/Barro

“se podría quemar una elección entera con un virus”

boleta única electrónica

Ilustración: Brian Janchez

El gobierno de Mauricio Macri introdujo en el debate parlamentario dentro un paquete de “reforma electoral” la incorporación de tecnología digital para la votación de autoridades. El reclamo que más se dejó escuchar y todo indica se corregirá en el debate del Senado, tras la media sanción dada en Diputados, fue el de quitar un chip RFID de las boletas porque es altamente vulnerable y puede ser violada la privacidad del voto con un smartphone. Sin embargo, el debate, que parece Macri conseguirá sellar con el acuerdo que consiguió en una reunión de Olivos con los gobernadores provinciales, es más profundo y habla de una vulnerabilidad intrínseca de las tecnologías digitales que no pueden por su propia naturaleza resguardar las condiciones esenciales del voto popular.

 

Javier Blanco es docente de la sección de Computación, Facultad de Matemática, Física, Astronomía y Computación (FaMAF) de la Universidad Nacional de Córdoba, y es parte del grupo de investigadores y docentes académicos que se reunieron a principios de noviembre en la Facultad de Ciencias Exactas de la UBA para decir #NoAlVotoElectrónico. También son quienes están llevando los argumentos más certeros a las audiencias públicas en el Congreso para advertir sobre los peligros de incorporar el sistem de Boleta Única Electrónica, oponiéndose a que el derecho a elegir sea intermediado por una máquina y un sistema intrínsecamente vulnerable por connivencia de una empresa o por ataques externos. “El acto electoral exige condiciones con un sistema informático no puedo cumplir: auditabilidad, secreto y seguridad del voto. No es posible en software”, sentencia.

 

-Sos parte del colectivo de docentes e investigadores expertos informática de las universidade de todo el país que se reunieron para impulsar la campaña #NoAlVotoElectrónico, ¿Por qué?

-Entre los informáticos académicos es unánime la opinión en contra de la aplicación del voto electrónico. Las únicas opiniones a favor son de los expertos provenientes de las empresas informáticas. Entendemos que el voto electrónico no puede aplicarse porque tiene problemas intrínsecos. Y no se trata de que la tecnología para hacerlo posible no existe hoy sino que no va a existir nunca: la computadora no puede usarse para guardar información sin modificar, cuando yo tipeo en una computadora, esa información se transforma inmediatamente, no es la misma cosa. El problema acá es la duplicación de la intención de voto cuya “integridad” no es comprobable para el votante. En la urna, yo pongo el voto y queda materialmente igual. Agregar un nivel de opacidad, de caja negra, cuando decís que tu intención es modificar el sistema electoral para que sea más transparente es ridículo.

 

-¿Cómo se explica técnicamente esta falta de transparencia intrínseca?

-Un sistema electoral se basa en la desconfianza, en dar las garantías para que confíe en el otro con el que tengo intereses opuestos y esté seguro de que no hubo robo de votos. Si agregás como intermediario una herramienta confeccionada por un tercero, sin ninguna herramienta para confiar en ese otro que también puede tener otros intereses, desvirtuas todo el sistema. ¿Qué garantía tengo de que la máquina electoral funciona bien? Tenés que confiar en la empresa que lo provee o en el périto que vio el sistema y dijo que estaba bien. Saber que un software ande bien es complejo, ver que no tiene vulnerabilidades es imposible. La primera pregunta es si es malicioso o no, o sea, si el programa tiene escondido un código en el pre-procesador, por ejemplo, o en la biblioteca de partidos y candidatos, que pueda modificar la intención del voto.

 

-El proyecto de ley que tiene media sanción de Diputados y está siendo tratado en el Senado propone que el control de todo el sistema lo ejerza la Cámara Nacional Electoral…

– Sí, pero qué controla. Con una auditoría podemos asegurar la no malicia: saber que no hay un código tramposo en la tecnología digital que se va a utilizar, pero no resuelve el problema logístico: ¿Cómo aseguramos que el software y el hardware que está en condiciones auditas llegó a todos los centros de votación? La ejecución de un programa requiere: del software, del sistema operativo y el hardware. Todo tiene que ser exactamente igual en cada máquina de cada centro de votación.

 

-¿Podemos imaginar una legión de fiscales digitales para asegurar el control de las elecciones?

-Cada fiscal tendría que saber por lo menos chequear una firmar digital, con un software propio, porque no vas a confiar en el software que te entrega la empresa para chequearlo porque, de vuelta, estarías confiando en un software sin verificar. Cada partido debería tener un fiscal digital por cada mesa para ver que el software que llega es correcto e, igualmente, no alcanza porque el hardware puede ser malicioso o fallar. En la Argentina, la industria informática creció durante el kirchnerismo al 10 por ciento anual, eso requería la formación de 6 mil egresados de educación informática por año. Sin embargo, todo el sistema de educación genera 3.500 egresados de informática. Todos los partidos políticos deberían absorberlos para fiscalizar la elección y no alcanzaría.

 

-En caso que el Gobierno escuchará el pedido de gradualidad y se formarán los fiscales necesarios, ¿qué otros problemas podrían surgir?

-¿Cómo sabés que la urna electrónica que está en esa escuela tiene el mismo hardware que la urna con la que se corrió el primer software? ¿Se puede meter virus por hardware? Sí, se puede. Y así lograr que el mismo software haga otra cosa. Además, se sabe de cantidad de sistemas que tenían puertas traseras, o sea que la empresa que lo creó se guardó una clave para ingresar a cualquier máquina que contuviera su software.

 

votoelectronico_nan2016_phubaexactas
Blanco (segundo de izquierda a derecha) junto a otros tres especialistas en la presentación de la campaña #NoAlVotoElectronico Foto: Paula Bassi. Exactas Comunicación

 

-Los puntos débiles de la herramienta digital son muchos…

-Hay muchas vulnerabilidades, por lo que no existe una auditabilidad posible de todo el sistema, de las 120 mil máquinas necesarias para un proceso nacional electoral. En Salta, cuando se realizó la elección por Boleta Única Electrónica en las PASO 2015, la empresa que ponía las máquinas (NdeR: Magic Software Argentina S.A. con su sistema Vot.ar) también ponía los empleados del Comité Electoral, o sea, funcionó como oferente del servicio y controlador de la elección.

 

-En las elecciones de Ciudad de Buenos Aires para jefe de gobierno y legisladores existió una segunda experiencia electoral con el sitema Vot.ar de la empresa MSA, ¿qué experiencia dejó?

-Hubo fallas grandes casi el 10 por ciento de las urnas fallaron. Se subrayó la posibilidad de control manual de la boleta a partir de la impresión del voto, pero en la mayoría de las mesas no se realizó el testeo entre lo que el votante eligió en la máquina, lo que la máquina imprimió en la boleta y lo por sistema se escrutó en la elección. Las boletas tienen un chip que lo pasás por una lectora para comprobar que lo que decía en la boleta era lo mismo que se registraba en la pantalla, pero se comprobó que el 25 por ciento de los votantes no hacían ese chequeo y los fiscales de mesa que solicitaban hacerlo eran maltratados por los presidentes de mesa.

 

-Además la elección en la Ciudad desnudó la vulnerabilidad externa del sistema electrónico con la denuncia hecha por el programador Joaquín Sorianello…

-Sorianello descubrió cómo se asignaban las claves del protocolo de transmisión para reconocer que una urna era urna, por lo que él desde su casa pudo haber generado una clave que dijera “este es urna” y enviar los resultados al consejo electoral. Ni siquiera lo hizo, solo demostró que se podía hacer. En lugar de agradecerle, le allanaron la casa y le hicieron la vida imposible una año hasta que lo sobreseyeron a principios de agosto. Estaba mostrando algo que podía vulnerar la elección completa: quien tuviera ese acceso permitía a quien le descubriera enviar datos de votos por urna. Aunque se descubriera toda la elección iba a quedar destruída.

 

-En la presentación de la campaña #NoAlVotoElectrónico dijeron que es intrínsecamente vulnerable un sistema…

-La vulnerabilidad que encontró Sorianello es una de las posibles, pero podrían aparecer otras: no se puede asegurar el sistema ante cualquier vulnerabilidad, ni con las mejoras prácticas puede preverse. Además, ¿si los funcionarios de Gobierno y legisladores no nos escuchan ahora a los informáticos por qué después nos vendrían a consultar? Van a hacerlo con una empresa que les va a decir “está todo perfecto”. La empresa no tiene un interés en que ande bien el sistema, porque saben que no es posible, su interés es que no se sepa que anda mal porque significa mucha plata para ellos.

 

-A fines de octubre se realizó en la Ciudad de Buenos Aires la conferencia de seguridad informática Ekoparty, la más grande a nivel regional, y se convocó al Gobierno, a MSA (posible licitante a nivel nacional) y la Comisión Electoral a que pongan a disposición el sistema de Boleta Única Electrónica (BUE) para una auditoria pública, pero se negaron argumentando que hasta que no se vote la ley no se elegirá la tecnología a utilizar…

-No quieren enfrentar ese pedido. Poner una máquina a disposición de especialistas para que en un día se la ataque para demostrar cómo pueden ingresar al sistema por todos lados. Es lo mínimo que deberían hacer, porque una cosa es que se haga como prueba y otra que ocurra en un día de elección, que ataquen las máquinas, caigan y cambien el resultado o lo que sea. Dado a que no hay ningún sistema seguro, el resultado es obvio. Lo paradójico es que si lo auditamos vamos a decir “esto no sirve” porque el acto electoral exige condiciones con un sistema informático no puedo cumplir: auditabilidad, secreto y seguridad del voto. No es posible en software.

 

-El oficialismo sostiene que este tipo de pruebas recién se realizarán con la ley votada y que estarán a cargo de la Comisión Nacional Electoral…

-Eso se está discutiendo ahora en el Congreso y, por eso, se está reclamando un plan de contingencia para que si el sistema no es aprobado, no nos quedemos sin elecciones. Otra paradoja de esta discusión es que, con toda la justo que es, nos alarmamos cuando se queman dos urnas en una ciudad, pero con este sistema se podría quemar una elección entera con simplemente un virus. Podría haber un fraude masivo que comprometa toda la votación y no una urna o dos o cinco, que estadísticamente son insignificantes. Con este sistema se pueden realizar fraudes que cambien el resultado de las elecciones.

 

-El oficialismo asegura para calmar la alarma de las posibles fallas técnicas que lo que valdrá será el recuento en el papel, a partir de la boleta que se imprima… Ya sabemos que puede haber errores de sistema, códigos malisiosos que modifican lo que se elige y lo que se imprime sin un correcto chequeo o virus que entorpezcan todo el recuento provisorio. ¿Qué otro problema trae este sistema?

-El chip era sólo una vulnerabilidad más del sistema, ya que podía ser leído por un smartphone a distancia. Si se saca el chip se elimina una vulnerabilidad, sin embargo, hay otras formas de leerlo. Por ejemplo, si la boleta tuviera un código QR, allí puede haber alojada más información que solo la de los candidatos elegidos. O no hace falta tanto, con 8 bits, 8 puntitos en la boleta, indentificás 276 personas y podés reconocer el orden en el que votaron. Si seguimos mejorando el voto electrónico en esa dirección, vamos a llegar otra vez al voto en papel.

 

-¿Esto rompe el mito de que como “es una impresora” no registra la identidad del votante?

-Aunque la impresora no registre quién votó puede agregar información en la boleta que permita saber el orden de la votación. Un colega me contaba que, en Brasil –uno de los tres países junto a Venezuela e India que tienen voto electrónico general, o sea, elección y recuento sin urna ni recuento físico–, una vez cerrada la mesa, una función aleatoria de la urna electrónica mezcla el orden de los votos emitidos. Ahora, la función que mezcla está en el disco C y la semilla de la cual empieza hacer el random es la hora del acta, cualquier informático en un minuto reconstruye el orden. Las boletas de papel no están identificadas. En cambio, hay mil maneras de encontrar al emisor del voto con la boleta electrónica. Supongamos que esto no ocurre, que nadie se encarga de revelar en el orden de los votos, sin embargo, la posibilidad existe y un puntero puede decir: “Yo sé lo que vas a votar porque la máquina lo graba”. Yo le creería porque es posible. Es más creíble esta posibilidad que la de que alguien te espíe en el cuarto oscuro. El voto no solo tiene que ser secreto sino tiene que parecer secreto: en una urna electrónica es un acto de fe.

 

-Para defender el sistema BUE se argumenta que reduciría los gastos de imprimir miles de boletas de papel que no se utilizan y se evitaría el robo de boletas.

-El argumento de que “es más barato” es un absurdo. ¿Es más barata una caja de cartón que una computadora? Debe ser cuatro o cinco veces más caro un sistema electoral con computadoras que se utilizan una sola vez, porque a los dos años se vuelve obsoletas. El papel puede tener un costo ecológico, pero los componentes electrónicos de las computadoras tienen muchos más costos ecológicos, en la producción y en la basura que generan. Poner una impresora en cada mesa de votación encarce más aún. Es menos ecológico y más caro. Respecto del robo de boletas, se entiende la preocupación, pero poner un artefacto que compromete el secreto del voto sólo por la falta de boletas es muy poco. No se puede resolver un problema tan elemental con un sistema que complejiza todo.

 

-La posición de los expertos en tecnología informática parece así ir en contra de sí mismo para ofrecer soluciones electorales…

-En la transmisión de datos ya se utilizan tecnologías digitales y está bien. Es bueno hacer públicas las actas votación de cierre de escrutinio para que cualquier fiscal puede chequear que es la misma que contó. Incluso, que cualquier partido político, organización o persona independiente pueda bajar los resultados de cada acta del sistema y realizar un recuento propio, porque también el programa utilizado para el recuento oficial puede tener errores. Introducir tecnología digital en la elección está bien, la pregunta es en qué parte hacerlo. En la transmisión de datos, por supuesto, porque es auditable. La información de los resultados de las elecciones debe ser pública. En cambio, si al voto que debe ser secreto le incorporamos tecnología opaca: nadie puede saber si la voluntad del votante fue modificada o no.

 

-¿Qué otro tipo de tecnología digital recomendarían incorporar?

-Un asistente de conteo basado en tecnología óptica. Se realiza una marca en una boleta partidaria o boleta única y mediante un scanner se procede al recuento de votos. Eso garantiza la transparencia porque cualquier fiscal lo puede auditar y mantiene la integridad del voto, no se duplica la información. En Corea del Sur utilizan un sistema de tabulación para el recuento: las boletas tienen identificación óptica, por lo que una máquina las ordena para después realizar el recuento manual. El caso de Corea del Sur es interesante porque es uno de los posibles proveedores de tecnología para las elecciones argentinas, en caso de concretarse el voto electrónico, pero ellos no lo utilizan.

 

-El rechazo del voto electrónico por parte de países con altos niveles de recursos económicos y tecnología como Holanda, Bélgica, Irlanda, Alemania, Finlandia, parece darles la razón…

-En todos lados se evaluó que no había condiciones de auditabilidad del sistema, que no era seguro y que los ciudadanos tenían derecho de saber lo que estaba pasando en la máquina. En todos los casos se retrocedió, incluso, Irlanda evaluó poner voto electrónico, compró las máquinas y luego decidió no hacerlo por seguridad.

 

Lo que parece mantener viva la idea del voto electrónico frente a tantos argumentos contrarios es la ilusión de seguridad que da la tecnología, a pesar de que al mismo tiempo todos damos por descontado que nuestros correos electrónicos ni mensajes de celulares son seguros…

-Hay una especie de bloqueo mental para reconocerlo, cuando nuestra experiencia cotidiana con las computadoras es que fallan, se cuelgan, son atacadas con virus. Imaginemos las fallas que pueden tener máquinas que se usan cada dos años. ¿Por qué poner una máquina con ese nivel de falibilidad a proteger el derecho del sufragio? No hay software seguro, no hay software inviolable. Se pueden dar garantías de cierta estabilidad, pero ninguno es perfecto sino que tienen muchas propensión a errores. Los sistemas digitales tienen la particularidad que un pequeño error implica una falla de todo el sistema: que un bit cambie de 0 a 1 en un sistema puede significar el cambio de un “Si” a un “No”.

 

barro@lanan.com.ar
 

Nº de Edición: 1681