Lo que muchos no saben del voto electrónico
Hace unas semanas publicamos una entrevista con Edgardo Torres Caballero, gerente general en América Latina, Caribe y Portugal de Scytl, quien nos habló acerca de los beneficios del voto electrónico y de su adopción en la región.
Sin embargo, en OhMyGeek! recibimos un “derecho de respuesta” de Gunnar Wolf, académico de la Universidad Nacional Autónoma de México, y desarrollador de software libre.
Según Wolf, es de esperar que personeros de empresas de tecnología para la automatización electoral pinten una realidad tan perfecta del voto electrónico. Sin embargo, el académico comenta que, durante su trayectoria, no ha encontrado a ningún experto en seguridad informática que defienda al voto electrónico y que lo pinte como algo tan seguro, en comparación a una elección base-papel promedio.
En este caso, Wolf nos pidió poder dar su punto de vista respecto al voto electrónico, y esto fue lo que nos dijo:
Antes que nada, agradezco profundamente este claro –y muy sui-generis– derecho de réplica al lector que me dan, en primer término, Rosa Martínez Gómez (quien llevó la entrevista con Edgardo Torres) y, obviamente, a OhMyGeek! por el espacio por medio del cual esta llega a ustedes.
La invitación que me hizo Rosa fue a responder a las mismas preguntas que ella hizo a Edgardo Torres. Claro está, algunas de las preguntas son específicas a los equipos y planes de desarrollo de negocio de Scytl — No respondo a esas preguntas por razones obvias.
1. Hoy todo es crackeable y, por otro lado, los números de cibercrimen en Latinoamérica son alarmantes. Entonces, ¿cómo podría impedirse que un cracker altere los resultados electorales de un país?
Esta primer pregunta es precisamente el mayor “quid” del voto electrónico. La respuesta, por alarmante que parezca, es que es sencillamente imposible evitar un ataque de este tipo.
Analicémoslo brevemente: Un componente fundamenatal del foto es el secreto. Lo único que debe saberse de cada votante en particular es que emitió un voto (y, por tanto, no puede volver a hacerlo). Debe ser imposible demostrar por quién votó — Lo que es más, ni siquiera el mismo votante debe poder hacerlo, porque esto abriría la puerta a la presión, sea por compra de votos o por relaciones de dominación familiar, laboral, de grupo social, o de otra índole.
Muchas veces se nos presenta la siguiente comparación: ¿Por qué confiamos en la banca electrónica y no en el voto electrónico? La respuesta es esa: Las transacciones económicas deben tener perfectamente identificados a los actores, y deben estar sujetas a una auditoría completa. En el momento que se plantea como requisito la destrucción de parte de la información (se debe mantener el secreto electoral), no se puede bajo ninguna circunstancia asegurar la integridad de la misma.
Lo que es más: Este hecho se ha demostrado ya en repetidas ocasiones, empleando diferentes técnicas, en todo el mundo y en diferentes etapas del proceso. La modificación puede hacerse al grabar los resultados en las urnas (como lo ilustró el grupo “Wij vertrouwen stemcomputers niet” en 2008 en Holanda), al leer de ellas (como lo hicieron Hari K. Prasad, J. Alex Halderman y Rop Gonggrijp en La India en 2010) e incluso al transmitir los votos, sin siquiera tener acceso físico a las urnas electrónicas (como lo hizo Reinaldo Mendonça en Brasil en 2012). Y lo más preocupante es que sólo sabemos de los ataques hechos con fines académicos
¿Cuántos no habrán ya pasado bajo nuestras narices?
2. ¿Cómo se realiza la identificación de los electores?
Del mismo modo que hay distintos fabricantes de urnas y sistemas, también hay distintos esquemas de identificación. En primer término, hay urnas electrónicas que siguen dependiendo de que las autoridades de mesa electoral verifiquen la identidad del votante manualmente (por ejemplo, verificando su identificación contra el padrón) y lo habiliten para emitir un voto manualmente.
Hay urnas electrónicas equipadas con lectores biométricos, como las empleadas en las elecciones venezolanas, que verifican la huella digital del votante.
Por otro lado, cuando se realizan votaciones a distancia por Internet, hay dos mecanismos: Uno es dotar a todas las identificaciones de dispositivos criptográficos, como se hace desde hace varios años en Estonia y se está impulsando que ocurra también en Perú, y requerir que para emitir un voto la computadora cuente con un lector de dicho dispositivo.
Por último, la modalidad que han impulsado empresas como Scytl (y que fue empleada, por ejemplo, para los votantes de la Ciudad de México residentes en el extranjero en las elecciones del 2012) es la generación de una contraseña en las semanas previas a la elección, y la identificación por usuario/contraseña.
Y de nuevo, la fuerza relativa de cada modalidad se cae ante un simple análisis. La identificación personal, con todas sus fallas, sigue siendo la mejor puntuada. Una urna con lectores biométricos lleva a bien fundamentadas dudas acerca de si la urna verdaderamente mantendrá en secreto la relación entre el votante y el sentido del voto — Y hay casos escalofriantes, como la “Lista Tascón“: En 2004, tras el referendo revocatorio venezolano, en que Hugo Chávez logró una aprobación del 60% para seguir al frente del gobierno, se publicó la relación de quienes votaron en contra suya -Muchos de quienes fueron despedidos de puestos públicos o perdieron la cobertura de programas sociales-.
¿Y respecto al voto a distancia? Mucho peor. Ambos esquemas de identificación demuestran únicamente la posesión de determinado documento o información, no que la persona sea el auténtico votante. Si en mi país se permite el voto por Internet, y en mi empresa me ofrecen un aumento (o me amenazan con el despido) a cambio de que yo le “preste” mi documento electoral a mi jefe, puede hacerse una compra de votos a gran escala.
El no contar con un precinto desde donde pueda ejercer el voto secreto tiene un efecto similar: El jefe de familia o el grupo social pueden proponer/imponer una jornada de voto en conjunto, en que cada miembro del grupo pueda verificar el sentido en el cual votaron todos los demás.
3. ¿La adopción del voto electrónico ha incrementado la asistencia a las urnas?
Esto resulta muy dificil de responder, y depende de la modalidad del voto, y de las aprehensiones particulares de la población en cuestión. Del mismo modo que hay gente que resulta atraída, hay gente que, a pesar de todas las jornadas de sensibilización que se realicen al respecto, el uso de computadoras (por simplificada que sea su interfaz) le seguirá produciendo miedo, desconfianza o incomodidad.
No podemos ignorar casos como el ocurrido en Panamá en 2012, en que para las elecciones internas del partido PRD, con sólo 4200 delegados habilitados para votar, las urnas electrónicas causaron demoras superiores a las cinco horas. Y esto es relevante porque, aunque dicha demora no es un problema frecuente, ilustra cómo muchos factores adicionales pueden influir en que una elección sea un éxito o un fracaso: No es descabellado imaginar que una autoridad electoral parcial envíe a los distritos “políticamente confundidos” (esto es, que muestre preferencia al candidato ”equivocado”) máquinas que funcionen de forma correcta, aunque más lenta o presentando alguna otra incomodidad al votante.
4. En ocasiones el sistema no reconoce el 100% de las huellas digitales. ¿Qué sucede con las personas cuyas huellas no pueden ser reconocidas?
Depende 100% del fabricante y la autoridad electoral.
5. ¿Cuáles son los principales beneficios del voto electrónico?
A decir de sus proponentes, los principales beneficios serían un menor tiempo de escrutinio, una mayor rapidez para conocer los resultados, y una mayor confiabilidad en los mismos. Con lo que hemos visto, sin embargo, resulta claro cómo en cada uno de esos casos el voto electrónico resulta reprobado.
No podemos dejar de ver como ejemplo claro y paradigmático a lo ocurrido apenas el 14 de abril en Venezuela: Por más que en el país se emplee del voto electrónico desde hace ya 14 años, y las empresas proveedoras de urnas lo citen como ejemplo de transparencia y confianza por parte de su ciudadanía, ante un resultado muy cerrado y con cerca de 3000 denuncias de irregularidades (un número bastante dentro de la norma en las elecciones en nuestro continente), no pudo evitarse la polarización y el enfrentamiento en su sociedad.
En los primeros días tras las elecciones hubo enfrentamientos callejeros que llevaron a siete muertos, una toma de posesión con la mitad de la población dudando de la legitimidad del nuevo gobierno — Y la imposibilidad fundamental (ver pregunta 9) de realizar un recuento.
6. ¿Cuáles son los principales riesgos del voto electrónico?
El principal riesgo es convertir a la democracia en un juego de ”capture la bandera”, de perder la legitimidad que da el voto popular, imposibilitando además a la población en general a convencerse de los resultados a través de una auditoría plena. No creo necesario repetir todo lo que he ido respondiendo a las demás preguntas ejemplificando por qué es tan peligroso y tan claro el peligro.
7. ¿Cuánto debemos esperar para tener urnas que puedan reconocer el iris del ojo de los electores?
Depende 100% del fabricante y la autoridad electoral.
8. Alemania, por ejemplo, prohibió el voto electrónico en 2009, después que un tribunal decidió que el proceso automatizado usado en los últimos 10 años era irregular. La misma prohibición ocurrió en los Países Bajos, en 2008. Entonces, ¿cómo regularizarlo?
Desde nuestra perspectiva, la regularización sería seguir los pasos de estos dos países, abandonando una tecnología que no resulta conveniente. Estos dos países han rechazado al voto electrónico de forma explícita y por completo, pero otros muchos otros países lo han rechazado para sus elecciones normales, relegando su aplicación únicamente para los votos desde el extranjero.
Como ya lo expuse, el voto por Internet desde el extranjero puede parecer una buena idea (e incluso un buen compromiso), pero incluso en dichos casos, es necesario enfrentar a la cuestión con mucha cautela y no dejarse engatusar por respuestas aparentemente sencillas, que resultan en pérdida de confiabilidad.
9. Si yo no tengo un comprobante impreso, ¿cómo sé que lo que voté realmente es lo que se registra dentro de la máquina?
No hay manera de saberlo, ni siquiera contando con un comprobante impreso. En caso de haber algún mecanismo que me permita validar que mi voto fue contado en el sentido que yo lo emití, este mismo mecanismo se hará disponible para los delincuentes electorales que extorsionan o dan dinero a cambio del voto. Incluso el mecanismo que se ha popularizado de generar el llamado ”rastro impreso” resulta insuficiente.
Se han hecho estudios estadísticos que apuntan a que una amplia proporción de la población no verifica el “recibo de supermercado” generado. Por poner sólo un ejemplo, los adultos mayores (y demás personas con debilidad visual) verán un mero comprobante, y no se detendrán a leer cada uno de sus renglones. Además, si la máquina emitiera u papelito contrario al voto emitido, ¿qué puede hacer el votante?
¿Le valdrá la pena registrar una queja ante las autoridades de mesa? ¿Lo hará, o lo dejará de lado? Para un mayor análisis al respecto, les sugiero leer el texto de Federico Heinz¹, “Con imprimir el voto no alcanza“.
Y hay otro punto importante a considerar: ¿Qué significa este papelito comprobante? En el Estado de Jalisco (México), para permitir la instalación de urnas electrónicas que realizaron en las elecciones del 2012, se hizo una modificación legal que traslada el peso documental legal de las papeletas emitidas a la memoria de la computadora: Esto es, incluso si se obtuviera un recuento “voto por voto” de cada uno de los comprobantes emitidos y el resultado fuera distinto del anunciado, la verdad legal es la que indique la computadora.
Y por las declaraciones que al día de hoy ha realizado el Tribunal Electoral venezolano, el caso es el mismo por allá: El documento legal es el acta emitida, y un recuento del 100% de los votos, independientemente de su resultado, no alterará el resultado legal de la elección. Esto es, el papelito denominado “testigo” es equiparable a un placebo médico.
10. ¿Qué niveles de encriptación, de codificación de seguridad alfanumérica, tienen los votos que yo emito?
Depende 100% del fabricante y la autoridad electoral.