Está en la página 1de 48

PODER JUDICIAL DEL PERU 02/07/2019 l6i4S?

57
CORTE SUPERIOR DE JUSTICIA Paq. 1 de 1
LIríA
Sede Alzsaora Valdez
Esq. Abancay y Colrasna S/N Cercado de
Carao de Ingreso de Escrito
{ Centro de Distribución General
9293-2019

Cod. üiqitalizacitsns 0000559153-20Í7~ESC-SP-CI

Expediento =09327-2018-0-1801-JR-CI-02 F.Inicio!22/06/2018 lOiOSsOS


Sala :2;;i SALA CONSTITUCIONAL - SEDE ALZAHORA
Docufflsnto ?ESCRITO
F.Ingreso :02/07/2019 16;48i54 Folios : 47 Ppainas; O
Presentado ¡DEMANDADO OFICINA NACIONAL DE PROCESOS ELECTORALES ON
Relator ¡ULLOA LUJAN. ROKANA ELISA
Cuantía ¡Soles .00 N Copias/Acoinp : 1
Dep Jud :0 SIN DEPOSITO JUDICIAL
Arancel ¡O SIN TASAS

;INFORME ESCRITO

PiO

O 2 JOL. »
r L .. c ¡...i-'
BERAUN CLAVITO, YULIANA ilAGALI
Ventanilla 1
10 \
Hidulü 1
PISO 1

Recibido
m
1 \

ONPE
OFICINA NACIONAL OC PROCESOS ELECTORALES
.1

EXP. N° : 09327-2018-0-1801-JR-Cl-02
02 ]ül, 20» k:
Sec.: Astudillo
Cuaderno: Principal
SUMILLA: INFORME ESCRITO/
PRESENTO DOCUMENTACION

SEÑOR PRESIDENTE DE LA SEGUNDA SALA CONSTITUCIONAL -SEDE ALZAMORA:

MANUEL DARIO CABRERA ESPINOZA- CHUECA,Procurador Público a cargo de los Asuntos


Judiciales de la Oficina Nacional de Procesos Electorales - ONPE, conforme a Resolución
Suprema N° 209-2006-JUS en los seguidos por ERICK AMERICO IRIARTE AHON, contra la
Oficina Nacional de Procesos Electorales, sobre PROCESO DE ACCION DE AMPARO;
atentamente digo:

Que, habiendo programada la fecha de la vista de la causa en los presentes autos, estando al
Recurso de Apelación presentado por el accionante ERICK AMERICO IRIARTE AHON,contra la
Resolución que resolvió declarar Improcedente su demanda, en tal sentido solicito se tenga en
cuenta los argumentos sustentados en la posición técnica de la Entidad, la misma que se
encuentra sustentada documentalmente, tales como:

1. En el Memorando N° 004554-2018-GITE/ONPE se hace de conocimiento a la

Procuraduría el sustento técnico que' pretende desvirtúa el cuestionamiento al voto


electrónico tales como el Informe N° 001249-2018-SGPEL-GITE/ONPE, que señala y da
cuenta de la seguridad de los datos, conforme se detalla:

a) Seguridad de datos:
ivCAfiPV
El almacenamiento de datos se encuentra protegido por procedimientos que utilizan un
O
\\algoritmo de cifrado, según detalle:
ONPE
OFICINA NACIONAL D6 PROCESOS ELECTORALES

Tipo de Algoritmo de
Nombre del componente cifrado
comoonente
Cabina de Votación
Tableta AES-128
Electrónica(OVE)
Estadón de Comprobación de AES-12S
Tableta
Identidad (ECl)
Dispositivo de respaldo (micro
Dispositivo AES-128
SD)del CVE
Dispositivo de respaldo (micro
Dispositivo AES-128
SD)del EC!

Dispositivo USB de contiguradón 3DES -128

Dispositivo Tarjeta de configuración 3DES-128

USB de transmisión de
Díspositrvo RSA-Base64
instalación

USB de transmisión de
Dispositivo RSA-Base64
resultados

Dispositivo Tarjeta de admlnistradón 3DES-128

Dispositivo Tarjeta de acdvadón 3DES-128

b) Seguridad de sistema operativo:


El sistema operativo "ONPEDROID" está basado en Android Kitkat 4.4, que fue
desarrollado a medida para que soporte el proceso de voto electrónico presencial,
eliminando funcionalidades innecesarias según el siguiente detalle:

FUNCIONALIDAD CONDICIÓN
Principal Eliminado
Cámara
Frontal Eliminado

WifitlM Eliminado

Bluetooth Eliminado
Conectividad
GPS Eliminado

NFC Eliminado

Sensores Movimiento Eliminado

Barra de notificaciones Eliminado


Servicios y Eliminado
Barra de naveaación
aplicaciones
Aplicaciones Deshabilitado

c) Seguridad de la aplicación:
El sistema operativo "ONPEDROID" fue desarrollado bajo estándares y buenas
prácticas de programación segura; su estructura y servicios implementados se
describen a continuación:
vU>.

ina de Votación Electrónica (OVE)


o
nfigu ración:
'fílódulo encargado de realizar la configuración de la OVE, para lo cual se registra
cLfy.í código del equipo. Esta configuración utiliza la Tarjeta Inteligente de
A

ONPE
OFICINA NACIONAL DE PROCESOS ELECTORALES

Configuración y el USB de configuración, los cuales deben encontrarse


previamente vinculados. El Servicio de SmartCard obtiene las credenciales de
la tarjeta y procede a descifrar la información del USB, con dicha información se
configura ia CVE. Sólo se puede utilizar la Tarjeta Inteligente y USB correctos
ya que la credencial de cifrado se encuentra en la Tarjeta.

o Diagnóstico:
Módulo encargado de realizar ia verificación de la sincronización de la fecha y
hora del equipo, así como también permite verificar la cédula y versión del
software; asimismo, realiza la verificación de la operatividad de los dispositivos
de hardware que componen la CVE, asi como también verifica que los servicios
de software se encuentren operativos. De encontrarse todo conforme, se emite
el Reporte de Diagnóstico el cual garantiza que el equipo fue correctamente
diagnosticado.

o Instalación y puesta a cero:


Móduio encargado de la instalación y puesta a cero de la CVE a cargo de los
Miembros de Mesa. Dicho móduio utiiiza ios datos de la tarjeta administrativa
para verificar que la fecha del proceso electoral es conforme y realizar la puesta
a cero de la OVE, en donde se establece el Número de Mesa y las credenciales
de cifrado.

o Emisión de Votos:
Móduio encargado de la visualización de las cédulas, éstas son configuradas
por cada elección. El módulo se activa con la tarjeta de activación mostrando la
cédula para que el elector seleccione sus opciones; la selección de las opciones
de la cédula es almacenada en memoria hasta la confirmación por parte del
elector, momento en que se envía el mensaje al servicio de almacén de datos
para que proceda a guardar el voto en forma aleatoria. Luego de ello, se
desactiva la tarjeta y se envía el mensaje al servido de impresión para que
efectúe la impresión de la constancia de votación, procediendo a finalizar ia
emisión del voto. Cuando el elector retira ia tarjeta de activación se borran todos
los datos de la memoria.

o Cierre de cabina de votación.


Módulo encargado de realizar el cierre y totalización de los votos. Se procede a
totalizar los votos que fueron almacenados. La totalización de los votos
(resultados) es almacenada en la tarjeta inteligente de administración, que
servirá para la elaboración de las actas de escrutinio, luego se imprime el reporte
de resultados para garantizar que los datos trasportados en la tarjeta sean los
mismos del acta.

Estación de Comprobación de la Identidad (ECl)


u

cG figuración y Diagnóstico:
ulo encargado de realizar la configuración de la ECl. Para la configuración
\7
tiliza la Tarjeta Inteligente de Configuración y el USB de configuración; el
lo de SmartCard obtiene las credenciales de la tarjeta y procede a
OHPl
OriCINA NAUONAL OE PROCESOS ELECTORALES

descifrar la información del USB, con dicha información es configurada la ECl.


Sólo se puede utilizar ia Tarjeta Inteligente y USB correctos ya que la credencial
de cifrado se encuentra en ia Tarjeta.

o Instalación:
Módulo encargado de la instalación de la mesa. Utiliza los datos de la
configuración y se encarga de configurar la tarjeta inteligente de administración,
en donde se establece el número de mesa; se genera una credencial de forma
aleatoria, la cual se utiliza para el cifrado de los datos de la CVE y la ECl,

o Sufragio:
Módulo encargado de la identificación de los electores. Los electores se
identifican con su DNi, el cual puede ser ingresado utilizando el lector de códigos
de barra o el teclado virtual; el miembro de mesa, con ayuda de la foto, identifica
al elector y procede a activar la Tarjeta de Activación, el Servicio de Almacén
envía una credencial cifrada (con la clave creada en la instalación). Como esta
clave es compartida en la instalación con la CVE y la ECl, cuando el elector se
acerque a la CVE, la credencial podrá ser descifrada y garantiza que viene de la
mesa correcta,

o Escrutinio:
Módulo encargado de realizar la etapa del escrutinio con los datos obtenidos del
cierre de la CVE que se encuentra en la tarjeta de administración. Con dicha
información se generan las actas de escrutinio y se genera el USB de trasmisión
de resultados,

o Verificación de Votos:
Módulo encargado de realizar la validación de votos. Los votos se encuentran
en la constancia de votación que fue impresa en la CVE; las constancias de
votación son extraídas del ánfora y con ayuda del lector de códigos de barra se
lee constancia por constancia. El aplicativo lo visualiza y registra los datos hasta
que se finaliza el proceso para imprimir el reporte de verificación.

Servicios:

o Servicio de Almacén de Datos:


En la CVE, se encarga de almacenar los votos y credenciales utilizadas, Al
realizar la puesta a cero se garantiza que todos los datos en estas dos (2)
tabletas se encuentran limpias para iniciar el sufragio. Cuando el elector
confirma ei voto, este servicio escoge una posición en forma aleatoria para
almacenar el voto, con eso garantizamos que dicho voto no guarde un registro
de trazabilidad; de igual modo, en la tabla de credenciales se escoge una
posición aleatoria para almacenarlo.

En la ECl,se registran los ciudadanos que se identifican, lo cual es utilizado para


t-/
registro de omisos. En la tabla de credenciales se actualizan las credenciales
ue se van utilizando.
C!
ONPE
OFICINA NACIONAL DE PROCESOS ELECTORALES

Todos estos datos, tanto en la ECl como en la CVE, son cifrados con la clave
creada en la etapa de Instalación de la mesa.

Servicio de SmartCard:
Encargado de leer las tarjetas Inteligentes, detecta todas las tarjetas que son
ingresadas a la CVE y ECl. Identifica cada una de ellas y envía al módulo que lo
ha Invocado, la Información sobre aquellas que no son identificables, muestra el
mensaje de error y no permite realizar ninguna acción.

Servicio de USB:
Encargado de leer los USB. Detecta todas los USB que son Ingresados en la
CVE y ECl, identifica cada una de ellos y envía al módulo que lo ha invocado, la
información sobre aquellos que no son Identificables, muestra el mensaje de
error y no permite realizar ninguna acción.

O Servicio de Impresión:
Encargado de realizar las Impresiones de los diferentes reportes tanto en la CVE
y ECl. Recibe los datos de los diferentes módulos y lo envía a la Impresora.

• Datos:

o Configuración de Elección:
Información que sirve para la configuración del proceso electoral, que es
obtenida mediante la Tarjeta de configuración y el USB de configuración, dicha
información es cifrada con la tarjeta de configuración.

o Padrón Electoral:
Información que sirve para la Identificación de los electores. Es obtenida
mediante la Tarjeta de configuración y el USB de configuración, dicha
Información es cifrada con la tarjeta de configuración.

o Miembros de Mesas:
Información que sirve para la Identificación de los miembros de mesa, es
obtenida mediante la Tarjeta de configuración y el USB de configuración, dicha
información es cifrada con la tarjeta de configuración.

o Trasmisión de Instalación y resultados:


Datos de las Actas de Instalación, Sufragio y Escrutinio, que son generados y
cifrados, se genera en el USB de trasmisión para luego llevarlos en el punto de
trasmisión.

d) Seguridad en transmisión de datos:


Los controles de seguridad aplicados al proceso de transmisión de datos son:

sistema:
" que permite el acceso al sistema luego de verificar la existencia de los datos
OHPl
OFICINA NACIONAL DE PROCESOS ELECTORALES

Verificación de versión:
Control que permite verificar si la versión de aplicación instalada en el equipo de
transmisión (LOCAL) corresponde al código hash mostrado en pantalla, el cual
debe ser el de la última versión generada en producción (REMOTA).

Ejecución de resultados en cero:


Control que permite realizar la inicialización del sistema o puesta a cero. Esta acción
se efectúa a nivel de base de datos (reinicia estado de mesas y usuarios de
transmisión).

Transmisión de datos:
La transmisión de datos se realiza utilizando protocolos criptográficos SSL (Secure
Sockets Layer) que proporcionan comunicaciones seguras a través de redes
públicas.

Pkl Transmision.fxml
Descripción: Java Security Valida que el servidor web al que se conecta
tiene un certificado SSL cliente autorizado.
Envía el Certificado SSL de cliente ubicado en el dispositivo
USB para su validación en el Web Service.
Librerías: Java SE Security

e) Seguridad del equipo:


El KIT de VEP está compuesto de dos (2) módulos: la Estación de Comprobación de
Identidad (ECl) y la Cabina de Votación Electrónica (CVE), ambos módulos tienen las
siguientes condiciones de seguridad:

• Caja de metal con llave, donde se ubican los componentes electrónicos.


• La Caja de Metal cuenta con un precinto adhesivo de seguridad numerado.
• La manipulación sólo es por personal autorizado, llevándose registro de los
incidentes a través del Centro de Soporte Informático de la GITE.
• Equipo supervisado por personal técnico y custodiado por personal de seguridad
en los lugares donde se encuentren.

f) Políticas de seguridad:

• Se aplicaron las Políticas de Seguridad de la Información aprobadas


con Resolución Jefatural N° 370-2015-J/ONPE de fecha 22 de diciembre de 2015.
• En el desarrollo del Software se aplicaron las políticas de desarrollo seguro
establecidas en la 0D21_GITE/GC Política de desarrollo seguro.

1.1. En relación a las auditorías externas, se debe mencionar que para las ERM 2018 se ejecutó
el "Servicio de Auditoría de Soluciones Tecnológicas - ERM 2018", el cual comprende al
Votq Electrónico Presencial y considera lo siguiente:

dimiento de los procesos.


S/í^
ONPE
OFICINA NACIONAL DE PROCESOS EUCTORAIES

Flujo del proceso


Componentes del proceso
Terminales del proceso
Transferencia de información
Procesamiento de información

b) Pruebas de funcionalidad y seguridad para el HW y SW e identificar hallazgos antes del


proceso electoral.

• Análisis técnico en base a los criterios de los estándares de seguridad ISO 27034
y estándares internacionales: ISO 27001, ISO 27002, ISO 27035 e ISO 31000.

c) Identificar hallazgos después del proceso electoral.

• En base a los criterios de los estándares de seguridad ISO 27034 y estándares


internacionales: ISO 27001, ISO 27002, ISO 27035 e ISO 31000.

1.2. Adicionalmente a lo indicado en el numeral anterior, se debe precisar que los resultados de
las anteriores auditorías de Voto Electrónico Presencial se encuentran publicadas en la
página web institucional: https://www.onpe.qob.pe/elecciones/innovaciones-tecnoloqicas/.
según detalle:

a) La Solución Tecnológica de Voto Electrónico Presencial utilizada para las Elecciones


Generales 2011, fue evaluada por la Secretaría General de la Organización de los
Estados Americanos (SG/OEA), mediante un servicio de "Auditoría integral al Software
de la Solución Tecnológica del Voto Electrónico Creado por la Oficina Nacional de
Procesos Electorales en la República de Perú".

b) La Solución Tecnológica de Voto Electrónico Presencial utilizada para las Elecciones


Generales 2016,fue evaluada por la Empresa PRIME Profesional mediante un "Servicio
de Auditoría de Seguridad en eí Proceso de Voto Electrónico".

c) La Solución Tecnológica de Voto Electrónico Presencial utilizada para las Elecciones


Generales 2016 también evaluada por la empresa Binario mediante un "Servicio de
Ethical Hacking EG 2016", a través del "Segundo Escaneo y Test de Penetración - Red
Electoral. Escaneo de 02 máquinas de Voto Electrónico".

d) La Solución Tecnológica de Voto Electrónico Presencial utilizada en el marco de las


Elecciones Universitarias a las cuales la ONPE brinda asistencia técnica, fue auditada
por la empresa KUNAK Consulting SAC mediante un "Servicio de Auditoría del Proceso
de Electrónico"(Seguridad Informática).

Por tanto, se debe considerar señor Presidente que lo precisado en los numerales
griores por el área especializada, QUE LA SOLUCIÓN DE VOTO ELECTRÓNICO ES
VOb
BLE, por cuanto se han detallado los mecanismos de seguridad del voto
o presencial tales como:
I <

i/e¡!
OMI>E
OriCINA NACIONAL DS PROCESOS ELECTORAUS

a) SEGURIDAD DE DATOS, del sistema operativo, de la aplicación (tanto en la CVE


como en la ECl), servicios reiacionados, transmisión de resuitados y ia seguridad del
equipo.
b) Se ha mencionado el alcance de la auditoría realizada al VEP en las ERM 2018, así
como también se ha indicado ia página web que contiene información de los
resultados de las auditorías anteriormente reaiizadas ai sistema.

3. Asimismo, tal como se señala en el Memorando N° 004554-2018-GITE/ONPE que


señala que no se ha eliminado la realización de auditorías; en el sub numeral 4.5.1. del
numeral 4.5 Auditabilidad del Artículo 4° de las Garantías técnicas de las Soluciones

Tecnológicas, se dispone que ias auditorias se pueden reaiizar en las diferentes etapas
del proceso electoral.

"4.5 Auditabilidad

Poseen la cualidad de trazabilidad auditabie, garantizando el adecuado y seguro


registro de eventos y transacciones en el proceso de generación y remisión de
información, mediante reportes generales de consultas y reportes de log (bitácora)
o los eventos por fecha y tipo de documento o información entre otros. Esta
información debe ser inalterable e integra y encontrarse disponible para cualquier
auditoria o en el momento que sea requerida.
4.5.1 La auditoría de las Soluciones Tecnológicas de Voto Electrónico se podrá
reaiizar en ias diferentes etapas del proceso electoral, según lo determine ia ONPE
del documento de gestión correspondiente."

4. Que en relación a ias auditorías externas, se debe mencionar que para ias ERM 2018 se
ejecutó ei "Servicio de Auditoria de Soiuciones Tecnológicas -ERM 2018", que
comprende al Voto Electrónico Presenciai y considera lo siguiente:
a) Entendimiento de ios procesos
> Flujo del proceso

> Componentes de proceso

> Transferencia de información

Procesamiento de información
VUB
^as de funcionalidad y seguridad para ei HW y SW e identificar haiiazgos antes
T
S/A
15 eso electoral.
r uv\
OfÉPE
OFICINA NACIONAL DE PROCESOS ELECTORALES

> Análisis técnico en base a los criterios de los estándares de seguridad ISO

27034 V estándares internacionales iSO 27001, ISO 27002. ISO 27035 e ISO

31000.

c) Identificar hallazgos después del proceso electoral,


> En base a los criterios de los estándares de seguridad ISO 27034 y

estándares internacionales. ISO 27001, ISO 27002, ISO 27035 e ISO 31000.

> El Servicio fue eiecutado por el proveedor PRIME PROFESIONAL SAC, el

mismo que se realizó en un plazo de cincuenta (50) días calendarios,

contabilizados de ia siguiente manera (30) días antes v veinte (20) días

posteriores ai día del proceso electoral ERM 2018 llevado a cabo el 07 de

octubre de 2018: formalizándose como fecha de inicio de servicio el 27 de

octubre.

5. Asimismo, debemos REITERAR que los resultados de las anteriores auditorias de VOTO
ELECTRONICO PRESENCIAL se encuentran publicadas en la página web institucional
https://www.onpe.gob.pe/elecciones/innovaciones-tecnologicas, y que además
precisamos que;

e) LA SOLUCIÓN TECNOLÓGiCA DE VOTO ELECTRÓNiCO PRESENCIAL


UTILIZADA PARA LAS ELECCIONES GENERALES 2011, FUE EVALUADA POR LA
SECRETARÍA GENERAL DE LA ORGANIZACIÓN DE LOS ESTADOS
AMERICANOS(SG/OEA), mediante un servicio de "Auditoría Integral al Software de la
Solución Tecnológica del Voto Electrónico Creado por la Oficina Nacional de Procesos
Electorales en la República de Perú".

f) La Solución Tecnológica de Voto Electrónico Presenciai utilizada para las Elecciones


Generales 2016,fue evaluada por la Empresa PRIME Profesional mediante un "Servicio
de Auditoría de Seguridad en el Proceso de Voto Electrónico".

i./ blución Tecnológica de Voto Electrónico Presencial utilizada para las Elecciones
ís
les 2016 también evaluada por la empresa Binario mediante un "Servicio de

X'owfí
ONPE
OFICINA NACIONAL DE PROCESOS ELECTORALES

Ethical Hacking EG 2016", a través del "Segundo Escaneo y Test de Penetración - Red
Electoral. Escaneo de 02 máquinas de Voto Electrónico".

h) La Solución Tecnológica de Voto Electrónico Presenciai utiiizada en ei marco de las


Elecciones Universitarias a ias cuales la ONPE brinda asistencia técnica, fue auditada
por la empresa KUNAK Consuiting SAC mediante un "Servicio de Auditoría del Proceso
de Electrónico"(Seguridad informática).

POR TANTO:

A usted señor Presidente, solicito tener presente io expuesto y documentación que se acompaña,
para mejor resolver.

OTROSI DIGO.- Adiunto:

> Memorando N° 004554-2018-GlTE/ONPE

> Informe N° 001249-2018-SGPEL-GlTE/ONPE

> Informe N° 1250-2018-SGPEL-GlTE/ONPE

> Carta de fectia 18.04.2016 de la empresa PRIME PROFESIONAL SAC, sobre la


presentación en sobre iacrado y en medios ópticos ei INFORME FINAL DE AUDITORIA
DE SEGURIDAD, al VOTO ELECTRONICO.

vUü

Lima, 01 de Juiio de 2019

1Q

Manuel »Cabrera Espüioza-Cüueca


Procurador Público
Reg. CAL 14537
Oficina Nacional de Procesos Eleclorales

10
Firmado digitalmente por GUZMAN
CASTILLO Frank Jonathan FAU
202S1973851 soít
a Digital Motivo: Soy si aulor del documento
o?tfS! Fecha:06.12.20t3 22:40:54 -05:00

sr iuctsw4.>-)

"Decenio de la Igualdad de oportunidades para mujeres y hombres"


"Año del Diálogo y la Reconciliación Nacional"

Lima, 06 de Diciembre del 2018

MEMORANDO N° 004554-2018-GlTE/ONPE

A: MANUEL DARIO CABRERA ESPINOZA CHUECA


Procurador Público

De: FRANK JONATHAN GUZMAN CASTILLO


Gerente de la Gerencia de Informática y Tecnología Electoral

Asunto: GITE cumple con emitir opinión técnica respecto a los argumentos
formulados por ERICK AMÉRICO IRIARTE AHON con motivo del
Recurso de Apelación interpuesto contra el auto contenido en la
Resolución Judicial N° 01 de fecha 20 de ago.sto de 2018.

Referencia: a. PROVEIDO N° 008665-2018-GITE/ONPE (27NOV2018)


b. INFORME N° 001249-2018-SGPEL- GITE/ONPE (04DI02018)
c. INFORME N° 000695-2018-SGIlD- GITE/ONPE (05DIC2018)
d. INFORME N° 001391-2018-SGOI- GITE/ONPE (05DI02018)
e. INFORME N° 002431-2018-SGIST- GITE/ONPE (05DI02018)

Me dirijo a usted, en atención al documento a) de la referencia; por el cual, solicita a


esta Gerencia la remisión de informe y documentación pertinente a fin de fijar la
posición institucional respecto al proceso sobre Acción de Amparo interpuesto por el
ciudadano ERIOK AMÉRIOO IRIARTE AHON, con motivo de habérsele concedido el
recurso impugnatorio de apelación.

Al respecto, esta Gerencia debe precisar que ha procedido a través de su equipo de


especialistas, conformado por integrantes de las cuatro (04) subgerencias y de ¡a
Gerencia, con la revisión y análisis del Escrito N° 02 Recurso de Apelación contra el
Auto N° 01 interpuesto por la abogada ALDA BRUNELLA ALVAREZ ROBERTO de
IRIARTE & ASOCIADOS.

En ese sentido, y para efectos metodológicos se ha determinado abordar y contestar a


las dos afirmaciones fundamentales formuladas por la recurrente en el referido
recurso, desde una posición técnica, siendo sustentadas documentadamente a través
de los adjuntos al presente documento.

I. Respecto de la Resolución Impugnada y los fundamentos de la demanda

1.1 En cuanto a la eliminación de las auditorías y supervisión de las


organizaciones políticas, en el numeral 2.2 la recurrente formula las
siguientes aseveraciones:

OFICIN.A NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
Cf«He» St

"... precisamos que lo que se pretende es cuestionar en este proceso es la


implementación del voto electrónico, y con ello los factores de transparencia,
seguridad, conflabllldad y legalidad del proceso de votación siendo mediante esta
disposición legal se elimina la realización de auditorías al software del voto
electrónico limitando ia supervisión por parte de las organizaciones políticas,
lo cual es cuestionable y requiere de atención urgente". (El segundo resaltado es
nuestro).

1.1.1 Al respecto debemos ser categóricos en afirmar que no se ha


eliminado la realización de auditorías, en el sub numeral 4.5.1, del
numeral 4.5 Auditabllldad, del Artículo 4° de las Garantías técnicas de
las Soluciones Tecnológicas, se dispone que las auditorías se
pueden realizar en las diferentes etapas del proceso electoral:

4,5 Aíiditabilidad
Poseen !a cuaiidad de trazabiíldad auditabie, garantizando ei adecuado y
- .. seguro registro de e\^r!tos.y.fe"ansacc!on6s en. e! procsao.de generación.y
remisión de información, mediante reportes generales de consultas y rerartes
del log (bitácora) o los svsntos por fecha y tipo ds documento o infarmación,
entre oti-os. Esta informadón debe ser halíerabfe e íntegra y encontrarse
disponible para cualquier auditoría o en si momento que sea requenda,

4.5.1 La auditoría de ias Soiuciones Tecnológicas de Voto Electrónico se


podrá realizar en las diferentes etapas del proceso electoral, según lo
detefrr,ine la OKPE a írasésdel documento de gestión comsspondienie.

1.1.2 En relación a ias auditorías externas, se debe mencionar que para las
ERM 2018 se ejecutó el "Servicio de Auditoría de Soluciones
Tecnológicas - ERM 2018", que comprende ai Voto Electrónico
Presencial y considera lo siguiente:

a) Entendimiento de los procesos.

• Flujo del proceso


e Componentes del proceso
• Terminales del proceso
• Transferencia de información
• Procesamiento de información

b) Pruebas de funcionalidad y seguridad para el HW y SW e


identificar hallazgos antes del proceso electoral.

• Análisis técnico en base a ios criterios de los estándares de


seguridad iSO 27034 y estándares internacionales: iSO 27001,
ISO 27002, iSO 27035 e ISO 31000.

o) Identificar hallazgos después del proceso electoral.

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
wjvw.onpe.gob.pe

\
crtiHA nASsnMi ec.><eRC('^ «ucnmui

• En base a los criterios de los estándares de segundad ÍSO


27034 y estándares internacionales: ISO 27001, ISO 27002,
ISO 27035 e ISO 31000.

• El Servicio fue ejecutado por el proveedor PRIME


PROFESIONAL S.A.C. el mismo que se realizó en un plazo de
cincuenta (50) días calendarios, contabilizados de la siguiente
manera treinta (30) días antes y veinte (20) días posteriores al
día del proceso electoral ERM 2018 llevado a cabo el 07 de
octubre de 2018; formalizándose como fecha de inicio del
servicio el 07 de setiembre de 2018 y como fecha de fin de
servicio el 27 de octubre.

El Informe final fue entregado en Mesa de Partes con fecha 29


de octubre de 2018.

1.1.3 Es preciso señalar que, los resultados de las anteriores auditorías de


Voto Electrónico Presencial se encuentran publicadas en la página
web institucional: https://wwv/.onpe.qob.pe/elecciones/innovaciones-
tecnoloqicas/, según el siguiente detalle:

a) La Solución Tecnológica de Voto Electrónico Presencial utilizada


para las Elecciones Generales 2011, fue evaluada por la.
Secretaría General de la Organización de los Estados Americanos
(SG/OEA), mediante un servicio de "Auditoría Integral al Software
de la Solución Tecnológica del Voto Electrónico Creado por la
Oficina Nacional de Procesos Electoraies en la República de
Perú".

b) La Solución Tecnológica de Voto Electrónico Presencial utilizada


para las Elecciones Generales 2016, fue evaluada por la Empresa
PRIME Profesional mediante un "Servicio de Auditoría de
Seguridad en el Proceso de Voto Electrónico".

c) La Solución Tecnológica de Voto Electrónico Presencial utilizada


para las Elecciones Generales 2016 también evaluada por la
empresa Binario mediante un "Servicio de Ethical Hacking EG
2016", a través del "Segundo Escaneo y Test de Penetración -
Red Electoral. Escaneo de 02 máquinas de Voto Electrónico".

d) La Solución Tecnológica de Voto Electrónico Presencial utilizada


en el marco de las Elecciones Universitarias a las cuales la ONPE
brindó asistencia técnica, fue auditada por la empresa KUNAK
Consulting SAC mediante un "Servicio de Auditoria del Proceso de
Electrónico"(Seguridad Informática).

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
«noM» t>*gi3»us,«c isucTsum

Teniendo en consideración todo lo antes expuesto, se encuentra


acreditado y sustentado que la Solución Tecnológica de Voto
Electrónico es auditable.

1.1.4 Con motivo del REFERENDUM NACIONAL 2018 la CITE mediante


MEMORANDO N° 003689-2018-GITE/ONPE solicitó a la Sub
Gerencia de Logística la contratación de un "Servicio de Auditoría de
Código Fuente del Voto Electrónico Presencial (VEP) - Referendum
Nacional 2018", a fin de reaiizar la auditoría de seguridad al proceso
de voto electrónico y cómputo de resultados electorales, según Pedido
de Servicio PS 2974-REF2018.
Sin embargo, durante la etapa de indagación de mercado a cargo de
la GAD, no se presentaron postores y en consecuencia no se contaba
con propuestas técnicas; en razón de lo cual, de persistir en la
contratación y ejecución del servicio, el mismo se hubiera realizado en
plazos-exíemiporáneos a los previstos-para su cumplimiento; por-lo
que, la GITE mediante MEMORANDO N° 004393-2018-GITE/ONPE
se vio en la necesidad de desistir del referido servicio.

1.1.5 Asimismo, las organizaciones políticas a través de sus personeros


técnicos tienen acceso al software y al código fuente a través de
la Sala Multipropósitos que para esos efectos es implementada en la
sede central de ONPE, según se advierte del sub numeral 4.2.1, del
numeral 4.2 Acceso a la información, del Artículo 4° de las Garantías
técnicas de las Soluciones Tecnológicas

4.2 Acceso a la infonnación

4.2.1 La ONPE facilita el acceso en sus instalacions-s a las oi^anizaGiones


políticas y organizaciones de observación electoral qtie lo soliciten, para
la revisión de las equipos etectrónicos, del código fuente y softrvara,
pudisndo formular las observaciones que correspondan, de
conformidad con ios doóimentós de gestión que para ta! fin elabore ia
ONPE.

1.1.6 Sobre el particular, como parte de las actividades con miras a las
Elecciones Regionales y Municipales 2018, Segunda Elección
Regional 2018 y el Referéndum Nacional 2018, la Sub Gerencia de
Innovación, Investigación y Desarrollo - SGIID ha habilitado una vez
más, la Sala Multipropósito que tiene como objetivo que los
personeros técnicos de las organizaciones políticas; así como, los
observadores nacionales e internacionales puedan realizar pruebas
funcionales y verificar el código fuente de las soluciones tecnológicas
electorales.

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima -1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
CTTOi» 1»C33*«U e» %l«rKí«Uf?

1.1.7 El alcance de la Sala Multipropósito comprende lo siguiente:

a) Pruebas Funcionales: El personal de la GITE realiza la


demostración del flujo básico de las soluciones tecnológicas
electorales (VER, SEA y Sulte Electoral), a fin que luego los
personeros técnicos de las organizaciones políticas realicen las
pruebas que consideren necesarias, en el marco del flujo
presentado, contando para ello con el soporte de los especialistas
de la ONPE, de ser necesario.

Se realizaron tomando en consideración varios escenarlos que se


presentan en la jornada electoral y el control de la solución
tecnológica de VER que cuenta para garantizar la continuidad del
proceso electoral.

b) Demostración de Código Fuente: En un ambiente seguro los


personeros técnicos de las organizaciones políticas pueden
verificar el código fuente de las soluciones tecnológicas
electorales (VER, SEA y Sulte Electoral), para ello, personal de la
Subgerencla de Rroyectos Electorales de la Gerencia de
Informática y Tecnología Electoral se encarga de brindar el
soporte y la explicación técnica correspondiente.

La Sub Gerencia de Rroyectos Electorales brindo el acceso al


código fuente de las soluciones tecnológicas electorales (VER,
SEA y SCORE), para ello se habilitaron los equipos de cómputo
con las medidas de seguridad necesarias. La demostración del
código fuente se realizó con la explicación a detalle de cada línea
de código de las soluciones.

1.1.8 La Sala Multipropósito para la ERM2018 estuvo habilitada durante el


período comprendido entre el 18 al 27 de septiembre de 2018;
mientras que para la SER y RN2018 estuvo habilitado desde el 22 al
29 de noviembre de 2018.

ÍTEíVl ELECCIÓN TIPO PARTICIPANTE CANTIDAD

01 OBSERVADORES 10

ERM2018 PERSONEROS DE AGRUPACIONES


02 31
POLÍTICAS

03 OBSERVADORES 10

SERY RN 2018 PERSONEROS DE AGRUPACIONES


04 05
POLÍTICAS

Entre los visitantes a la Sala Multipropósitos podemos señalar a los


siguientes:

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
t.vww.onpe.gob.pe
«rcna «mcn*»;,e«

> Auditores
• PRIME PROFESIONAL AUDITORES DE LAS SOLUCIONES
TECNOLÓGICAS DE VOTO ELECTRÓNICO.

> Fiscalizadores
. JURADO NACIONAL DE ELECCIONES

> Integrantes del Sistema Eiectorai


• RENIEC

> Organismos constitucionalmente autónomos


. DEFENSORÍA DEL PUEBLO.

> Organismos internacionales


• . IDEA Internacional

> Observadores internacionales


• OBSERVACIÓN TÉCNICA HONDURAS.

> Organizaciones Políticas

DEMOCRACIA DIRECTA.
UNIÓN POR EL PERÚ.
FUERZA POPULAR.
SIEMPRE UNIDOS.
PERÚ PATRIA SEGURA.
PERUANOS POR EL KAMBIO.
MOVIMIENTO POLÍTICO DISTRITAL VIVA LA MOLINA.
TODOS POR EL PERÚ.
MOVIMIENTO POLÍTICO DISTRITAL PUNTA NEGRA.
PERÚ PATRIA SEGURA CALLAO
ALIANZA PARA EL PROGRESO
FRENTE POPULAR AGRÍCOLA FIA DEL PERÚ - FREPAP
PARTIDO DEMOCRÁTICO SOMOS PERÚ
PARTIDO APRISTA PERUANO
AGRUPACIÓN LUCHO POR SURQUILLO
PERÚ LIBERTARIO
PARTIDO DEMOCRÁTICO SOMOS PERÚ
TODOS POR BELLAVISTA
MOVIMIENTO ACCIÓN NACIONALISTA PERUANO MANPE
(ANOASH)

1.1.9 Del mismo modo, en el marco de las Elecciones Generales 2016 para
la elección del Presidente de la República, Vicepresidentes, de los
Congresistas de la República y de los representantes peruanos ante el
Parlamento Andino; así como, para la Segunda Elección Presidencial
2016, también se habilitó la Sala de Personeros y Observadores, que

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe

\U
recibió la visita de las organizaciones y misiones, además de la
fiscalización del Jurado Nacional de Elecciones, que se indican a
continuación:

ELECCION TIPO PARTICIPANTE CANTIDAD

OBSERVADORES 18
EGPA2016
PERSONEROS DE AGRUPACIONES POLÍTICAS 32

OBSERVADORES 15
SEP 2016
PERSONEROS DE AGRUPACIONES POLITICAS 09

Entre los visitantes podemos señalar a los siguientes grupos:

> Observadores
UNASUR.
UNIÓN EUROPEA.
CEA.
TRANSPARENCIA.

Agrupaciones Políticas
ALIANZA POPULAR.
ALIANZA PARA EL PROGRESO.
ACCIÓN POPULAR.
PERUANOS POR EL KAMBIO.
FUERZA POPULAR.
FRENTE ESPERANZA.
DEMOCRACIA DIRECTA.

1.1.10 En ese sentido, debemos señalar que la habilitación de la Sala


Multipropósitos durante el 2018 y la habilitación de la Sala de
Personaros y Observadores durante el 2016 ha permitido atender a un
total de 131 actores electorales, según el siguiente detalle:

ELECCIÓN TIPO PARTICiPANTE CANTIDAD

OBSERVADORES 15
ERM2018
PERSONEROS DE AGRUPACIONES POLÍTICAS 31

OBSERVADORES 09
SERY RN 2018
PERSONEROS DE AGRUPACIONES POLÍTICAS 02

OBSERVADORES 18
EGPA 2016
PERSONEROS DE AGRUPACIONES POLÍTICAS 32

OBSERVADORES 15
SEP 2016
PERSONEROS DE AGRUPACIONES POLÍTICAS 09

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe

\T
«no*»» «tfs.tww «r Kucnmun

recibió la visita de las organizaciones y misiones, además de la


fiscalización del Jurado Nacional de Elecciones, que se indican a
continuación:

ELECCION TIPO PARTICIPANTE CANTIDAD

OBSERVADORES 18
EGPA 2016
PERSONEROS DE AGRUPACIONES POLÍTICAS 32

OBSERVADORES 15
SEP 2016
PERSONEROS DE AGRUPACIONES POLÍTICAS 09

Entre los visitantes podemos señalar a los siguientes grupos:

> Observadores
UNASUR.
UNIÓN EUROPEA.
CEA.
TRANSPARENCIA.

> Agrupaciones Políticas


ALIANZA POPULAR.
ALIANZA PARA EL PROGRESO.
ACCIÓN POPULAR.
PERUANOS POR EL KAMBIO.
FUERZA POPULAR.
FRENTE ESPERANZA.
DEMOCRACIA DIRECTA.

1.1.10 En ese sentido, debemos señalar que la habilitación de la Sala


Multipropósitos durante el 2018 y la habilitación de la Sala de
Personeros y Observadores durante el 2016 ha permitido atender a un
total de 131 actores electorales, según el siguiente detalle:

ELECCIÓN TIPO PARTICIPANTE CANTIDAD

OBSERVADORES 15
ERIV12018
PERSONEROS DE AGRUPACIONES POLÍTICAS 31

OBSERVADORES 09
SERY RN 2018
PERSONEROS DE AGRUPACIONES POLÍTICAS 02

OBSERVADORES 18
EGPA 2016
PERSONEROS DE AGRUPACIONES POLÍTICAS 32

OBSERVADORES 15
SEP 2016
PERSONEROS DE AGRUPACIONES POLÍTICAS 09

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central;(511)417-0630
www.onpe.gob.pe
«rcaiA «oojKMc se tucR»vun

1.2 En cuanto a la manipulación de resultados, en el numeral 2.4 la recurrente


afirma:

"... esto no debería ser visto únicamente desde un enfoque respecto a la supresión
de auditorías en el proceso electoral, sino de la posible manipulación de
resultados en el proceso electoral y esto conllevarla a que se genere
incertidumbre o si los resultados han sido alterados o consecuencia de un
posible fraude electoral, ...". (El resaltado es nuestro).

1.2.1 Al respecto, esta Gerencia cumple con precisar que nuestras


soluciones tecnológicas son robustas y seguras; en ese sentido, no es
posible la manipulación de resultados, conforme se da cuenta a nivel
de las garantías técnicas, de conformidad con lo dispuesto por el
numeral 4.4 Seguridad Técnica del Artículo 4° del Reglamento de Voto
Electrónico:

4.4 Seauridad Técnica

(...)

4.4.2 Registran y generan data fiable, autentica, disponible e integra, a fin que
la observación electoral sea óptima y transparente; para silo la ONPE
preserva los datos registrados frente a posibles Incidentes de seguridad
en los sistemas, posibllíando su recuperación y continuidad de la
operación,durante e! proceso etectoral.

4-4.3 Aseguran te protección del voto errillido confra la intervención e


influsnda de medios .extemos que puedan alterar el contenido del
mismo.

(...)

A ese respecto, la GITE ha puesto a disposición en la Sala


Multipropósitos la Suite de Computo de Resultados Electorales, a fin
de dar a conocer las condiciones de seguridad de la Solución
Tecnológica, de manera tai que se evidencie el flujo del procesamiento
de las actas electorales, la integración y consolidación de la
información de los resultados en la Sede Central y Centros de
Cómputo, incluyendo la integración de resultados de las Soluciones
Tecnológicas de Voto Electrónico (STVE), como son él SEA y el VEP.

Asimismo, en la referida sala se cumple con efectuar la demostración


del proceso de digitalización de la lista de electores que servirán de
entrada para el registro de omisos, la emisión de reportes con
resultados electorales de acuerdo al tipo de elección procesada y la
digitalización de documentos electorales.

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe

y?
y*

4.4.5 Durante el proceso electora! y en especial durante la jomada electoral,


los equipos electrónicos deberán ser ubicados en zona segura que
permita tener vigllaneia contra eventuales amenazas y/o incidentes ds
seguridad de la información, impidiendo la interferencia de cualquier
^po.

4.4.6 Los procedimientos que apoyen los planes de continuidad y seguridad


deben establecer ¡a opsratividad de las df'/ersas Soluciones
Tecnológicas de Voto Electrónico y la continiádad ds! proceso,
permitiendo la emlston ODortuna v eficaz de tos resultados electorales.

1.2.2 Para mayor detalle, la Sub Gerencia de Proyectos Electorales


mediante el documento b) de la referencia, precisa las condiciones
técnicas de seguridad impíementadas respecto al tratamiento de los
datos, a la composición y configuración del sistema operativo, a la
programación de la aplicación, a ios controles de la transmisión; así
como del equipo.

a) Seguridad de datos
El almacenamiento de datos se encuentra protegido por
procedimientos que utilizan un algoritmo de cifrado, según detalle:

Tabla N° 01
Componentes con Algoritmo Cifrado

Tipo de Aigoriímo de
Nombre da! componente
componente cifrado
Cabina de Votación
Tableta AES-128
Electrónica(OVE)
Estación de Comprobación de
Tableta AES-128
identidad (ECI)
Dispositivo de respaldo (micro
Dispositivo AES-123
SD)dei CVE
Dispositivo de respaldo (.uícto
DispositK'o AES-128
SO)dei ECi

Dispositivo iJSB de configuración 3DES-128

Dispositivo Tarjeta de configuración 3DES-12e

USB de transmisión de
Dispositivo RS.A-Base64
instaiación

USB de transmisión de
Dispositivo RS.A-Base64
resuitados

Dispositivo Tarjeta de administración 3DES-128

Dispositivo Tarjeta de acir/acién 3DES-12S

b) Seguridad de sistema operativo


El sistema operativo "ONPEDROID" está basado en Android
Kitkat 4.4, que fue desarrollado a medida para que soporte el

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central;(511)417-0630
www.onpe.gob.pe
proceso de voto electrónico presencial, eliminando
funcionalidades innecesarias según el siguiente detalle:

Tabla N° 02
Detalle de ONPEDROID

FUNCIONALIDAD CONDICIÓN
Principal Eliminado
Cáfnsra
Frontal Eliminado

wifi Biíspi Eliminado

Blueíooth Eliminado
Conecfívidad
GPS Eliminado

NFC Eliminado

Sensores Movimiento Eliminado

Barra de notfficadones Eliminado


Servicios y
aplicaciones
Barra de navegación Eliminado" 1
Apilcadones Deshabiiitado
|

c) Seguridad de la aplicación
El sistema operativo "ONPEDROID" fue desarrollado bajo
estándares y buenas prácticas de programación segura; su
estructura y servicios implementados se describen a continuación:

• Cabina de Votación Electrónica (OVE)

o Configuración
Módulo encargado de realizar la configuración de la OVE,
para lo cual se registra el código del equipo.

Esta configuración utiliza la Tarjeta Inteligente de


Configuración y el USB de configuración, los cuales deben
encontrarse previamente vinculados.

El Servicio de Smart Oard obtiene las credenciales de la


tarjeta y procede a descifrar la información del USB, con
dicha información se configura la OVE, la credencial de
cifrado se encuentra en la Tarjeta.

o Diagnóstico
Módulo encargado de realizar la verificación de la
sincronización de la fecha y hora del equipo; así como, de
verificar la cédula y versión del software.

Adicionalmente, comprueba la operatividad de los


dispositivos de hardware que componen la CVE; así como.

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr, Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
ti.

wwaa ií*5i3«*i.s* íuckcuasi

verifica que los servicios de software se encuentren


operativos. De encontrarse todo conforme, se emite el
Reporte de Diagnóstico el cual garantiza que el equipo fue
correctamente diagnosticado.

o instalación y puesta a cero


Módulo encargado de la instalación y puesta a cero de la
CVE a cargo de los Miembros de Mesa, que utiliza los
datos de la tarjeta administrativa para verificar que la fecha
del proceso electoral es conforme y realizar la puesta a
cero de la CVE, en donde se establece el Número de Mesa
y las credenciales de cifrado.

o Emisión de Votos
Módulo encargado de la visualización de las cédulas, éstas
son configuradas por cada elección.-

El módulo se activa con la tarjeta de activación,


permitiendo mostrar la cédula para que el elector
seleccione sus opciones; la selección de las opciones de la
cédula es almacenada en memoria hasta la confirmación
por parte del elector, momento en que se envía el mensaje
al servicio de almaoén de datos para que proceda a
guardar el voto en forma aleatoria; luego de ello, se
desactiva la tarjeta y se envía el mensaje al servicio de
impresión para que se genere la constancia de votación,
finalizando la emisión del voto.

Cuando el elector retira la tarjeta de activación se borran


todos los datos de la memoria.

o Cierre de cabina de votación


Módulo encargado de realizar el cierre y totalización de los
votos.

La totalización de los votos (resultados) es almaoenada en


la tarjeta inteligente de administraoión, que servirá para la
elaboraoión de las actas de escrutinio, luego se imprime el
reporte de resultados para garantizar que los datos
trasportados en la tarjeta sean los mismos del acta.

Estación de Comprobación de la identidad (ECi)

o Configuración y Diagnóstico
Módulo encargado de realizar la configuración de la ECI,
para ello se utiliza la Tarjeta Inteligente de Configuración y
el USB de configuración.

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.p8

3^
El servicio de Smart Card obtiene las credenciales de la
tarjeta y procede a descifrar la información del USB, con
dicha información es configurada la ECi. Sólo se puede
utilizar la Tarjeta inteligente y USB correctos ya que la
credencial de cifrado se encuentra en la Tarjeta.

Instalación
Módulo encargado de la instalación de la mesa, configura
la tarjeta inteligente de administración que establece el
número de mesa y que genera una credencial de forma
aleatoria, la cual se utiliza para el cifrado de los datos de la
CVE y la ECI.

Sufragio
Módulo encargado de la identificación de los electores,
quienes se identifican con su DNl, que puede ser
Ingresado utilizando el lector de códigos de barra o el
teclado virtual.

El miembro de mesa con ayuda de la foto, identifica al


elector y procede a activar la Tarjeta de Activación, luego
el Servicio de Almacén envía una credencial cifrada (con la
clave creada en la instalación).

Como esta clave es compartida en la instalación con la


CVE y la ECI, cuando el elector se acerque a la CVE la
credencial podrá ser descifrada, con ello se garantiza que
viene de la mesa correcta.

Escrutinio
Módulo encargado de realizar el escrutinio en base a los
datos obtenidos del cierre de la CVE que se encuentra en
la tarjeta de administración. En base a la referida
información se generan las Actas de Escrutinio y el USB de
trasmisión de resultados.

O Verificación de Votos
Módulo encargado de realizar la validación de votos. Los
votos se encuentran registrados en la constancia de
votación que fue impresa en la CVE,

Las constancias de votación son extraídas del ánfora y con


ayuda del lector de códigos de barra son contabilizadas, el
aplicativo visualiza y registra los datos hasta que se finaliza
el proceso, a fin de imprimir el reporte de verificación.

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
w jwoííw* *uc70«4Ar>

• Servicios

o Servicio de Almacén de Datos


La CVE, se encarga de almacenar los votos y credenciales
utilizadas. Al realizar la puesta a cero se garantiza que
todos los datos en estas dos (2) tabletas se encuentran
limpias para iniciar el sufragio. Cuando el elector confirma
el voto, este servicio escoge una posición en forma
aleatoria para almacenar el voto, con eso garantizamos
que dicho voto no guarde un registro de trazabilidad; de
igual modo, en la tabla de credenciales se escoge una
posición aleatoria para almacenarlo.

En la ECl, se registran los ciudadanos que se identifican, lo


cual es utilizado para el registro,de omisos. En la tabla de
credenciales se actualizan las credenciales que se van
utilizando.

Todos estos datos, tanto en la ECl como en la CVE, son


cifrados con la clave creada en la etapa de instalación de
la mesa.

o Servicio de Smart Card


Encargado de leer las tarjetas inteligentes, detecta todas
las tarjetas que son Ingresadas a la CVE y ECl. Identifica
cada una de ellas y envía, al módulo que lo ha invocado, la
información sobre aquellas que no son identificables,
muestra el mensaje de error y no permite realizar ninguna
acción.

o Servicio de USB
Encargado de leer los USB. Detecta todas los USB que
son ingresados en la CVE y ECl, Identifica cada una de
ellos y envía al módulo que lo ha invocado, la Información
sobre aquellos que no son Identificables, muestra el
mensaje de error y no permite realizar ninguna acción.

o Servicio de Impresión
Encargado de realizar las impresiones de los diferentes
reportes tanto en la CVE y ECl. Recibe los datos de los
diferentes módulos y lo envía a la impresora.

6 Datos

o Configuración de Elección
Información que sirve para la configuración del proceso
electoral y que es obtenida mediante la Tarjeta de

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
WííhA HtCXtUM ec!«00-K4 «ucmuui

Configuración y el USB de Configuración, dicha


información se encuentra cifrada

o Padrón Electoral
información que sirve para ia identificación de ios electores
y que es obtenida mediante ia Tarjeta de Configuración y ei
USB de Configuración, dicha información es cifrada con ia
tarjeta de configuración.

o Miembros de Mesas
información que sirve para ia identificación de ios
miembros de mesa y que es obtenida mediante ia Tarjeta
de Configuración y ei USB de Configuración, dicha
información es cifrada con ia tarjeta de configuración.

o Trasmisión de Instalación y resultados


Datos de las Actas de Instalación, Sufragio y Escrutinio,
que son generados y cifrados, se genera en ei USB de
Trasmisión para luego llevarlos ai Punto de Trasmisión del
Local de Votación.

d) Seguridad en transmisión de datos


Controles de seguridad aplicados ai proceso de transmisión de
datos son:

• Acceso ai sistema
Control que permite ei acceso ai sistema luego de verificar ia
existencia de ios datos de usuario.

• Verificación de versión
Control que permite verificar si ia versión de aplicación
instalada en ei equipo de transmisión (LOCAL)corresponde ai
código hash mostrado en pantalla, ei cual debe ser ei de ia
última versión generada en producción (REMOTA).

• Ejecución de resultados en cero


Control que permite realizar ia iniciaiización del sistema o
puesta a cero. Esta acción se efectúa a nivel de base de
datos (reinicia estado de mesas y usuarios de transmisión).

• Transmisión de datos
Control que permite realizar ia transmisión de datos utilizando
protocolos criptográficos SSL (Secure Sockets Layer) que
proporcionan comunicaciones seguras a través de redes
públicas.

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
ww/w.onpe.gob.pe
eriTBe» S« HR'Ma'W* ÜlSCTOUi»'»

Tabla N° 03
Descripción SSL

Pki Transmision.fxml

Descripción: Java Security Valida que el servidor web al que se conecta


tiene un certificado SSL cliente autorizado.
Envía el Certificado SSL de cliente ubicado en el dispositivo
USB para su validación en el Web Service.
Librerías: Java SE Security

e) Seguridad del equipo


El KÍT de VEP está compuesto de dos (2) módulos: la Estación de
Comprobación de Identidad (ECl) y la Cabina de Votación
Electrónica .(CVE), ambos módulos . tienen . las . siguientes
condiciones de seguridad:

• Caja de metal con llave, donde se ubican los componentes


electrónicos.

• La Caja de Metal cuenta con un precinto adhesivo de


seguridad numerado.

• La manipulación sólo es por personal autorizado, llevándose


registro de los incidentes a través del Centro de Soporte
Informático de la GITE.

• Equipo supervisado por personal técnico y custodiado por


personal de seguridad en los lugares donde se encuentren.

f) Políticas de seguridad
• Se aplicaron las Políticas de Seguridad de la Información
aprobadas con Resolución Jefatural N° 370-2015-J/ONPE de
fecha 22 de diciembre de 2015.

• En el desarrollo del Software se aplicaron las políticas de


desarrollo seguro establecidas en la 0D21_GITE/GC Política
de desarrollo seguro.

1.2.3 Al respecto del cuestionamiento a la implementación del voto


electrónico y con ello a los factores de transparencia, seguridad,
confiabilidad y legalidad del proceso de votación, la Sub Gerencia
de Infraestructura y Segundad Tecnológica - SGIST en concordancia
con sus competencias, indica como factores de seguridad los
siguientes:

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
"tí.

<#«Bel**03ÍUÍ «l»«»CÍW* ífcECTBWiTJ

a) Seguridad a nivel del canal de comunicación de transmisión


de resultados electorales

La ONPE a través de un concurso público selecciona al proveedor


que se ha de encargar de Implementar las telecomunicaciones
entre la Sede Central y las Sedes Remotas, haciendo uso de
algoritmo de cifrado (AES''256).

Los enlaces de telecomunicaciones implementados sobre la


Infraestructura del contratista son privados, es decir, solo son
creados para la red de la ONPE. Sobre los enlaces privados se
Implementan canales cifrados, haciendo uso de algoritmos de
cifrado, dotándolos de un nivel adicional de seguridad.

b) Seguridad a nivel de estaciones de transmisión de resultados


Los equipos destinados para esta actividad,- requieren la
contraseña de la cuenta de acceso al sistema operativo y
contraseña de acceso a la aplicación electoral, lo que garantiza
que solo el personal autorizado puede realizar las actividades de
transmisión.

o) Seguridad a nivel de Servidores de Base de Datos


Los servidores de base de datos se encuentran protegidos por
equipos de seguridad perimetral de red de datos. En ese sentido,
solo las aplicaciones electorales tienen acceso a la base de datos.

El personal de base de datos realiza el monitoreo constante al


rendimiento y acceso a los servidores de base de datos.

d) Seguridad a nivel de servidores de Aplicaciones


Los servicios web publicados para el proceso electoral, han sido
Implementados haciendo uso de certificados digitales SSL^, con la
finalidad de identificar el servidor y el cliente, estableciendo una
comunicación cifrada, que permite proteger la información que
viene una vez más cifrada por la aplicación.

e) Seguridad a nivel de control de accesos


Los accesos a las estaciones de trabajo de la red electoral (red de
datos Implementada para el proceso electoral), son administradas
a través de un Directorio Activo^ software gestor de accesos, el
que permite gestionar las cuentas de red para los usuarios.

■' AES 256: Es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno
de los Estados Unidos

2 SSL: Las siglas SSL responden a los términos en inglés (Secure Socket Layer), el cual es un protocolo
de seguridad que hace que sus datos viajen de manera íntegra y segura.

® Directorio Activo: Es un servicio de directorio en una red distribuida de computadores. Utiliza distintos
protocolos, principalmente LDAP, DNS, DHCP y Kerberos y donde se crean objetos tales como usuarios,

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central: (511) 417-0630
www.onpe.gob.pe
Las contraseñas de acceso son entregadas en sobres ciegos y
cambiadas en el primer acceso

f) Seguridad perimetra!
La seguridad perimetral de la red electoral es gestionada a través
de equipos de seguridad de red tales como Firewail e IPS; así
mismo, las configuraciones de los equipos ruteadores y
conmutadores son revisadas y validadas antes de su puesta en
producción.

Los equipos de seguridad perimetral protegen a los servidores de


los ataques informáticos externos e internos.

g) Equipos de VE
Las Cabinas de Voto Electrónico (OVE) y Estaciones de
Comprobación de Identidad (ECl), así como la preparación de
tarjetas y dispositivos y laptops de transmisión y sufragio son
realizados en líneas de producción acondicionados con controles
de calidad en cada una de las etapas de acondicionamiento y
configuración.

Esta actividad es apoyada a través del uso de la herramienta


ERP'' de equipos institucional, la misma que ha sido desarrollada
por la ONPE.

h) Factor de Transparencia
Todas las aplicaciones electorales utilizadas para el
procesamiento y publicación de resultados pasan por estrictas
pruebas de calidad de desarrollo de software y pruebas de
ataques informáticos, que garantizan que los resultados
electorales y la publicación de actas electorales sean el fiel reflejo
de la voluntad popular.

i) Servicios de Ethica! Hacking® contratados


Desde el año 2014 a la fecha se han contratado con motivos de
procesos electorales un total de nueve (09) servicios de Ethical

equipos o grupos, con el objetivo de administrar ios inicios de sesión en los equipos conectados a la red,
así como también la administración de políticas (privilegios) en toda ia red
" ERP; Herramienta impiementada por ia ONPE, que permite realizar un estricto control de los equipos de
VE que se han de entregar a la Gerencia de Gestión Electoral para su despliegue a nivel nacional.

^ Pruebas de Ethical Hacking: Por medio de las pruebas de Ethical Hacking se pretende identificar ios
riesgos asociados a los servicios de ia organización desde una perspectiva interna o externa al negocio
bajo escenarios definidos (Usuario interno, contratista, etc.) y con un conocimiento mínimo de ios
servicios. Estas pruebas nos ayudarán a identificar y/o prevenir la explotación de las vulnerabilidades de
codificación más comunes en ios procesos de desarrollo de software o en la infraestructura que la
soporta.

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
«tjfcciswt erswüscsvH n«rwvun

Hacking, que permitieron poner a prueba las medidas" de


seguridad adoptadas en la red de datos electoral.

Tabla N° 05
Servicios de Ethica! Hacking

N° DESCRIPCIOM PROCESO CONTRATO / EMPRESA


ORDEN DE
SERVICIO

1 SERVICIO DE ETHICAL HACKING - ERM - 2014 ERM -2014 C-177 TELEFÓNICA INGENIERÍA DE
SEGURIDAD S.A.SUCURSAL DEL PERtí

2 SERVICIO DE ETHICAL HACKING - NEM 2014 NEM 2014 OS-222 l-SEC INFORMATION SECURITY DEL
PERUS.A.C

3 SERVICIO DE ETHICAL HACKING - CNM 2015 CNM - 2015 C-21 KUNAC CONSULTING S.A.C.

4 SERVICIO DE ETHICAL HACKING - EG 2016 EG -2015 C-102 BINARIO S.A.C.

5 SERVICIO DE ETHICAL HACKING - EM 2017 EM - 2017 OS -160 KUNAK CONSULTING S.A.C

6 SERVICIO DE ETHICAL HACKING - CPR 2017 CPR-2017 OS - 304 KÜNAK CONSULTING S.A.C

7 SERVICIO DE ETHICAL HACKING - EM DIC 2017 EM DIC - 2017 OS - 568 KUNAK CONSULTING S.A.C

8 SERVICIO DE ETHICAL HACKING - ERM 2018 ERM - 2018 OS-497 KUNAK CONSULTING S.A.C

9 SERVICIO DE ETHICAL HACKING - REFERENDUM REF -2018 OS-1163 KUNAK CONSULTING S.A.C
NACIONAL 2018

1.2.4 Así mismo la Sub Gerencia de Operaciones Informáticas mediante el


documento c) de la referencia, precisa además que los resultados no
pueden ser alterados, debido a que se siguen escrupulosos controles
a nivel de la generación, transmisión y procesamiento de actas
electorales, según el siguiente detalle:

a) El acta electoral generada en la mesa de sufragio, es firmada


digitalmente por los miembros de mesa.

b) El acta electoral es impresa y firmada manuscrita por los


miembros de mesa, se entrega cinco (05) ejemplares (JNE, JEE,
ONPE, ODPE, Representantes de las Organizaciones Políticas), y
un ejemplar a los personaros que lo soliciten.

c) El cartel de resultados generado e impreso en la mesa de


sufragio, es pegado en la entrada del aula de votación.

d) Los resultados y los documentos electrónicos del acta electoral,


son transmitidos a la sede central de la ONPE e integrados al
centro de cómputo correspondiente, para culminar su
procesamiento.

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
7-0'

«4kC33tU« s<t «UTTtnUIl

e) Finalmente se genera la microforma digital con valor legal que


conformará el Expediente Electoral Electrónico.

Imagen N° 01

TRANSMISION DE RESULTADOS DESDE LOS LOGALES DE


VOTACIÓN Y CENTROS DE CÓMPUTO.
ONP£-ScDe
C£^f^RAL

Pvbliuaon
SEA TX de re5ulta¿c4
Doeurr^fos

i.f

w^ís-
"'C¿W«3UOACÍÓ« ^
'o.t ^-1:
f,;;]. C£?4TRp,C€C0MPüTO- -., MfCñOfORMAS
■; -.I^omcmos , ' Do«^««tps,, rEXPfDfEKTH' •
i. Skctrcfíicos £l£CTOa¡U.
ELzCuamcoi
CONVSííCCNiL

é; £l«clor<ales

f) El documento físico del acta electoral firmada manuscrita por los


miembros de mesa, es trasladada al centro de cómputo para su
procesamiento, el cual consiste en la digitalización del acta y
control de calidadG que, se realiza comparando los resultados
transmitidos con los datos que figuran en la imagen del acta.

® Según Instructivo IN01-GITE/SCE Procesamiento de Actas en el centro de cómputo, numeral 5.2.5,


literal b, "Las actas electorales provenientes de las soluciones tecnológicas de voto electrónico, después
de ser digitalizadas pasaran por el Primer y Segundo Control de Calidad para luego ser clasificadas.
Dichas actas no requieren ser digitadas debido a que ya fueron transmitidas desde los locales de
votación".

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central: (511) 417-0630
www.onpe.gob.pe
A »»cmui S* mocs-w^ tU09tU.I1

Imagen N° 02

PROCESAMIENTO DE ACTAS ELECTORALES

tocALoevcTAacN CEFIRO DE CÓMPUTO

&C3
SEA

llr
(UseftisteB**

KKÍb^MUS u^cxoftiec Aftts EíKartttf

vas

5 ccimmmu.

g) Luego de que las actas electorales son procesadas en los centros


de cómputo, éstos son transmitidos a los Servidores Nación para
la consolidación de resultados y publicación en la página web
institucional. Finalmente se genera la microforma digital con valor
legal como parte del Expediente Electoral Electrónico.

Todas las aplicaciones electorales utilizadas para el


procesamiento y publicación de resultados pasan por estrictas
pruebas de calidad de desarrollo de software y pruebas de
ataques informáticos, que garantizan que los resultados
electorales y la publicación de actas electorales sean el fiel reflejo
de la voluntad popular.

1.2.5 Adicionalmente, la SGOl precisa que, se cuenta con el procedimiento


de "verificación de votos" como parte de la Solución Tecnológica de
Voto Electrónico Presencial, que permite evidenciar la fiabiiidad de
la solución a través de la comparación de ios resultados
registrados en el Acta de Escrutinio, obtenida por medios
electrónicos, con el resultado del conteo de las constancias de
votación electrónica presencial, contenidas en el ánfora.

Así mismo, en la sede central de la ONRE, a través del Centro de


Comando, se realiza el seguimiento a las transmisiones efectuadas
desde los Centros de Cómputo, así como la generación de copias de
respaldo en los Servidores Nación de la base de datos, a fin de
mantener disponible la información durante el procesamiento de
resultados.

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
OMPi
»>«rnnK c*

Mientras que, en tocios los locales de votación, los centros de cómputo


de las ODPEs Implementadas; así como, en la sede central de ONPE
se cuenta con la fiscalización de los representantes del JNE y la
observación de los nacionales y enviados de las misiones
Internacionales acreditadas.

1.2.6 Finalmente, debemos destacar, la opinión de especialistas


internacionales respecto a la solidez y confiabilidad del Voto
Electrónico Presencial, quienes en calidad de observadores
Internacionales han participado en las Elecciones Regionales y
Municipales - ERM2018

A continuación, se expone parte de los Informes donde se hace


referencia a la solución de VEP.

a) Misión Técnica Internacional (MTI)


También twimos oportunidad de ceíiveear con personeros y rr-tembros ds tas mesas, en
su mayoria jó^'snes, quienes expresaron su óenepiácito por el uso de fa urna electrónica y
la símpGddad en el empleo de ta misma, tanto en la insícladcn cono el funclonaralersto,
íncluyendc la impresión de la constancia qoese índuyeo en el ánfora. También consultamos
si la votadón elettrónica había sida un impedimento para tos votantes de adulto mayores;
sin erobar^o, sáto.una perscsna requirió de'apoyo de parte de les miembros ds ta Rissa,lo
que impica qus el empleo de la máquina electrónica ho es un obstacula para las personas
adultas mayores y mucho menos para los jdvénss votantes. Las consta ocias emitidas-por la
impresora se induían en las ánforas, come un rascanismo de seguridad adicional con. que
se pueden verifica» los votos emitidos electrónlcaroeríle.
Ilustración I - Extracto Informe Expertos Internacionales(MTI)

M susd'ío le parece que edste cúññsais entre los giectofes, espedalmentejérenes,que utitearofí
b urna elactrcpica .ito qut síplflíafa un ffsdo de clfioíltaá para b pctladón adulta mayc-r, piar lo
qus récciTsteBtia fe míiífauldad en é su «so.- Sin enibargo, desea destacar que d «piso msívo
estovo ctfflcsfii^do en 21 distólas ds Oms.

Ilustración 2 - Extracto Informe Expertos Internacionales(hUT)

b) Instituto Republicano Internacional (IR!)

E! voto electrónico fue todo un éxito en los lugares donde se utilizó y tiabrá que
seguir perfeccionando dicho procedimiento ya que la mayoría de gente
entrevistada sobre eí tema, mencionó estar a favor de la tecnología de esta
nueva experienda de votadón.
Ilustración 3 - Extracto Informe Expertos Internacionales (IRI)

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Centrai:(511)417-0630
www.onpe.gob.pe
» «Í«rST?*»¿ S(

c) Observación Técnica Honduras

Ofcjetívodaíañiisión

Dar una breve vfeiói? sc?bre la implemsníadpn de lai tecnologías que se utiearon en las
eSecdona y recomendar mejoras a ias mismas.
Ilustración 4 - Extracto Informe Expertos Internacionales(Honduras)

Ante todOj queremos dejar constancia qoe^ en tenrlnos generales, los sistemas en las tres
tsqiologfss utifeadss se rorstraroft sóMcs y febte,sin embalo, basedos en aquelta máxima
Ilustración 5 - Extracto Informe Expertos Internacionales (Honduras)

Atentamente,

ce: ELAR JUAN BOLANOS LLANOS - Gerencia General


LÍDER JEN COTRINA CASTAÑEDA - Sub Gerencia de Infraestructura y Seguridad
Tecnológica
CHRISTIAN DAVID GOMEZ AGUILA - Sub Gerencia de Proyectos Electorales
RAMONA KARENT ASGA BALAGUER - Sub Gerencia de Operaciones Informáticas
SANTOS GABRIEL GONZALEZ TORANZO - Sub Gerencia de innovación Investigación
y Desarrollo
JESUS GUILLERMO ZENTENO RODRIGUEZ - Gerencia de Informática y Tecnología
Electoral
LILIANA MARISOL REQUENA ACEVEDO - Gerencia de Informática y Tecnología
Electoral

(FGC/Ira)

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
3/
t .. Firmado digitalmente por COTRINA
V. A' , CASTAÑEDA Líder Jen FAU
\Hl\ Wí
_■ L .
Rtnia Digital 20291973351
Motivo; Soy ei SOÍt
autor de( documento
Fecha:0S.12.2O1822:O5:52-05:00

CPCJki» XtriMiWt Sf lUCTtFUUI

"Decenio de la Igualdad de oportunidades para mujeres y hombres"


"Año del Diálogo y la Reconciliación Nacional"

Lima, 06 de Diciembre del 2018

INFORME N° 002431-2018-SGIST-GITE/ONPE

A: FRANK JONATHAN GUZMAN CASTILLO


Gerente de la Gerencia de informática y Tecnología Electoral

De : LÍDER JEN COTRINA CASTAÑEDA


Sub Gerente de Infraestructura y Seguridad Tecnológica

Asunto ; Informo demanda sobre Acción de Amparo interpuesta por ERICK


AMÉRICO IRIARTE AHON.

Referencia : PROVEIDO N° 008665-2018-GITE/ONPE (27NOV2018)

Es grato dirigirme a usted, en relación al asunto del rubro, para informar lo siguiente:

I. ANTECEDENTES

1.1. Expediente N° 09327-2018-0-1801-JR-OI-02, documento de fecha


15NOV2018, documento mendiante el cual el ciudadano IRIARTE AHON,
ERIOK AMERICO, presenta el documento de Acción de Amparo.

1.2. MEMORANDO N° 000796-2018-PP/ONPE, documento de fecha 26NOV2018,


a través del cual la Procuraduría Publica de la ONPE solicta se remita
información y documentación pertinenente para el ejercicio de una adecuada
defensa de los intereses de la ONPEb

II. ANÁLISIS

2.1. en atención a lo solicitado a través del documento referenciado en el numeral


1.2, se señala que la pretensión de la demanda versa sobre la "inaplicación del
Reglamento de voto electrónico, aprobado mediante Resolución Jefaturai
N° 022-2016-J/ONPE, lo que se estaría cuestionando es la impiementación
del voto electrónico y con eiio ios factores de transparencia, seguridad,
confiabilidad y legalidad del proceso de votación, que mediante esta
disposición se estaría eiiminando la realización de auditorías al software
del voto electrónico limitando la supervisión por parte de las
organizaciones políticas"

Al respecto del cuestionamiento a la impiementación del voto electrónico y con


ello a los factores de transparencia, seguridad, confiabiiidad y legaiidad del
proceso de votación, la Sub Gerencia de Infraestructura y Seguridad
Tecnológica (SGIST) en concordancia con sus competencias, opina lo siguiente:

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central: (511) 417-0630
www.onpe.gob.pe
A,
luí
cp«iio PC m»n(v?c >tKTiF«¿u3

Factor de seguridad:

• Seguridad a nivel del canal de comunicación de transmisión de


resultados electorales.
La ONPE a través de un concurso publico selecciona al proveedor que
se ha de encargar de Implementar y/o establecer las comunicaciones
entre las Sede Central y Las Sedes Remotas haciendo uso de protocolos
de comunicación AES'' 256. Los enlaces de telecomunicaciones
implementados sobre la Infraestructura del contratista son privados, es
decir, solo son creados para la red de la ONPE. Sobre los enlaces
privados se implementan canales cifrados, haciendo uso de algoritmos
de cifrado, dotándole de un nivel adicional de seguridad.

• Seguridad a nivel de estaciones de transmisión de resultados.


Los equipos destinados para esta actividad, requieren la contraseña de
la cuenta de acceso al sistema operativo y contraseña de acceso a la
aplicación electoral, lo que garantiza que solo el personal autorizado
puede realizar las actividades de transmisión.

• Seguridad a nivel de Servidores de Base de Datos,


Solo las aplicaciones configuradas para dar soporte al proceso electoral
tienen acceso a la base de datos.
El personal de base de fatos realiza el monitoreo constante al rendimiento
y acceso a los servidores de base de datos.

• Seguridad a nivel de servidores de Aplicaciones.


Los servicios publicados para el proceso electoral(SEA Y VEP), han sido
implementados haciendo uso de certificados SSL^, con la finalidad de
proteger la integridad de la información de resultados electorales. El uso
de certificados digitales, permite identificar el servidor y el cliente,
estableciendo una comunicación cifrada, que permite proteger la
Información que viene una vez más cifrada por la aplicación.

• A nivel de control de accesos


El acceso a las estaciones de trabajo de la red electoral (red de datos
implementada para el proceso electoral), son administradas a través de
un Directorio Activo^, el que permite gestionar los usuarios y privilegios
de acceso, las contraseñas de acceso son entregadas en sobres ciegos
y cambiadas luego del primer acceso.

• Seguridad perimetral
La seguridad perimetral de la red electoral es gestionada a través de
equipos tales como FIrewaIl e IPS, así mismo, las configuraciones de los
equipos ruteadores y conmutadores son revisados y validados antes de
su puesta en producción. Los equipos de seguridad perimetral protegen

'AES 256: Es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno
de los Estados Unidos
- SSL: Las siglas SSL responden a los términos en inglés (Secure Socket Layer), el cual es un protocolo
de seguridad que hace que sus datos viajen de manera íntegra y segura.
^ Directorio Activo: Es un servicio de directorio en una red distribuida de computadores. Utiliza distintos
protocolos, principalmente LDAP,DNS,DHCP y Kerberos y donde se crean objetos tales como usuarios,
equipos o grupos, con el objetivo de administrar los inicios de sesión en los equipos conectados a la red,
así como también la administración de políticas (privilegios) en toda la red

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr, Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob,pe
mjiSfsun nc•mxxv}*

a los servicios pubiioados de VEP y SEA, así como a los servidores de


base de datos y apiicaciones de intentos de ataques externos e internos.

• Equipos de VE
Las Cabinas de Voto Electrónico (OVE) y Estaciones de Comprobación
de identidad (ECi), así como la preparación de tarjetas y dispositivos y
laptops de transmisión y sufragio, son realizados en líneas de producción
acondicionados con controles de calidad en cada una de las etapas de
acondicionamiento y configuración. Esta actividad es apoyada a través
del uso de la herramienta ERP'' de equipos institucional, la misma que ha
sido desarrollada por la ONPE.

Factor de Transparencia
Todas las aplicaciones electorales utilizadas para el procesamiento y publicación
de resultados pasas por estrictas pruebas de calidad de desarrollo de software
y pruebas de ataques informáticos, que garantizan que los resultados electorales
y la publicación de actas electorales sean el fiel reflejo de la voluntad popular.

La siguiente tabla muestra los servicios contratados de pruebas de ataques


informáticos a la red electoral de la ONPE, para los distintos procesos
electorales, los que permitieron poner a prueba las medidas de seguridad
adoptadas en la red de datos electoral.

CONTRATO
/ORDEN DE
N° DESCRIPCION PROCESO SERVICIO EMPRESA

TELEFÓNICA INGENIERÍA DE
SEGURIDAD S.A. SUCURSAL DEL
1 SERVICIO DE ETHICAL HACKING - ERM - 2014 ERM -2014 C-177 PERÚ
l-SEC INFORMATION SECURITY
2 SERVICIO DE ETHICAL HACKING - NEM 2014 NEM 2014 OS-222 DEL PERU S.A.C

3 SERVICIO DE ETHICAL HACKING - CNM 2015 CNM - 2015 C-21 KUNAC CONSULTINGS.A.C.

4 SERVICIO DE ETHICAL HACKING - EG 2016 EG -2016 C-102 BINARIO S.A.C.

5 SERVICIO DE ETHICAL HACKING - EM 2017 EM - 2017 OS - 160 KUNAK CONSULTINGS.A.C

6 SERVICIO DE ETHICAL HACKING - CPR 2017 CPR - 2017 OS - 304 KUNAK CONSULTINGS.A.C

7 SERVICIO DE ETHICAL HACKING - EM DIC 2017 EM DIC-2017 OS - 568 KUNAK CONSULTINGS.A.C

8 SERVICIO DE ETHICAL HACKING - ERM 2018 ERM - 2018 OS-497 KUNAK CONSULTINGS.A.C
SERVICIO DE ETHICAL HACKING -
9 REFERENDUM NACIONAL 2018 REF-2018 OS-1163 KUNAK CONSULTING S.A.C

CONCLUSIONES

3.1. La implementación de voto electrónico se realiza siguiendo estrictos controles de


seguriad en sus diferentes etapas tal como se ha menoiondo en la sección
anterior.

3.2. El registro de la actividad generada (logs) en las operaciones del VE a través de


las herramientas implementadas (Mcafee Siem) en la red electoral, facilita la

ERP: Herramienta implementada por la ONPE, que permite realizar un estricto control de los equipos de
VE que se han de entregar a la Gerencia de Gestión Electoral para su despliegue a nivel nacional.

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
^rrt*A w¡s3tí;»k s« í"«cfw< «uowuita

ejecución de auditorias a la solución de Voto Electrónico, evidenciando la


transparencia del proceso.

IV. RECOMENDACIONES

4.1. En virtud a io expuesto en los puntos precedentes, se recomienda derivar el


presente documento a la Procuraduría Publica de la ONPE para el tramite
correspondiente.

Sin otro particular, quedo de Usted.

cc:

(LCC)

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
vww.onpe.gob.pe
Firmado digitalmente por GOMEZ
AGUILA Christian David FAU
20291973851 soft
• w U'
OWHE
Firma Digital Motivo: Soy el autor del documento
Fecha: 04.12.2018 17:59:17-05:00

ONPE
"Decenio de la Igualdad de oportunidades para mujeres y hombres
"Año del Diálogo y la Reconciliación Nacional"

Lima, 04 de Diciembre del 2018


INFORME N° 001249-2018-SGPEL-GITE/ONPE

A: FRANK JONATHAN GUZMAN CASTILLO


Gerente de la Gerencia de Informática y Tecnología Electoral
De: CHRISTIAN DAVID GOMEZ AGUILA
Sub Gerente de Proyectos Electorales

Asunto: DEMANDA SOBRE ACCIÓN DE AMPARO INTERPUESTA POR ERICK


AMÉRICO IRIARTE AHON

Referencia: PROVEIDO N° 8665-2018-GlTE/ONPE(27NOV2018)

Es grato dirigirme a usted en relación a la acción de amparo interpuesta por el Sr.


IRIARTE, informando lo siguiente:

ANTECEDENTE

1.1. Mediante el documento de la referencia, se remite adjunto el Memorando N 7^-


2018-PP/ONPE (26NOV2018) a través del cual la Procuraduría Pública (PP),
solicita informe y documentación, a fin de ejercer una adecuada defensa de los
intereses de la ONPE, sobre la demanda interpuesta por el Sr. IRIARTE.
II. ANÁLISIS

2.1. Teniendo en cuenta que el ciudadano en mención pretende cuestionar el proceso


de implementación del voto electrónico, se detalla a continuación la seguridad
implementada en el VEP:

a) Seguridad de datos-
El almacenamiento de datos se encuentra protegido por procedimientos que
utilizan un algoritmo de cifrado, según detalle:

ÁlgoínnadS i 1
Hombre «í«( componsKs cifrado
-Cafnpo e
Cates «Je Vefecíon
TsWet» ABS-m-
SéeWfsica fCVE|
Taatets 4ES-:«a,
idiíaSífád(eat
i Dísjwslfivo DfapfjsShío.df tespiWalfuiw»
SD5<teiCVE AES-12S-

Dííptts.#.'» da respaíiaa Ínifcío .A£S-12a


SDJífaiECI

: WsroüJíivo USO {Í« oqnfigarsííári 3KS-t2a

laijéta tía totifiijaríídél!! JBSS-t2a

; tíisposifiw USB ési {Fart-s.T&léR


Instalaeldrs
USB ds; du
i OíSposítiva

; Rspasiíiva Tsrjot» d® «ifaiírtstradón ■3lí®S-tJi5

j Dtspesííívo fíe aiJlvjidti.v KcS - 12a

Jr vSsSí
g on Nro 1894, Lima 1,procesos ELECTORALES
Lima - Perú / Central; (511) 417-0630
www.onpe.gob.pe
ONPE
«mem» 9* rcoff«s« tl«cTSiuu:i

b) Seguridad de sistema operativo:


El sistema operativo "ONPEDROID" está basado en Android Kitkat4.4, que
fue desarrollado a medida para que soporte el proceso de voto electrónico
presencial, eliminando funcionalidades innecesarias según el siguiente detalle:

FUNCIONALIDAD CONDICIÓN
Principa! Eliminado
Cámara
Froníai Eliminado

Wifi Eliminado

Bluetooth Eliminado
Conectividad
GPS Eliminado

NFC Eliminado

Sensores Movimiento Eliminado


Barra denotificadones Eliminado
Servicios y
Barra de navegación Eliminado
aplicaciones
Aplicaciones Deshabilitado

c) Seguridad de la aplicación:
El sistema operativo "ONPEDROID" fue desarrollado bajo estándares y
buenas prácticas de programación segura; su estructura y servicios
implementados se describen a continuación:

• Cabina de Votación Electrónica (OVE)

o Configuración:
Módulo encargado de realizar la configuración de la CVE, para lo cual
se registra el código del equipo. Esta configuración utiliza la Tarjeta
Inteligente de Configuración y el USB de configuración, los cuales
deben encontrarse previamente vinculados. El Servicio de SmartCard
obtiene las credenciales de la tarjeta y procede a descifrar la
información del USB, con dicha información se configura la CVE. Sólo
se puede utilizar la Tarjeta Inteligente y USB correctos ya que la
credencial de cifrado se encuentra en la Tarjeta.

o Diagnóstico:
Módulo encargado de realizar la verificación de la sincronización de la
fecha y hora del equipo, así como también permite verificar la cédula y
versión del software; asimismo, realiza la verificación de la operatividad
de los dispositivos de hardware que componen la CVE, así como
también verifica que los servicios de software se encuentren operativos.
De encontrarse todo conforme, se emite el Reporte de Diagnóstico el
cual garantiza que el equipo fue correctamente diagnosticado.

o Instalación y puesta a cero:


Módulo encargado de la Instalación y puesta a cero de la CVE a cargo
de los Miembros de Mesa. Dicho módulo utiliza los datos de la tarjeta
administrativa para verificar que la fecha del proceso electoral es
conforme y realizar la puesta a cero de la CVE, en donde se establece
el Número de Mesa y las credenciales de cifrado.

o Emisión de Votos:

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
• w
OIIPE
wtrimH 99 u«;nnMEi

o Verificación de Votos;
Módulo encargado de realizar la validación de votos. Los votos se
encuentran en la constancia de votación que fue impresa en la C\/E: las
constancias de votación son extraídas del ánfora y con ayuda del lector
de códigos de barra se lee constancia por constancia. El aplicativo lo
visualiza y registra los datos hasta que se finaliza el proceso para
imprimir el reporte de verificación.

• Servicios:

o Servicio de Almacén de Datos:


En la CVE,se encarga de almacenar los votos y credenciales utilizadas.
Al realizar la puesta a cero se garantiza que todos los datos en estas
dos (2) tabletas se encuentran limpias para iniciar el sufragio. Cuando
el elector confirma el voto, este servicio escoge una posición en forma
aleatoria para almacenar el voto, con eso garantizamos que dicho voto
no guarde un registro de trazabilidad; de igual modo, en la tabla de
credenciales se escoge una posición aleatoria para almacenarlo.

En la ECl, se registran los ciudadanos que se identifican, lo cual es


utilizado para el registro de omisos. En la tabla de credenciales se
actualizan las credenciales que se van utilizando.

Todos estos datos, tanto en la ECl como en la CVE, son cifrados con la
clave creada en la etapa de instalación de la mesa.

o Servicio de SmartCard:
Encargado de leer las tarjetas inteligentes, detecta todas las tarjetas que
son ingresadas a la CVE y ECl. Identifica cada una de ellas y envía al
módulo que lo ha invocado, la información sobre aquellas que no son
identificables, muestra el mensaje de error y no permite realizar ninguna
acción.

o Servicio de USB:
Encargado de leer los USB. Detecta todas los USB que son ingresados
en la CVE y ECl, identifica cada una de ellos y envía al módulo que lo
ha invocado, la información sobre aquellos que no son identificables,
muestra el mensaje de error y no permite realizar ninguna acción.

o Servicio de Impresión:
Encargado de realizar las ihripreslones de los diferentes reportes tanto
en la CVE y ECl. Recibe los datos de los diferentes módulos y lo envía
a la impresora.

• Datos:

o Configuración de Elección:
Información que sirve para la configuración del proceso electoral, que
es obtenida mediante la Tarjeta de configuración y el USB de
configuración, dicha información es cifrada con la tarjeta de
configuración.

o Padrón Electoral:

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Centrai:(511)417-0630
www.onpe.gob.pe
ONPE
Información que sirve para la identificación de ios electores. Es obtenida
mediante la Tarjeta de configuración y el USB de configuración, dicha
información es cifrada con la tarjeta de configuración.

o Miembros de Mesas:
Información que sirve para la identificación de los miembros de mesa,
es obtenida mediante la Tarjeta de configuración y el USB de
configuración, dicha información es cifrada con la tarjeta de
configuración.

o Trasmisión de Instalación y resultados:


Datos de las Actas de Instalación, Sufragio y Escrutinio, que son
generados y cifrados, se genera en ei USB de trasmisión para luego
llevarlos en ei punto de trasmisión.

d) Seguridad en transmisión de datos:


Los controles de seguridad aplicados al proceso de transmisión de datos son:

Acceso al sistema:
Control que permite el acceso al sistema luego de verificar la existencia de
los datos de usuario.

Verificación de versión:
Control que permite verificar si la versión de aplicación instalada en el
equipo de transmisión (LOCAL) corresponde al código hash mostrado en
pantalla, el cual debe ser el de la última versión generada en producción
(REMOTA).

Ejecución de resultados en cero:


Control que permite realizar la inicialización del sistema o puesta a cero.
Esta acción se efectúa a nivel de base de datos (reinicia estado de mesas
y usuarios de transmisión).

Transmisión de datos:
La transmisión de datos se realiza utilizando protocolos criptográficos SSL
(Secure Sockets Layer) que proporcionan comunicaciones seguras a
través de redes públicas.

Pki Transmision.fxml
Descripción: Java Security Valida que el servidor web al que se conecta
tiene un certificado SSL cliente autorizado.
Envía el Certificado SSL de cliente ubicado en el dispositivo
USB para su validación en el Web Service.
Librerías: Java SE Security

e) Seguridad del equipo:


El KIT de VEP está compuesto de dos (2) módulos: la Estación de
Comprobación de Identidad (ECl) y la Cabina de Votación Electrónica (OVE),
ambos módulos tienen las siguientes condiciones de seguridad:

• Caja de metal con llave, donde se ubican los componentes electrónicos.


• La Caja de Metal cuenta con un precinto adhesivo de seguridad numerado.
• La manipulación sólo es por personal autorizado, llevándose registro de
los incidentes a través del Centro de Soporte Informático de la CITE.

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nrc 1894, Lima 1, Lima - Perú / Central:(511) 417-0630
www.onpe.gob.pe
41
. 'luji*
ONPE
ervm» »F F«s»a*51 lUCTown

• Equipo supervisado por personal técnico y custodiado por personal de


seguridad en los lugares donde se encuentren.

f) Políticas de seguridad:

• Se aplicaron las Políticas de Seguridad de la Información aprobadas


con Resolución Jefatural N° 370-2015-J/ONPE de fecha 22 de diciembre
de 2015.
• En el desarrollo del Software se aplicaron las políticas de desarrollo seguro
establecidas en la 0D21_G1TE/GC Política de desarrollo seguro.

2.2. En relación a las auditorías externas, se debe mencionar que para las ERM 2018
se ejecutó el "Servicio de Auditoría de Soluciones Tecnológicas - ERM 2018", el
cual comprende al Voto Electrónico Presencial y considera lo siguiente:

a) Entendimiento de los procesos.

Flujo del proceso


Componentes del proceso
Terminales del proceso
Transferencia de información
Procesamiento de información

b) Pruebas de funcionalidad y seguridad para el HW y SW e identificar hallazgos


antes del proceso electoral.

• Análisis técnico en base a los criterios de los estándares de seguridad ISO


27034 y estándares internacionales: ISO 27001, 180 27002, ISO 27035 e
ISO 31000.

c) Identificar hallazgos después del proceso electoral.

• En base a los criterios de los estándares de seguridad ISO 27034 y


estándares internacionales: ISO 27001, ISO 27002, ISO 27035 e ISO
31000.

2.3. Adlclonalmente a lo Indicado en el numeral anterior, se debe precisar que los


resultados de las anteriores auditorías de Voto Electrónico Presencial se
encuentran publicadas en la página web institucional:
https://www.onpe.Qob.pe/elecciones/lnnovaciones-tecnoloqicas/, según detalle:

a) La Solución Tecnológica de Voto Electrónico Presencial utilizada para las


Elecciones Generales 2011, fue evaluada por la Secretaría General de la
Organización de los Estados Americanos (SG/OEA), mediante un servicio
de "Auditoría Integral al Software de la Solución Tecnológica del Voto
Electrónico Creado por la Oficina Nacional de Procesos Electorales en la
República de Perú".

b) La Solución Tecnológica de Voto Electrónico Presencial utilizada para las


Elecciones Generales 2016, fue evaluada por la Empresa PRIME Profesional
mediante un "Servicio de Auditoría de Seguridad en el Proceso de Voto
Electrónico".

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe H
.■w
OMPi
HWCTwt ««noorkiH» eucnmui

c) La Solución Tecnológica de Voto Electrónico Presencial utilizada para las


Elecciones Generales 2016 también evaluada por la empresa Binario
mediante un "Servicio de Ethical Hacking EG 2016", a través del "Segundo
Escaneo y Test de Penetración - Red Electoral. Escaneo de 02 máquinas de
Voto Electrónico".

d) La Solución Tecnológica de Voto Electrónico Presencial utilizada en el marco


de las Elecciones Universitarias a las cuales la ONPE brinda asistencia
técnica, fue auditada por la empresa KUNAK Consulting SAC mediante
un "Servicio de Auditoría del Proceso de Electrónico"(Seguridad Informática).

2.4. Considerando lo precisado en los numerales anteriores, se puede demostrar que


la solución de voto electrónico es auditable.

III. CONCLUSIONES

3.1. Se han detallado los mecanismos de seguridad del voto electrónico presencial:
seguridad de datos, del sistema operativo, de la aplicación (tanto en la OVE como
en la ECl), servicios relacionados, transmisión de resultados y la seguridad del
equipo.

3.2. Se ha mencionado el alcance de la auditoría realizada al VEP en las ERM 2018,


así como también se ha indicado la página web que contiene información de los
resultados de las auditorias anteriormente realizadas al sistema.

IV. RECOMENDACIÓN

4.1. Se recomienda tomar en consideración lo informado por esta Sub Gerencia, para
las acciones que correspondan.

Sin otro particular, quedo de Usted.

(CGA/mhc)

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
< •• Ltií
OlkPE
«rctat* nwjww «c tt£cnmu.i

Módulo encargado de la visualización de las cédulas, éstas son


configuradas por cada elección. El módulo se activa con la tarjeta de
activación mostrando la cédula para que el elector seleccione sus
opciones; la selección de las opciones de la cédula es almacenada en
memoria hasta la confirmación por parte del elector, momento en que
se envía el mensaje al servicio de almacén de datos para que proceda
a guardar el voto en forma aleatoria. Luego de ello, se desactiva la
tarjeta y se envía el mensaje al servicio de impresión para que efectúe
la impresión de la constancia de votación, procediendo a finalizar la
emisión del voto. Cuando el elector retira la tarjeta de activación se
borran todos los datos de la memoria.

o Cierre de cabina de votación.


Módulo encargado de realizar el cierre y totalización de los votos. Se
procede a totalizar los votos que fueron almacenados. La totalización
de los votos (resultados) es almacenada en la tarjeta inteligente de
administración, que servirá para la elaboración de las actas de
escrutinio, luego se imprime el reporte de resultados para garantizar que
los datos trasportados en la tarjeta sean los mismos del acta.

Estación de Comprobación de la Identidad (ECl)

o Configuración y Diagnóstico:
Módulo encargado de realizar la configuración de la ECl. Para la
configuración se utiliza la Tarjeta Inteligente de Configuración y el USB
de configuración; el Servicio de SmartCard obtiene las credenciales de
la tarjeta y procede a descifrar la información del USB, con dicha
información es configurada la ECl. Sólo se puede utilizar la Tarjeta
Inteligente y USB correctos ya que la credencial de cifrado se encuentra
en la Tarjeta.

o Instalación:
Módulo encargado de la instalación de la mesa. Utiliza los datos de la
configuración y se encarga de configurar la tarjeta inteligente de
administración, en donde se establece el número de mesa; se genera
una credencial de forma aleatoria, la cual se utiliza para el cifrado de los
datos de la CVE y la ECl.

o Sufragio:
Módulo encargado de la identificación de los electores. Los electores se
identifican con su DNI, el cual puede ser ingresado utilizando el lector
de códigos de barra o el teclado virtual; el miembro de mesa, con ayuda
de la foto, identifica al elector y procede a activar la Tarjeta de
Activación, el Servicio de Almacén envía una credencial cifrada (con la
clave creada en la instalación). Como esta clave es compartida en la
instalación con la CVE y la ECl, cuando el elector se acerque a la CVE,
la credencial podrá ser descifrada y garantiza que viene de la mesa
correcta.

o Escrutinio:
Módulo encargado de realizar la etapa del escrutinio con los datos
obtenidos del cierre de la CVE que se encuentra en la tarjeta de
administración. Con dicha información se generan las actas de
escrutinio y se genera el USB de trasmisión de resultados.

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú /Centrai:(511)417-0630
www.onpe.gob.pe
Firmado digilalmente por GOMEZ
AGUILA CÍnristian David FAU
U' iFimifl Dígito! 20291973851 sofl
* Motivo: Soy el autor del documento
OIWE Fecha: 04.12.2018 17:59:50 -05:00

ONPE
"Decenio de la Igualdad de oportunidades para mujeres y hombres"
"Año del Diálogo y la Reconciliación Nacional"

Lima, 04 de Diciembre del 2018


INFORME N" 001250-2018-SGPEL-GITE/ONPE

A: FRANK JONATHAN GUZMAN CASTILLO


Gerente de la Gerencia de Informática y Tecnología Electoral

De: CHRISTIAN DAVID GOMEZ AGUILA


Sub Gerente de Proyectos Electorales

Asunto: INFORMACIÓN REQUERIDA POR CIUDADANO ERICK AMÉRICO IRIARTE


AHON RESPECTO A AUDITORÍAS EXTERNAS DE SOFTWARE DE VOTO
ELECTRONICO - ELECCIONES GENERALES 2016

Referencia: PROVEIDO N° 8781-2018-GlTE/ONPE (01DIC2018)

Es grato dirigirme a usted en relación a la información sobre auditorías externas


solicitada por el Sr. IRIARTE, informando lo siguiente:

ANTECEDENTE

1.1. Mediante el documento de la referencia, se remite adjunto el Memorando N° 823-


2018-PP/ONPE (30NOV2018) a través del cual la Procuraduría Pública (PP),
solicita información sobre la documentación de las auditorías externas requeridas
por el Sr. IRIARTE, relacionadas al voto electrónico.

II. ANÁLISIS

2.1. En relación a las auditorías externas, se debe mencionar que para las ERM 2018
se ejecutó el "Servicio de Auditoría de Soluciones Tecnológicas - ERM 2018", el
cual comprende al Voto Electrónico Presencial y considera lo siguiente:

a) Entendimiento de los procesos.

Flujo del proceso


Componentes del proceso
Terminales del proceso
Transferencia de información
Procesamiento de Información

b) Pruebas de funcionalidad y seguridad para el HW y SW e identificar hallazgos


antes del proceso electoral.

• Análisis técnico en base a los criterios de los estándares de seguridad ISO


27034 y estándares internacionales: ISO 27001, ISO 27002, ISO 27035 e
ISO 31000.

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1, Lima - Perú / Central:(511)417-0630
www.onpe.gob.pe
OlkPE
KtiemktaaotiM m wocii^ «mctgwci

c) Identificar hallazgos después del proceso electoral.

• En base a los criterios de los estándares de seguridad ISO 27034 y


estándares internacionales: ISO 27001, ISO 27002, ISO 27035 e ISO
31000.

2.2. Adicionalmente a lo indicado en el numeral anterior, se debe precisar que los


resultados de las anteriores auditorías de Voto Electrónico Presencial se
encuentran publicadas en la página web institucional:
httDs://www.onpe.aob.De/elecciones/innovaciones-tecnoloqicas/. según detalle:

a) La Solución Tecnológica de Voto Electrónico Presencial utilizada para las


Elecciones Generales 2011, fue evaluada por la Secretaría General de la
Organización" de los Estados Americanos (SG/OEA), mediante un servicio
de "Auditoría Integral al Software de la Solución Tecnológica del Voto
Electrónico Creado por la Oficina Nacional de Procesos Electorales en la
República de Perú".

b) La Solución Tecnológica de Voto Electrónico Presencial utilizada para las


Elecciones Generales 2016,fue evaluada por la Empresa PRIME Profesional
mediante un "Servicio de Auditoría de Seguridad en el Proceso de Voto
Electrónico".

c) La Solución Tecnológica de Voto Electrónico Presencial utilizada para las


Elecciones Generales 2016 también evaluada por la empresa Binario
mediante un "Servicio de Ethical Hacking EG 2016", a través del "Segundo
Escaneo y Test de Penetración - Red Electoral. Escaneo de 02 máquinas de
Voto Electrónico".

d) La Solución Tecnológica de Voto Electrónico Presencial utilizada en el marco


de las Elecciones Universitarias a las cuales la ONPE brinda asistencia
técnica, fue auditada por la empresa KUNAK Consulting SAC mediante
un "Servicio de Auditoría del Proceso de Electrónico"(Seguridad Informática).

III. CONCLUSIÓN

3.1. Se ha mencionado el alcance de la auditoría realizada al VEP en las ERM 2018,


así como también se ha indicado la página web que contiene información de los
resultados de las auditorías anteriormente realizadas al sistema, así como el
detalle de las mismas.

IV. RECOMENDACIÓN

4.1. Se recomienda tomar en consideración lo informado por esta Sub Gerencia, para
las acciones que correspondan.

Sin otro particular, quedo de Usted.

(CGA/mhc)

OFICINA NACIONAL DE PROCESOS ELECTORALES


Jr. Washington Nro 1894, Lima 1. Lima - Perú / Centrai:(511)417-0630
www.onpe.gob.pe
©

Cfl®
m

mm
rime
Pro fes lona l

Lima, 18 de abril 2016 OFICINA NACIONAL DE PROCESOS FUfTOs^M rs


! gerencia DE (N-Fr>«u! r.í'.r.:.
®NFE tecnologí

Señorita
r s ABR. 2016
Amparo Ortega Campana RE í ,JM íJ
Gerente de Informática y Tecnología Electoral HOñA: l/^ FIHM4:..
ONPE
Jr. Washington 1894, Cercado de Lima

Asunto Entrega de! informe final

Referencia "Servicio de Auditoria de seguridad en el procteso de voto electrónico"

De nuestra consideración:

Me es grato dirigirme a ustedes para expresarle nuestros saludos y a la vez mediante la presente hacer
constar que PRIME PROFESIONAL SAC con RUC 20509988359, hace entrega en sobre lacrado y en
medios ópticos, utilizando formatos compatibles con Microsoft Office e impreso en dos(02)ejemplares
originales del:

- Entregabie 2. Informe final de auditoria de acuerdo a los términos de referencia, donde se


indica que se deberá entregar un Informe final a los quince(15) días, de la auditoría realizada
en la Etapa 3 del numeral 6.1,1,

Así mismo, se hace constar que la ONPE recibe el documento antes mencionado. Quedando atentos a
cualquier comunicación de su parte.

Atentamente,

PRIME o !
mmi
EXPtT-'
l3Zñ~Ü
ijfj'.f Ars£A Ofc ATer-íCiÓM ^1. CíUDAOANO y
'thf'i '"-nrE DOC» líNTARíO

Lic. Diales itano Sote 1 9 ám 201o


Administraos
nistracron
PRIME PROFESIONAL SAC RECIBIO O
Noía: La^'-ecepciórt no da conformidad al
Hora'|. -f Flrrna;

Calle Las Bogonins 2839 -Lince Calle Maria Reiche 185 C-110 - Santiago de Surco
Telf. 222-1249
(al frente del Hotel Westin Libertador)