Por Alberto González
La UNAM, a través de la DGTIC, la Facultad de Ingeniería y la FES Aragón, fue comisionada por el INE para ejecutar la auditoría del Sistema para el Voto Electrónico por Internet para Mexicanos Residentes en el Extranjero (SVEI), procedimiento apegado a los Lineamientos para la auditoría al Sistema de Voto Electrónico por Internet para las y los mexicanos residentes en el extranjero del Instituto Nacional Electoral.
La auditoría tuvo como propósito la revisión, análisis y evaluación sistemática que, mediante la obtención y evaluación de evidencia, dictamina si el Sistema de Voto Electrónico por Internet para las y los Mexicanos Residentes en el Extranjero cumple con los requerimientos, procedimientos, mecanismos operativos, técnicos, funcionales y de seguridad necesarios para una operación adecuada, segura y confiable.
Durante la ejecución de la primera etapa de la auditoría, la UNAM, en su carácter de ente auditor del SVEI, mantuvo un cronograma de reuniones de trabajo diarias del equipo auditor y representantes del ente auditado, compuesto por alrededor de 56 personas, distribuidas en cuatro grupos de trabajo, que interactuaron vía remota. Entre las actividades efectuadas por dichos grupos de trabajo pueden citarse las siguientes, compartir y resguardar información; registrar hallazgos derivados de las pruebas técnicas y revisar el código fuente de la solución.
Acciones que, en el marco de la pandemia global por la COVID-19, serían imposibles de llevar a cabo sin el uso de herramientas tecnológicas de interacción remota y colaborativa, como, por ejemplo:
Nextcloud. Plataforma de software libre que permite: la creación de un servicio de repositorio a partir una estructura de directorios; organizar los archivos de información a través de las funciones de control de versiones, motor de búsqueda y gestión de permisos a usuarios o grupos, y acceso a través de una interfaz web o instalación de un cliente en sus equipos.
Jira. Software comercial de la empresa Atlassian, fue la herramienta utilizada en el registro de los hallazgos detectados en la auditoría y su posterior seguimiento tanto por parte del INE como del personal técnico del ente auditor. A través de Jira se agregaron archivos de evidencia, de forma que tanto el ente auditor como el auditado pudieran mantenerse actualizados respecto a los cambios en el estado de atención de los hallazgos.
SonarQube. Herramienta de análisis estático y de vulnerabilidades del código fuente, que proporciona información sobre: código duplicado, estándares de codificación, errores potenciales, patrones con errores, puntos de acceso de seguridad, vulnerabilidades encontradas, entre otros. La herramienta se complementó con el uso de GitLab.
GitLab. Repositorio de código que permite el control de versiones, el seguimiento de errores y el desarrollo de software en modo colaborativo. Complementa las funciones de SonarQube.
Microsoft Teams. Plataforma utilizada para las sesiones de trabajo remoto con el ente auditado y con el personal técnico de la empresa propietaria de la solución utilizada.
Zoom. Plataforma utilizada para sesiones internas entre el personal UNAM, que permite habilitar el diálogo de los diferentes equipos, compartir la pantalla para revisar documentos y revisar presentaciones o demostraciones técnicas ejecutadas en equipos remotos.
Software antivirus comerciales. Herramientas para la protección de la información utilizada y compartida contra virus y malware en los equipos personales de los auditores, así como en las máquinas virtuales utilizadas. Lo anterior, en cumplimiento de la política de seguridad solicitada por el ente auditado.