Voto electrónico confiable

Siguiendo con la temática del voto electrónico y la supuesta posible confiabilidad de los sistemas que lo implementan, voy a intentar un análisis dirigido a las personas sin conocimientos técnicos de informática.

Existe una especie de ilusión, arraigada en muchas personas, consistente en creer que el desarrollo tecnológico actual permite el diseño y la construcción de sistemas informáticos totalmente seguros (y, por lo tanto, confiables). Valga de ejemplo este extracto de un documento elaborado por un legislador provincial de Córdoba (el énfasis ha sido agregado por mí):

“La eliminación de la proliferación de boletas en el cuarto oscuro se logra a través del voto electrónico o de la boleta única. Adelanto que el primero es el que a mi juicio mejor armoniza los valores de seguridad y transparencia, y que el nivel alcanzado por los sistemas informáticos y las tecnologías de la información sin duda harian factible su implementación.”

Claramente, el legislador (y seguramente su asesor en materia informática) no tiene duda alguna de que el estado actual de la informática hace posible la existencia de un sistema informático seguro y transparente. Sin embargo, para cualquier entendido en informática, resulta obvio lo contrario.

El por qué de la ilusión

La creencia es comprensible. En nuestra vida diaria usamos sistemas informáticos todo el tiempo. No sólo a través de computadoras (mediante las cuales chateamos, navegamos por la web, realizamos operaciones bancarias “electrónicas”), sino que hasta nuestros teléfonos han dejado de ser tales, para convertirse en pequeñas computadoras portátiles con cada vez más funciones. De repente, vemos hardware y software en aviones, automóviles, sistemas médicos y un largo etcétera. Es natural entonces que el común de la gente crea que existen los sistemas informáticos complejos y, a la vez, confiables y seguros.

Lamentablemente la realidad es muy diferente. Y como ya fue dicho, no voy a abundar en detalles técnicos engorrosos, sino que me limitaré a exponer algunos ejemplos que demuestran la fragilidad (y poca confiabilidad) de los sistemas actuales. Los mismos serán agrupados teniendo en cuenta los requisitos básicos que debiera satisfacer un sistema de votación electrónica.

Inviolabilidad

Como bien sabemos ya, ese aparato que llevamos casi siempre con nosotros y al que llamamos “teléfono celular” no es un teléfono, sino una pequeña computadora que incluye un programa que le permite funcionar como si lo fuera. Durante unos 20 años, los distintos fabricantes de celulares han dedicado mucho esfuerzo y dinero para intentar que sus dispositivos sean “inviolables”, esto es, impedir que los usuarios puedan modificar o alterar de alguna forma el software incluido en los mismos.

Con el paso del tiempo, los celulares se han vuelto cada vez más complejos (tanto en su hardware como en su software), y dicha complejidad ha conspirado más y más contra ese objetivo. Puede el lector tomar como ejemplo los conocidos como “smartphones”: iPhone de Apple, la línea “N” de Nokia o la serie de dispositivos basados en Android (de Motorola, HTC, entre otros). Cada uno de estos dispositivos incorpora distintos mecanismos (bastante complejos, por cierto) para impedir modificaciones por parte de los usuarios. ¿Su efectividad? Ninguna. Mediante procedimientos realizables por un niño de 12 años todos los mecanismos de protección pueden ser vulnerados en un par de minutos. Más aún, el novísimo iPhone 4G (y el innovador iPad), con uno de los sistemas de protección más estrictos, puede ser hackeado con sólo abrir un archivo PDF.

Resulta hasta gracioso entonces, cuando empresas como Indra y Diebold, entre otros fabricantes de “urnas electrónicas”, hablan de la supuesta inviolabilidad de sus sistemas. Quizás Apple, Nokia, Motorola y Sony-Ericsson deberían consultarlos (¿o será al revés?).

Confidencialidad

El voto debe ser secreto. Esto ya lo sabía muy bien Roque Saenz Peña hace 100 años. Por lo tanto, un sistema de votación electrónica debería garantizar este requisito. Pero… ¿es esto posible?

Cada vez que se utiliza una computadora electrónica, la misma emite ondas de radio que pueden ser capturadas (y decodificadas) a una distancia considerable. No, esto no es de un episodio de “Misión Imposible”, puede hacerse (y se hace) con equipamiento de muy bajo costo. A continuación, una breve muestra de este tipo de maniobra, realizada sobre las máquinas de voto electrónico que durante años utilizó Holanda (quienes desde 2008 han vuelto a votar con lápiz y papel):

El video muestra como fácilmente, desde una distancia de hasta 25 metros, logran identificar cuándo se está votando por determinado partido. Claro que, con equipamiento un poco más costoso (unos pocos miles de dólares), hasta puede reproducirse remotamente la imagen que está mostrando la pantalla de la computadora.

Por cierto (y apartandome un momento del tema que nos ocupa), ¿sabía usted que con un equipo de unos 800 dólares, cualquiera puede intervenir y capturar todas sus llamadas de celular y SMS?

Confiabilidad

Los sistemas se caen. Los programas se cuelgan. Todos. Por mejor hecho que esté un programa complejo, siempre tendrá errores. Hay numerosas y largas recopilaciones de errores “famosos” que han costado millones de dólares y, cuando no, alguna vida humana.

La cuestión se torna realmente grave cuando se utiliza software en sistemas críticos. Por nombrar solamente dos casos recientes: parece ser que tanto el problema de “aceleraciones inesperadas” en algunos modelos de Toyota (que provoca aceleraciones repentinas sin haber accionado el acelerador), como el accidente del vuelo 447 de Air France (que terminó con un AirBus 330 en el Océano Atlántico) se deben a errores en el software.

Claro que no murió nadie cuando a la gente de Magic Software Argentina (MSA) se les colgó el sistema de escrutinio provisorio en las elecciones de Río Cuarto, pero claro está que un fallo similar (o peor) en un sistema de votación (y no sólo de escrutinio) de una elección de gran envergadura provocaría un caos (y el descrédito total por parte de la ciudadanía, cuando menos). Aunque Indra, Diebold, MSA y otros llenen su material de marketing asegurando que sus sistemas no tienen errores, sepa Ud. con seguridad que están ahi, a lo sumo, todavía ocultos de los ojos de sus programadores.

Fin de la ilusión

No importa lo que diga un folleto, ni un vendedor. Los sistemas inviolables, seguros y transparentes (al nivel requerido para una elección democrática) no se han visto por aquí, y no se verán seguramente por mucho tiempo. Espero que estos pocos ejemplos que, sin mucha elaboración, he dispuesto en este artículo, sirvan al menos para sembrar una pequeña duda en aquellos para quienes estas cuestiones resultaban “obviamente” posibles.

Dejar un comentario

11 comentario(s).

  1. Soy un convencido de que un mix entre voto electrónico + impresión de la boleta va a ser la solución a largo plazo. El voto electrónico te permitiría contar rápidamente y el papel la seguridad de que la cuenta rápida fue lo que debía ser.

    Buscando encontre este sitio http://evoting.bismark.se/, quería saber si podías dar tu opinión al respecto.

  2. Es tan seguro el voto electrónico, como lo es el voto no-electronico. Eso bien lo sabemos los argentinos… ¿no?

    Yo he participado en este tipo de proyectos. Es obvio que no es 100% seguro. Pero decime.. ¿qué lo es hoy en día? Con esa postura, deberías dejar de comprar por internet, pero por otro lado también pueden afanarte cuando salís de tu casa…

    No me parece mal el artículo dónde planteas que ningún sistema electrónico es 100% seguro, ya que mucha gente no lo sabe. Pero me parece que cuando uno “tira abajo” una idea, también debe destacar las partes positivas. El e-voto tiene muchas, y eso lo digo por experiencia. El conteo de votos, la rapidez de la votación, el registro de los resultados, etc.. Todo se hace en cuestión de minutos como mucho.

    Repito, buen artículo, pero creo que le falta -al menos nombrar- los aspectos positivos.

    Saludos desde Mza!

  3. Ignacio:

    Para mi no tiene sentido considerar las cosas positivas mientras no se pueda asegurar la fiabilidad del proceso democrático. En este caso creo inclusive que se podría demostrar que ningún sistema puramente informático puede satisfacer esta condición.

    Ahora, me parece que se podría usar un sistema de conteo automático. Por ejemplo, rellenando un cuestionario al mejor estilo ‘multiple choice’ a mano (ver http://www.vocare.co.uk/siteimages/large/multiple-choice.jpg), las instrucciones serían sencillas y se podría realizar un escrutinio casi inmediato así como auditar los resultados a mano.

    Mi punto es, me gustaría ver sistemas donde aplicaciones electrónicas-informáticas ayuden con el conteo, siempre y cuando se preserve un registro impreso y auditable de cada voto emitido.

  4. Si un sistema para voto electrónico no reúne las condiciones de Inviolabilidad, Confiabilidad y Confidencialidad no sirve como sistema de voto electrónico. Decir que nuestro actual sistema electoral no los reúne, no es argumento suficiente para avalar el “sistema electrónico”.
    Los que quieran “vender” sistemas de voto electrónico, no mencionen estas características, y listo. Mencionen solo que “cuenta rápido” y punto; que la gente lo “compre” por eso.

    Eso del sistema “electrónico + impresión ” no me cierra algo:
    Supongamos que hay diferencias entre el resultado “electrónico” y los papeles: ¿Cuál es el dato finalmente válido? Sea cual sea la respuesta a esta pregunta, lo que sigue es otra pregunta ¿Entonces para que queremos “el otro” sistema? Encarecemos y complicamos las cosas……

    Compro por Internet; a menudo. Personalmente tomo todos los recaudos que están a mi alcance para estar tranquilo y seguro (incluso hay seguros que responden ante fraudes y demás) ¿Cuáles serían esos recaudos en el caso de un sistema de voto electrónico?

  5. Soy experto informático de larga trayectoria, y coincido plenamente con los dichos del autor. Otro problema más serio con el voto electrónico a mi entender, es que es inauditable. No existe manera de asegurar que la urna no es hackeable o que no ha sido hackeada.

    Hay casos muy famosos de pruebas realizadas en urnas de Diebold, supuestamente inviolables, que en una universidad europea lograron hackearla insertando un dispositivo en un puerto de mantenimiento, adulterando toda la votación con un “virus” que se eliminaba totalemente sin dejar rastro alguno de su accionar una vez finalizada la votación.

    No existe manera humana de asegurar que una máquina de votación electrónica no tiene fallas, ni agujeros de seguridad, ni puertas traseras (que solo conozca el fabricante y sus diseñadores).

    En la mayoría de los lugares del primer mundo donde hubo experiencias con voto electrónico, se volvió a los viejos y conocidos sistemas tradicionales, que son fácilmente auditables por CUALQUIER CIUDADANO de la Nación. Con el voto electrónico, ni siquiera todos los expertos informáticos juntos podrían asegurar que un equipo electrónico determinado sea infalible. ¿Recuerdan cómo ganó Bush Jr su presidencia en la mayor potencia mundial? En una votación muy ajustada, la diferencia a su favor resultó en el estado que usaron el voto electrónico, con graves denuncias de fraude.

    Lo que sucede, como siempre, es que es mucho más “jugoso” invertir en urnas electrónicas, porque es mucho más fácil adulterar los resultados al punto que sea imposible de rastrear. Y por ello, hay mucho lobby a su favor, y muchos grupos interesados por las amplias posibilidades indectables de fraude y los pingues negocios millonarios que representan estas iniciativas.

    Si puede cometer fraude con los sistemas tradicionales, no hay nada nuevo bajo el sol. Pero son sistemas simples, conocidos y auditables por cualquier ciudadano. Los fraudes son detectables. Los sistemas electrónicos de voto, son sistemas oscuros, inseguros por definición, inauditables, y millonarios ¿Se entiende la diferencia?

    Para el que quiera asesorarse, como ejemplo un botón: aquí hay información muy interesante publicada por una universidad norteamericana con el análisis de diversos fraudes gracias al voto electrónico en dicho país: http://www.ejfi.org/Voting/Voting.htm

  6. Diego:

    En el sistema mixto lo importante es el papel, pero la parte electronica te permite hacer un recuento rápido que despues se contrasta con el papel. Como en cualquier elección, el conteo final no es inmediato.

    Al haber una impresora (que imprime el papel), te olvidas de problemas de que faltan boletas o de hacer una boleta unica kilométrica.

    Recomiendo ver el http://evoting.bismark.se/, es muy interesante.

  7. Sigo pensando que los informaticos tienen más miedo, que confianza. Existen sistemas muy confiables, aún inalámbricos.

    Si todo fuera tan vulnerable, entonces porque los militares se arriesgarian a usarlo para comunicarse, conociendo los riesgos de todo esto? evidentemente, por alguna razón se usa.

    El tema no es que sea 100% confiable, sino que el costo de vulnerar un sistema sea mayor al beneficio que trae.

  8. Ignacio, si como vos decis “Sigo pensando que los informaticos tienen más miedo, que confianza”, eso NO TE SUGIERE NADA????
    Por otro lado, un error severo tuyo, afirmas lo siguiente:
    “Es tan seguro el voto electrónico, como lo es el voto no-electronico. Eso bien lo sabemos los argentinos… ¿no?”
    Esto es falso, el voto electronico es TODAVIA MENOS seguro que el no-electronico. Por ello es que no conviene cambiarlo.

    En relacion a “Con esa postura, deberías dejar de comprar por internet, pero por otro lado también pueden afanarte cuando salís de tu casa…”
    Hay una diferencia abismal. Las posibilidades de que te roben al frente de tu casa depende de lo jugoso que sea el botin. Si sos un tipo de clase media para abajo, dificilmente te roben. En cambio si sos un magnate… y, vas a tener varios buitres revoloteando esperando un error tuyo
    Ademas, hay que mencionar otro detalle, quien se aventure a robar a alguien, corre el riesgo de ir a la carcel, etc. Si cometes fraude con el voto electronico… salis LIMPIO.
    Ni que hablar con el tema del hackeo, basta leer lo siguiente para darse cuenta del gran peligro que representa este sistema:
    http://www.neoteo.com/hackers-revientan-cifrado-cuantico.neo

    En definitiva, y aun suponiendo que estas empresas sean honestas y nunca vayan a arreglar un comicio, que garantias tienen de que alguien en el medio no altere los resultados y que no puedan ser detectados? O incluso habiendo sido detectados, si se sabe que los datos que llegaron fueron corrompidos, para tener el dato original habria que repetir la eleccion en esa mesa!!!
    Para cometer un acto de este tipo, basta uno solo que sepa de informatica y no se entera nadie.
    En cambio para alterar una urna tradicional, hay que eludir la custodia de todos los fiscales, que van (o deberian ir) atras de la urna en todo momento. Esta “tranquilidad” es imposible de tener en el voto electronico.
    Finalmente, la comparacion del ejercito yanki tampoco es acertada, en 1er lugar porque los riesgos que corren usandolos son menores que no usandolos (lo cual no sucede con el voto electronico). Se me ocurren muchas otras objeciones a esa comparacion, pero se hizo larga mi opinion y creo q la parte importante quedo explicada

  9. Colección de enlaces sobre voto electrónico « Tomografía Literaria - pingback on 3 de septiembre de 2010 @13:05

Deja un comentario