Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
57
CORTE SUPERIOR DE JUSTICIA Paq. 1 de 1
LIríA
Sede Alzsaora Valdez
Esq. Abancay y Colrasna S/N Cercado de
Carao de Ingreso de Escrito
{ Centro de Distribución General
9293-2019
;INFORME ESCRITO
PiO
O 2 JOL. »
r L .. c ¡...i-'
BERAUN CLAVITO, YULIANA ilAGALI
Ventanilla 1
10 \
Hidulü 1
PISO 1
Recibido
m
1 \
ONPE
OFICINA NACIONAL OC PROCESOS ELECTORALES
.1
EXP. N° : 09327-2018-0-1801-JR-Cl-02
02 ]ül, 20» k:
Sec.: Astudillo
Cuaderno: Principal
SUMILLA: INFORME ESCRITO/
PRESENTO DOCUMENTACION
Que, habiendo programada la fecha de la vista de la causa en los presentes autos, estando al
Recurso de Apelación presentado por el accionante ERICK AMERICO IRIARTE AHON,contra la
Resolución que resolvió declarar Improcedente su demanda, en tal sentido solicito se tenga en
cuenta los argumentos sustentados en la posición técnica de la Entidad, la misma que se
encuentra sustentada documentalmente, tales como:
a) Seguridad de datos:
ivCAfiPV
El almacenamiento de datos se encuentra protegido por procedimientos que utilizan un
O
\\algoritmo de cifrado, según detalle:
ONPE
OFICINA NACIONAL D6 PROCESOS ELECTORALES
Tipo de Algoritmo de
Nombre del componente cifrado
comoonente
Cabina de Votación
Tableta AES-128
Electrónica(OVE)
Estadón de Comprobación de AES-12S
Tableta
Identidad (ECl)
Dispositivo de respaldo (micro
Dispositivo AES-128
SD)del CVE
Dispositivo de respaldo (micro
Dispositivo AES-128
SD)del EC!
USB de transmisión de
Díspositrvo RSA-Base64
instalación
USB de transmisión de
Dispositivo RSA-Base64
resultados
FUNCIONALIDAD CONDICIÓN
Principal Eliminado
Cámara
Frontal Eliminado
WifitlM Eliminado
Bluetooth Eliminado
Conectividad
GPS Eliminado
NFC Eliminado
c) Seguridad de la aplicación:
El sistema operativo "ONPEDROID" fue desarrollado bajo estándares y buenas
prácticas de programación segura; su estructura y servicios implementados se
describen a continuación:
vU>.
ONPE
OFICINA NACIONAL DE PROCESOS ELECTORALES
o Diagnóstico:
Módulo encargado de realizar ia verificación de la sincronización de la fecha y
hora del equipo, así como también permite verificar la cédula y versión del
software; asimismo, realiza la verificación de la operatividad de los dispositivos
de hardware que componen la CVE, asi como también verifica que los servicios
de software se encuentren operativos. De encontrarse todo conforme, se emite
el Reporte de Diagnóstico el cual garantiza que el equipo fue correctamente
diagnosticado.
o Emisión de Votos:
Móduio encargado de la visualización de las cédulas, éstas son configuradas
por cada elección. El módulo se activa con la tarjeta de activación mostrando la
cédula para que el elector seleccione sus opciones; la selección de las opciones
de la cédula es almacenada en memoria hasta la confirmación por parte del
elector, momento en que se envía el mensaje al servicio de almacén de datos
para que proceda a guardar el voto en forma aleatoria. Luego de ello, se
desactiva la tarjeta y se envía el mensaje al servido de impresión para que
efectúe la impresión de la constancia de votación, procediendo a finalizar ia
emisión del voto. Cuando el elector retira ia tarjeta de activación se borran todos
los datos de la memoria.
cG figuración y Diagnóstico:
ulo encargado de realizar la configuración de la ECl. Para la configuración
\7
tiliza la Tarjeta Inteligente de Configuración y el USB de configuración; el
lo de SmartCard obtiene las credenciales de la tarjeta y procede a
OHPl
OriCINA NAUONAL OE PROCESOS ELECTORALES
o Instalación:
Módulo encargado de la instalación de la mesa. Utiliza los datos de la
configuración y se encarga de configurar la tarjeta inteligente de administración,
en donde se establece el número de mesa; se genera una credencial de forma
aleatoria, la cual se utiliza para el cifrado de los datos de la CVE y la ECl,
o Sufragio:
Módulo encargado de la identificación de los electores. Los electores se
identifican con su DNi, el cual puede ser ingresado utilizando el lector de códigos
de barra o el teclado virtual; el miembro de mesa, con ayuda de la foto, identifica
al elector y procede a activar la Tarjeta de Activación, el Servicio de Almacén
envía una credencial cifrada (con la clave creada en la instalación). Como esta
clave es compartida en la instalación con la CVE y la ECl, cuando el elector se
acerque a la CVE, la credencial podrá ser descifrada y garantiza que viene de la
mesa correcta,
o Escrutinio:
Módulo encargado de realizar la etapa del escrutinio con los datos obtenidos del
cierre de la CVE que se encuentra en la tarjeta de administración. Con dicha
información se generan las actas de escrutinio y se genera el USB de trasmisión
de resultados,
o Verificación de Votos:
Módulo encargado de realizar la validación de votos. Los votos se encuentran
en la constancia de votación que fue impresa en la CVE; las constancias de
votación son extraídas del ánfora y con ayuda del lector de códigos de barra se
lee constancia por constancia. El aplicativo lo visualiza y registra los datos hasta
que se finaliza el proceso para imprimir el reporte de verificación.
Servicios:
Todos estos datos, tanto en la ECl como en la CVE, son cifrados con la clave
creada en la etapa de Instalación de la mesa.
Servicio de SmartCard:
Encargado de leer las tarjetas Inteligentes, detecta todas las tarjetas que son
ingresadas a la CVE y ECl. Identifica cada una de ellas y envía al módulo que lo
ha Invocado, la Información sobre aquellas que no son identificables, muestra el
mensaje de error y no permite realizar ninguna acción.
Servicio de USB:
Encargado de leer los USB. Detecta todas los USB que son Ingresados en la
CVE y ECl, identifica cada una de ellos y envía al módulo que lo ha invocado, la
información sobre aquellos que no son Identificables, muestra el mensaje de
error y no permite realizar ninguna acción.
O Servicio de Impresión:
Encargado de realizar las Impresiones de los diferentes reportes tanto en la CVE
y ECl. Recibe los datos de los diferentes módulos y lo envía a la Impresora.
• Datos:
o Configuración de Elección:
Información que sirve para la configuración del proceso electoral, que es
obtenida mediante la Tarjeta de configuración y el USB de configuración, dicha
información es cifrada con la tarjeta de configuración.
o Padrón Electoral:
Información que sirve para la Identificación de los electores. Es obtenida
mediante la Tarjeta de configuración y el USB de configuración, dicha
Información es cifrada con la tarjeta de configuración.
o Miembros de Mesas:
Información que sirve para la Identificación de los miembros de mesa, es
obtenida mediante la Tarjeta de configuración y el USB de configuración, dicha
información es cifrada con la tarjeta de configuración.
sistema:
" que permite el acceso al sistema luego de verificar la existencia de los datos
OHPl
OFICINA NACIONAL DE PROCESOS ELECTORALES
Verificación de versión:
Control que permite verificar si la versión de aplicación instalada en el equipo de
transmisión (LOCAL) corresponde al código hash mostrado en pantalla, el cual
debe ser el de la última versión generada en producción (REMOTA).
Transmisión de datos:
La transmisión de datos se realiza utilizando protocolos criptográficos SSL (Secure
Sockets Layer) que proporcionan comunicaciones seguras a través de redes
públicas.
Pkl Transmision.fxml
Descripción: Java Security Valida que el servidor web al que se conecta
tiene un certificado SSL cliente autorizado.
Envía el Certificado SSL de cliente ubicado en el dispositivo
USB para su validación en el Web Service.
Librerías: Java SE Security
f) Políticas de seguridad:
1.1. En relación a las auditorías externas, se debe mencionar que para las ERM 2018 se ejecutó
el "Servicio de Auditoría de Soluciones Tecnológicas - ERM 2018", el cual comprende al
Votq Electrónico Presencial y considera lo siguiente:
• Análisis técnico en base a los criterios de los estándares de seguridad ISO 27034
y estándares internacionales: ISO 27001, ISO 27002, ISO 27035 e ISO 31000.
1.2. Adicionalmente a lo indicado en el numeral anterior, se debe precisar que los resultados de
las anteriores auditorías de Voto Electrónico Presencial se encuentran publicadas en la
página web institucional: https://www.onpe.qob.pe/elecciones/innovaciones-tecnoloqicas/.
según detalle:
Por tanto, se debe considerar señor Presidente que lo precisado en los numerales
griores por el área especializada, QUE LA SOLUCIÓN DE VOTO ELECTRÓNICO ES
VOb
BLE, por cuanto se han detallado los mecanismos de seguridad del voto
o presencial tales como:
I <
i/e¡!
OMI>E
OriCINA NACIONAL DS PROCESOS ELECTORAUS
Tecnológicas, se dispone que ias auditorias se pueden reaiizar en las diferentes etapas
del proceso electoral.
"4.5 Auditabilidad
4. Que en relación a ias auditorías externas, se debe mencionar que para ias ERM 2018 se
ejecutó ei "Servicio de Auditoria de Soiuciones Tecnológicas -ERM 2018", que
comprende al Voto Electrónico Presenciai y considera lo siguiente:
a) Entendimiento de ios procesos
> Flujo del proceso
Procesamiento de información
VUB
^as de funcionalidad y seguridad para ei HW y SW e identificar haiiazgos antes
T
S/A
15 eso electoral.
r uv\
OfÉPE
OFICINA NACIONAL DE PROCESOS ELECTORALES
> Análisis técnico en base a los criterios de los estándares de seguridad ISO
27034 V estándares internacionales iSO 27001, ISO 27002. ISO 27035 e ISO
31000.
estándares internacionales. ISO 27001, ISO 27002, ISO 27035 e ISO 31000.
octubre.
5. Asimismo, debemos REITERAR que los resultados de las anteriores auditorias de VOTO
ELECTRONICO PRESENCIAL se encuentran publicadas en la página web institucional
https://www.onpe.gob.pe/elecciones/innovaciones-tecnologicas, y que además
precisamos que;
i./ blución Tecnológica de Voto Electrónico Presencial utilizada para las Elecciones
ís
les 2016 también evaluada por la empresa Binario mediante un "Servicio de
X'owfí
ONPE
OFICINA NACIONAL DE PROCESOS ELECTORALES
Ethical Hacking EG 2016", a través del "Segundo Escaneo y Test de Penetración - Red
Electoral. Escaneo de 02 máquinas de Voto Electrónico".
POR TANTO:
A usted señor Presidente, solicito tener presente io expuesto y documentación que se acompaña,
para mejor resolver.
vUü
1Q
10
Firmado digitalmente por GUZMAN
CASTILLO Frank Jonathan FAU
202S1973851 soít
a Digital Motivo: Soy si aulor del documento
o?tfS! Fecha:06.12.20t3 22:40:54 -05:00
sr iuctsw4.>-)
MEMORANDO N° 004554-2018-GlTE/ONPE
Asunto: GITE cumple con emitir opinión técnica respecto a los argumentos
formulados por ERICK AMÉRICO IRIARTE AHON con motivo del
Recurso de Apelación interpuesto contra el auto contenido en la
Resolución Judicial N° 01 de fecha 20 de ago.sto de 2018.
4,5 Aíiditabilidad
Poseen !a cuaiidad de trazabiíldad auditabie, garantizando ei adecuado y
- .. seguro registro de e\^r!tos.y.fe"ansacc!on6s en. e! procsao.de generación.y
remisión de información, mediante reportes generales de consultas y rerartes
del log (bitácora) o los svsntos por fecha y tipo ds documento o infarmación,
entre oti-os. Esta informadón debe ser halíerabfe e íntegra y encontrarse
disponible para cualquier auditoría o en si momento que sea requenda,
1.1.2 En relación a ias auditorías externas, se debe mencionar que para las
ERM 2018 se ejecutó el "Servicio de Auditoría de Soluciones
Tecnológicas - ERM 2018", que comprende ai Voto Electrónico
Presencial y considera lo siguiente:
\
crtiHA nASsnMi ec.><eRC('^ «ucnmui
1.1.6 Sobre el particular, como parte de las actividades con miras a las
Elecciones Regionales y Municipales 2018, Segunda Elección
Regional 2018 y el Referéndum Nacional 2018, la Sub Gerencia de
Innovación, Investigación y Desarrollo - SGIID ha habilitado una vez
más, la Sala Multipropósito que tiene como objetivo que los
personeros técnicos de las organizaciones políticas; así como, los
observadores nacionales e internacionales puedan realizar pruebas
funcionales y verificar el código fuente de las soluciones tecnológicas
electorales.
01 OBSERVADORES 10
03 OBSERVADORES 10
> Auditores
• PRIME PROFESIONAL AUDITORES DE LAS SOLUCIONES
TECNOLÓGICAS DE VOTO ELECTRÓNICO.
> Fiscalizadores
. JURADO NACIONAL DE ELECCIONES
DEMOCRACIA DIRECTA.
UNIÓN POR EL PERÚ.
FUERZA POPULAR.
SIEMPRE UNIDOS.
PERÚ PATRIA SEGURA.
PERUANOS POR EL KAMBIO.
MOVIMIENTO POLÍTICO DISTRITAL VIVA LA MOLINA.
TODOS POR EL PERÚ.
MOVIMIENTO POLÍTICO DISTRITAL PUNTA NEGRA.
PERÚ PATRIA SEGURA CALLAO
ALIANZA PARA EL PROGRESO
FRENTE POPULAR AGRÍCOLA FIA DEL PERÚ - FREPAP
PARTIDO DEMOCRÁTICO SOMOS PERÚ
PARTIDO APRISTA PERUANO
AGRUPACIÓN LUCHO POR SURQUILLO
PERÚ LIBERTARIO
PARTIDO DEMOCRÁTICO SOMOS PERÚ
TODOS POR BELLAVISTA
MOVIMIENTO ACCIÓN NACIONALISTA PERUANO MANPE
(ANOASH)
1.1.9 Del mismo modo, en el marco de las Elecciones Generales 2016 para
la elección del Presidente de la República, Vicepresidentes, de los
Congresistas de la República y de los representantes peruanos ante el
Parlamento Andino; así como, para la Segunda Elección Presidencial
2016, también se habilitó la Sala de Personeros y Observadores, que
\U
recibió la visita de las organizaciones y misiones, además de la
fiscalización del Jurado Nacional de Elecciones, que se indican a
continuación:
OBSERVADORES 18
EGPA2016
PERSONEROS DE AGRUPACIONES POLÍTICAS 32
OBSERVADORES 15
SEP 2016
PERSONEROS DE AGRUPACIONES POLITICAS 09
> Observadores
UNASUR.
UNIÓN EUROPEA.
CEA.
TRANSPARENCIA.
Agrupaciones Políticas
ALIANZA POPULAR.
ALIANZA PARA EL PROGRESO.
ACCIÓN POPULAR.
PERUANOS POR EL KAMBIO.
FUERZA POPULAR.
FRENTE ESPERANZA.
DEMOCRACIA DIRECTA.
OBSERVADORES 15
ERM2018
PERSONEROS DE AGRUPACIONES POLÍTICAS 31
OBSERVADORES 09
SERY RN 2018
PERSONEROS DE AGRUPACIONES POLÍTICAS 02
OBSERVADORES 18
EGPA 2016
PERSONEROS DE AGRUPACIONES POLÍTICAS 32
OBSERVADORES 15
SEP 2016
PERSONEROS DE AGRUPACIONES POLÍTICAS 09
\T
«no*»» «tfs.tww «r Kucnmun
OBSERVADORES 18
EGPA 2016
PERSONEROS DE AGRUPACIONES POLÍTICAS 32
OBSERVADORES 15
SEP 2016
PERSONEROS DE AGRUPACIONES POLÍTICAS 09
> Observadores
UNASUR.
UNIÓN EUROPEA.
CEA.
TRANSPARENCIA.
OBSERVADORES 15
ERIV12018
PERSONEROS DE AGRUPACIONES POLÍTICAS 31
OBSERVADORES 09
SERY RN 2018
PERSONEROS DE AGRUPACIONES POLÍTICAS 02
OBSERVADORES 18
EGPA 2016
PERSONEROS DE AGRUPACIONES POLÍTICAS 32
OBSERVADORES 15
SEP 2016
PERSONEROS DE AGRUPACIONES POLÍTICAS 09
"... esto no debería ser visto únicamente desde un enfoque respecto a la supresión
de auditorías en el proceso electoral, sino de la posible manipulación de
resultados en el proceso electoral y esto conllevarla a que se genere
incertidumbre o si los resultados han sido alterados o consecuencia de un
posible fraude electoral, ...". (El resaltado es nuestro).
(...)
4.4.2 Registran y generan data fiable, autentica, disponible e integra, a fin que
la observación electoral sea óptima y transparente; para silo la ONPE
preserva los datos registrados frente a posibles Incidentes de seguridad
en los sistemas, posibllíando su recuperación y continuidad de la
operación,durante e! proceso etectoral.
(...)
y?
y*
a) Seguridad de datos
El almacenamiento de datos se encuentra protegido por
procedimientos que utilizan un algoritmo de cifrado, según detalle:
Tabla N° 01
Componentes con Algoritmo Cifrado
Tipo de Aigoriímo de
Nombre da! componente
componente cifrado
Cabina de Votación
Tableta AES-128
Electrónica(OVE)
Estación de Comprobación de
Tableta AES-128
identidad (ECI)
Dispositivo de respaldo (micro
Dispositivo AES-123
SD)dei CVE
Dispositivo de respaldo (.uícto
DispositK'o AES-128
SO)dei ECi
USB de transmisión de
Dispositivo RS.A-Base64
instaiación
USB de transmisión de
Dispositivo RS.A-Base64
resuitados
Tabla N° 02
Detalle de ONPEDROID
FUNCIONALIDAD CONDICIÓN
Principal Eliminado
Cáfnsra
Frontal Eliminado
Blueíooth Eliminado
Conecfívidad
GPS Eliminado
NFC Eliminado
c) Seguridad de la aplicación
El sistema operativo "ONPEDROID" fue desarrollado bajo
estándares y buenas prácticas de programación segura; su
estructura y servicios implementados se describen a continuación:
o Configuración
Módulo encargado de realizar la configuración de la OVE,
para lo cual se registra el código del equipo.
o Diagnóstico
Módulo encargado de realizar la verificación de la
sincronización de la fecha y hora del equipo; así como, de
verificar la cédula y versión del software.
o Emisión de Votos
Módulo encargado de la visualización de las cédulas, éstas
son configuradas por cada elección.-
o Configuración y Diagnóstico
Módulo encargado de realizar la configuración de la ECI,
para ello se utiliza la Tarjeta Inteligente de Configuración y
el USB de configuración.
3^
El servicio de Smart Card obtiene las credenciales de la
tarjeta y procede a descifrar la información del USB, con
dicha información es configurada la ECi. Sólo se puede
utilizar la Tarjeta inteligente y USB correctos ya que la
credencial de cifrado se encuentra en la Tarjeta.
Instalación
Módulo encargado de la instalación de la mesa, configura
la tarjeta inteligente de administración que establece el
número de mesa y que genera una credencial de forma
aleatoria, la cual se utiliza para el cifrado de los datos de la
CVE y la ECI.
Sufragio
Módulo encargado de la identificación de los electores,
quienes se identifican con su DNl, que puede ser
Ingresado utilizando el lector de códigos de barra o el
teclado virtual.
Escrutinio
Módulo encargado de realizar el escrutinio en base a los
datos obtenidos del cierre de la CVE que se encuentra en
la tarjeta de administración. En base a la referida
información se generan las Actas de Escrutinio y el USB de
trasmisión de resultados.
O Verificación de Votos
Módulo encargado de realizar la validación de votos. Los
votos se encuentran registrados en la constancia de
votación que fue impresa en la CVE,
• Servicios
o Servicio de USB
Encargado de leer los USB. Detecta todas los USB que
son ingresados en la CVE y ECl, Identifica cada una de
ellos y envía al módulo que lo ha invocado, la Información
sobre aquellos que no son Identificables, muestra el
mensaje de error y no permite realizar ninguna acción.
o Servicio de Impresión
Encargado de realizar las impresiones de los diferentes
reportes tanto en la CVE y ECl. Recibe los datos de los
diferentes módulos y lo envía a la impresora.
6 Datos
o Configuración de Elección
Información que sirve para la configuración del proceso
electoral y que es obtenida mediante la Tarjeta de
o Padrón Electoral
información que sirve para ia identificación de ios electores
y que es obtenida mediante ia Tarjeta de Configuración y ei
USB de Configuración, dicha información es cifrada con ia
tarjeta de configuración.
o Miembros de Mesas
información que sirve para ia identificación de ios
miembros de mesa y que es obtenida mediante ia Tarjeta
de Configuración y ei USB de Configuración, dicha
información es cifrada con ia tarjeta de configuración.
• Acceso ai sistema
Control que permite ei acceso ai sistema luego de verificar ia
existencia de ios datos de usuario.
• Verificación de versión
Control que permite verificar si ia versión de aplicación
instalada en ei equipo de transmisión (LOCAL)corresponde ai
código hash mostrado en pantalla, ei cual debe ser ei de ia
última versión generada en producción (REMOTA).
• Transmisión de datos
Control que permite realizar ia transmisión de datos utilizando
protocolos criptográficos SSL (Secure Sockets Layer) que
proporcionan comunicaciones seguras a través de redes
públicas.
Tabla N° 03
Descripción SSL
Pki Transmision.fxml
f) Políticas de seguridad
• Se aplicaron las Políticas de Seguridad de la Información
aprobadas con Resolución Jefatural N° 370-2015-J/ONPE de
fecha 22 de diciembre de 2015.
■' AES 256: Es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno
de los Estados Unidos
2 SSL: Las siglas SSL responden a los términos en inglés (Secure Socket Layer), el cual es un protocolo
de seguridad que hace que sus datos viajen de manera íntegra y segura.
® Directorio Activo: Es un servicio de directorio en una red distribuida de computadores. Utiliza distintos
protocolos, principalmente LDAP, DNS, DHCP y Kerberos y donde se crean objetos tales como usuarios,
f) Seguridad perimetra!
La seguridad perimetral de la red electoral es gestionada a través
de equipos de seguridad de red tales como Firewail e IPS; así
mismo, las configuraciones de los equipos ruteadores y
conmutadores son revisadas y validadas antes de su puesta en
producción.
g) Equipos de VE
Las Cabinas de Voto Electrónico (OVE) y Estaciones de
Comprobación de Identidad (ECl), así como la preparación de
tarjetas y dispositivos y laptops de transmisión y sufragio son
realizados en líneas de producción acondicionados con controles
de calidad en cada una de las etapas de acondicionamiento y
configuración.
h) Factor de Transparencia
Todas las aplicaciones electorales utilizadas para el
procesamiento y publicación de resultados pasan por estrictas
pruebas de calidad de desarrollo de software y pruebas de
ataques informáticos, que garantizan que los resultados
electorales y la publicación de actas electorales sean el fiel reflejo
de la voluntad popular.
equipos o grupos, con el objetivo de administrar ios inicios de sesión en los equipos conectados a la red,
así como también la administración de políticas (privilegios) en toda ia red
" ERP; Herramienta impiementada por ia ONPE, que permite realizar un estricto control de los equipos de
VE que se han de entregar a la Gerencia de Gestión Electoral para su despliegue a nivel nacional.
^ Pruebas de Ethical Hacking: Por medio de las pruebas de Ethical Hacking se pretende identificar ios
riesgos asociados a los servicios de ia organización desde una perspectiva interna o externa al negocio
bajo escenarios definidos (Usuario interno, contratista, etc.) y con un conocimiento mínimo de ios
servicios. Estas pruebas nos ayudarán a identificar y/o prevenir la explotación de las vulnerabilidades de
codificación más comunes en ios procesos de desarrollo de software o en la infraestructura que la
soporta.
Tabla N° 05
Servicios de Ethica! Hacking
1 SERVICIO DE ETHICAL HACKING - ERM - 2014 ERM -2014 C-177 TELEFÓNICA INGENIERÍA DE
SEGURIDAD S.A.SUCURSAL DEL PERtí
2 SERVICIO DE ETHICAL HACKING - NEM 2014 NEM 2014 OS-222 l-SEC INFORMATION SECURITY DEL
PERUS.A.C
3 SERVICIO DE ETHICAL HACKING - CNM 2015 CNM - 2015 C-21 KUNAC CONSULTING S.A.C.
6 SERVICIO DE ETHICAL HACKING - CPR 2017 CPR-2017 OS - 304 KÜNAK CONSULTING S.A.C
7 SERVICIO DE ETHICAL HACKING - EM DIC 2017 EM DIC - 2017 OS - 568 KUNAK CONSULTING S.A.C
8 SERVICIO DE ETHICAL HACKING - ERM 2018 ERM - 2018 OS-497 KUNAK CONSULTING S.A.C
9 SERVICIO DE ETHICAL HACKING - REFERENDUM REF -2018 OS-1163 KUNAK CONSULTING S.A.C
NACIONAL 2018
Imagen N° 01
Pvbliuaon
SEA TX de re5ulta¿c4
Doeurr^fos
i.f
w^ís-
"'C¿W«3UOACÍÓ« ^
'o.t ^-1:
f,;;]. C£?4TRp,C€C0MPüTO- -., MfCñOfORMAS
■; -.I^omcmos , ' Do«^««tps,, rEXPfDfEKTH' •
i. Skctrcfíicos £l£CTOa¡U.
ELzCuamcoi
CONVSííCCNiL
é; £l«clor<ales
Imagen N° 02
&C3
SEA
llr
(UseftisteB**
vas
5 ccimmmu.
M susd'ío le parece que edste cúññsais entre los giectofes, espedalmentejérenes,que utitearofí
b urna elactrcpica .ito qut síplflíafa un ffsdo de clfioíltaá para b pctladón adulta mayc-r, piar lo
qus récciTsteBtia fe míiífauldad en é su «so.- Sin enibargo, desea destacar que d «piso msívo
estovo ctfflcsfii^do en 21 distólas ds Oms.
E! voto electrónico fue todo un éxito en los lugares donde se utilizó y tiabrá que
seguir perfeccionando dicho procedimiento ya que la mayoría de gente
entrevistada sobre eí tema, mencionó estar a favor de la tecnología de esta
nueva experienda de votadón.
Ilustración 3 - Extracto Informe Expertos Internacionales (IRI)
Ofcjetívodaíañiisión
Dar una breve vfeiói? sc?bre la implemsníadpn de lai tecnologías que se utiearon en las
eSecdona y recomendar mejoras a ias mismas.
Ilustración 4 - Extracto Informe Expertos Internacionales(Honduras)
Ante todOj queremos dejar constancia qoe^ en tenrlnos generales, los sistemas en las tres
tsqiologfss utifeadss se rorstraroft sóMcs y febte,sin embalo, basedos en aquelta máxima
Ilustración 5 - Extracto Informe Expertos Internacionales (Honduras)
Atentamente,
(FGC/Ira)
INFORME N° 002431-2018-SGIST-GITE/ONPE
Es grato dirigirme a usted, en relación al asunto del rubro, para informar lo siguiente:
I. ANTECEDENTES
II. ANÁLISIS
Factor de seguridad:
• Seguridad perimetral
La seguridad perimetral de la red electoral es gestionada a través de
equipos tales como FIrewaIl e IPS, así mismo, las configuraciones de los
equipos ruteadores y conmutadores son revisados y validados antes de
su puesta en producción. Los equipos de seguridad perimetral protegen
'AES 256: Es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno
de los Estados Unidos
- SSL: Las siglas SSL responden a los términos en inglés (Secure Socket Layer), el cual es un protocolo
de seguridad que hace que sus datos viajen de manera íntegra y segura.
^ Directorio Activo: Es un servicio de directorio en una red distribuida de computadores. Utiliza distintos
protocolos, principalmente LDAP,DNS,DHCP y Kerberos y donde se crean objetos tales como usuarios,
equipos o grupos, con el objetivo de administrar los inicios de sesión en los equipos conectados a la red,
así como también la administración de políticas (privilegios) en toda la red
• Equipos de VE
Las Cabinas de Voto Electrónico (OVE) y Estaciones de Comprobación
de identidad (ECi), así como la preparación de tarjetas y dispositivos y
laptops de transmisión y sufragio, son realizados en líneas de producción
acondicionados con controles de calidad en cada una de las etapas de
acondicionamiento y configuración. Esta actividad es apoyada a través
del uso de la herramienta ERP'' de equipos institucional, la misma que ha
sido desarrollada por la ONPE.
Factor de Transparencia
Todas las aplicaciones electorales utilizadas para el procesamiento y publicación
de resultados pasas por estrictas pruebas de calidad de desarrollo de software
y pruebas de ataques informáticos, que garantizan que los resultados electorales
y la publicación de actas electorales sean el fiel reflejo de la voluntad popular.
CONTRATO
/ORDEN DE
N° DESCRIPCION PROCESO SERVICIO EMPRESA
TELEFÓNICA INGENIERÍA DE
SEGURIDAD S.A. SUCURSAL DEL
1 SERVICIO DE ETHICAL HACKING - ERM - 2014 ERM -2014 C-177 PERÚ
l-SEC INFORMATION SECURITY
2 SERVICIO DE ETHICAL HACKING - NEM 2014 NEM 2014 OS-222 DEL PERU S.A.C
3 SERVICIO DE ETHICAL HACKING - CNM 2015 CNM - 2015 C-21 KUNAC CONSULTINGS.A.C.
6 SERVICIO DE ETHICAL HACKING - CPR 2017 CPR - 2017 OS - 304 KUNAK CONSULTINGS.A.C
8 SERVICIO DE ETHICAL HACKING - ERM 2018 ERM - 2018 OS-497 KUNAK CONSULTINGS.A.C
SERVICIO DE ETHICAL HACKING -
9 REFERENDUM NACIONAL 2018 REF-2018 OS-1163 KUNAK CONSULTING S.A.C
CONCLUSIONES
ERP: Herramienta implementada por la ONPE, que permite realizar un estricto control de los equipos de
VE que se han de entregar a la Gerencia de Gestión Electoral para su despliegue a nivel nacional.
IV. RECOMENDACIONES
cc:
(LCC)
ONPE
"Decenio de la Igualdad de oportunidades para mujeres y hombres
"Año del Diálogo y la Reconciliación Nacional"
ANTECEDENTE
a) Seguridad de datos-
El almacenamiento de datos se encuentra protegido por procedimientos que
utilizan un algoritmo de cifrado, según detalle:
ÁlgoínnadS i 1
Hombre «í«( componsKs cifrado
-Cafnpo e
Cates «Je Vefecíon
TsWet» ABS-m-
SéeWfsica fCVE|
Taatets 4ES-:«a,
idiíaSífád(eat
i Dísjwslfivo DfapfjsShío.df tespiWalfuiw»
SD5<teiCVE AES-12S-
Jr vSsSí
g on Nro 1894, Lima 1,procesos ELECTORALES
Lima - Perú / Central; (511) 417-0630
www.onpe.gob.pe
ONPE
«mem» 9* rcoff«s« tl«cTSiuu:i
FUNCIONALIDAD CONDICIÓN
Principa! Eliminado
Cámara
Froníai Eliminado
Wifi Eliminado
Bluetooth Eliminado
Conectividad
GPS Eliminado
NFC Eliminado
c) Seguridad de la aplicación:
El sistema operativo "ONPEDROID" fue desarrollado bajo estándares y
buenas prácticas de programación segura; su estructura y servicios
implementados se describen a continuación:
o Configuración:
Módulo encargado de realizar la configuración de la CVE, para lo cual
se registra el código del equipo. Esta configuración utiliza la Tarjeta
Inteligente de Configuración y el USB de configuración, los cuales
deben encontrarse previamente vinculados. El Servicio de SmartCard
obtiene las credenciales de la tarjeta y procede a descifrar la
información del USB, con dicha información se configura la CVE. Sólo
se puede utilizar la Tarjeta Inteligente y USB correctos ya que la
credencial de cifrado se encuentra en la Tarjeta.
o Diagnóstico:
Módulo encargado de realizar la verificación de la sincronización de la
fecha y hora del equipo, así como también permite verificar la cédula y
versión del software; asimismo, realiza la verificación de la operatividad
de los dispositivos de hardware que componen la CVE, así como
también verifica que los servicios de software se encuentren operativos.
De encontrarse todo conforme, se emite el Reporte de Diagnóstico el
cual garantiza que el equipo fue correctamente diagnosticado.
o Emisión de Votos:
o Verificación de Votos;
Módulo encargado de realizar la validación de votos. Los votos se
encuentran en la constancia de votación que fue impresa en la C\/E: las
constancias de votación son extraídas del ánfora y con ayuda del lector
de códigos de barra se lee constancia por constancia. El aplicativo lo
visualiza y registra los datos hasta que se finaliza el proceso para
imprimir el reporte de verificación.
• Servicios:
Todos estos datos, tanto en la ECl como en la CVE, son cifrados con la
clave creada en la etapa de instalación de la mesa.
o Servicio de SmartCard:
Encargado de leer las tarjetas inteligentes, detecta todas las tarjetas que
son ingresadas a la CVE y ECl. Identifica cada una de ellas y envía al
módulo que lo ha invocado, la información sobre aquellas que no son
identificables, muestra el mensaje de error y no permite realizar ninguna
acción.
o Servicio de USB:
Encargado de leer los USB. Detecta todas los USB que son ingresados
en la CVE y ECl, identifica cada una de ellos y envía al módulo que lo
ha invocado, la información sobre aquellos que no son identificables,
muestra el mensaje de error y no permite realizar ninguna acción.
o Servicio de Impresión:
Encargado de realizar las ihripreslones de los diferentes reportes tanto
en la CVE y ECl. Recibe los datos de los diferentes módulos y lo envía
a la impresora.
• Datos:
o Configuración de Elección:
Información que sirve para la configuración del proceso electoral, que
es obtenida mediante la Tarjeta de configuración y el USB de
configuración, dicha información es cifrada con la tarjeta de
configuración.
o Padrón Electoral:
o Miembros de Mesas:
Información que sirve para la identificación de los miembros de mesa,
es obtenida mediante la Tarjeta de configuración y el USB de
configuración, dicha información es cifrada con la tarjeta de
configuración.
Acceso al sistema:
Control que permite el acceso al sistema luego de verificar la existencia de
los datos de usuario.
Verificación de versión:
Control que permite verificar si la versión de aplicación instalada en el
equipo de transmisión (LOCAL) corresponde al código hash mostrado en
pantalla, el cual debe ser el de la última versión generada en producción
(REMOTA).
Transmisión de datos:
La transmisión de datos se realiza utilizando protocolos criptográficos SSL
(Secure Sockets Layer) que proporcionan comunicaciones seguras a
través de redes públicas.
Pki Transmision.fxml
Descripción: Java Security Valida que el servidor web al que se conecta
tiene un certificado SSL cliente autorizado.
Envía el Certificado SSL de cliente ubicado en el dispositivo
USB para su validación en el Web Service.
Librerías: Java SE Security
f) Políticas de seguridad:
2.2. En relación a las auditorías externas, se debe mencionar que para las ERM 2018
se ejecutó el "Servicio de Auditoría de Soluciones Tecnológicas - ERM 2018", el
cual comprende al Voto Electrónico Presencial y considera lo siguiente:
III. CONCLUSIONES
3.1. Se han detallado los mecanismos de seguridad del voto electrónico presencial:
seguridad de datos, del sistema operativo, de la aplicación (tanto en la OVE como
en la ECl), servicios relacionados, transmisión de resultados y la seguridad del
equipo.
IV. RECOMENDACIÓN
4.1. Se recomienda tomar en consideración lo informado por esta Sub Gerencia, para
las acciones que correspondan.
(CGA/mhc)
o Configuración y Diagnóstico:
Módulo encargado de realizar la configuración de la ECl. Para la
configuración se utiliza la Tarjeta Inteligente de Configuración y el USB
de configuración; el Servicio de SmartCard obtiene las credenciales de
la tarjeta y procede a descifrar la información del USB, con dicha
información es configurada la ECl. Sólo se puede utilizar la Tarjeta
Inteligente y USB correctos ya que la credencial de cifrado se encuentra
en la Tarjeta.
o Instalación:
Módulo encargado de la instalación de la mesa. Utiliza los datos de la
configuración y se encarga de configurar la tarjeta inteligente de
administración, en donde se establece el número de mesa; se genera
una credencial de forma aleatoria, la cual se utiliza para el cifrado de los
datos de la CVE y la ECl.
o Sufragio:
Módulo encargado de la identificación de los electores. Los electores se
identifican con su DNI, el cual puede ser ingresado utilizando el lector
de códigos de barra o el teclado virtual; el miembro de mesa, con ayuda
de la foto, identifica al elector y procede a activar la Tarjeta de
Activación, el Servicio de Almacén envía una credencial cifrada (con la
clave creada en la instalación). Como esta clave es compartida en la
instalación con la CVE y la ECl, cuando el elector se acerque a la CVE,
la credencial podrá ser descifrada y garantiza que viene de la mesa
correcta.
o Escrutinio:
Módulo encargado de realizar la etapa del escrutinio con los datos
obtenidos del cierre de la CVE que se encuentra en la tarjeta de
administración. Con dicha información se generan las actas de
escrutinio y se genera el USB de trasmisión de resultados.
ONPE
"Decenio de la Igualdad de oportunidades para mujeres y hombres"
"Año del Diálogo y la Reconciliación Nacional"
ANTECEDENTE
II. ANÁLISIS
2.1. En relación a las auditorías externas, se debe mencionar que para las ERM 2018
se ejecutó el "Servicio de Auditoría de Soluciones Tecnológicas - ERM 2018", el
cual comprende al Voto Electrónico Presencial y considera lo siguiente:
III. CONCLUSIÓN
IV. RECOMENDACIÓN
4.1. Se recomienda tomar en consideración lo informado por esta Sub Gerencia, para
las acciones que correspondan.
(CGA/mhc)
Cfl®
m
mm
rime
Pro fes lona l
Señorita
r s ABR. 2016
Amparo Ortega Campana RE í ,JM íJ
Gerente de Informática y Tecnología Electoral HOñA: l/^ FIHM4:..
ONPE
Jr. Washington 1894, Cercado de Lima
De nuestra consideración:
Me es grato dirigirme a ustedes para expresarle nuestros saludos y a la vez mediante la presente hacer
constar que PRIME PROFESIONAL SAC con RUC 20509988359, hace entrega en sobre lacrado y en
medios ópticos, utilizando formatos compatibles con Microsoft Office e impreso en dos(02)ejemplares
originales del:
Así mismo, se hace constar que la ONPE recibe el documento antes mencionado. Quedando atentos a
cualquier comunicación de su parte.
Atentamente,
PRIME o !
mmi
EXPtT-'
l3Zñ~Ü
ijfj'.f Ars£A Ofc ATer-íCiÓM ^1. CíUDAOANO y
'thf'i '"-nrE DOC» líNTARíO
Calle Las Bogonins 2839 -Lince Calle Maria Reiche 185 C-110 - Santiago de Surco
Telf. 222-1249
(al frente del Hotel Westin Libertador)