Por Alberto González
La UNAM, a través de la DGTIC, la Facultad de Ingeniería y la FES Aragón, fue seleccionada por el INE como ente auditor para ejecutar la auditoría del SVEI, procedimiento apegado a los Lineamientos para la auditoría al Sistema de Voto Electrónico por Internet para las y los mexicanos residentes en el extranjero del Instituto Nacional Electoral.
El procedimiento de auditoría tuvo como propósito la revisión, análisis y evaluación sistemática que, mediante la obtención y evaluación de evidencia, dictamina si el Sistema de Voto Electrónico por Internet para las y los Mexicanos Residentes en el Extranjero cumple con los requerimientos, procedimientos, mecanismos operativos, técnicos, funcionales y de seguridad necesarios para una operación adecuada, segura y confiable.
Durante las pruebas técnicas efectuadas en la fase de ejecución de la auditoría se utilizó infraestructura diversa de la UNAM, entre las que pueden citarse: máquinas virtuales y firewalls, RedUNAM y Centro de Datos.
Una Máquina virtual acompañada de herramientas diversas — C, Phyton, JDK, JRE, Apache, Firebugs, GitLab, SonarQube, entre otras— para la revisión del código, con estándares apegados a la política de seguridad del ente auditado. La máquina fue verificada por el equipo auditor para ser exportada, posteriormente, a un formato compatible con el hypervisor de virtualización del INE para su instalación dentro de la infraestructura de la entidad.
19 máquinas virtuales con dirección IP homologada. Para complementar la máquina virtual previamente descrita, y con apego a los requerimientos del INE en materia de seguridad, conectividad y acceso a su infraestructura, se implementaron 19 máquinas virtuales con dirección IP homologada del Centro de Datos de la DGTIC —una por auditor— desde las que se llevó a cabo la ejecución remota de las pruebas y la revisión del código.
4 máquinas virtuales con la herramienta JMeter. Para las pruebas de desempeño se utilizaron 3 máquinas virtuales de la DCV, con la función de generar automáticamente los scripts para JMeter. También se utilizó una máquina virtual con IP homologada con suficientes recursos del Centro de Datos para simular la carga de 1000 usuarios.
RedUNAM más un servidor físico. En las pruebas de denegación de servicio al SVEI y a la infraestructura que lo soporta, se utilizaron algunos segmentos de la RedUNAM, una salida a Internet de 8.8 Gbps y un servidor físico robusto para la generación de 5 Gbps de tráfico, abriéndose una ventana vespertina para su ejecución para no afectar los servicios de la infraestructura universitaria.
Firewall. Para el repositorio de información del proyecto, se utilizó la herramienta Nextcloud sobre otra máquina virtual de la DCV, cuya seguridad con ayuda de la aplicación de reglas en el firewall de la red, restringiendo el acceso a IP’s de proveedores mexicanos de servicios de Internet.
En la instalación y configuración de toda la infraestructura participaron alrededor de ocho especialistas de seis áreas técnicas de la DGTIC: Operación de Servicios del Centro de Datos, Centro de Monitoreo de la Red, Departamento de Operación de la Red, Departamento de detección y respuesta a incidentes, Departamento de Gestión Tecnológica de la DCV, Área responsable de la red en sede IIMAS de la DSSI.