Gunnar Wolf

Martínez R, Wolf G.  2013.  Lo que muchos no saben del voto electrónico. 2013

Hace unas semanas publicamos una entrevista con Edgardo Torres Caballero, gerente general en América Latina, Caribe y Portugal de Scytl, quien nos habló acerca de los beneficios del voto electrónico y de su adopción en la región.
Sin embargo, en OhMyGeek! recibimos un “derecho de respuesta” de Gunnar Wolf, académico de la Universidad Nacional Autónoma de México, y desarrollador de software libre.
Según Wolf, es de esperar que personeros de empresas de tecnología para la automatización electoral pinten una realidad tan perfecta del voto electrónico. Sin embargo, el académico comenta que, durante su trayectoria, no ha encontrado a ningún experto en seguridad informática que defienda al voto electrónico y que lo pinte como algo tan seguro, en comparación a una elección base-papel promedio.
En este caso, Wolf nos pidió poder dar su punto de vista respecto al voto electrónico, y esto fue lo que nos dijo:

Antes que nada, agradezco profundamente este claro –y muy sui-generis– derecho de réplica al lector que me dan, en primer término, Rosa Martínez Gómez (quien llevó la entrevista con Edgardo Torres) y, obviamente, a OhMyGeek! por el espacio por medio del cual esta llega a ustedes.
La invitación que me hizo Rosa fue a responder a las mismas preguntas que ella hizo a Edgardo Torres. Claro está, algunas de las preguntas son específicas a los equipos y planes de desarrollo de negocio de Scytl — No respondo a esas preguntas por razones obvias.
1. Hoy todo es crackeable y, por otro lado, los números de cibercrimen en Latinoamérica son alarmantes. Entonces, ¿cómo podría impedirse que un cracker altere los resultados electorales de un país?
Esta primer pregunta es precisamente el mayor “quid” del voto electrónico. La respuesta, por alarmante que parezca, es que es sencillamente imposible evitar un ataque de este tipo.
Analicémoslo brevemente: Un componente fundamenatal del foto es el secreto. Lo único que debe saberse de cada votante en particular es que emitió un voto (y, por tanto, no puede volver a hacerlo). Debe ser imposible demostrar por quién votó — Lo que es más, ni siquiera el mismo votante debe poder hacerlo, porque esto abriría la puerta a la presión, sea por compra de votos o por relaciones de dominación familiar, laboral, de grupo social, o de otra índole.
Muchas veces se nos presenta la siguiente comparación: ¿Por qué confiamos en la banca electrónica y no en el voto electrónico? La respuesta es esa: Las transacciones económicas deben tener perfectamente identificados a los actores, y deben estar sujetas a una auditoría completa. En el momento que se plantea como requisito la destrucción de parte de la información (se debe mantener el secreto electoral), no se puede bajo ninguna circunstancia asegurar la integridad de la misma.
Lo que es más: Este hecho se ha demostrado ya en repetidas ocasiones, empleando diferentes técnicas, en todo el mundo y en diferentes etapas del proceso. La modificación puede hacerse al grabar los resultados en las urnas (como lo ilustró el grupo “Wij vertrouwen stemcomputers niet” en 2008 en Holanda), al leer de ellas (como lo hicieron Hari K. Prasad, J. Alex Halderman y Rop Gonggrijp en La India en 2010) e incluso al transmitir los votos, sin siquiera tener acceso físico a las urnas electrónicas (como lo hizo Reinaldo Mendonça en Brasil en 2012). Y lo más preocupante es que sólo sabemos de los ataques hechos con fines académicos
¿Cuántos no habrán ya pasado bajo nuestras narices?
2. ¿Cómo se realiza la identificación de los electores?
Del mismo modo que hay distintos fabricantes de urnas y sistemas, también hay distintos esquemas de identificación. En primer término, hay urnas electrónicas que siguen dependiendo de que las autoridades de mesa electoral verifiquen la identidad del votante manualmente (por ejemplo, verificando su identificación contra el padrón) y lo habiliten para emitir un voto manualmente.
Hay urnas electrónicas equipadas con lectores biométricos, como las empleadas en las elecciones venezolanas, que verifican la huella digital del votante.
Por otro lado, cuando se realizan votaciones a distancia por Internet, hay dos mecanismos: Uno es dotar a todas las identificaciones de dispositivos criptográficos, como se hace desde hace varios años en Estonia y se está impulsando que ocurra también en Perú, y requerir que para emitir un voto la computadora cuente con un lector de dicho dispositivo.
Por último, la modalidad que han impulsado empresas como Scytl (y que fue empleada, por ejemplo, para los votantes de la Ciudad de México residentes en el extranjero en las elecciones del 2012) es la generación de una contraseña en las semanas previas a la elección, y la identificación por usuario/contraseña.
Y de nuevo, la fuerza relativa de cada modalidad se cae ante un simple análisis. La identificación personal, con todas sus fallas, sigue siendo la mejor puntuada. Una urna con lectores biométricos lleva a bien fundamentadas dudas acerca de si la urna verdaderamente mantendrá en secreto la relación entre el votante y el sentido del voto — Y hay casos escalofriantes, como la “Lista Tascón“: En 2004, tras el referendo revocatorio venezolano, en que Hugo Chávez logró una aprobación del 60% para seguir al frente del gobierno, se publicó la relación de quienes votaron en contra suya -Muchos de quienes fueron despedidos de puestos públicos o perdieron la cobertura de programas sociales-.
¿Y respecto al voto a distancia? Mucho peor. Ambos esquemas de identificación demuestran únicamente la posesión de determinado documento o información, no que la persona sea el auténtico votante. Si en mi país se permite el voto por Internet, y en mi empresa me ofrecen un aumento (o me amenazan con el despido) a cambio de que yo le “preste” mi documento electoral a mi jefe, puede hacerse una compra de votos a gran escala.
El no contar con un precinto desde donde pueda ejercer el voto secreto tiene un efecto similar: El jefe de familia o el grupo social pueden proponer/imponer una jornada de voto en conjunto, en que cada miembro del grupo pueda verificar el sentido en el cual votaron todos los demás.
3. ¿La adopción del voto electrónico ha incrementado la asistencia a las urnas?
Esto resulta muy dificil de responder, y depende de la modalidad del voto, y de las aprehensiones particulares de la población en cuestión. Del mismo modo que hay gente que resulta atraída, hay gente que, a pesar de todas las jornadas de sensibilización que se realicen al respecto, el uso de computadoras (por simplificada que sea su interfaz) le seguirá produciendo miedo, desconfianza o incomodidad.
No podemos ignorar casos como el ocurrido en Panamá en 2012, en que para las elecciones internas del partido PRD, con sólo 4200 delegados habilitados para votar, las urnas electrónicas causaron demoras superiores a las cinco horas. Y esto es relevante porque, aunque dicha demora no es un problema frecuente, ilustra cómo muchos factores adicionales pueden influir en que una elección sea un éxito o un fracaso: No es descabellado imaginar que una autoridad electoral parcial envíe a los distritos “políticamente confundidos” (esto es, que muestre preferencia al candidato ”equivocado”) máquinas que funcionen de forma correcta, aunque más lenta o presentando alguna otra incomodidad al votante.
4. En ocasiones el sistema no reconoce el 100% de las huellas digitales. ¿Qué sucede con las personas cuyas huellas no pueden ser reconocidas? 
Depende 100% del fabricante y la autoridad electoral.
5. ¿Cuáles son los principales beneficios del voto electrónico?
A decir de sus proponentes, los principales beneficios serían un menor tiempo de escrutinio, una mayor rapidez para conocer los resultados, y una mayor confiabilidad en los mismos. Con lo que hemos visto, sin embargo, resulta claro cómo en cada uno de esos casos el voto electrónico resulta reprobado.
No podemos dejar de ver como ejemplo claro y paradigmático a lo ocurrido apenas el 14 de abril en Venezuela: Por más que en el país se emplee del voto electrónico desde hace ya 14 años, y las empresas proveedoras de urnas lo citen como ejemplo de transparencia y confianza por parte de su ciudadanía, ante un resultado muy cerrado y con cerca de 3000 denuncias de irregularidades (un número bastante dentro de la norma en las elecciones en nuestro continente), no pudo evitarse la polarización y el enfrentamiento en su sociedad.
En los primeros días tras las elecciones hubo enfrentamientos callejeros que llevaron a siete muertos, una toma de posesión con la mitad de la población dudando de la legitimidad del nuevo gobierno — Y la imposibilidad fundamental (ver pregunta 9) de realizar un recuento.
6. ¿Cuáles son los principales riesgos del voto electrónico?
El principal riesgo es convertir a la democracia en un juego de ”capture la bandera”, de perder la legitimidad que da el voto popular, imposibilitando además a la población en general a convencerse de los resultados a través de una auditoría plena. No creo necesario repetir todo lo que he ido respondiendo a las demás preguntas ejemplificando por qué es tan peligroso y tan claro el peligro.
7. ¿Cuánto debemos esperar para tener urnas que puedan reconocer el iris del ojo de los electores?
Depende 100% del fabricante y la autoridad electoral.
8. Alemania, por ejemplo, prohibió el voto electrónico en 2009, después que un tribunal decidió que el proceso automatizado usado en los últimos 10 años era irregular. La misma prohibición ocurrió en los Países Bajos, en 2008. Entonces, ¿cómo regularizarlo?
Desde nuestra perspectiva, la regularización sería seguir los pasos de estos dos países, abandonando una tecnología que no resulta conveniente. Estos dos países han rechazado al voto electrónico de forma explícita y por completo, pero otros muchos otros países lo han rechazado para sus elecciones normales, relegando su aplicación únicamente para los votos desde el extranjero.
Como ya lo expuse, el voto por Internet desde el extranjero puede parecer una buena idea (e incluso un buen compromiso), pero incluso en dichos casos, es necesario enfrentar a la cuestión con mucha cautela y no dejarse engatusar por respuestas aparentemente sencillas, que resultan en pérdida de confiabilidad.
9. Si yo no tengo un comprobante impreso, ¿cómo sé que lo que voté realmente es lo que se registra dentro de la máquina?
No hay manera de saberlo, ni siquiera contando con un comprobante impreso. En caso de haber algún mecanismo que me permita validar que mi voto fue contado en el sentido que yo lo emití, este mismo mecanismo se hará disponible para los delincuentes electorales que extorsionan o dan dinero a cambio del voto. Incluso el mecanismo que se ha popularizado de generar el llamado ”rastro impreso” resulta insuficiente.
Se han hecho estudios estadísticos que apuntan a que una amplia proporción de la población no verifica el “recibo de supermercado” generado. Por poner sólo un ejemplo, los adultos mayores (y demás personas con debilidad visual) verán un mero comprobante, y no se detendrán a leer cada uno de sus renglones. Además, si la máquina emitiera u papelito contrario al voto emitido, ¿qué puede hacer el votante?
¿Le valdrá la pena registrar una queja ante las autoridades de mesa? ¿Lo hará, o lo dejará de lado? Para un mayor análisis al respecto, les sugiero leer el texto de Federico Heinz¹, “Con imprimir el voto no alcanza“.
Y hay otro punto importante a considerar: ¿Qué significa este papelito comprobante? En el Estado de Jalisco (México), para permitir la instalación de urnas electrónicas que realizaron en las elecciones del 2012, se hizo una modificación legal que traslada el peso documental legal de las papeletas emitidas a la memoria de la computadora: Esto es, incluso si se obtuviera un recuento “voto por voto” de cada uno de los comprobantes emitidos y el resultado fuera distinto del anunciado, la verdad legal es la que indique la computadora.
Y por las declaraciones que al día de hoy ha realizado el Tribunal Electoral venezolano, el caso es el mismo por allá: El documento legal es el acta emitida, y un recuento del 100% de los votos, independientemente de su resultado, no alterará el resultado legal de la elección. Esto es, el papelito denominado “testigo” es equiparable a un placebo médico.
10. ¿Qué niveles de encriptación, de codificación de seguridad alfanumérica, tienen los votos que yo emito?
Depende 100% del fabricante y la autoridad electoral.

Wolf G.  2012.  México, el voto electrónico y el 2012. .Seguridad: Cultura de prevención para TI. :27-30.

México es un país que, a lo largo de su historia, ha sufrido fraudes y otros malos manejos electorales, por medio de diferentes esquemas. Los mexicanos frecuentemente nos sentimos autoridades mundiales en este tema; la constante respecto a nuestras autoridades electorales ha sido más de duda y cuestionamiento que de confianza. Hubo un breve periodo, los últimos años de la década de los 1990 y los primeros de los 2000, en que parecía que se consolidaba una institución sólida y confiable, pero las dudas –fundadas o no– que surgieron tras la elección del 2006 devolvieron a las autoridades electorales a los niveles desconfianza tradicional que han sostenido a lo largo de buena parte de nuestra historia como nación independiente.
Y un reclamo muchas veces escuchado es que, dado que es imposible confiar en los individuos, corruptibles por naturaleza, la responsabilidad del escrutinio de los votos debería recaer en un sistema computarizado, siempre limpio, eficiente y honesto.

Índice

• 1 ¿Qué hace una urna electrónica?
• 2 La confianza y los aguafiestas
• 3 Desconfiando del DRE… Y de lo demás
• 4 La futilidad de los simulacros
• 5 Conclusión

1 ¿Qué hace una urna electrónica?

Las urnas electrónicas se han propuesto desde hace mucho tiempo ya, y muchos países (o jurisdicciones menores) las han adoptado.
En el corazón de todas las propuestas de voto electrónico está la urna electrónica. Esta es básicamente una computadora, con una interfaz usuario limitada para sólo permitir un conjunto específico de operaciones, construida dentro de una caja o maletín que dificulten el acceso a cualquiera de sus componentes fuera del expresamente autorizado, y encargado de recibir cada uno de los votos, convirtiéndolos en información almacenada de forma electrónica. Por medio de un procedimiento previamente diseñado, las autoridades electorales pueden indicarle que deje de recibir votos, y entregue los totales que cada una de las opciones recibió.
Las primeras urnas electrónicas que cumplen con esta definición, las llamadas DRE voting machines (Direct-Recording Electronic, máquinas de voto electrónico de grabación directa) fueron puestas en práctica ampliamente hacia 1996, y al día de hoy, la totalidad de votantes de países tan grandes como la India y Brasil, y amplios segmentos de otros países como los Estados Unidos, votan de esta manera.

2 La confianza y los aguafiestas

No perdamos de vista que si una cosa caracteriza al gremio de los desarrolladores de software es la cantidad de errores (tanto accidentales como, lo que es mucho más peligroso, inducidos) que pueden aparecer en un programa. El mero hecho de que exista un área de especialización tan importante como la seguridad informática lo hace patente: La complejidad hasta de los sistemas más sencillos hace imposible asegurar con toda certeza que una computadora haga lo que que debe hacer.

Para ilustrarlo: Pocas computadoras en el mundo corren hoy sin antivirus. Estos programas se hicieron necesarios dadas las grandes deficiencias de diseño que tuvo el sistema operativo más popular del mundo ante la realidad de estar hoy permanentemente conectados a una red hostil. Y hasta corriendo los sistemas más seguros, es necesario estar al tanto de todas las actualizaciones y notas de seguridad si queremos confiar en que nuestra computadora responde únicamente a nuestras órdenes, y lo hace de forma confiable.
Incluso ante el mismo programador, como proféticamente lo demostró en 1984 Ken Thompson al aceptar el premio Turing (reconocido en nuestro campo como el premio Nóbel de la Ciencia de la Computación) con el artículo /Reflexiones acerca de la confianza en la confianza/1 , un programador siempre confía ciegamente en un conjunto de programas sobre de los cuales construye (compilador, ligador, sistema operativo), y por tanto, un atacante determinado sólo tiene que bajar lo suficiente para plantar un troyano.

3 Desconfiando del DRE… Y de lo demás

Expertos en seguridad informática no tardaron en señalar diversos expertos diversas fallas elementales en el voto DRE; el principal, el de la confiabilidad. Si los votos únicamente son grabados en la memoria electrónica, ¿cómo puede asegurarse que reflejen fielmente el sentido del voto de cada individuo? O puesto de otro modo, ¿cómo podría asegurarse un recuento de los votos en caso de ser nacesario?
La respuesta no se hizo esperar: A cada voto emitido, sería impreso un comprobante o testigo del voto, mismo que serviría para contar los votos manualmente en caso de impugnación. Este esquema es conocido como VVPAT (Voter-verified paper audit trail, Rastro auditable en papel verificado por el votante).
Esto, si bien ha sido aceptado por numerosos sistemas electorales en el mundo, sigue sin ser suficiente. Como sugiere Federico Heinz2, hay varios esquemas que podrían reventar una elección con este planteamiento. Por ejemplo, si las personas interesadas en sabotear una urna, tras votar, reclaman ante la mesa de autoridades indicando que la urna registró un voto contrario a lo que le solicitaron, podrían llevar a que se anulen todos los sufragios emitidos por dicha urna, dado que son potencialmente ilegítimos.
Por otro lado, podría presentarse nuevamente el escenario que se dió en la ciudad de Nueva York en 20103: Al calentarse las urnas electrónicas, emitían votos aleatorios por error. Se estima que esto puede haber invalidado hasta el 30% de los votos efectivos de algunas
mesas.

4 La futilidad de los simulacros

Este 2012, el principal proyecto de implementación de voto electrónico en México será en las elecciones locales del Estado de Jalisco. Uno de los muchos puntos preocupantes de este ejercicio es que, como pruebas previas a la instalación de más de mil urnas electrónicas en dos distritos electorales y un municipio, las únicas pruebas de confiabilidad disponible para ser analizada públicamente son cinco simulacros.
¿Qué puede comprobarse en un simulacro? Que, en el mejor de los mundos posibles y sin ninguna intencionalidad maligna, las urnas funcionen como dicen funcionar. En caso de haber algún componente malicioso en las urnas, es del total interés de quien lo haya sembrado que no cause ningún comportamiento inusual (para no perder su agente encubierto sin obtener la ventaja que le llevó a introducirlo en primer lugar). Un simulacro busca demostrar que, bajo condiciones controladas, la elección no colapsa. Y lo peor del caso es que en este caso, 3 de los 4 simulacros que habían ocurrido hasta la fecha en que este documento fue escrito registraron fallos diversos que hacían –ya a menos de dos meses del proceso electoral– replantearse si se emplearían o no4. En el Distrito Federal, la implementación de urnas electrónicas licitadas a la misma empresa que las provee en Jalisco fue rescindida, en parte, por habérsele encontrado 28 fallas5.
¿Un simulacro exitoso aseguraría que no habrá fallas el día de la elección? ¡De ninguna manera!

5 Conclusión

Por restricciones de espacio, en este texto apenas me ha sido posible arañar algunos de los puntos más notorios del voto electrónico, y de por qué, comprendiendo puntos básicos de seguridad en cómputo y estando conscientes de la gran importancia que tiene el voto dentro de un sistema democrático representativo como el que aspiramos tener en nuestro país, resulta imposible confiar en que las urna electrónica resuelva nuestros problemas de confianza — Muy por el contrario.
Se ha hablado de emplear al voto electrónico para resolver otros problemas, como el del costo o la agilidad de la transmisión de resultados. Estos puntos pueden desmenuzarse y descartarse con todavía mayor facilidad que el aquí presentado.
Si este breve artículo resultó de su interés, les invito a leer el artículo publicado a fines del 20116 , así como el abundante material que al respecto ha generado la Fundación Vía Libre (Argentina)7, destacando el libro Voto electrónico: los riesgos de una ilusión, publicado en 20098.

Pies de página:

1 Reflections on Trusting Trust, Ken Thompson, Communications of the ACM, Vol. 27, No. 8, August 1984, pp. 761-763
2 Urnas electrónicas: con imprimir el voto no alcanza, Federico Heinz, Fundación Vía Libre, septiembre de 2010; http://www.vialibre.org.ar/2010/09/12/urnas-electronicas-con-imprimir-el-voto-no-alcanza/
3 Machine Casts Phantom Votes in the Bronx, Invalidating Real Ones: Report, The Empire, mayo de 2012; http://www.wnyc.org/blogs/empire/2012/may/09/reports-find-machine-errors-led-uncounted-votes-2010/
4 Pide diputada que IEPC esté listo a llevar a cabo elección tradicional, Zaira Ramírez, El Informador, 8 de mayo de 2012;
http://www.informador.com.mx/primera/2012/374801/6/pide-diputada-que-iepc-este-listo-a-llevar-a-cabo-eleccion-tradicional.htm
5 Urnas electrónicas tienen 28 fallas: IEDF, Jonathan Villanueva, El Universal, 13 de abril del 2012; http://www.eluniversal.com.mx/ciudad/111073.html
6 Voto electrónico: ¿Quién tiene realmente la decisión?, Construcción Colaborativa del Conocimiento (IIEc-UNAM), Gunnar Wolf, 2011; http://seminario.edusol.info/seco3/pdf/seco3_apend3.pdf
7 Fundación Vía Libre — Voto electrónico http://www.votoelectronico.org.ar/
8Voto electrónico: los riesgos de una ilusión, Fundación Via Libre, 2009; http://www.vialibre.org.ar/wp-content/uploads/2009/03/evoto.pdf

The internet was conceived as a network where reliability should be more important than privacy: What matters is to get the messages from their origin to their destination, even though this makes them highly traceable. Throughout the years, a large variety of schemes have been created to protect privacy, both while the packages are in transit and in form of stored documents, and at different levels.

In this talk, I present some (relatively) user-friendly programs helping users keep their communications and data more secure.

Wolf G.  2011.  Monitoreo de PostgreSQL con Munin. Revista Cubana de Ciencias Informáticas. 5:1-8.

Wolf G.  2011.  Urna electrónica es menos confiable que el papel.

Wolf G.  2011.  Georeferenciación a nuestras espaldas. Software Gurú. 32:46-47.

La idea para la columna de este número surgió de una plática con mi padre, comentando acerca de un texto que él presentó, como parte del espacio de la Academia de Ciencias de Morelos en el periódico La Unión de Morelos el pasado 18 de abril1. En éste, habla acerca de la disparidad de las cifras reportadas ante la manifestación dirigida por Javier Sicilia en la ciudad de Cuernavaca (ésta, el miércoles 6 de abril), y acerca de métodos que podrían utilizarse para tener una estimación más precisa. Yo, como buen consultor, le sugerí algo bonito y preciso en teoría, pero impracticable para todos los que no contamos con el poder coercitivo gubernamental: Acceder a los registros de las compañías de telefonía celular, para averiguar cuántas personas entraron durante el periodo de nuestro interés a la región por donde cruzó la marcha. A fin de cuentas, una muy alta proporcionón de la población hoy en día cuenta con teléfono celular, y podría ser una buena manera no sólo de estimar la magnitud de la marcha, sino de hacerlo a lo largo del tiempo que duró.

Ahora, dado que la información que poseen las telefónicas no es pública, dejamos la conversación a un nivel puramente especulativo — Seguros de que las autoridades de Seguridad Pública tienen acceso a estos datos, pero que a la mayor parte de nosotros nos resultan inalcanzables, como no sea a través de una órden judicial.

En los días siguientes a esta conversación, sin embargo, se presentaron varias noticias que se me hicieron interesantes, y que vinculan a esta discusión relativa a la participación ciudadana en la política nacional con temáticas más cercanas a las que toca esta revista: El cómputo ubicuo, la rastreabilidad de un dispositivo móvil, la seguridad de la información de geolocalización, y nuestro derecho a controlar quién tiene acceso a ella.

Compañías telefónicas

Me encontré con un artículo publicado por el diario alemán «Zeit Online» el 26 de marzo2, que ilustra precisamente la profundidad de esta información: Malte Spitz, del Partido Verde alemán, presentó una demanda judicial para obligar a Deutsche Telekom a entregarle todos los datos suyos que tuvieran registrados en los últimos seis meses. Los datos están disponibles en crudo — Y adicionalmente, gracias a una simple aplicación Web3 realizada para presentar esta información de una manera fácil de comprender, nos hace ver la profundidad de los patrones de comportamiento que puede construirse de cada uno de nosotros: Ubicación geográfica, llamadas y mensajes recibidos/enviados, conexión de datos...

Si bien la geolocalización es mucho menos precisa que la que arrojaría un GPS (es obtenida por triangulación entre las torres de telefonía celular, resultando en una precisión de unos cien metros), el punto más importante es que esta información se genera y almacena centralmente, en las instalaciones del proveedor de telecomunicaciones, e independientemente de las capacidades tecnológicas de nuestro teléfono.

Y si bien Malte Spitz tuvo acceso a sus datos a través de los canales legales, ¿qué tanto podemos confiar en que dichos datos estén adecuadamente protegidos de los ojos de atacantes capaces de vulnerar servidores conectados a Internet? Precisamente, el experimento de Spitz fue llevado a cabo para sustentar el peligro de la ordenanza de 2008 que obliga (y por tanto permite) a las compañías de telecomunicaciones guardar esta información por medio año — Ordenanza que en marzo de 2010 fue declarada inconstitucional. En México nos hemos topado una y otra vez con casos en que datos confidenciales han sido encontrados en el mercado negro. ¿Qué nos indica que esta información, escalofriantemente precisa acerca de nuestros hábitos no está disponible al mejor postor?

Proveedores de hardware

Otro conjunto de noticias que aparecieron en los días recientes son los relacionados a la información de ubicación que guardan diversos teléfonos inteligentes y equipos similares: Los equipos iPhone e iPad de Apple que corren el iOS versión 4 o superior, guardan un registro histórico de los puntos por los que ha pasado el usuario4,5 (al igual que lo mencionado anteriormente, mayormente basado en triangulación contra las antenas celulares, aunque de mucho mayor precisión cuando el GPS está activado). Y si bien esto no debería sorprendernos, hay tres puntos clave en lo revelado:

• Los datos son guardados sin cifrado, y son incluídos en todo respaldo hecho al dispositivo.
• La licencia de uso del software permite expresamente a Apple recolectar, usar y compartir información precisa respecto a la ubicación, incluyendo la ubicación geográfica en tiempo real de tu computadora o dispositivo Apple.
• La información recopilada no se limita a una ventana de tiempo preestablecida, sino que durará la vida entera del equipo.

Para verificar (y/o jugar) con esta funcionalidad, pueden instalar en cualquier computadora con la que hayan sincronizado un iPhone o iPad el iPhoneTracker (MacOS)6 o el iPhoneTrackerWin (Windows)7. En el sitio del iPhoneTracker hay una interesante lista de preguntas muy interesantes para entender este problema.

Claro, pero el que Apple controle los dispositivos que los usuarios han comprado no es novedad. Quienes me conozcan, probablemente esperan que haga a continuación una apología de por qué el software libre es más seguro, y por qué deberían todos cambiar a un teléfono basado en el sistema Android, de Google. Sin embargo, la situación no es tan distinta ahí.

Con la salvedad de que para que éste archivo exista el usuario tiene que haber aceptado previamente que el teléfono provea servicios relacionados con los datos de geolocalización (sin duda una muy importante característica de los equipos, y que poca gente dejará desactivada), los teléfonos Android guardan también información con nivel de detalle muy similar8. Esta información además no se mantiene a largo plazo: Los dispositivos Android guardan únicamente un número limitado de ubicaciones — Hasta 50 entradas derivadas de torres celulares, y hasta 200 derivadas de redes WiFi.

Ahora, de este último punto podemos aún jalar más hilo: Si bien el contrato de licencia del software de Apple permite que reciban todos los datos de ubicación, hasta el momento han negado estar utilizándolos. Sin embargo, al autorizar a Android, explícitamente estamos autorizando que esta información sea reportada a Google9 — ¿Y qué uso directo le dan? Los dispositivos con Android notifican a Google la ubicación de cada red inalámbrica que encuentran, como lo demuestra el sitio Web desarrollado por Samy Kamkar10: Los dispositivos informan a Google de la ubicación geográfica de cada red WiFi que encuentran.

Ahora bien, sé que este texto puede ser leído como una carta escrita por un paranóico de las teorías de la conspiración. No es así, estoy consciente de que la tecnología va cambiando nuestra vida, y que lo que para muchos puede ser visto como una invasión a la privacidad, para muchos otros representa la gran conveniencia tanto de contar con una ubicación razonablemente precisa en un tiempo aceptable como de poder compartirla con nuestros contactos en un tiempo pertinente.

Mi convocatoria, claro, al tiempo que lleva a que tengamos conciencia de los insospechados ojos que pueden estar aprendiendo de nuestras vidas con cualquier tipo de fines, también lleva a que, como desarrolladores de aplicaciones, sepamos ser creativos y aprovechar la información que tenemos a nuestro alcance — ¡Porque sin duda podrán encontrar también maneras lícitas y atractivas de emplear estas fuentes de información!

Referencias

1. ¿Cuántos miles marchamos? — http://www.launion.com.mx/images/stories/Hemeroteca%20Virtual/2011/abril-2011/18-abr.pdf (pag. 34)
2. Betrayed by our own data — http://www.zeit.de/digital/datenschutz/2011-03/data-protection-malte-spitz
3. Tell-all telephone — http://www.zeit.de/datenschutz/malte-spitz-data-retention
4. Secret iPhone location tracking — http://www.theregister.co.uk/2011/04/20/secret_iphone_location_tracking/
5. How to See the Secret tracking Data in Your iPhone — http://www.pcmag.com/article2/0,2817,2383943,00.asp
6. iPhoneTracker — http://petewarden.github.com/iPhoneTracker/
7. iPhoneTrackerWin — http://huseyint.com/iPhoneTrackerWin/
8. It’s not just the iPhone, Android stores your location data too — http://thenextweb.com/google/2011/04/21/its-not-just-the-iphone-android-stores-your-location-data-too/
9. Google Android privacy concerns — http://www.theregister.co.uk/2011/04/22/google_android_privacy_concerns/
10. Android Map http://samy.pl/androidmap/

Wolf G.  2011.  Identidad y reputación en línea: Esquemas de confianza. Software Gurú. 31:48-49.

Querido amigo: Soy la señora Mariam Abacha1, viuda del finado General Sani Abacha, ex-jefe de gobierno de Nigeria. (…) Para salvar a mi familia de una total bancarrota, estoy buscando transferir el total de US$24,000,000 a través de una institución bancaria confiable. (…) Como pago por su ayuda, le ofrezco el 30% de lo que podamos rescatar de la fortuna de mi querido esposo.

El tema conducente del presente ejemplar de SG, Pagos en línea, cruza necesariamente por el tema de los esquemas de establecimiento de reputación en línea. Cada vez menos gente asume confiable cualquier dato que encuentra en Internet sencillamente por estar ahí. Un logro del que puede enorgullecerse la comunidad de expertos que apuntan a la necesidad de concientización en nuestro quehacer en red es que la generalidad de los usuarios, por lo menos, ya desconfía cuando le piden datos para tener acceso a su dinero. Sin embargo, ¿qué es lo que nos lleva a confiar en determinados proveedores?

El problema de establecer la reputación de un tercero puede presentarse como un muy interesante ejercicio académico, con anclas en muy diversas áreas del conocimiento, desde las ciencias sociales hasta las matemáticas.

En un plano mucho más aplicado, todo el problema de la reputación puede resumirse en las preguntas, ¿Puedo confiar en que la contraparte es quien dice ser?, y ¿Puedo confiar en que dice la verdad?. Enfocándonos a las aplicaciones actuales, podemos principalmente traducir estas preguntas en:

Confianza en la identidad

Seguramente habrán recibido alguna vez un correo similar a aquel cuyas primeras líneas reproduje. Afortunadamente, es poca la gente que cae en estos esquemas2. Lo primero que debe venir a nuestra mente es, ¿estoy realmente intercambiando correo con la Sra. Abacha?

Hemos aprendido a desconfiar de la identidad de los extraños. Y cuando un extraño nos propone una transacción económica, nuestra primer reacción es desconfiar. Cuando efectuamos transacciones a través del navegador, nos hemos acostumbrado a buscar indicaciones de que estemos hablando con un servidor seguro. ¿Qué es esto? ¿Cómo lo valida el navegador?

Más allá de aplicar el sentido común, hay dos esquemas principales que nos permiten confiar la identidad de una entidad –individuo o empresa– con la que podamos tener un intercambio que incluya información confidencial (que requiera mantenerse a resguardo de terceros, como el número de nuestra tarjeta de credito) o no-repudiable (que nos interese tener un comprobante de haber realizado determinada transacción¸ sea pública o privada, con la persona o entidad en cuestión; lo que se ha dado por llamar firma electrónica): El esquema centralizado, basado en autoridades certificadoras (CAs) y firmas corporativas, y el esquema descentralizado, basado en llaveros de confianza y firmas personales. Ambos están basados en la criptografía de llave pública, con implementaciones derivadas de la criptografía de llave pública. No profundizaré en cómo estos pueden utilizarse para el intercambio de información, sino sobre la metainformación: Cómo apuntan a la confiabilidad sobre la identidad de un actor.

Por un lado, tenemos a la infraestructura de llave pública (PKI). Este es el esquema que siguen los navegadores Web, punto de contacto que casi todos tendremos con los pagos en línea. Además de los navegadores, y el ocasional cliente de correo, muchos otros servicios pueden emplear certificados de esta naturaleza para realizar autenticación o cifrado3 — Pero estos dos son los más visibles a los usuarios en general.

Bajo un esquema PKI, nuestro navegador confiará ciegamente en la identidad de un conjunto de CAs centrales, definidas por el proveedor del softare4. Mientras un certificado esté firmado por una autoridad conocida, el navegador mostrará la conexión como segura.

Tenemos por otro lado a los esquemas basados en el esquema de llaveros de confianza. Éste esquema fue dado a conocer en los 1990, con el sistema de criptografía PGP, de Phil Zimmermann. Un llavero de confianza podría definirse como un sistema colaborativo, par a par: Cada participante del llavero firma la llave de los otros participantes a los que conoce personalmente, certificando confianza en que su identidad es verdadera5. Cuando un usuario quiere comunicarse con otro, puede ver cuál es el camino de confianza yendo entre individuos, y en base a la distancia y grado de conexión (y, por tanto, de certificación) que tiene determianda identidad, decidir el nivel de confianza que depositará en ésta.

Entonces, un servidor seguro no es sólo el que implementa una conexión cifrada, sino que aquél en cuya identidad puedo confiar. Emplear cifrado sólo tiene sentido cuando podemos confiar en la identidad de nuestra contraparte. De muy poco serviría que garantizáramos que toda nuestra comunicación llega cifrada hasta nuestra contraparte si dicho sistema no es el sistema destino — Si no verificamos la identidad de nuestra contraparte, un atacante podría interponer un servidor entre nosotros y nuestro destino, descifrando y cifrando nuevamente la comunicación, modificando o guardando los datos que juzgara necesario.

En un esquema PKI, basta con engañar a una CA respecto a nuestra identidad para tener la puerta abierta a interceptar las solicitudes de usuarios. Y, tristemente, esto ya hace mucho tiempo pasó del terreno del discurso académico al del mundo real: En 2001 fue detectado un certificado firmado por Verisign a nombre de Microsoft, otorgado a un individuo sin relación alguna con dicha compañía6.

A diferencia de PKI, en que un conjunto de firmas se ve como una serie de árboles con raíces en cada una de las CAs certificadas, una red de firmas basada en las ideas de Zimmermann nos aparece como una red fuertemente interconectada, y nos permite validar varios caminos de confianza entre dos participantes de esta red, y evaluar cada a uno de ellos basado en la confianza subjetiva que damos a los actores involucrados7.

No hay un esquema indiscutiblemente mejor que el otro — Son utilizados con fines distintos. Ambos tienen su ámbito de aplicación — Y si hoy podemos confiar en la confidencialidad, integridad y seguridad de las transacciones en línea, es por estos esquemas. Nuevamente, de muy poco nos serviría cifrar nuestras transacciones en un entorno hostil sin tener confianza en que la contraparte es quien esperamos que sea.

Reputación del individuo

Asumamos, sin embargo, que la Sra. Abacha nos convenció plenamente de ser ella. ¿Debemos por ello confiar en su oferta?

Es aquí donde entra en juego la reputación: Ya que tengo certeza de estar interactuando con la entidad deseada, saber si es una entidad con la que me conviene mantener una transacción es el siguiente albur. Y, en este caso, la reputación es algo que debe establecerse bidireccionalmente. No sólo al comprador le interesa saber que el vendedor le entregará un producto genuino y a tiempo, sino que al proveedor le interesa saber si el comprador tiene cómo pagarlo. No sólo al solicitante de un préstamo le interesa que el banco confíe en su capacidad crediticia, sino que al banco le importa saber si éste no ha faltado a sus obligaciones de pago. Si entro a un sitio de intercambio entre particulares, sea de venta directa o a través de subastas (y seguramente en ambos casos todos habrán pensado en cuál sitio pensé al escribir tan amplia categoría — Eso también entra en el amplio ámbito de la reputación), los individuos participantes tienen una calificación indicando su confiabilidad basada en su comportamiento previo.

O, saliéndonos del árido tema de las transacciones económicas, en un foro de discusión puede interesarme filtrar los mensajes para sólo ver los que más vale la pena leer — Y, sin recurrir a un sistema que requiera involucramiento masivo de los editores, la mayor parte de estos sitios basan este filtro dando un valor inicial dependiente de la reputación del autor.

La asignación de reputación es un área completamente dependiente del campo de aplicación, por lo que resulta imposible hablar de implementaciones como en la sección anterior.

Nuevamente, las restricciones de espacio me dejan apenas arañando el campo, apuntando a un gran área a tener en consideración para cualquier desarrollo que emprendamos en que pueda involucrarse el peso o la complejidad de las relaciones entre entidades complejas. Tomar estos elementos en cuenta de forma transversal a los diferentes dominios de aplicación nos llevará a variadas e interesantes consideraciones, que seguramente mejorarán no sólo la confiabilidad de nuestras transacciones, sino incluso la oportunidad y el valor de la información que presentamos a nuestros usuarios.

Notas al pie

1 El nombre de la Sra. Abacha es el más prevalente en los fraudes de pago anticipado; tristemente, su identidad y reputación son ya demasiado bajos. Mi intención no es dañarlo más, claro está, sino señalar un fenómeno preexistente

2 Sin embargo, una pequeña proporción de una cantidad absurdamente grande de correos enviados sigue resultando en buen negocio… Y es por ello que estos defraudadores siguen saturando nuestros buzones.

3 Encontraremos referencias a estos certificados como X.509; si vamos a implementar directamente opeaciones sobre los certificados, conviene hacerlo empleando la biblioteca libre openssl.

4 Por ejemplo, puede consultar la lista de CAs autorizadas por Mozilla en http://www.mozilla.org/projects/security/certs/included/index.xml

5 Es muy importante tener en cuenta que lo único que aquí se certifica es la identidad, no la confianza en la entidad en cuestión. La confianza será tratada en la siguiente sección.

6 Bruce Schneier: Fake Microsoft certificates, http://www.schneier.com/crypto-gram-0104.html#7

7 Por poner un ejemplo, si yo (llave C1DB921F) obtengo un documento firmado por Marcelo Tosatti (llave E8E1FE55), desarrollador del kernel de Linux, encuentro que (al día en que escribo este texto) estamos a tres "brincos" de distancia: http://pgp.cs.uu.nl/paths/C1DB921F/to/E8E1FE55.html, http://webware.lysator.liu.se/jc/wotsap/wots/latest/paths/0xC1DB921F-0xE...

I wrote my final paper for graduation on implementing a generic connection wrapper that can be extended to understand and protect specific protocols. I presented this project at YAPC::NA 2001, and published a short article on Usenix's ;login: magazine (published in the June 2002 number).

• Full final paper (130 pages, PDF)
• Full final paper (converted to HTML)
• Text published in the YAPC::NA 2001 proceedings (PDF)
• Text published in the ;login: magazine, June 2002 (PDF)
• ProtoWrap 0.5 code installable as a Perl module. Note there are slight differences to the version published in the final paperl

Are you looking for an easy to implement backup solution that allows you to have incremental backups, with low resources consumption, and allowing for immediate retrieval of your data? Rsync and the basic characteristics of any Unix filesystem can be your greatest allies. I prepared this talk for the Admin-UNAM December 2005 seminary, organized by the Computer Security Department, DGSCA, UNAM.

• LaTeX Beamer sources (presentation source, LaTeX Beamer format)
• Presentation (converted to PDF)
• Script to run on the client - This script is to be run in client machines; this script is reviewed in the last point in my presentation

Short text going over several tools that can help a system administrator work on incident prevention, network monitoring and intrusion detection in Linux. I presented this talk in UNAM's Departamento de Seguridad en Cómputo internal admin-unam seminar, in June 2005. It was also published in the August 2005 issue of PC Magazine en español.

• Full text (PDF)

This talk was prepared for IV National Free Software Conference in Universidad Mayor, Real y Pontificia
de San Francisco Xavier de Chuquisaca, Sucre, Bolivia. This is more or less the second part for my Network security talk, bringing down to earth some of the concepts to more concrete solutions (although still fairly generic).
I presented it in 2005 for UNAM's Computer Security Department's Admin-unam internal seminar; I re-wrote it as a full-text article, also available here.

• Magicpoint presentation converted to HTML
• Full text article in PDF, with the same general structure as the presentation, but much easier to follow
• Magicpoint presentation source Magicpoint format. The diagrams are in its source (Dia) format as well.

This talk was prepared for the National Free Software Conference CONSOL 2003 and for Computer Security DGSCA/UNAM 2003 Conference. I analize the main ideas that were used for designing Multics, which of those ideas were adapted for the Unix model, which main shortcomings the traditional Unix model has, and what ideas have evolved to make Unix better.

• Full text (translated to HTML)
• Full text (translated to PDF)
• Full text (source LyX format)

I presented this talk ath the II Computer Systems Engineering Conference at Nuevo León Technological Institute. Here I review general security concepts, explaining to a non-expert audience various important factors that as security experts -and as conscious users in general- we must take into account.

• Presentation, as a PDF
• LaTeX Beamer sources for the presentation

I presented this tutorial at Computer Security DGSCA/UNAM 2003 Conference. I talk about the basic characteristics for an Ethernet network, what is sniffing, some sniffers useful for a network administrator, and some advices for protecting against unauthorized sniffers in our network.

• Full paper (PDF format), suitable for printing
• Full paper (HTML format), for online viewing
• Full paper (source LyX document), for modifying/editing

I presented this tutorial at Congreso de Seguridad en Cómputo 2000, and later rewrote it (and moved it to a free, portable format) for Días de Software Libre at Guadalajara, May 2002. In this tutorial, I review some important key points not to fall in security errors while programming with Perl. I later adapted it together with a coworker, Alex Juárez, and we presented it in English at YAPC::Europe 2002. Here you will find this text both in Spanish and in English.

• Full paper in English (HTML; natively written in this format)
• Magicpoint slides in English (native Magicpoint format)
• Magicpoint slides in English (as HTML)
• Full paper in Spanish (as HTML)
• Full paper in Spanish (native LyX format)