Conceptos y definiciones

• ¿Cómo surge la auditoría de software al sistema del PREP 2012?
• ¿Qué tipo de auditoría practicó la UNAM al software del sistema del PREP 2012?
• ¿Qué área de la UNAM llevó a cabo los trabajos técnicos de apoyo al PREP 2012 del IFE?
• ¿Qué funcionalidades introdujo el IFE en el software del sistema del PREP 2012?
• ¿Qué se hizo en la auditoría de software al sistema del PREP 2012?
• ¿La Universidad verificó que el IFE atendiera sus observaciones?
• ¿Qué trabajos técnicos hicieron la UNAM y el IFE en relación con el software del sistema del PREP 2009?
• ¿Cómo se puede asegurar que el software revisado por la UNAM es el que mismo que funciona a partir del 1° de julio?
• ¿En qué consisten los servicios de apoyo de seguridad informática que la UNAM ha trabajado en conjunto con el IFE?
• ¿Qué es la Comisión de Evaluación y Seguimiento y Comunicación Social Conjunta del convenio de colaboración UNAM-IFE para el PREP 2012?

¿Cómo surge la auditoría de software al sistema del PREP 2012?

En noviembre de 2011, el Instituto Federal Electoral (IFE) solicitó a la Universidad Nacional Autónoma de México (UNAM), a través de la Dirección General de Cómputo y de Tecnologías de Información y Comunicación (DGTIC), se practicara una auditoría de software al sistema del Programa de Resultados Electorales Preliminares (PREP) con el objetivo de “analizar el aplicativo del PREP 2012, mediante la revisión de código fuente y la realización de pruebas funcionales de caja negra, que permita determinar el cumplimiento con las especificaciones presentadas en la documentación técnica, así como evaluar la integridad en el procesamiento de la información y la generación de los resultados conforme a la normatividad aplicable”.

¿Qué tipo de auditoría practicó la UNAM al software del sistema del PREP 2012?

Es muy amplio el espectro de tipos de auditoría técnica que se pueden aplicar al PREP. El IFE solicitó a la UNAM una revisión del código fuente, línea por línea, a fin de verificar que no se haya incorporado elemento o algoritmo alguno que pudiera alterar el funcionamiento del PREP en los términos que son establecidos por el COFIPE y la documentación técnica correspondiente. Adicionalmente, la UNAM hizo pruebas técnicas para evaluar la integridad en el procesamiento de la información y la generación de resultados conforme a la normatividad aplicable.

El alcance de esta colaboración fue establecido a partir del análisis de los requerimientos presentados, de la amplitud de los procesos, la información y la infraestructura que comprende el PREP, así como de las restricciones de tiempo con las que se cuenta en el proceso electoral federal para su desarrollo e implementación.

¿Qué área de la UNAM llevó a cabo los trabajos técnicos de apoyo al PREP 2012 del IFE?

La Dirección General de Cómputo y de Tecnologías de Información y Comunicación, a través de un equipo de trabajo conformado por cuarenta colaboradores. De ellos, la tercera parte colaboraron también en los trabajos realizados para el IFE en el año 2009. Del total de universitarios involucrados en las actividades técnicas del Convenio Específico de Colaboración, 21 cuentan con estudios de posgrado y 16 ostentan certificaciones con reconocimiento internacional.

¿Qué funcionalidades introdujo el IFE en el software del sistema del PREP 2012?

El IFE agregó algunas funcionalidades al PREP 2012 que fueron auditadas:

• La digitalización de la imagen de las actas que estarán disponibles para su consulta a partir de las 20 horas del lunes 2 de julio, y cuyos datos son capturados en los CEDAT. La UNAM auditó los programas que permiten la organización y publicación de estas imágenes.
• La publicación de un resumen de los resultados electorales preliminares a través de páginas Web diseñadas para su despliegue en dispositivos móviles. En este caso, la UNAM verificó el código fuente así como la consistencia de los resultados presentados, como parte de las pruebas de caja negra realizadas en la validación final.

Adicionalmente el PREP 2012 contempla otros mecanismos de difusión que no fueron incluidos en el alcance de la auditoría, debido a que no estaban considerados a la firma del convenio de colaboración.

¿Qué se hizo en la auditoría de software al sistema del PREP 2012?   Inicio

1. Planeación y preparación. Previo a las actividades de revisión de código fuente y pruebas funcionales, se revisó la documentación (técnica y normativa) del PREP para comprender la arquitectura y características del sistema informático, y así contar con los elementos suficientes de información que permitieran generar un plan de trabajo específico, detallando la metodología y criterios a seguir en la revisión del código de los programas y la preparación de los datos, casos y escenarios de pruebas necesarios para cumplir con el objetivo de esta auditoría.

2. Revisión del código fuente. Consistió en el análisis estático del código fuente que integra cada uno de los módulos de la aplicación mencionados en el anexo 1, conformados por líneas de texto plano. Lo anterior, con la finalidad de evaluar la lógica de los programas relacionada con el flujo de la información, desde su captura hasta su despliegue, así como los cálculos efectuados para la emisión de los resultados preliminares, con el fin de determinar si el tratamiento de la información es adecuado y conforme con las especificaciones indicadas en la documentación técnica y la normatividad aplicable.

3. Pruebas funcionales. Comprendió la realización de pruebas de caja negra para verificar si el software cumplía con las especificaciones funcionales señaladas en la documentación técnica, así como determinar la integridad de la información procesada y la generación de resultados conforme a la normatividad aplicable.

De cada módulo auditado y al concluir los ciclos de revisión, la UNAM emitió un informe con las observaciones detectadas y las recomendaciones sugeridas, jerarquizadas por su nivel de impacto. Las observaciones fueron informadas al personal técnico del IFE, con la finalidad de asegurar su comprensión y pertinencia. El Instituto tuvo un período de tiempo para implementar las recomendaciones, especialmente aquellas de importancia crítica, y posteriormente la UNAM validó su atención.

Las actividades mencionadas fueron realizadas del 30 de noviembre de 2011 al 25 de junio de 2012. Asimismo como parte del alcance de la auditoría, se contempla realizar las siguientes actividades:

Validación de software auditado. Consiste en la compilación y firma de los programas auditados para validar que el software que será instalado y utilizado en la jornada electoral, es el mismo que fue auditado por la UNAM. Como resultado de esta validación, se emitirán constancias de hechos que describen las actividades realizadas. El protocolo del proceso de validación del software auditado comprende lo siguiente:

a) Compilación de los programas (27 de junio de 2012). Comprende la generación de los paquetes y programas ejecutables a partir de la versión del código fuente auditado por la UNAM, la cual se realizará en presencia del personal técnico del IFE y de la Universidad. Al finalizar, se grabará un disco compacto con la información obtenida, que será entregado a la UNAM para la realización del siguiente paso.

b) Obtención de las firmas criptográficas (27 de junio de 2012). En presencia del personal directivo y jurídico del IFE, de directivos de la UNAM y de un notario público, la UNAM generará las firmas criptográficas correspondientes a los archivos binarios contenidos en el disco compacto entregado en el paso anterior, mediante la aplicación del algoritmo SHA1 (Secure Hash Algorithm).

c) Al finalizar la obtención de firmas criptográficas, también el 27 de junio de 2012, la UNAM generará tres copias del disco compacto que contengan el resultado de dichas firmas, las cuales serán distribuidas al IFE, a la UNAM, y al notario público. Además se proporcionará al notario público un listado con las firmas criptográficas resultantes para que dé fe de las actividades realizadas.

d) Recolección de archivos y programas en los Centros Nacionales de Recepción de Resultados Electorales Preliminares (CENARREP) el día 30 de junio de 2012. Consiste en recolectar en medios de almacenamiento portátil, los archivos y programas binarios del sistema informático del PREP 2012 instalados en cada servidor y en las consolas del ambiente de producción del CENARREP primario y secundario. Para ello, en presencia del personal técnico de la UNAM, el personal técnico del IFE obtiene de los servidores, una copia de los archivos binarios que conforman el sistema informático del PREP 2012, los cuales son copiados a un dispositivo portátil nuevo, que es resguardado en un sobre cerrado y firmado por ambas partes, ante notario público.

e) Validación de la inicialización de la base de datos (1° de julio de 2012). El día de la jornada electoral se constatará que la base de datos se encuentre debidamente inicializada, es decir, que las tablas contengan sólo la información que deben tener y que no exista evidencia de actas con resultados. Para esto, personal técnico especializado del IFE, en presencia de autoridades de la UNAM, del Instituto y de un notario público, ejecutarán un script (programa con una secuencia de comandos validados), que contiene las consultas necesarias para verificar el contenido de las principales tablas; los resultados presentados por el script son contrastados contra un listado con los resultados esperados. Dicho script es previamente revisado por la UNAM.

f) Validación final de las firmas criptográficas de los programas (1° de julio de 2012). El día de la jornada electoral en presencia de autoridades del IFE, de la UNAM y de notario público, se realiza la comparación de las firmas criptográficas de los programas recolectados en los CENARREP, contra las firmas criptográficas de los programas compilados a partir del código fuente auditado por la UNAM.

¿La Universidad verificó que el IFE atendiera sus observaciones?

De cada módulo auditado y al concluir los ciclos de revisión, la UNAM emitió un informe con las observaciones detectadas y las recomendaciones sugeridas, jerarquizadas por su nivel de impacto. Las observaciones fueron informadas al personal técnico del IFE, con la finalidad de asegurar su comprensión y pertinencia. El Instituto tuvo un período de tiempo para implementar las recomendaciones, especialmente aquellas de importancia crítica, y posteriormente la UNAM validó su atención.

La comprobación de la UNAM sobre las actualizaciones de software hechas por el personal del IFE se realizó de manera sucesiva hasta llegar a la versión final del sistema del PREP 2012, el 25 de junio de 2012.

 

¿Qué trabajos técnicos hicieron la UNAM y el IFE en relación con el software del sistema del PREP 2009?   Inicio

Esta es la segunda auditoría de software realizada por la UNAM al sistema del PREP. La anterior se llevó a cabo en 2009 para la elección de diputados federales, y los resultados fueron publicados en boletín de prensa del 2 de julio de 2009.

¿Cómo se puede asegurar que el software revisado por la UNAM es el que mismo que funciona a partir del 1° de julio?

Al igual que en el año 2009, una vez concluida la auditoría de software al sistema del PREP 2012, los especialistas de la UNAM realizarán trabajos técnicos para poder asegurar que los programas revisados sean los mismos que operará el IFE el 1° de julio; también se corrobora que las bases de datos inicien “en ceros”. El procedimiento anterior es avalado por un notario público.

¿En qué consisten los servicios de apoyo de seguridad informática que la UNAM ha trabajado en conjunto con el IFE?

En el marco del convenio de colaboración para el PREP 2012, la UNAM ha prestado apoyo técnico al IFE para complementar su estrategia en materia de seguridad informática, a través de dos líneas de colaboración independientes a la auditoría del sistema PREP 2012: 1) una auditoría en materia de seguridad informática a la infraestructura de RedIFE y del PREP 2012, y 2) el monitoreo y respuesta a incidentes técnicos durante la jornada electoral del 1° de julio. Los trabajos de colaboración sobre seguridad informática concluyen el día 2 de julio. A la fecha, se han realizado pruebas de penetración a la infraestructura contemplada en el convenio y se emitieron recomendaciones que han sido atendidas por el IFE y revisadas por la UNAM.

 

¿Qué es la Comisión de Evaluación y Seguimiento y Comunicación Social Conjunta del convenio de colaboración UNAM-IFE para el PREP 2012?

Es un órgano previsto en el convenio de colaboración para el adecuado desarrollo y la supervisión de las actividades objeto del propio convenio, formada por igual número de representantes de cada institución.

GLOSARIO

Comité Técnico Asesor del PREP

Está conformado por personal experto en materia de desarrollo de sistemas y software, y en los aspectos relacionados con la Internet y de difusión, planeación, administración y desarrollo de proyectos, y se encarga de apoyar y asesorar al IFE sobre los aspectos relativos al PREP.

Especificaciones técnicas del PREP 2012

Las especificaciones técnicas del sistema del PREP 2012 comprenden la documentación generada por el IFE a lo largo del ciclo de desarrollo de la aplicación (requerimientos, análisis, diseño, construcción y pruebas).

Especificaciones normativas del PREP 2012

Las especificaciones normativas se refieren al Código Federal de Instituciones y Procedimientos Electorales (COFIPE), publicado el 14 de enero de 2008 en el Diario Oficial de la Federación, y las resoluciones posteriores que respecto al COFIPE haya emitido el Poder Judicial de la Federación. Asimismo se tomó como referencia el prototipo de los 11 formatos de las Actas de Escrutinio y Cómputo del Proceso Electoral Federal 2011-2012 y la relación de partidos políticos, coaliciones y distritos proporcionados por el IFE.

Inspección de software

Es un análisis sistemático para detectar de forma oportuna, defectos en los elementos de software para asegurar la calidad de los mismos, tomando en cuenta los aspectos aplicables en cuanto a funcionalidad, fiabilidad, eficiencia, mantenibilidad, portabilidad y usabilidad.

Pruebas funcionales de caja negra

En el contexto computacional, se denomina "caja negra" al elemento que es analizado desde el punto de vista de las entradas que recibe y las salidas que produce. En este sentido, las pruebas funcionales de caja negra se refieren a un método para validar la funcionalidad de un sistema informático a través de la introducción de datos en los dispositivos de captura y la revisión de los resultados de salida que se presentan al usuario en las pantallas finales.

Análisis estático del código fuente

Revisión del contenido de las instrucciones de los programas sin que éstos se encuentren en ejecución.

Secure Hash Algorithm

Función criptográfica que se calcula sobre cada uno de los archivos, y que genera como resultado una firma del archivo (cadena de 40 caracteres alfanuméricos que identifica de forma unívoca al archivo). Cualquier cambio en el contenido del archivo, por mínimo que sea, genera una firma totalmente diferente, por lo cual es un mecanismo útil para comprobar la integridad de la información.