicionalmente estos expertos se reúnen con las firmas que le prestan servicios a la candidatura con el fin de que estas compañías solucionen cualquier riesgo de seguridad que pueda afectar a la campaña.
7. Si maneja información reservada y trabaja en lugares públicos donde otras personas pueden ver su pantalla, utilice un filtro de privacidad. Estos protectores de pantalla son fáciles de instalar. Se pueden adquirir por menos de $50 dólares en Amazon.com o en otros almacenes.
8. Si guarda los datos de forma remota o en la nube, escoja un proveedor confiable. En el caso de las campañas en los Estados Unidos se recomienda que sea una compañía con base en ese país. A continuación, una lista con algunos de los proveedores más seguros.
Conclusiones
En la medida que las campañas utilizan tecnología digital para realizar diferentes labores, se hace necesario tomar recaudos para proteger los sistemas y la información que se va recolectando y utilizando. Como se expuso en este artículo, hasta candidaturas muy bien financiadas pueden ser víctimas de ataques cibernéticos.
Manejar un buen nivel de seguridad es aún más complicado en campañas pequeñas donde no existe el presupuesto para contratar a un experto en ciberseguridad. Esta situación hace que muchas veces el consultor político sea llamado a convertirse en la persona que lidere la implementación de medidas para fortalecer la integridad cibernética de la organización. En este caso, uno de los primeros pasos que muchos asesores recomiendan dar es el de implementar el programa de protección avanzada que ofrece Google. Su uso protege de muchas de las posibles amenazas que una candidatura puede enfrentar.
Fuera de seguir los consejos que Ashburn ofreció en su presentación, también se recomienda utilizar un buen servicio de VPN (Virtual Private Network) y mantener, bajo llave, una copia actualizada de las bases de datos en una memoria externa. Aunque frente a todo el trabajo que acarrea una campaña, preocuparse por la seguridad digital puede ser visto como una injustificada carga laboral adicional, la realidad es que ningún político o campaña está exento de este tipo de amenazas. Por eso, saber manejar estos riesgos cada vez va a ser más determinante para alcanzar las metas trazadas en la carrera política de un candidato.
Otros artículos recientes
Este artículo fue escrito por Mauricio Florez Morris, Ph.D. El autor ha sido profesor en las facultades de Ciencia Política y Sociología en University of Maryland, George Washington University, Georgetown University, y North Virginia Community College en los Estados Unidos. También ha dictado clases en la Universidad del Rosario y la Universidad Javeriana en Colombia, al igual que en la Universidad de Buenos Aires y la Universidad del Salvador en la Argentina.
Su actual interés académico se centra en temas relacionados con los estudios de opinión pública, campañas electorales, marketing, liderazgo y psicología política. Es miembro de la American Association of Political Consultants (AAPC), la American Political Science Association (APSA) y es Community Member de Campaigns & Elections, USA. Ha trabajado en campañas electorales para organizaciones afiliadas al Partido Demócrata en los Estados Unidos.
Nota: Si encuentra este artículo interesante, puede compartirlo. Si aún no se ha inscrito y quiere recibir otras notas como la que acaba de leer, puede ingresar su correo electrónico en la página: https://www.liderazgo-politico.com/ Su dirección solo se usará con este propósito y no será compartida con ningún tercero. Otra alternativa para mantenernos en contacto es por twitter, en la dirección: @florezmorris Desde esta plataforma envío notificaciones de nuevos artículos y de mi participación en actividades académicas.
