En el Congreso avanza el proyecto para implementar el voto electrónico en las elecciones nacionales argentinas. El mecanismo presenta una serie de riesgos y crea asimetrías en el control de las elecciones que parecen superar a sus promocionadas ventajas.
Agencia TSS – En la madrugada del pasado jueves 20 de octubre, la Cámara de Diputados de la Nación dio media sanción al proyecto de la alianza Cambiemos para modificar el Código Electoral Nacional e introducir el voto electrónico. La propuesta y los tiempos excesivamente exiguos para implementar un cambio tan trascendental en el modo en el que los argentinos designan a quienes los van a conducir ha generado una amplia cobertura por parte de este y otros medios. TSS habló con dos especialistas en informática que mencionan los riesgos de esta apuesta de la presidencia de Mauricio Macri.
“Uno tiene dos partes esenciales en una votación: la emisión del voto, en el que se lo deja asentado en un objeto físico, la boleta; y la otra, que implica contar ese objeto físico entre los muchos otros también emitidos”, dice Daniel Penazzi, doctor en matemática, investigador y docente de la Facultad de Matemática, Astronomía, Física y Computación (FAMAF) de la Universidad Nacional de Córdoba (UNC). Penazzi es uno de los principales expertos de la Argentina en sistemas de votación y el pasado 4 de agosto brindó su opinión sobre el proyecto de voto electrónico en el Plenario de Comisiones de Asuntos Constitucionales, Justicia y Presupuesto y Hacienda de Diputados.
La introducción de Penazzi permite identificar las dos primeras etapas esenciales de cualquier sistema de votación, la emisión del voto propiamente dicha y su escrutinio, el conteo. A esto le sigue la transmisión de los resultados a la Junta Nacional Electoral. Todas las etapas del voto electrónico poseen enormes incertidumbres.
En algunas máquinas de voto electrónico las dos primeras etapas mencionadas se efectúan con el mismo artefacto. El votante elige en una pantalla la opción deseada, la marca y la máquina la guarda internamente en un registro, que en algunos sistemas se puede extraer y llevar a otro sitio para preservarlo. El conteo lo realiza la misma máquina, lo que genera un posible problema de seguridad que no se presenta en el voto tradicional, en el que, una vez colocado el voto en una urna, se anonimiza y ya no es posible identificar quien lo emitió.
El otro problema es que no hay forma de verificar que el conteo haya sido bien hecho. Algunos sistemas cuentan con un registro extra en papel para facilitar su verificación, como el venezolano, pero el riesgo persiste. “Por ejemplo, en el sistema brasileño se guardaba el orden en que los electores iban votando y, en teoría, posteriormente se mezclaba con un procedimiento criptográfico que anonimizaba a los votantes, pero estaba mal hecho y un investigador brasileño, Diego Aranha, descubrió que el proceso se podía revertir para identificar el orden en el que la gente había votado. Así, en el caso de que hubiese un puntero marcando el orden en el que las personas ingresaban para votar, después se podía saber quién votó a quién”, explica Penazzi.
Este tipo de sistemas, que emiten y cuentan el voto, son conocidos como de “registro directo” y, por las vulnerabilidades señaladas, no se aconseja emplearlos. Existe otra modalidad de voto electrónico, llamada de “registro indirecto”, en la que las operaciones de emisión y conteo se realizan en máquinas diferentes. En este caso, el votante interactúa con una máquina que le da un objeto físico (el voto), que puede depositar en una urna para que posteriormente sea contado con otro dispositivo. El sistema argentino sería de este último tipo, parecido al empleado en la Ciudad Autónoma de Buenos Aires (CABA) y en Salta, provisto por la empresa MSA. “Eso no significa que sea bueno –aclara Penazzi–. Si uno parte de algo que es muy malo, se puede tener otra cosa que es meramente mala”.
Uno de los aspectos positivos de los sistemas que separan la emisión del conteo del voto es que hay un registro en papel sobre el cual se puede hacer una auditoría después de la elección. Por más que el conteo sea electrónico se puede abrir un cierto porcentaje de urnas y contarlas a mano para ver si coincide con el primero. Esa precaución se estableció en Salta pero no en las elecciones porteñas, aunque sí está contemplado en el proyecto de ley nacional. No obstante, el artículo 46, que contiene esta previsión, se encuentra mal redactado ya que los porcentajes previstos para el conteo manual son fijos (5 %) y, en cambio, deberían estar relacionados con la diferencia con la que se ganó una elección. A menor diferencia entre un candidato y otro, más alto debería ser el porcentaje de votos auditados manualmente porque es menor la cantidad que define al ganador.
Privacidad y conteo
Un sistema puede contar de manera adecuada los votos y ser fiable en ese aspecto pero tener serias falencias en cuanto a la preservación del anonimato del votante y la expresión de su voluntad electoral. Este es un elemento esencial en una democracia porque disminuye drásticamente la posibilidad de comprar votos o presionar a los votantes para que elijan en un sentido u otro. En este punto el sistema utilizado en Salta y en la Ciudad de Buenos Aires es peor que otros porque usa un chip de identificación por radiofrecuencia (RFID) incrustado en la boleta que registra los datos de cómo se votó. Los chips RFID son utilizados en las tarjetas electrónicas para pagar el transporte público y en su interior contienen una antena, un microprocesador y un protocolo de comunicación NFC (near-field communication). Es decir, una de las funcionalidades básicas de estos dispositivos es que puedan ser leídos a distancia y para ello no se requiere ninguna dotación de equipamiento electrónico especial, tal como demostró el especialista en computación Javier Smaldone, quien ante las comisiones de Diputados que trata el proyecto de reforma electoral empleó un celular y una aplicación bajada de Internet para leer el contenido de un chip RFID. De esta manera, un votante podría registrar su voto para que a la salida fuera controlado por un puntero político.
Otro grave riesgo que presenta el actual proyecto de reforma electoral es que no requiere que las boletas prescindan de número de serie, algo fundamental para que no se pueda rastrear al votante. Precisamente, lo que tiene todo chip RFID es un número de serie que además es único, dado que es imprescindible para la correcta interacción con las máquinas lectoras. Esta es la razón por la cual, si uno acerca al lector de un transporte público una billetera conteniendo adentro tres o cuatro tarjetas con estos chips, el sistema solo lee la correcta para esa transacción.
¿Quién lo controla?
Una forma básica de controlar si un programa (software) de gestión de voto electrónico es confiable o no es auditar exhaustivamente sus líneas de código para buscar errores (bugs) o elementos maliciosos destinados a alterar los resultados. Pero esto es una tarea rayana con lo imposible por ciertas características intrínsecas de los sistemas informáticos.
Nicolás Wolovick es doctor en Computación, docente e investigador de la FAMAF, y plantea la cuestión con contundencia: “La definición de computadora la realizó Alan Turing en 1936 y uno de los primeros teoremas que probó fue que no existía un programa tal que, dado otro programa, pudiera determinar si ese programa [el primero] terminaba o no terminaba. Es decir, una computadora no puede decidir si otra hace lo que yo quiero o no”. Son los humanos quienes lo deciden.
“Encontrar errores ya es difícil –dice Penazzi–, pero detectar código malicioso oculto a propósito es más complejo. Ahora bien, supongamos que alguien logre superar todos esos escollos y diga que encontró algo, o que todo está bien; hay que creerle a esa persona. El votante promedio no tiene forma de verificar eso”. Así las cosas, al votante sin conocimientos de informática solo le queda un acto de fe.
Un par de ejemplos sirven como ilustración: en la Ciudad de Buenos Aires la ley decía que la máquina con la que se emite el voto no debía guardar ningún dato, pero Smaldone encontró que las máquinas tenían dos núcleos de cómputo y memoria (que al parecer luego fueron tres) y el segundo nunca había sido controlado porque no se les informó a los auditores. Tampoco se sabe cuál era su función. Wolovick provee de otro caso reciente y cercano, el del multivoto. Los chips RFID poseen una memoria de 1 KB dividida en slots (compartimentos internos). En el sistema de la empresa MSA las boletas llevan chips RFID que sirven para contar electrónicamente los votos en el escrutinio de mesa. Para evitar que se pueda cargar más de un voto por boleta el sistema asigna sólo dos valores, 0 (cuando no se votó aún) o 1 (cuando se votó) a la memoria del chip. Si se intenta incorporar un valor diferente da error. Sin embargo, en 2015 se filtró el código del software que empleaba MSA, se hizo público y los especialistas se pusieron a estudiarlo y encontraron que a la comprobación de 0 y 1 que permitiría evitar la duplicación de votos se realizaba en un slot pero no en los restantes, por lo que el voto podía replicarse tantas veces como slots tuviera la memoria, incluso por candidatos diferentes. El sistema venia implementándose en la provincia norteña desde el 2008 y, tras múltiples auditorías, nadie había detectado este problema ni el de la posible lectura de los chips por medio de celulares.
Más dudas que certezas
Una vez escrutados los votos en cada mesa, los resultados se asientan en un acta, de modo similar a como se realiza en la actualidad, y se transmiten en forma electrónica a la Junta Nacional Electoral. Esta transmisión se hace vía Internet, quedando expuesta a todo tipo de ataques desde cualquier lugar del mundo. Para evitar esto, se provee a los presidentes de mesa de claves de cifrado con las cuales autentican los datos que se transmiten. Sin embargo, en julio de 2015 el especialista en informática Joaquín Sorianello mostró que los certificados de seguridad SSL de MSA se habían filtrado y se podía acceder al sistema para obtener dichas claves y así alterar los resultados transmitidos. Si bien el escrutinio oficial es el que se envía por las actas, el que se publica en primera instancia es el electrónico. ¿Qué pasaría si a las 21 se anuncia que la elección a presidente de la nación fue ganada por A, y horas más tarde debe informarse que en realidad el ganador fue B porque las actas manifiestan algo distinto que las transmisiones electrónicas? Todo el proceso caería en el descrédito total y minaría las bases fundamentales de la legitimidad de las autoridades democráticas.
El voto electrónico genera más dudas que certezas. En el afán por sacarlo a como dé lugar, el oficialismo fue aceptando demandas de la oposición como la incorporación de la obligación de que el conteo en las mesas se realice tanto en forma electrónica como manual, lo que prácticamente elimina una de las supuestas ventajas que alegaba el Gobierno para promocionarlo, la rapidez del conteo: “Esto lleva a un contrasentido porque estamos creando una parafernalia tecnológica y en definitiva se vuelve al principio [el conteo manual]”, dice Wolovick.
La aprobación del proyecto de reforma electoral no determinará qué tipo de sistema se implementará, lo que será especificado por el Gobierno Nacional en un plazo de hasta 180 días antes de las PASO 2017 (Art. 104). A partir de ese momento, las agrupaciones políticas contarán con 30 días para efectuar las impugnaciones técnicas que consideren necesarias (Art. 18). Todo el proceso de introducción de un nuevo sistema de votación por vía electrónica se hizo con un apuro sin precedentes. Está en juego nada menos que uno de los mecanismos básicos del ejercicio de los ciudadanos como depositarios últimos de la soberanía.
27 oct 2016
Temas: Computación, Elecciones, FAMaF, Seguridad informática, Sistema electoral, UNC, Voto electrónico
1 comentarios en “El voto electrónico como acto de fe”-
Jose
(26/06/2023 - 14:44)¿Por que publican este artículo justo el «Día del Ladrón»?