Con las elecciones a la vista, varios contenidos virales plantean la posibilidad de que Indra pueda ser hackeada y se preguntan por supuestas “alteraciones en la recolección de datos y resultados finales” de los comicios, apoyándose en desinformación sobre el papel de la empresa en el proceso electoral. Indra no participa en el recuento de votos, sino que se encarga de la transmisión de la información provisional que se cuenta a mano en los colegios, y el escrutinio definitivo lo realizan las juntas electorales provinciales mediante actas en papel por lo que el desempeño de la empresa no tiene efecto en los resultados finales.
En el proceso del escrutinio electoral, el primer paso es el recuento de las papeletas que realizan los miembros de las mesas electorales de forma manual cuando los colegios se cierran a las 8 de la tarde en un procedimiento que está abierto a la asistencia de cualquier ciudadano, y donde se recogen actas en papel con los resultados, de las que se producen varias copias.
El papel de Indra es el de proveer la infraestructura técnica para transmitir los resultados provisionales desde las mesas hasta el centro de datos electorales, lo que permite conocer cómo avanza el escrutinio la noche electoral. Pero en ningún caso Indra se encarga de realizar el recuento. El recuento definitivo lo realizan las Juntas Electorales en el Escrutinio General, cinco días después de la votación, y ese procedimiento también está abierto a asistencia de cualquier ciudadano**.
Un hackeo a Indra afectaría a los resultados que se dan durante la noche electoral, pero no a los resultados definitivos de las votaciones
Maldita.es ha contactado con Jorge Louzao, maldito y especialista en ciberseguridad. Este experto nos ha dicho que sí, que sería posible un hackeo o incluso algo “más simple” como un ataque de denegación de servicios contra la infraestructura encargada de recibir estos datos. Este tipo de ataques informáticos consiste en colapsar un servidor web para que deje de dar servicio, como explica Maldita.es en este artículo.
Louzao también nos ha respondido que desconoce cómo está pensada la plataforma, ni las posibles medidas de verificación de los datos recibidos y almacenados de las que disponga, pero que sí que “seguramente se podría manipular”.
Paula González, maldita y jefa de ciberseguridad en la empresa GMV, explica a Maldita.es que “cualquier organización es susceptible de ser hackeada si el adversario pone los recursos suficientes”.
Esta experta explica que un hackeo de Indra, o cualquier otra empresa que realizase esta tarea, durante la noche electoral tendría como consecuencia principal que “se tendría que utilizar un sistema alternativo para poder dar la información en tiempo real, pero no afectaría a las elecciones”.
Ambos expertos opinan que un posible hackeo no afectaría al proceso electoral, ya que el papel de Indra es el de transmitir e informar sobre los resultados provisionales, pero los datos “reales” se cuentan de manera manual en las mesas electorales, luego se pasan a las actas, y estas se llevan a las juntas electorales, que realizan un nuevo escrutinio de acuerdo a la información recogida en las actas.
Si los métodos electrónicos de recogida de datos fallan, el procedimiento alternativo es el telefónico
En los pliegos técnicos del contrato que fue adjudicado a Indra el pasado 24 de febrero de 2023 para la obtención y difusión de los resultados electorales, se contemplan medidas y auditorías de seguridad en todas las fases del proceso. Desde los dispositivos de recopilación de datos que se utilizan en las mesas electorales hasta el centro de procesamiento de datos, desde el que se informa de los resultados y de los avances de participación.
Además, en caso de que los sistemas electrónicos fallaran, el procedimiento alternativo sería comunicar los resultados por teléfono al centro de procesamiento de datos (CPD).
El Ministerio del Interior ha comunicado a Maldita.es que las estructuras de seguridad se hacen con el fin de tener “unos resultados provisionales y no oficiales”.
También dicen que la empresa adjudicataria, Indra, tiene “sistemas redundantes y cortafuegos a los que está obligada por contrato”. Este ministerio indica que tanto en auditorías previas como en la noche electoral, participan los departamentos de ciberseguridad del Ministerio del Interior y del Centro Criptológico Nacional (CCN).
Indra explica a Maldita.es que es una compañía “auditada en materia de seguridad por el CCN" y posee “planes de contingencia” para responder a estos escenarios de supuesto hackeo. También indica que “por seguridad y confidencialidad” no puede facilitar detalles de esos planes.
Indra no participa en el recuento y en el escrutinio de los votos: transmite los resultados provisionales
El papel de Indra en los recuentos electorales se limita a la transmisión de los datos provisionales de los resultados desde las mesas hasta el centro de datos electorales, tal y como ya ha explicado Maldita.es en otras ocasiones.
Indra no interviene en el recuento de papeletas, que es algo que realizan los miembros de las mesas electorales, que es un procedimiento manual y cuyos resultados se recogen en actas de papel con varias copias y que luego es revisado por las juntas electorales, sino que se encarga de la infraestructura técnica para la transmisión de los resultados provisionales.
Indra no interviene en el recuento definitivo días después de la jornada de votación: lo hacen las juntas electorales
El recuento definitivo, y por tanto del que salen los datos oficiales que finalmente se publican en el Boletín Oficial del Estado (BOE), lo realiza la Junta Electoral Provincial de cada territorio y no Indra.
Cinco días después de la jornada electoral**, la Junta Electoral Provincial realiza el escrutinio general, y es en ese momento cuando también se añade el voto de los residentes en el extranjero (censo CERA) y se resuelven las posibles reclamaciones de los partidos políticos. A este escrutinio general puede asistir cualquier ciudadano que lo desee. En este artículo de Maldita.es se explica con más detalle el proceso del recuento de votos.
Por lo tanto, no es verdad que un supuesto hackeo a Indra, la empresa encargada de la infraestructura técnica para la transmisión de resultados en la jornada electoral, pueda afectar a los propios resultados electorales. Los resultados se contabilizan a mano y luego son revisados varios días después en las juntas electorales, que son quienes dan los resultados definitivos.
En este artículo han colaborado con sus superpoderes el maldito Jorge Louzao, experto en ciberseguridad y Paula González, jefa de ciberseguridad en la empresa GMV.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
* A 14/4/2023 se ha cambiado la imagen principal para añadir capturas más ajustadas a la narrativa que se analiza
**Actualizado el 31 de mayo de 2023 para incluir que el escrutinio general se produce a los cinco días tras la reforma de la LOREG de 2022.
Primera fecha de publicación de este artículo: 10/04/2023